하형일 : UC 샌디에고 경제학과 졸업, 매킨토시 사용경력 10년째인 컬럼니스트
단테의 신곡(La Divina Commedia)은 인간의 비윤리적인 행태에 대한 해결책보다는, 그 죄악들이 인간 세계에 파생시킬 수 있는 혼란은 잔인하게 묘사하고 있다. 정직, 성실, 근면, 창의, 도전 등과 같은 긍정적인 미덕과 더불어, 탐욕, 사기, 분노, 자만, 그리고 리비도(Libido)와 같은 죄악이 공존하며 이 세상은 완전한 것으로부터 격리되어 있다. 기존 수구 세력들은 시대가 변화하면서 끝없이 추락하는(어쩌면 영원히 추락할지도 모르는) 윤리관에 대해 실증적인 분석과 지속적인 중요성을 강조해왔다.
정치적인 조직의 윤리성, 기업의 윤리성, 순수 학자들의 윤리성 그리고 첨단 사회를 이끌어 가고 있는 전문 기술자의 윤리성 등이 현재 급변하는 세상에서 강조되고 있는 21세기판 공자 개념이다. 첨단 기술은 다가올 미래의 청사진을 제공하며, 이것이 피할 수 없는 현실이라는 것을 증명한다.
정치인이나 사회학자의 공약과 이념의 하나일 수도 있는 첨단 기술은 그러나 인간 생활의 기본적인 틀이 과거보다 편하고 효율적인 것이라는 점에 궁극적인 가치를 부여하고 있다.
암호 체계의 중요성
앞으로 10년 후면, 텔레비전이나 라디오처럼 인식될 정보고속도로와 통신의 혁명은 정보의 교환 방식을 수동적인 배달 개념에서 전자 우편 방식으로 바꾸어 놓을 것이다.
전자 우편의 장점은 텍스트 중심화된 문서를 빛의 속도로 서로 교환할 수 있다는 가히 혁명적인 패러다임을 지녔기 때문에 기존 우편 업무와 같은 모든 조직 체계를 무용지물로 만들 수 있다. 스타워즈나 스타트렉에서 사람이 가고자 하는 목적지로 이동할 때, 빛의 속도로 사라졌다가 눈 깜짝할 사이에 나타나는 공간 이동의 개념이 바로 텍스트 중심의 전자 우편인 것이다.
그러나 어떠한 사안이 사실이라고 믿기에 너무 완벽하다고 생각되면, 아마 그것은 사실이 아닐 것이라는 서양 속담처럼, 전자 우편 체제는 기존 우편 개념보다 거의 모든 면에서 비교도 될 수 없는 장점을 지니고 있지만, 결정적인 단점이 있는 것도 사실이다.
전자 우편은 기존 우편 업무가 보장하던 보안 개념을 암호 체계라는 대안으로 보장한다. 필자가 지극히 개인적인 사안을 담은 편지를 친구에게 보내는 과정에서, 이 보안의 개념이 무너진다면 전자 우편의 가치는 무의미한 것이 된다. 여기서 암호의 중요성을 언급하자면 끝이 없다. 그러나 세상은 이제 서서히 전자 우편 체제로 넘어가고 있다는 있으며, 강력한 암호 체계의 확립만이 안심하고 전자 우편이 보장하는 모든 장점을 누릴 수 있는 것이다.
'당신은 현재 암호 체계에 영향을 받고 있습니까?' 이 질문에 '아니오'라고 답할 수 있는 사람은 그리 흔치 않을 것이다. 일반적으로 예금통장의 비밀 번호가 가장 중요한 일급비밀이라고 생각하겠지만, 이 네 자리 숫자에 목숨을 건 만한 사람은 몇이나 되겠는가? 당신이 예금해 놓은 돈은 목숨을 걸고 지켜야 할 가치가 있을지 모르지만, 네 자리의 비밀번호에 목숨을 걸만큼 완벽하지 않다. 결론적으로 매우 중요한 파일, 즉 일급 비밀은 목숨을 걸고 지켜야 할 가치가 있을지 모르지만, 이 비밀을 지키는 암호에 목숨을 건다는 것은 어리석은 짓이다.
암호에 대해여
암호의 불완전성을 먼저 언급해보자.
첫째, 모든 문제는 답을 가지고 있다. 둘째, 암호를 제작하는 것은 실수 투성이의 인간이다. 이 두 가지 요소만으로 암호는 완벽과는 거리가 먼 개념이다. 현재 가장 효율적인 암호 체계로 통용되는 필 지머맨의 PGP는 말 그대로 Pretty Good Privacy의 약자로, 즉 꽤 괜찮은 암호 체계란 뜻이다. 그러므로 누군가 암호에 대해 이야기를 꺼낸다면 다음과 같은 전제를 꼭 내포해야 한다. 암호에는 언제나 인간의 실수가 내포되어 있으며, 반드시 풀리게 되어 있다. 역설적으로 말하자면 암호는 풀리기 위해 존재한다.
앞에서 언급한 현금카드의 네 자리 비밀 번호 이외에도 암호 체계는 하늘에 떠 있는 별만큼 다양한 방식을 취하고 있다. 퍼즐, 문답, 숫자 배열, 명칭 등 나열하자면 끝이 없다. 그런데 이 수많은 암호 체계들이 가지고 있는 공통 분모는 디코딩키(decoding key), 즉 해독키가 없는 상태에서의 해독은 상상을 초월하는 시간과 인내가 요구된다는 것이다. 암호를 담은 문서는 일단 가치가 있다고 봐야 한다. 일반적으로 등급을 정해 놓고 비밀을 분류하는 이유도 이 문서들이 일반인이나 적에게 공개되었을 때 그 조직이 입을 수 있는 피해의 경중을 고려해 암호 체계의 방식을 선택하게 된다. 그렇다면 정보고속도로에서 일반적으로 통용되는 암호 체계는 어떤 것인지 알아 보자.
