게시일: 2024년 8월 8일
기고자: Annie Badman, Matt Kosinski
비대칭 암호화는 두 개의 서로 다른 키(공개 키와 개인 키)를 사용하여 데이터를 암호화하고 해독하는 암호화 방법입니다. 일반적으로 대칭 암호화보다 안전하지만 효율성은 떨어지는 것으로 간주됩니다.
사람들이 컴퓨터, 휴대폰, IoT 디바이스에서 수행하는 거의 모든 작업은 데이터를 보호하고 안전한 통신을 보장하기 위해 암호화에 의존하고 있습니다.
암호화는 권한이 없는 사용자로부터 민감한 정보를 보호하기 위해 읽을 수 있는 일반 텍스트를 읽을 수 없는 암호 텍스트로 변환하는 프로세스입니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 암호화를 사용하는 조직은 데이터 유출로 인한 재정적 영향을 24만 달러 이상 줄일 수 있습니다.
공개 키 암호화 또는 비대칭 암호 방식이라고도 하는 비대칭 암호화는 대칭 암호화와 함께 암호화의 두 가지 주요 방법 중 하나입니다.
비대칭 암호화는 한 쌍의 키(공개 키와 개인 키)를 만들어 작동합니다. 누구나 공개 키를 사용하여 데이터를 암호화할 수 있습니다. 그러나 개인 키의 소유자만 해당 데이터를 해독할 수 있습니다.
비대칭 암호화의 주요 장점은 대부분의 전문가들이 대칭 암호화의 주요 보안 불안 지점으로 간주하는 보안 키 교환의 필요성을 제거한다는 것입니다.
그러나 비대칭 암호화는 대칭 암호화보다 현저히 느리고 리소스를 많이 사용합니다. 이러한 이유로 조직과 메시징 앱은 보안 키 배포를 위해 비대칭 암호화를 사용하고 후속 데이터 교환을 위해 대칭 암호화를 사용하는 하이브리드 암호화 방법에 점점 더 의존하고 있습니다.
대칭 암호화는 단일 키를 사용하여 데이터를 암호화하고 해독하는 반면 비대칭 암호화는 공개 키와 개인 키라는 두 개의 키를 사용한다는 점에서 비대칭 암호화와 다릅니다.
공유 키를 사용하면 대칭 암호화가 일반적으로 더 빠르고 효율적이지만 위협 행위자에게는 더 취약할 수 있습니다. 대칭 암호화에는 통신 당사자가 공유 비밀 키에 동의하는 키 교환이 필요합니다. 해커는 이 교환 중에 키를 가로채어 후속 메시지의 암호를 해독할 수 있습니다.
일반적으로 조직은 속도와 효율성이 중요하거나 사설 네트워크와 같은 폐쇄형 시스템에서 대량의 데이터를 처리할 때 대칭 암호화를 선택합니다. 그들은 민감한 데이터를 암호화하거나 인터넷과 같은 개방형 시스템 내에서 통신을 보호하는 것과 같이 보안이 가장 중요한 경우 비대칭 암호화를 선택합니다.
비대칭 암호화는 또한 디지털 서명을 사용하여 메시지의 진위와 무결성을 확인하여 전송 중에 메시지가 변조되지 않았는지 확인할 수 있습니다.
고급 암호화 표준(AES)은 최고의 데이터 암호화 표준으로 환영받는 대칭 암호화 알고리즘입니다. 128, 192 또는 256비트의 키 길이로 강력한 보안을 제공하는 AES는 미국 정부 및 미국 국립표준기술연구소(NIST)를 비롯한 전 세계 조직과 정부에서 널리 채택하고 있습니다.
침해의 일반적인 원인과 영향, 침해를 식별하는 방법, 조직이 책임이 있는 사이버 위협을 예방하고 완화할 수 있는 방법에 대해 알아보세요.
비대칭 암호화는 암호화 알고리즘을 사용하여 공개 키와 개인 키라는 두 개의 키를 생성하여 데이터를 안전하게 보호합니다. 누구나 공개 키를 사용하여 데이터를 암호화할 수 있지만 올바른 개인 키를 가진 사람만 해당 데이터를 해독하여 읽을 수 있습니다.
키는 금고의 잠금을 해제하는 데 필요한 복잡한 코드와 같은 기능을 합니다. 올바른 암호화 키가 없으면 사용자들은 암호화된 데이터를 복호화할 수 없습니다. 일반적으로 키 크기가 길수록 보안이 강화됩니다. 비대칭 암호화는 대칭 암호화보다 키 길이가 훨씬 긴 것으로 알려져 있어 더 높은 보안에 기여합니다.
