2016.02.12

"암호화 기술은 이미 평준화··· 미국 만의 수출금지 효과없다"

Maria Korolov | CSO
미국 내에서 암호화 기술을 규제하려는 움직임이 계속되는 가운데, 수출 금지가 현실화돼도 실효성을 갖기 어렵다는 지적이 나왔다.


이미지 출처 : Alan Kotok

하버드대학 버크만 센터(the Berkman Center for Internet and Society)가 미국을 제외한 국가에서 만들어진 865개 암호화 하드웨어와 소프트웨어 제품 중 54개국 546가지 제품을 분석한 보고서를 발표했다. 암호화 기술이 이미 상당 부분 세계화돼 있어 미국 제품을 규제해도 아무런 효과를 낼 수 없다는 것이 주요 내용이다.

버크만 센터의 연구원이자 레질런트 시스템(Resilient Systems)의 CTO인 브루스 슈나이어는 이를 "고양이는 이미 가방을 뛰쳐나갔다"고 표현했다. 세계는 연결돼 있고 암호화 분야는 지난 수십 년간 국가 간 공동연구와 공동 학술대회가 진행됐다는 것이다.

그는 "애플처럼 미국에 기반을 둔 암호화 업체가 시장 점유율이 더 높을 수는 있다"며 "그러나 미국의 암호화 기술이 다른 지역보다 더 월등하다는 아무런 증거도 찾지 못했다"고 말했다. 이어 "표준 암호화 알고리듬인 AES는 벨기에에 기반을 둔 팀이 개발했고, 또 다른 표준인 해시 기능 역시 다국적 연구팀이 개발했다"며 "미국 연구자의 능력이 모자란 것이 아니라 전 세계에 그만큼 인재들이 많은 것"이라고 말했다. 실제로 많은 암호화 업체가 전 세계에서 직원을 채용한다.

이 때문에 보고서는 미국 정부가 암호화 기술의 수출을 금지하거나 미국 업체가 개발하는 암호화 제품에 백도어(back door)를 넣도록 법으로 강제해도 일반 소비자는 물론 범죄자나 테러리스트도 손쉽게 다른 암호화 제품으로 대체할 수 있다고 분석했다. 특히 백도어는 정부기관만 독점적으로 이용할 수 있는 것이 아니다. 사실상 누구에게나 열려 있어 오히려 암호화 툴의 전반적인 보안을 떨어뜨리는 취약점이 될 수 있다고 지적했다.

슈나이어는 다른 나라가 자국 암호화 제품에 이미 백도어를 설치했을 가능성에 대해 그럴 수 있다고 인정했다. 미국 정부 역시 비밀리에 백도어를 설치하는 방법으로 이에 대한 반대여론을 피해 가려 할 수 있다. 그러나 그는 "정부가 우리에게 말도 안 하고 침실에 카메라를 설치했다면 당신은 용납하겠나"라며 "오히려 상황을 악화시키는 것이고 실제로 스노든 폭로 사건에서 볼 수 있듯 상황이 더 좋지 않은 쪽으로 흐르게 될 것"이라고 말했다.

한편 버크만 센터의 보고서를 보면, 미국 외 암호화 제품의 44%가 무료였고 56%는 상용 제품이었다. 34%는 오픈소스였다. 546개 외산 제품을 종류별로 나누면 중 파일 암호화 제품이 47개, 이메일 암호화 제품이 68개였고 메시지 암호화 제품과 음성 암호화 제품이 각각 104개, 35개였다. VPN 네트워크 장비는 61개였다.

암호화 제품의 성능에 대해서는 업체가 공개한 내용을 기준으로 미국 기업 제품과 다른 국가 제품 간에 차이가 없었다. 모든 제품이 주로 AES 같은 강력하면서도 공개된 암호화 알고리듬을 사용한다는 점을 이유로 분석했다. 국적별로 보면 미국이 304개의 제품을 보유해 가장 많은 암호화 제품을 가진 것으로 나타났다. 이어 독일이 112개 제품으로 2위를 기록했고, 영국(54개), 캐나다(47개), 프랑스(41개), 스웨덴(33개) 순이었다. ciokr@idg.co.kr



2016.02.12

"암호화 기술은 이미 평준화··· 미국 만의 수출금지 효과없다"

Maria Korolov | CSO
미국 내에서 암호화 기술을 규제하려는 움직임이 계속되는 가운데, 수출 금지가 현실화돼도 실효성을 갖기 어렵다는 지적이 나왔다.