소수의 인수분해
필자가 지금 초등학생에게 소수가 무엇이냐고 물어 본다면, 분명히 3, 5, 7, 11, 13과 같이 1과 자기 자신을 제외하고 어떤 숫자로도 깨끗이 나누어질 수 없는 숫자라고 대답을 할 것이다. 필자가 다시 중학생에게 77을 두 개의 소수로 인수 분해할 수 있냐고 묻는다면, 그 자리에게 7과 11이라는 두 소수를 암산으로 풀어 낼 것이다. 그러나 만약 천만 단위의 소수 두개를 곱한 답을 대학교수에게 제시한 후 두 개의 소수를 찾아 낼 수 있느냐고 묻는다면 주변 컴퓨터를 모두 사용해도 족히 일주일은 걸려야 인수 분해할 수 있을 것이다.
즉, 작은 숫자를 두 개의 소수로 인수 분해하는 것은 식은 죽 먹기일지 몰라도 큰 숫자를 두 개의 소수로 인수 분해하는 일은 결코 쉬운 일이 아니다. 최첨단 컴퓨터와 장비를 총동원한다과 해도 수백 년이 걸리게 되기 때문이다. 이 개념이 바로 PGP, 즉 현재 인터넷 상의 모든 전자 우편과 문서 보안에 사용되는 암호 체계이다.
이 소인수 분해 개념은 일찍히 수학자들에겐 암호 체계로써 활용 가치가 있다고 널리 알려졌지만, 난공불락이라고 여겨지던 RSA-129 암호 체계의 해독키가 '93년 일반 사용자들에게 공개된 직후부터 소인수 암호 체계는 컴퓨터 사용자에게 보안 문제의 핵심 쟁점으로 떠올랐다. '77년 폰 리베스트, 아디 샤미어, 레오나드 아델만은 129단위(digits)의 거대한 숫자를 두 개의 소수로 인수 분해하는 자에게 백만불을 내놓겠다고 상금을 걸었다. 그는 전세계의 모든 컴퓨터를 사용해도 수백 만년은 족히 걸려야 해독키를 찾아낼 수 있을 것이라고 큰 소리를 쳤다.
그러나 '93년 RSA-129(세 사람의 이름의 앞자를 딴 명칭)는 수백 명의 연합 세력 크래커에 의해 XXX x XX 는 XXXX라는 해독키가 인터넷에 떠올랐으며, 또 다시 암호 체계는 불안정 이론으로 흡수되어 버렸다.
그후로도 오랫동안
RSA-129의 아성이 무너진 후 컴퓨터 사용자들은 완벽한 암호, 즉 영원히 미궁에 빠질 수밖에 없는 암호는 이론으로밖에 존재하지 않는다는 결론을 잠정적으로 내렸다.
RSA팀의 결정적인 실수는 두 가지로 요약된다.
첫째, 백만 달러라는 상금을 제시함으로써 암호를 풀기 위한 동기를 세상 사람들에게 부여했다는 것이다. 둘째, 무어의 법칙을 과소평가했다는 사실이다. 1970년대의 컴퓨터 성능이 1990년대의 컴퓨터 성능과는 비교도 할 수 없을 만큼 발전했고 RSA팀이 이러한 기술의 발전을 전혀 예측하지 못한 것이다. RSA-129의 해독으로 컴퓨터 보안 분야는 극도로 불안에 빠지게 되었다. 뉴스위크의 테크놀로지 칼럼니스트인 스티븐 레비는 WIRED지에 이러한 명언을 남겼다.
"이론상으로 영원히 풀리지 않는 암호 체계는 존재할 수 있다. 그러나 결코 여기에 하나뿐인 목숨을 걸지 말라."
즉, 목숨을 걸고 지켜야 할 중요한 문서는 존재하지 않으며, 이 문서를 지키는 암호에 목숨을 거는 일은 어리석은 짓이라는 조언이다. 그러나 소인수 분해 개념은 현존하는 암호 체계 중 가장 강력한 방안이라는데 아직 이의를 제기하는 사람들은 없으며, 이 개념이 지속될 수 있는 이유는 소수가 끝이 없는 무한대이기 때문이다. RSA-129의 해독에 10년이라는 시간이 소요됐다면 RSA-1209는 백년이 걸릴 것이며, RSA-11129는 천년, 그리고 RSA-58695427은 수백 만년이 걸릴 것이기 때문이다. 이러한 이유가 바로 RSA 개념을 도입한 암호 체계를 PGP를 Perfectly Good Privacy 대신 Pretty Good Privacy라고 부르는 것이다.
PGP의 장점과 단점
현재 인터넷 상에서 통용되는 암호 체계는 PGP, 즉 RSA 방식이다. RSA 방식이 사용되는 이유는 해독키를 찾아내기 힘들다는 장점과 간단하게 제작될 수 있다는 장점을 동시에 보유하고 있기 때문이다. RSA 암호 체계는 간단히 디코딩(Decoding)과 인코딩(Encoding)으로 나누어진다. 디코딩, 즉 암호를 푸는 해독키는 두 개의 소수 중의 하나이고 암호 자체인 인코딩은 두 소수를 곱한 숫자이다. 즉 인코딩 숫자는 인터넷 상에 공개해도 아무런 하자가 없으며, 사용자는 디코딩을 위한 키만 알고 있으면 된다.
