SK컴즈 개인정보 유출사건과 더불어 개인정보보호법이 지난 9월 30일 시행되면서 암호화에 대한 관심이 높아지고 있다. 12일 명동 은행회관에서 열린 해킹 및 개인정보유출 방지를 위한 ‘암호의 역할’ 워크숍에는 200여 명이 넘는 참관객이 참석한 가운데 현재 국내 암호화 실상과 변화되어야 할 점들에 대한 진지한 논의가 이루어졌다.
 
김우환 국가보안기술연구소(NSRI) 박사는 “무선 구간 증가와 중요 정보의 유통 증가, 기반 시설의 네트워크화, 스마트 디바이스의 증가로 사이버 위협이 더욱 증가하고 있다”며 “암호는 정보유출시 최후의 방어수단이기 때문에 중요한 보안수단이다. 하지만 암호분석과 해독 기술이 발전하면서 그에 따른 취약점도 증가하고 있다. 암호기술의 안전한 적용을 위해 가이드라인 개발과 보급이 중요하고 기존 암호 취약성에 대한 빠른 대처와 신기술 개발 계획 수립, 산학연 공동 논의를 통한 최적의 솔루션 개발에 노력해야 한다”고 촉구했다.
 
김승주 고려대학교 교수는 ‘최근 개인정보유출 사건과 암호’라는 주제로 최근 국내 해킹사고들의 면면을 상세히 설명하고 개인정보보호법에서 규정하고 있는 암호화 시행령에 대한 소개와 개선방향을 밝혔다.
 
김 교수는 “개인정보보호법 시행령에 따르면, 공공기관은 국가정보원 권고 암호화 알고리즘을 적용해야 하고 민간은 안전한(?) 암호화 알고리즘을 자율적으로 적용하라고 돼 있다. 이 부분에 대한 명확성이 법 대상 기업에 제대로 전달되지 않고 있기 때문에 혼선이 빚어지고 있고 정작 중요한 키 관리에 대한 규정도 없기 때문에 문제가 될 수 있다”고 지적했다.
 
또 “아직도 국내 많은 기업들이 유효기간이 짧은 암호화 알고리즘을 사용하고 있다. 암호화만 한다고 해서 안정성이 확보되는 것이 아니라 어떤 알고리즘으로 하느냐가 중요하다”며 “신속히 암호화 알고리즘의 레벨 상향조정이 필요하다”고 강조했다.
 
구태언 행복마루 변호사는 ‘암호관련 법률/주요 사고 손해배상 현황’을 주제로 발표를 했다. 구 변호사는 “개인정보보호법 24조에는 주민번호, 여권번호 등 고유식별정보는 암호화 조치를 해야 한다. 조치내용으로는 개인정보를 안전하게 저장, 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치를 하라고 규정한다”며 하지만“상당수 기업들이 암호화 솔루션을 도입해야 할지 아니면 그에 상응하는 조치를 해야 할지 또 그에 상응하는 조치가 무엇인지 모르는 경우가 많다”고 지적했다.
 
구 변호사는 “법률적 관점에서 보면 암호화 의무 등 보호조치 고시 위반을 할 경우 민·형사책임이 발생한다”며 “정보유출 사건으로 법정에 섰을 때 그에 상응하는 조치를 한 기업에 대해 법원에서 어떻게 판단할지 아직은 모른다. 따라서 기업들은 법적 문제 발생시 안정성 확보를 위해서라도 구체적인 대응전략을 준비해야 한다”고 덧붙였다.
 
조태희 NHN 팀장은 ‘개인정보의 기술적, 관리적 보호조치 구현 사례’ 주제 발표를 했다. 조 팀장은 “NHN은 고객 개인정보 유출방지와 각종 해킹 공격에 대한 서비스 안정성 유지를 위해 노력하고 있고 이를 위해 보안정책·기획과 보안기술서비스 두 가지 업무를 활발히 수행하고 있다”며 “ISO-27001, ISMS, e-Privacy, PIMS 등 인증을 통한 외부 점검노력과 내부적으로는 개인정보 취급자를 추출해 개인정보취급자로 분류하고 개인정보취급자를 최소화 시켜 집중관리하고 있다. 또 개인정보를 등급별로 분류해 차별화 보호전략을 진행하고 있다”고 소개했다.
 