이미지 출처 : Alan Kotok

하버드대학 버크만 센터(the Berkman Center for Internet and Society)가 미국을 제외한 국가에서 만들어진 865개 암호화 하드웨어와 소프트웨어 제품 중 54개국 546가지 제품을 분석한 보고서를 발표했다. 암호화 기술이 이미 상당 부분 세계화돼 있어 미국 제품을 규제해도 아무런 효과를 낼 수 없다는 것이 주요 내용이다.

버크만 센터의 연구원이자 레질런트 시스템(Resilient Systems)의 CTO인 브루스 슈나이어는 이를 "고양이는 이미 가방을 뛰쳐나갔다"고 표현했다. 세계는 연결돼 있고 암호화 분야는 지난 수십 년간 국가 간 공동연구와 공동 학술대회가 진행됐다는 것이다.

그는 "애플처럼 미국에 기반을 둔 암호화 업체가 시장 점유율이 더 높을 수는 있다"며 "그러나 미국의 암호화 기술이 다른 지역보다 더 월등하다는 아무런 증거도 찾지 못했다"고 말했다. 이어 "표준 암호화 알고리듬인 AES는 벨기에에 기반을 둔 팀이 개발했고, 또 다른 표준인 해시 기능 역시 다국적 연구팀이 개발했다"며 "미국 연구자의 능력이 모자란 것이 아니라 전 세계에 그만큼 인재들이 많은 것"이라고 말했다. 실제로 많은 암호화 업체가 전 세계에서 직원을 채용한다.

이 때문에 보고서는 미국 정부가 암호화 기술의 수출을 금지하거나 미국 업체가 개발하는 암호화 제품에 백도어(back door)를 넣도록 법으로 강제해도 일반 소비자는 물론 범죄자나 테러리스트도 손쉽게 다른 암호화 제품으로 대체할 수 있다고 분석했다. 특히 백도어는 정부기관만 독점적으로 이용할 수 있는 것이 아니다. 사실상 누구에게나 열려 있어 오히려 암호화 툴의 전반적인 보안을 떨어뜨리는 취약점이 될 수 있다고 지적했다.

슈나이어는 다른 나라가 자국 암호화 제품에 이미 백도어를 설치했을 가능성에 대해 그럴 수 있다고 인정했다. 미국 정부 역시 비밀리에 백도어를 설치하는 방법으로 이에 대한 반대여론을 피해 가려 할 수 있다. 그러나 그는 "정부가 우리에게 말도 안 하고 침실에 카메라를 설치했다면 당신은 용납하겠나"라며 "오히려 상황을 악화시키는 것이고 실제로 스노든 폭로 사건에서 볼 수 있듯 상황이 더 좋지 않은 쪽으로 흐르게 될 것"이라고 말했다.

한편 버크만 센터의 보고서를 보면, 미국 외 암호화 제품의 44%가 무료였고 56%는 상용 제품이었다. 34%는 오픈소스였다. 546개 외산 제품을 종류별로 나누면 중 파일 암호화 제품이 47개, 이메일 암호화 제품이 68개였고 메시지 암호화 제품과 음성 암호화 제품이 각각 104개, 35개였다. VPN 네트워크 장비는 61개였다.

암호화 제품의 성능에 대해서는 업체가 공개한 내용을 기준으로 미국 기업 제품과 다른 국가 제품 간에 차이가 없었다. 모든 제품이 주로 AES 같은 강력하면서도 공개된 암호화 알고리듬을 사용한다는 점을 이유로 분석했다. 국적별로 보면 미국이 304개의 제품을 보유해 가장 많은 암호화 제품을 가진 것으로 나타났다. 이어 독일이 112개 제품으로 2위를 기록했고, 영국(54개), 캐나다(47개), 프랑스(41개), 스웨덴(33개) 순이었다. ciokr@idg.co.kr

X