인코딩키는 세상에 공개하여 이 파일을 받아 보는 사람이 디코딩키만 보유하고 있다면 암호화된 문서는 안전하게 송수신될 수 있다. 만약, RSA 방식으로 인코딩된 공개키를 가진 전자 우편으로 보내는 과정에서 해커들이 이 파일을 가로챈다 할지라도 디코딩키를 모르면 수백만의 MIPS Year(Million Instruction Per Second)를 소모시키는 정면 공격을 감행하지 않는 한 해독이 불가능하다. 또 인코딩키와 디코딩키를 적절히 혼합 사용하면 보다 효과적인 보안을 유지할 수 있다(PGP의 세부적인 활용 내용은 지면 관계상 다음 기회로 미루도록하자).
이제 PGP 방식의 단점을 이야기해 보자. PGP 개념은 영원할 것처럼 보였던 RSA-129의 아성이 무너진 것처럼 현존하는 해독 방법이 노출되어 있다는 데 가장 큰 단점이 있다. 수학은 패턴을 지닌 학문이며 PGP는 예측하기 어려운 비선형 패턴이 아닌 단순 인수분해 형식의 선형 패턴이라는데 또 다른 단점이 있다. 컴퓨터의 속도가 해를 거듭할수록 가공할 만한 속도를 부가하고 있다는 사실과 PGP를 간단히 해독할 수 있는 알고리즘이 언제든지 나올 수 있으므로 PGP 개념은 언제나 불완전할 수밖에 없다. 빌 게이츠가 주장하듯이 소수의 양(개수)은 이 우주에 존재하는 원자는 양(개수)보다 많다는 무한대의 원리는 설득력이 있지만, 여기서 필자가 말하는 알고리즘이란 어떤 곱셈 체계도 순식간에 인수 분해할 수 있는 파격적인 것을 말하는 것이다. PGP 방식 암호 체계에 대한 해독 방법은 어쩌면 누구도 공개하지 않을 뿐 벌써 현존하는 기술일지도 모르며, 이 세상의 누군가가 마치 절대적인 신처럼 당신의 모든 비밀 정보들을 자유롭게 읽고 있을 수도 있다.
만약 당신이 RSA 방식 암호 체계에 대한 알고리즘을 발견했다면 아마 공개하기보다는 숨기고 싶은 욕망이 더 크게 일어날 것이다. 그러므로 이 시점에서 필자가 주장하는 궁극적인 해결책인 윤리관의 확립에 대해 이야기해 보자.
크래커의 정면 공격
어떤 경우에도 크래커들의 능력을 과소평가해서는 안된다. 크리에이터(Creator : 암호를 만드는 사람)과 크래커(Cracker : 암호를 푸는 사람) 사이에는 정면 공격이라는 용어가 있다.
컴퓨터에 상당한 관심을 두는 사용자라면 누구나 한 번쯤은 MIPS year라는 단어를 들어보았을 것이다. MIPS year란 a million instruction per second의 약자로서 컴퓨터 성능의 표준 측정 방법으로, 1년 동안 쉬지 않고 1초에 1백만 번의 공정을 지속시키는 속도의 단위를 뜻하는 용어이다.
RSA-129 암호 체계를 풀기 위해 사용된 컴퓨터 파워는 거의 5000 MIPS year를 육박한다는 이야기를 필자는 어디선가 읽은 적이 있다. 만약 크래커들이 꼭 풀어야 할 절대 절명의 암호에 봉착한다면 그들은 정면 공격을 단행한다. 이것이 한 달이 걸리든 1년이 걸리든 그들은 모든 수단과 방법을 동원해 해독키를 찾으려고 할 것이다. 예를 들어 수백 만원이 예금돼 있는 당신의 예금통장의 비밀 번호를 획득하는 방법으로 생일, 전화번호, 주민등록번호 드으이 예측 기법을 사용할 수 있다.
만약 이들이 정면 공격을 단행한다면 네 자리 숫자의 비밀 번호는 10x10x10x10, 즉 최대 1만번의 입력으로 당신의 수백 만원의 현금이 위태로워질 수 있다. 여기서 정면 공격은 파격적인 방법이라서 혹자는 무식한 개념이라고 할지 모르나 지금 누군가가 수백대의 펜티엄급 프로세서를 사용해 누군가의 파일에 정면 공격을 단행하고 있을지도 모를 일이다. 누군가가 수십 만대의 컴퓨터를 인터넷 상에서 연합 세력을 형성해 정면 공격을 단행한다고 가정해보자. 과연 당신의 파일이 안전할 수 있겠는가?
크리에이터와 크래커
암호를 만드는 사람은 크리에이터(Create)이며, 이 암호를 깨는 사람은 크래커(Cracker)이다. 모순의 개념에서 창과 방패 이론을 설명하자만 쉬운 답을 찾을 길이 없다. 창을 만드는 사람은 악인이며, 방패를 만드는 사람을 선인이라고 단정지을 수 있는가. 크리에이터와 크래커도 이런 유사한 입장에 봉착해 있다.
담배의 수요가 늘어나면 라이터의 수요도 늘어나듯이 크리에이터와 크래커는 경제학적 용어로 보완 관계를 유지하고 있따. 강력한 암호 체계가 형성되는 근본적인 이유는 그와 대등한 기술을 지는 크래커 체제가 형성되어 있기 때문이다.