비대칭 암호화에서 두 키는 서로 다른 용도로 사용됩니다.
- 공개 키는 데이터를 암호화하거나 디지털 서명을 확인하며 자유롭게 배포 및 공유할 수 있습니다.
- 개인 키는 데이터를 해독하고 디지털 서명을 생성하지만 보안을 위해 비밀로 유지해야 합니다.
공개 키 암호화의 보안은 공개 키를 자유롭게 공유하면서 개인 키를 기밀로 유지하는 데 달려 있습니다. 공개 키는 데이터만 암호화할 수 있으므로 위협 행위자에게 큰 가치가 없습니다. 또한 사용자가 개인 키를 공유할 필요가 없으므로 해커가 훨씬 더 가치 있는 키를 가로챌 위험이 크게 줄어듭니다.
개인 키와 공개 키가 배치되면 개인은 민감한 정보를 교환할 수 있습니다. 보낸 사람은 받는 사람의 공개 키를 사용하여 메시지를 암호화하고 받는 사람은 개인 키를 사용하여 정보를 해독합니다.
이 과정은 잠긴 우편함과 비슷하다고 생각하면 됩니다. 누구나 우편함에 편지를 넣을 수 있지만, 우편함의 주인만이 우편함을 열고 편지를 읽을 수 있다는 것입니다.
비대칭 암호화도 인증을 보장하는 데 도움이 될 수 있습니다. 예를 들어, 발신자는 개인 키를 사용하여 메시지를 암호화하여 수신자에게 보낼 수 있습니다. 그러면 수신자는 발신자의 공개 키를 사용하여 메시지를 해독하여 메시지를 보낸 사람이 원래 보낸 사람임을 확인할 수 있습니다.
비대칭 암호화 체계는 일반적으로 공개 키 인프라(PKI)를 통해 구현됩니다. PKI는 공개 키 및 개인 키 쌍의 쌍을 생성, 배포 및 검증하기 위한 프레임워크입니다.
비대칭 암호화의 작동 방식을 이해하려면 밥과 앨리스의 다음 예를 살펴보세요.
- 앨리스는 밥에게 이메일을 보내 밥만 메시지를 읽을 수 있도록 하려고 합니다. 그녀는 밥의 공개 키를 사용하여 메시지를 암호화합니다.
- 밥은 암호화된 메시지를 받고 개인 키를 사용하여 암호를 해독하고 읽습니다.
- 밥은 두 개의 해당 키를 모두 가진 유일한 사람이기 때문에 메시지를 읽을 수 있어 기밀성이 보장됩니다.
이제 앨리스가 밥에게 자신의 신원을 증명해야 하는 시나리오를 생각해 보겠습니다. 그녀는 비대칭 암호화를 인증 방법으로 사용할 수 있습니다.
- 앨리스는 자신만 액세스할 수 있는 개인 키를 사용하여 메시지를 암호화합니다.
- 앨리스는 암호화된 메시지를 밥에게 보내고, 밥은 앨리스의 공개 키를 사용하여 메시지를 해독합니다.
- 밥은 메시지를 암호화하는 데 사용된 개인 키를 앨리스만 소유하고 있기 때문에 앨리스만 메시지를 보낼 수 있다는 것을 알고 있습니다.
조직은 보안과 효율성을 위해 대칭 및 비대칭 암호화를 점점 더 많이 결합하고 있습니다. 이 하이브리드 프로세스는 비대칭 암호화를 사용하여 대칭 키를 안전하게 교환하는 보안 키 교환으로 시작됩니다.
예를 들면 다음과 같습니다.
- 앨리스는 한 쌍의 공개 키와 개인 키를 생성합니다. 그녀는 밥과 공개 키를 공유합니다.
- 밥은 대칭 키를 생성합니다.
- 밥은 앨리스의 공개 키를 사용하여 대칭 키를 암호화한 다음, 암호화된 키를 앨리스에게 보냅니다. 위협 행위자가 전송 중인 키를 가로채면 암호를 해독할 수 없기 때문에 키를 사용할 수 없습니다.
- 앨리스는 암호화된 키를 받고 개인 키를 사용하여 암호를 해독합니다. 이제 앨리스와 밥은 대칭 키를 공유합니다.
공유된 대칭 키는 모든 데이터 암호화 및 암호 해독을 효율적으로 처리할 수 있습니다. 예를 들어, 라이브 비디오 스트리밍 서비스는 비대칭 암호화를 사용하여 시청자와의 초기 키 교환을 보호할 수 있습니다. 그러면 사이트에서 실시간 데이터 암호화를 위해 대칭 스트림 암호를 사용할 수 있습니다.