◇암호에 대한 다양한 입장들=한편 마지막 시간에는 토론회가 열렸다. 토론자로는 구태언 변호사(행복마루), 권성대 팀장(NSRI), 김덕수 연구소장(펜타시큐리티시스템), 김승주 교수(고려대), 이익준 차장(KB국민은행), 정현철 팀장(KISA)이 참석했다. 토론은 이동훈 고려대 교수가 진행했다.
 
이익준 KB국민은행 차장은 “은행은 구축시점부터 많은 부분에서 암호화를 적용하고 있다. 암호화는 필요하지만 업무환경과 비용대비 성능을 고려해 적정한 것을 선택해야 한다”며 “하지만 암호화도 접근통제 관점에서 보면 키 관리가 중요하다. 암호화만 맹신하지 말고 접근통제 차원에서 문제를 해결하려 한다면 큰 비용 들이지 않고 보안대책을 수립할 수 있을 것”이라고 말했다.
 
특히 “암호화를 하면 유해탐지시 암호화된 상태로 들어오면 장비들이 탐지를 못한다. 즉 관제 모니터링 시 문제가 발생할 수 있다”며 “이 부분을 악의적으로 사용한다면 문제가 될 수도 있을 것”이라고 지적했다. 
 
보안업체 입장에서 김덕수 펜타시큐리티시스템 연구소장은 “암호화가 필요하지만 암호화에 대한맹신도 문제다. 그래서 키 관리가 제대로 이루어지지 않고 있다. 암호화와 접근통제가 함께 이루어져야 한다”며 “그와 동시에 암호화에 대한 평가도 다시 이루어져야 한다. 고객들 입장에서도 제품에 대한 분별력도 키워야 할 것”이라고 주장했다.
 
김승주 고려대 교수는 “암호화에 대한 제대로 된 평가기준이 필요하다. 평가제도가 구체화되어야 암호화의 대중화에 도움이 될 것”이라며 “현재 평가결과보고서가 전혀 마케팅에 도움이 되는 경우가 없다. 보다 대중에 다가가는 평가제도와 테스트 환경이 필요하다”고 강조했다.
 
또 “암호화 제품 속도문제를 해결하려면 하드웨어 제품을 사용해야 하는데 아직 국내는 소프트웨어 제품을 주로 사용하고 있어 속도가 나오지 않고 있다”고 지적하고 한편 “국산 암호화 알고리즘만 고집할 것이 아니라 민간과 금융분야에는 외산 알고리즘을 허용하는 방안도 필요하다”고 밝혔다.
 
권성대 국보연 팀장은 “암호화가 아직 대중화가 안돼 있다. 그래서 최적화된 소스를 얻기 힘들다”며 “하지만 최적화 소스를 만드는 것은 민간산업에 악영향을 줄 수 있기 때문에 국가차원에서 하면 안되지만 국가 차원에서 지원할 수 있는 방안을 검토해 보겠다”고 밝혔다.
 
정현철 KISA 팀장은 “국산과 외산을 떠나 기업에서 안전하게 암호를 편리하게 사용하는 것이 관건이다. 개인정보보호법이 시행된 시점에 중소기업들은 암호화를 어떻게 해야 할지 어려워 하고 있다”며 “국산 SEED와 ARIA도 안전한 알고리즘이기 때문에 중소기업들이 안전하고 편리하게 사용할 수 있도록 보급에 노력하겠다”고 말했다.
 
구태언 변호사는 “개인정보보호법은 강력한 법이다. 암호화를 안하면 벌금에 그치지만 유출시 암호화가 풀렸다면 형사처벌을 받아야 하는 상황”이라며 “기업에서 암호화 정책을 세울 수 있도록 정부에서 가이드를 잘 해줘야 하고 대기업과 중소기업의 암호화 수준은 달라야 한다. 이런 부분에 대한 연구가 필요하고 퍼포먼스 기준도 확립돼야 한다”고 강조했다. [데일리시큐=길민권 기자]