이 세상에 크래커가 존재하지 않는다면 크리에이터는 존재의 가치를 상실한다. 크리에이터는 크래커가 영원히 풀 수 없는 완벽한 암호 체제를 구축하는 것이 궁극적인 목표이며, 크래커는 정반대로 이것을 불가능하게 만드는 사람들이다. 그렇다면 크래커를 조인으로 취급할 수 있는가. 이 장점도 상당히 민감하게 받아들여져야 하며, 필자가 조심스럽게 내세우는 근거는 다음과 같다.
신은 크리에이터이고 인간은 크래커이다. 인간이 신에게 도전하면서 숨겨진 진리를 탐구하는 것이 인간 문명이 지금까지 지속해 온 계기였다면 컴퓨터 암호 체제를 풀어내는 크래커도 이와 흡사한 개념으로 받아들여져야 한다.
필자는 이 논리에 앞서 선행되어야 하는 중요한 전제를 내세운다. 바로 필자가 서론에서 제시한 윤리관이다. 만약 크래커들이 순수한 취지에서(RSA-129 크래킹 작업처럼) 현 암호 체제에 도전한다면 강력함 암호 체제의 발전을 위해서 아주 고무적인 역할 수행하게 된다.
그러나 이들이 산업 스파이, 개인 프라이버시 침해, 도적질, 그리고 공갈, 협박을 목적으로 파괴자의 임무를 수행하게 된다면 분명 불필요한 사회악이 되어 버린다. 그러나 이 파괴자의 관점은 크리에이터와 크래커 모두에게 적용되는 사안이다. 만약 흉악한 삼보를 지닌 크리에이터가 자신이 속해 있는 조직을 와해시키려는 취지에서 모든 중요한 문서를 자신만이 풀 수 있도록 암호화시키나다면 크리에이터 또한 사회악이 되어 버린다. 필자가 계속 장호하듯이 크리에이터와 크래커는 영원히 모순 관계를 벗어날 수 없으며, 사용자들의 올바른 윤리관이 확립되기 전에는 어떠한 해결책도 있을 수 없다는 딜레마에 빠지게 되는 것이다.
정부의 규제와 암호의 역할
인터넷은 또 다른 현실이며, 인간이 공유할 수 있는 삶의 현장이다. 소위 사이버스페이스라고 불리는 이 공간은 디지틀이라는 전제를 두고 있을 뿐 일반 사회와 다른 차이점을 갖고 있지 않다.
인터넷은 현실과 마찬가지로 언어가 있고 문화가 존재한다. '95년에는 디지틀로 통용되는 모든 활용에 미국 정부가 감시와 통제를 할 수 있다는 '디지틀 텔레포니(Digital Telephony)' 법안을 통과시켜 정부가 누구를 막론하고 개인의 프라이버시를 침해할 수 있는 권한을 갖추게 되었다.
이에 더 나아가 올해에는 음란한 정보의 흐름들을 차단하기 위한 법안인 텔레커뮤니케이션 개선안(Telecommunication Reform Act of 1996)을 통과시켰다. 이러한 정부의 규제는 긍정적인 관점에서 바라보면 누구나 수긍할 수 있는 법안이다.
그러나 현실은 그렇게 단순한 논리로 통용되지 않는다. Computer Freedom & Privacy Conference 등과 같은 단체에서는 이러한 정부의 규제는 언론의 자유와 개인의 프라이버시를 침해하는 공권력의 남용이라는 공식적인 주장을 펼쳤다. 그 결과 암호의 중요성은 순식간에 뜨거운 감자로 떠오르고 말았다.
암호의 역할은 필자가 주장하듯이 정부의 규제가 강화되면 강화될수록 무게를 더해 갈 것이다. 더불어 더욱 강력한 아호 체제와 크래킹 기술의 개발은 불가피해진다.
현재 암호 체제의 사용 여부조차도 논쟁의 대산으로 떠오르고 있다. 여러 국가에서는 정부의 허가 없이 암호를 사용해 정보를 교환하는 것을 법으로 금지시키고 있다.
기술의 발달보단 선행돼야 할 윤리관과 책임의식
미래의 인터넷은 인간이 궁극적으로 기반을 잡아야 할 새로운 삶의 터전이다. 이 새로운 공간을 무법의 지대로 만드는 방법은 간단하다. 정부의 강력한 규제와 이것을 거부하는 사용자들의 첨예한 대립이 거듭되면서 상호 간에 불안을 증폭시키는 것이다.
필자는 법의 관대함을 믿는 사람이다. 지나친 규제나 폐쇄(암호화)는 실질적인 변화와 개혁에 역행하는 것일 수밖에 없다. 완전한 체계는 모든 이들이 풍요롭고 행복한 삶을 영위하며 권리를 행사하는 곳이다. 이 모든 것을 누리기 위해 확고한 윤리관과 책임의식이 필수적으로 선행되어야 한다.
필자는 모든 컴퓨터 사용자들이 마음 한구석에 이러한 낭만주의가 움츠리고 있다고 믿는다. 왜냐하면 모든 사람들은 숨기고 싶은 자신만의 비밀이 있기 때문이다.