비대칭 암호화 알고리즘은 최신 암호화 시스템의 근간으로, 안전한 통신의 기반을 제공하고 민감한 데이터를 무단 액세스로부터 보호합니다.
가장 중요한 비대칭 암호화 알고리즘은 다음과 같습니다.
리베스트-샤미르-애들먼(RSA)
타원 곡선 암호화(ECC)
디지털 서명 알고리즘(DSA)
RSA는 발명가의 이름을 딴 비대칭 암호화 알고리즘입니다. 소수의 수학적 복잡성에 의존하여 키 쌍을 생성합니다. 암호화 및 복호화에 공개-개인 키 쌍을 사용하므로 안전한 데이터 전송 및 디지털 서명에 적합합니다.
RSA 알고리즘은 HTTPS, SSH, TLS와 같은 통신 프로토콜을 보호하는 데 자주 사용됩니다. RSA는 1970년대에 개발되었음에도 불구하고 견고함과 보안으로 인해 여전히 널리 사용되고 있습니다. 보안 이메일, VPN, 소프트웨어 업데이트 등 다양한 애플리케이션이 RSA를 사용합니다.
ECC는 유한 필드에 대한 타원 곡선의 수학적 특성에 기반한 비대칭 암호화 방식입니다. 다른 알고리즘보다 짧은 키 길이로 강력한 보안을 제공하여 계산 속도가 빨라지고 전력 소비가 적습니다.
ECC의 효율성은 모바일 애플리케이션, 보안 메시징 앱, IoT 디바이스 등 처리 능력과 배터리 수명이 제한된 애플리케이션에 이상적입니다.
디지털 서명 알고리즘(DSA)을 사용하면 조직과 개인이 메시지 또는 문서의 신뢰성과 무결성을 보장하는 디지털 서명을 만들 수 있습니다.
NIST에 의해 표준화된 DSA는 이산 로그의 수학적 문제에 의존하며 다양한 보안 프로토콜에 나타납니다. DSA는 소프트웨어 배포, 금융 거래, 전자 투표 시스템 등 안전한 문서 서명 및 확인이 필요한 애플리케이션에서 자주 사용됩니다.
암호화 키 관리는 암호화된 데이터의 보안을 보장하기 위해 암호화 키를 생성, 교환 및 관리하는 프로세스입니다.
암호화를 금고와 같다고 생각해 보세요. 코드를 잊어버리거나 잘못된 사람의 손에 들어가면 귀중품에 대한 액세스 권한을 잃거나 도난당할 위험이 있습니다. 마찬가지로 조직이 암호화 키를 제대로 관리하지 않으면 암호화된 데이터에 대한 액세스 권한을 잃거나 데이터 침해에 노출될 수 있습니다.
예를 들어, Microsoft는 최근 중국의 지원을 받는 해킹 그룹이 자사 시스템에서 중요한 암호화 키를 훔쳤다고 밝혔습니다.1 해커는 이 키를 사용하여 합법적인 인증 토큰을 생성하고 여러 미국 정부 기관을 포함한 25개 조직의 클라우드 기반 Outlook 전자 메일 시스템에 액세스할 수 있었습니다.
이와 같은 공격으로부터 보호하기 위해 조직은 종종 주요 관리 시스템에 투자합니다. 이러한 서비스는 조직이 복잡한 암호화 키 네트워크를 자주 관리하고 많은 위협 행위자가 키를 찾을 수 있는 위치를 알고 있다는 점을 고려할 때 매우 중요합니다.
암호화 키 관리 솔루션에는 다음과 같은 기능이 포함되어 있는 경우가 많습니다.
암호화 및 암호화 키 정책과 구성을 위한 중앙 집중식 관리 콘솔
파일, 데이터베이스 및 애플리케이션 수준의 암호화를 통해 온-프레미스 및 클라우드 데이터를 보호할 수 있습니다.
규정 준수 문제를 해결하는 데 도움이 되는 역할 및 그룹 기반 액세스 제어 및 감사 로깅
자동화된 주요 라이프사이클 프로세스
AI와 같은 최신 기술과의 통합으로 분석 및 자동화를 통한 키 관리 개선
디피-헬먼 키 교환은 키 관리의 핵심 구성 요소입니다. 두 당사자가 공개 채널을 통해 암호화 키를 안전하게 교환하고 후속 보안 통신을 위한 공유 비밀 키를 생성할 수 있는 방법입니다.
알고리즘의 보안은 이산 로그 문제를 푸는 어려움에 달려 있습니다. 이는 SSL/TLS와 같은 프로토콜에 나타납니다.