이 세상엔 이론상으로 영원히 풀릴 수 없는 완벽한 암호가 존재할 수 있다. 그러나 현실은 과연 그러한가? 암호 분야의 전문가들은 단호하게 주장한다. 암호는 실수 투성이의 인간에 의해 만들어진다. 이 이유 하나만으로 암호는 언젠가 깨어지기 마련이다. 그러므로 암호 체계에 대한 확신은 정보고속도로 사회에서 가장 어리석은 사고 방식이다. 당신의 어리석은 확신으로 하나뿐인 목숨을 거는 일은 없도록 하자.
단테의 신곡(La Divina Commedia)은 인간의 비윤리적인 행태에 대한 해결책보다는, 그 죄악들이 인간 세계에 파생시킬 수 있는 혼란은 잔인하게 묘사하고 있다. 정직, 성실, 근면, 창의, 도전 등과 같은 긍정적인 미덕과 더불어, 탐욕, 사기, 분노, 자만, 그리고 리비도(Libido)와 같은 죄악이 공존하며 이 세상은 완전한 것으로부터 격리되어 있다. 기존 수구 세력들은 시대가 변화하면서 끝없이 추락하는(어쩌면 영원히 추락할지도 모르는) 윤리관에 대해 실증적인 분석과 지속적인 중요성을 강조해왔다.
정치적인 조직의 윤리성, 기업의 윤리성, 순수 학자들의 윤리성 그리고 첨단 사회를 이끌어 가고 있는 전문 기술자의 윤리성 등이 현재 급변하는 세상에서 강조되고 있는 21세기판 공자 개념이다. 첨단 기술은 다가올 미래의 청사진을 제공하며, 이것이 피할 수 없는 현실이라는 것을 증명한다.
정치인이나 사회학자의 공약과 이념의 하나일 수도 있는 첨단 기술은 그러나 인간 생활의 기본적인 틀이 과거보다 편하고 효율적인 것이라는 점에 궁극적인 가치를 부여하고 있다.
암호 체계의 중요성
앞으로 10년 후면, 텔레비전이나 라디오처럼 인식될 정보고속도로와 통신의 혁명은 정보의 교환 방식을 수동적인 배달 개념에서 전자 우편 방식으로 바꾸어 놓을 것이다.
전자 우편의 장점은 텍스트 중심화된 문서를 빛의 속도로 서로 교환할 수 있다는 가히 혁명적인 패러다임을 지녔기 때문에 기존 우편 업무와 같은 모든 조직 체계를 무용지물로 만들 수 있다. 스타워즈나 스타트렉에서 사람이 가고자 하는 목적지로 이동할 때, 빛의 속도로 사라졌다가 눈 깜짝할 사이에 나타나는 공간 이동의 개념이 바로 텍스트 중심의 전자 우편인 것이다.
그러나 어떠한 사안이 사실이라고 믿기에 너무 완벽하다고 생각되면, 아마 그것은 사실이 아닐 것이라는 서양 속담처럼, 전자 우편 체제는 기존 우편 개념보다 거의 모든 면에서 비교도 될 수 없는 장점을 지니고 있지만, 결정적인 단점이 있는 것도 사실이다.
전자 우편은 기존 우편 업무가 보장하던 보안 개념을 암호 체계라는 대안으로 보장한다. 필자가 지극히 개인적인 사안을 담은 편지를 친구에게 보내는 과정에서, 이 보안의 개념이 무너진다면 전자 우편의 가치는 무의미한 것이 된다. 여기서 암호의 중요성을 언급하자면 끝이 없다. 그러나 세상은 이제 서서히 전자 우편 체제로 넘어가고 있다는 있으며, 강력한 암호 체계의 확립만이 안심하고 전자 우편이 보장하는 모든 장점을 누릴 수 있는 것이다.
'당신은 현재 암호 체계에 영향을 받고 있습니까?' 이 질문에 '아니오'라고 답할 수 있는 사람은 그리 흔치 않을 것이다. 일반적으로 예금통장의 비밀 번호가 가장 중요한 일급비밀이라고 생각하겠지만, 이 네 자리 숫자에 목숨을 건 만한 사람은 몇이나 되겠는가? 당신이 예금해 놓은 돈은 목숨을 걸고 지켜야 할 가치가 있을지 모르지만, 네 자리의 비밀번호에 목숨을 걸만큼 완벽하지 않다. 결론적으로 매우 중요한 파일, 즉 일급 비밀은 목숨을 걸고 지켜야 할 가치가 있을지 모르지만, 이 비밀을 지키는 암호에 목숨을 건다는 것은 어리석은 짓이다.
암호에 대해여
암호의 불완전성을 먼저 언급해보자.
첫째, 모든 문제는 답을 가지고 있다. 둘째, 암호를 제작하는 것은 실수 투성이의 인간이다. 이 두 가지 요소만으로 암호는 완벽과는 거리가 먼 개념이다. 현재 가장 효율적인 암호 체계로 통용되는 필 지머맨의 PGP는 말 그대로 Pretty Good Privacy의 약자로, 즉 꽤 괜찮은 암호 체계란 뜻이다. 그러므로 누군가 암호에 대해 이야기를 꺼낸다면 다음과 같은 전제를 꼭 내포해야 한다. 암호에는 언제나 인간의 실수가 내포되어 있으며, 반드시 풀리게 되어 있다. 역설적으로 말하자면 암호는 풀리기 위해 존재한다.
앞에서 언급한 현금카드의 네 자리 비밀 번호 이외에도 암호 체계는 하늘에 떠 있는 별만큼 다양한 방식을 취하고 있다. 퍼즐, 문답, 숫자 배열, 명칭 등 나열하자면 끝이 없다. 그런데 이 수많은 암호 체계들이 가지고 있는 공통 분모는 디코딩키(decoding key), 즉 해독키가 없는 상태에서의 해독은 상상을 초월하는 시간과 인내가 요구된다는 것이다. 암호를 담은 문서는 일단 가치가 있다고 봐야 한다. 일반적으로 등급을 정해 놓고 비밀을 분류하는 이유도 이 문서들이 일반인이나 적에게 공개되었을 때 그 조직이 입을 수 있는 피해의 경중을 고려해 암호 체계의 방식을 선택하게 된다. 그렇다면 정보고속도로에서 일반적으로 통용되는 암호 체계는 어떤 것인지 알아 보자.
소수의 인수분해
필자가 지금 초등학생에게 소수가 무엇이냐고 물어 본다면, 분명히 3, 5, 7, 11, 13과 같이 1과 자기 자신을 제외하고 어떤 숫자로도 깨끗이 나누어질 수 없는 숫자라고 대답을 할 것이다. 필자가 다시 중학생에게 77을 두 개의 소수로 인수 분해할 수 있냐고 묻는다면, 그 자리에게 7과 11이라는 두 소수를 암산으로 풀어 낼 것이다. 그러나 만약 천만 단위의 소수 두개를 곱한 답을 대학교수에게 제시한 후 두 개의 소수를 찾아 낼 수 있느냐고 묻는다면 주변 컴퓨터를 모두 사용해도 족히 일주일은 걸려야 인수 분해할 수 있을 것이다.
즉, 작은 숫자를 두 개의 소수로 인수 분해하는 것은 식은 죽 먹기일지 몰라도 큰 숫자를 두 개의 소수로 인수 분해하는 일은 결코 쉬운 일이 아니다. 최첨단 컴퓨터와 장비를 총동원한다과 해도 수백 년이 걸리게 되기 때문이다. 이 개념이 바로 PGP, 즉 현재 인터넷 상의 모든 전자 우편과 문서 보안에 사용되는 암호 체계이다.
이 소인수 분해 개념은 일찍히 수학자들에겐 암호 체계로써 활용 가치가 있다고 널리 알려졌지만, 난공불락이라고 여겨지던 RSA-129 암호 체계의 해독키가 '93년 일반 사용자들에게 공개된 직후부터 소인수 암호 체계는 컴퓨터 사용자에게 보안 문제의 핵심 쟁점으로 떠올랐다. '77년 폰 리베스트, 아디 샤미어, 레오나드 아델만은 129단위(digits)의 거대한 숫자를 두 개의 소수로 인수 분해하는 자에게 백만불을 내놓겠다고 상금을 걸었다. 그는 전세계의 모든 컴퓨터를 사용해도 수백 만년은 족히 걸려야 해독키를 찾아낼 수 있을 것이라고 큰 소리를 쳤다.
그러나 '93년 RSA-129(세 사람의 이름의 앞자를 딴 명칭)는 수백 명의 연합 세력 크래커에 의해 XXX x XX 는 XXXX라는 해독키가 인터넷에 떠올랐으며, 또 다시 암호 체계는 불안정 이론으로 흡수되어 버렸다.
그후로도 오랫동안
RSA-129의 아성이 무너진 후 컴퓨터 사용자들은 완벽한 암호, 즉 영원히 미궁에 빠질 수밖에 없는 암호는 이론으로밖에 존재하지 않는다는 결론을 잠정적으로 내렸다.
RSA팀의 결정적인 실수는 두 가지로 요약된다.
첫째, 백만 달러라는 상금을 제시함으로써 암호를 풀기 위한 동기를 세상 사람들에게 부여했다는 것이다. 둘째, 무어의 법칙을 과소평가했다는 사실이다. 1970년대의 컴퓨터 성능이 1990년대의 컴퓨터 성능과는 비교도 할 수 없을 만큼 발전했고 RSA팀이 이러한 기술의 발전을 전혀 예측하지 못한 것이다. RSA-129의 해독으로 컴퓨터 보안 분야는 극도로 불안에 빠지게 되었다. 뉴스위크의 테크놀로지 칼럼니스트인 스티븐 레비는 WIRED지에 이러한 명언을 남겼다.
"이론상으로 영원히 풀리지 않는 암호 체계는 존재할 수 있다. 그러나 결코 여기에 하나뿐인 목숨을 걸지 말라."
즉, 목숨을 걸고 지켜야 할 중요한 문서는 존재하지 않으며, 이 문서를 지키는 암호에 목숨을 거는 일은 어리석은 짓이라는 조언이다. 그러나 소인수 분해 개념은 현존하는 암호 체계 중 가장 강력한 방안이라는데 아직 이의를 제기하는 사람들은 없으며, 이 개념이 지속될 수 있는 이유는 소수가 끝이 없는 무한대이기 때문이다. RSA-129의 해독에 10년이라는 시간이 소요됐다면 RSA-1209는 백년이 걸릴 것이며, RSA-11129는 천년, 그리고 RSA-58695427은 수백 만년이 걸릴 것이기 때문이다. 이러한 이유가 바로 RSA 개념을 도입한 암호 체계를 PGP를 Perfectly Good Privacy 대신 Pretty Good Privacy라고 부르는 것이다.