WhatsApp은 Diffie-Hellman을 시그널 프로토콜의 일부로 사용하여 사용자에게 엔드투엔드 암호화를 제공합니다. 이 프로토콜은 제3자 변조를 방지하기 위해 다른 엔드포인트로 전송하기 전에 데이터를 암호화합니다. Diffie-Hellman은 VPN과 보안 이메일 시스템에서도 널리 사용됩니다.
보안이 가장 중요한 조직은 비대칭 암호화에 의존합니다. 일반적인 비대칭 암호화 사용 사례는 다음과 같습니다:
- 웹 브라우징
- 안전한 커뮤니케이션
- 디지털 서명
- 인증
- 키 교환
- 블록체인 기술
대부분의 주요 브라우저는 전송 계층 보안(TLS) 및 HTTPS를 지원하는 이전 버전인 보안 소켓 계층(SSL)을 포함하여 비대칭 암호화에 크게 의존하는 프로토콜을 통해 웹 세션을 보호합니다.
브라우저는 TLS/SSL 인증서에서 웹사이트의 공개 키를 얻는 반면 웹사이트는 개인 키를 비밀로 유지합니다. 그런 다음, 브라우저와 사이트 간의 초기 핸드셰이크는 비대칭 암호화를 사용하여 정보를 교환하고 보안 세션 키를 설정합니다.
보안 세션 키가 설정되면 보다 효율적인 데이터 전송을 위해 연결이 대칭 암호화로 전환됩니다.
비대칭 암호화는 의도된 수신자만 이메일과 문자 메시지를 읽을 수 있도록 하는 데 도움이 됩니다.
프리티 굿 프라이버시(PGP)와 같은 프로토콜은 공개 키 암호화를 사용하여 이메일 통신을 보호합니다. 발신자는 수신자의 공개 키로 이메일을 암호화하여 수신자만 개인 키로 암호를 해독할 수 있도록 합니다.
엔드투엔드 암호화(데이터를 다른 엔드포인트로 전송하기 전에 암호화하는 안전한 통신 프로세스)도 비대칭 암호화 요소를 사용합니다.
예를 들어, Signal 및 WhatsApp과 같은 메시징 앱은 키 교환에 비대칭 암호화를 활용하고 메시지 콘텐츠에 대칭 암호화를 활용합니다. 이 프로세스는 중개자(심지어 서비스 공급자 자신)가 일반 텍스트 데이터에 액세스하는 것을 방지합니다. 발신자와 수신자만 메시지를 읽을 수 있습니다.
디지털 서명은 비대칭 키 암호화의 가장 일반적이고 실용적인 애플리케이션 중 하나입니다. 신뢰성과 무결성을 모두 보장하는 데 매우 중요합니다.
디지털 서명은 실제 서명과 마찬가지로 문서가 실제로 서명자로부터 온 것임을 확인하여 신뢰성을 보장합니다. 전송 중에 아무도 문서를 변조하지 않도록 하여 무결성을 보장합니다.
디지털 서명은 비대칭 암호화를 사용하여 개인 키로 파일의 해시를 암호화합니다. 해시는 문서의 데이터를 나타내는 문자열입니다. 누군가 파일을 변경하면 해시가 변경되어 사용자에게 변조를 알립니다.
해시를 암호화하면 문서의 출처와 무결성을 보장하기 위해 누구나 해당 공개 키로 확인할 수 있는 서명이 생성됩니다.
소프트웨어 개발자는 디지털 서명을 사용하여 코드가 변조되지 않았는지 확인하고 출처를 확인하여 악성 소프트웨어 배포를 방지합니다.
비대칭 암호화는 시스템이 사용자와 웹사이트를 인증하는 데 도움이 될 수 있습니다.
예를 들어 보안 셸 프로토콜(SSH)은 공개 키 암호화를 사용하여 원격 서버에 액세스하려는 사용자를 확인합니다. 이는 또한 웹 사이트 및 기타 엔터티의 신뢰성을 확인하기 위해 디지털 인증서를 발급하는 제3자인 인증 기관을 지원합니다.
디피-헬먼 및 RSA와 같은 비대칭 프로토콜은 사용자가 안전하지 않은 채널을 통해 암호화 키를 안전하게 교환하는 데 도움이 될 수 있습니다. 이 프로세스를 통해 당사자는 대칭 암호화를 위한 공유 비밀 키를 설정할 수 있습니다.
비대칭 암호화는 원격 사용자와 가상 사설망(VPN) 간에 안전한 연결을 설정하여 데이터의 개인 정보 보호와 보안을 보장할 수도 있습니다.