PGP의 장점과 단점
현재 인터넷 상에서 통용되는 암호 체계는 PGP, 즉 RSA 방식이다. RSA 방식이 사용되는 이유는 해독키를 찾아내기 힘들다는 장점과 간단하게 제작될 수 있다는 장점을 동시에 보유하고 있기 때문이다. RSA 암호 체계는 간단히 디코딩(Decoding)과 인코딩(Encoding)으로 나누어진다. 디코딩, 즉 암호를 푸는 해독키는 두 개의 소수 중의 하나이고 암호 자체인 인코딩은 두 소수를 곱한 숫자이다. 즉 인코딩 숫자는 인터넷 상에 공개해도 아무런 하자가 없으며, 사용자는 디코딩을 위한 키만 알고 있으면 된다.
인코딩키는 세상에 공개하여 이 파일을 받아 보는 사람이 디코딩키만 보유하고 있다면 암호화된 문서는 안전하게 송수신될 수 있다. 만약, RSA 방식으로 인코딩된 공개키를 가진 전자 우편으로 보내는 과정에서 해커들이 이 파일을 가로챈다 할지라도 디코딩키를 모르면 수백만의 MIPS Year(Million Instruction Per Second)를 소모시키는 정면 공격을 감행하지 않는 한 해독이 불가능하다. 또 인코딩키와 디코딩키를 적절히 혼합 사용하면 보다 효과적인 보안을 유지할 수 있다(PGP의 세부적인 활용 내용은 지면 관계상 다음 기회로 미루도록하자).
이제 PGP 방식의 단점을 이야기해 보자. PGP 개념은 영원할 것처럼 보였던 RSA-129의 아성이 무너진 것처럼 현존하는 해독 방법이 노출되어 있다는 데 가장 큰 단점이 있다. 수학은 패턴을 지닌 학문이며 PGP는 예측하기 어려운 비선형 패턴이 아닌 단순 인수분해 형식의 선형 패턴이라는데 또 다른 단점이 있다. 컴퓨터의 속도가 해를 거듭할수록 가공할 만한 속도를 부가하고 있다는 사실과 PGP를 간단히 해독할 수 있는 알고리즘이 언제든지 나올 수 있으므로 PGP 개념은 언제나 불완전할 수밖에 없다. 빌 게이츠가 주장하듯이 소수의 양(개수)은 이 우주에 존재하는 원자는 양(개수)보다 많다는 무한대의 원리는 설득력이 있지만, 여기서 필자가 말하는 알고리즘이란 어떤 곱셈 체계도 순식간에 인수 분해할 수 있는 파격적인 것을 말하는 것이다. PGP 방식 암호 체계에 대한 해독 방법은 어쩌면 누구도 공개하지 않을 뿐 벌써 현존하는 기술일지도 모르며, 이 세상의 누군가가 마치 절대적인 신처럼 당신의 모든 비밀 정보들을 자유롭게 읽고 있을 수도 있다.
만약 당신이 RSA 방식 암호 체계에 대한 알고리즘을 발견했다면 아마 공개하기보다는 숨기고 싶은 욕망이 더 크게 일어날 것이다. 그러므로 이 시점에서 필자가 주장하는 궁극적인 해결책인 윤리관의 확립에 대해 이야기해 보자.
크래커의 정면 공격
어떤 경우에도 크래커들의 능력을 과소평가해서는 안된다. 크리에이터(Creator : 암호를 만드는 사람)과 크래커(Cracker : 암호를 푸는 사람) 사이에는 정면 공격이라는 용어가 있다.
컴퓨터에 상당한 관심을 두는 사용자라면 누구나 한 번쯤은 MIPS year라는 단어를 들어보았을 것이다. MIPS year란 a million instruction per second의 약자로서 컴퓨터 성능의 표준 측정 방법으로, 1년 동안 쉬지 않고 1초에 1백만 번의 공정을 지속시키는 속도의 단위를 뜻하는 용어이다.
RSA-129 암호 체계를 풀기 위해 사용된 컴퓨터 파워는 거의 5000 MIPS year를 육박한다는 이야기를 필자는 어디선가 읽은 적이 있다. 만약 크래커들이 꼭 풀어야 할 절대 절명의 암호에 봉착한다면 그들은 정면 공격을 단행한다. 이것이 한 달이 걸리든 1년이 걸리든 그들은 모든 수단과 방법을 동원해 해독키를 찾으려고 할 것이다. 예를 들어 수백 만원이 예금돼 있는 당신의 예금통장의 비밀 번호를 획득하는 방법으로 생일, 전화번호, 주민등록번호 드으이 예측 기법을 사용할 수 있다.
만약 이들이 정면 공격을 단행한다면 네 자리 숫자의 비밀 번호는 10x10x10x10, 즉 최대 1만번의 입력으로 당신의 수백 만원의 현금이 위태로워질 수 있다. 여기서 정면 공격은 파격적인 방법이라서 혹자는 무식한 개념이라고 할지 모르나 지금 누군가가 수백대의 펜티엄급 프로세서를 사용해 누군가의 파일에 정면 공격을 단행하고 있을지도 모를 일이다. 누군가가 수십 만대의 컴퓨터를 인터넷 상에서 연합 세력을 형성해 정면 공격을 단행한다고 가정해보자. 과연 당신의 파일이 안전할 수 있겠는가?
크리에이터와 크래커
암호를 만드는 사람은 크리에이터(Create)이며, 이 암호를 깨는 사람은 크래커(Cracker)이다. 모순의 개념에서 창과 방패 이론을 설명하자만 쉬운 답을 찾을 길이 없다. 창을 만드는 사람은 악인이며, 방패를 만드는 사람을 선인이라고 단정지을 수 있는가. 크리에이터와 크래커도 이런 유사한 입장에 봉착해 있다.
담배의 수요가 늘어나면 라이터의 수요도 늘어나듯이 크리에이터와 크래커는 경제학적 용어로 보완 관계를 유지하고 있따. 강력한 암호 체계가 형성되는 근본적인 이유는 그와 대등한 기술을 지는 크래커 체제가 형성되어 있기 때문이다.
이 세상에 크래커가 존재하지 않는다면 크리에이터는 존재의 가치를 상실한다. 크리에이터는 크래커가 영원히 풀 수 없는 완벽한 암호 체제를 구축하는 것이 궁극적인 목표이며, 크래커는 정반대로 이것을 불가능하게 만드는 사람들이다. 그렇다면 크래커를 조인으로 취급할 수 있는가. 이 장점도 상당히 민감하게 받아들여져야 하며, 필자가 조심스럽게 내세우는 근거는 다음과 같다.
신은 크리에이터이고 인간은 크래커이다. 인간이 신에게 도전하면서 숨겨진 진리를 탐구하는 것이 인간 문명이 지금까지 지속해 온 계기였다면 컴퓨터 암호 체제를 풀어내는 크래커도 이와 흡사한 개념으로 받아들여져야 한다.
필자는 이 논리에 앞서 선행되어야 하는 중요한 전제를 내세운다. 바로 필자가 서론에서 제시한 윤리관이다. 만약 크래커들이 순수한 취지에서(RSA-129 크래킹 작업처럼) 현 암호 체제에 도전한다면 강력함 암호 체제의 발전을 위해서 아주 고무적인 역할 수행하게 된다.
그러나 이들이 산업 스파이, 개인 프라이버시 침해, 도적질, 그리고 공갈, 협박을 목적으로 파괴자의 임무를 수행하게 된다면 분명 불필요한 사회악이 되어 버린다. 그러나 이 파괴자의 관점은 크리에이터와 크래커 모두에게 적용되는 사안이다. 만약 흉악한 삼보를 지닌 크리에이터가 자신이 속해 있는 조직을 와해시키려는 취지에서 모든 중요한 문서를 자신만이 풀 수 있도록 암호화시키나다면 크리에이터 또한 사회악이 되어 버린다. 필자가 계속 장호하듯이 크리에이터와 크래커는 영원히 모순 관계를 벗어날 수 없으며, 사용자들의 올바른 윤리관이 확립되기 전에는 어떠한 해결책도 있을 수 없다는 딜레마에 빠지게 되는 것이다.
정부의 규제와 암호의 역할
인터넷은 또 다른 현실이며, 인간이 공유할 수 있는 삶의 현장이다. 소위 사이버스페이스라고 불리는 이 공간은 디지틀이라는 전제를 두고 있을 뿐 일반 사회와 다른 차이점을 갖고 있지 않다.
인터넷은 현실과 마찬가지로 언어가 있고 문화가 존재한다. '95년에는 디지틀로 통용되는 모든 활용에 미국 정부가 감시와 통제를 할 수 있다는 '디지틀 텔레포니(Digital Telephony)' 법안을 통과시켜 정부가 누구를 막론하고 개인의 프라이버시를 침해할 수 있는 권한을 갖추게 되었다.
이에 더 나아가 올해에는 음란한 정보의 흐름들을 차단하기 위한 법안인 텔레커뮤니케이션 개선안(Telecommunication Reform Act of 1996)을 통과시켰다. 이러한 정부의 규제는 긍정적인 관점에서 바라보면 누구나 수긍할 수 있는 법안이다.
그러나 현실은 그렇게 단순한 논리로 통용되지 않는다. Computer Freedom & Privacy Conference 등과 같은 단체에서는 이러한 정부의 규제는 언론의 자유와 개인의 프라이버시를 침해하는 공권력의 남용이라는 공식적인 주장을 펼쳤다. 그 결과 암호의 중요성은 순식간에 뜨거운 감자로 떠오르고 말았다.
암호의 역할은 필자가 주장하듯이 정부의 규제가 강화되면 강화될수록 무게를 더해 갈 것이다. 더불어 더욱 강력한 아호 체제와 크래킹 기술의 개발은 불가피해진다.
현재 암호 체제의 사용 여부조차도 논쟁의 대산으로 떠오르고 있다. 여러 국가에서는 정부의 허가 없이 암호를 사용해 정보를 교환하는 것을 법으로 금지시키고 있다.
기술의 발달보단 선행돼야 할 윤리관과 책임의식
미래의 인터넷은 인간이 궁극적으로 기반을 잡아야 할 새로운 삶의 터전이다. 이 새로운 공간을 무법의 지대로 만드는 방법은 간단하다. 정부의 강력한 규제와 이것을 거부하는 사용자들의 첨예한 대립이 거듭되면서 상호 간에 불안을 증폭시키는 것이다.
필자는 법의 관대함을 믿는 사람이다. 지나친 규제나 폐쇄(암호화)는 실질적인 변화와 개혁에 역행하는 것일 수밖에 없다. 완전한 체계는 모든 이들이 풍요롭고 행복한 삶을 영위하며 권리를 행사하는 곳이다. 이 모든 것을 누리기 위해 확고한 윤리관과 책임의식이 필수적으로 선행되어야 한다.
필자는 모든 컴퓨터 사용자들이 마음 한구석에 이러한 낭만주의가 움츠리고 있다고 믿는다. 왜냐하면 모든 사람들은 숨기고 싶은 자신만의 비밀이 있기 때문이다.
1996.05. Digging in the Dirt, 2 다이 4(To die for)