비대칭 암호화는 블록체인 기술의 초석이며 암호화폐 거래의 보안과 무결성에 크게 기여합니다. 공개 키와 개인 키를 통해 신원을 관리하고 디지털 서명으로 거래의 진위성을 검증함으로써 의도된 수신자만 자산에 액세스할 수 있도록 보장하는 데 도움이 됩니다.
비대칭 암호화는 또한 코드에 직접 작성된 조건으로 자체 실행되는 계약인 스마트 계약을 보호할 수 있습니다. 공개 키와 개인 키는 이러한 계약 내의 상호 작용을 암호화하고 인증하여 의도된 수신자만 계약을 실행하고 조건을 시행할 수 있도록 합니다.
양자 컴퓨팅의 부상은 기존 암호화 방식을 위협하고 있습니다. 양자 컴퓨터는 쇼어 알고리즘과 같은 강력한 양자 알고리즘을 실행하여 RSA 및 ECC와 같은 일부 비대칭 암호화 알고리즘을 깨뜨릴 수 있습니다.
1994년 수학자 피터 쇼어가 개발한 쇼어의 알고리즘은 큰 정수를 효율적으로 인수분해하고 많은 암호화 체계의 중요한 구성 요소인 이산 로그 문제를 해결하는 최초의 양자 알고리즘입니다. 쇼어의 알고리즘을 실행하는 충분히 강력한 양자 컴퓨터는 이러한 암호화 시스템을 쉽게 깨뜨릴 수 있으며, 현재 사용 중인 모든 주요 공개 키 암호화 시스템을 쓸모없게 만들 수 있습니다.
양자 컴퓨터는 아직 비교적 실험적인 단계이지만, 많은 조직에서는 퀀텀 세이프 암호화, 즉 포스트 퀀텀 암호화(PQC)로 전환하여 미래에 대비하고 있습니다. 최근 연구에 따르면 절반 이상의 조직이 현재 사용 중인 암호화를 PQC로 교체하기 시작했습니다.2
2016년 NIST는 PQC 알고리즘을 평가하고 표준화하기 위한 공개 경쟁을 시작했습니다. 그 목표는 취약한 암호 시스템을 대체할 양자 저항 알고리즘을 식별하고 승인하는 것이었습니다.
2022년 7월 NIST는 PQC 표준화를 위한 최고 알고리즘을 발표했으며 IBM은 선택된 4개 알고리즘 중 3개인 CRYSTALS-Kyber, Falcon, CRYSTALS-Dilithium의 개발에 참여했습니다.3 NIST는 2024년에 선정을 마무리할 것으로 예상하고 있습니다.
양자 컴퓨팅의 위협이 다가오면서 인공 지능(AI)의 등장으로 암호화 환경도 크게 바뀌었습니다.
AI는 주로 패턴 인식을 개선하고 무차별 대입 공격을 가속화하는 기능 때문에 기존 암호화 알고리즘에 심각한 문제를 제시합니다. 이러한 공격에는 해커가 올바른 키를 발견할 때까지 암호화 키를 체계적으로 시도하는 것이 포함됩니다.
강력한 암호화 알고리즘은 역사적으로 무차별 대입 방식으로 해독하는 데 너무 오랜 시간이 걸립니다. 그러나 고급 AI 모델은 이제 암호화된 데이터를 분석하여 그 어느 때보다 빠르게 취약점을 찾을 수 있으므로 특정 암호화 알고리즘의 보안이 약화됩니다.
그러나 동시에 AI의 발전은 비대칭 암호화를 크게 개선할 수 있는 잠재력을 가지고 있습니다.
이러한 잠재적 이점은 다음과 같습니다.
- 실시간 암호화 시스템 위협 탐지: AI와 머신 러닝은 잠재적인 보안 침해를 실시간으로 예측하고 식별하여 암호화폐 시스템을 보호하기 위한 선제적인 조치를 취할 수 있도록 도와줍니다.
- 향상된 암호화 알고리즘: AI는 방대한 데이터 세트를 분석하여 기존 암호화 방법의 취약점을 식별하고 수정하는 데 도움을 줄 수 있습니다.
- 향상된 키 관리: AI 기반 시스템은 암호화 키를 생성, 배포, 교체하는 프로세스를 자동화하여 키 관리를 최적화할 수 있습니다.
- 동형 암호화 활용: 동형 암호화를 통해 조직은 암호 해독 없이 암호화된 데이터에 대한 계산을 수행할 수 있습니다. 이러한 접근 방식을 통해 조직은 기밀성이나 개인 정보를 손상시키지 않고 AI 모델 학습 및 분석에 민감한 데이터를 사용할 수 있습니다.
각주
모든 링크는 ibm.com 외부에 있습니다.
1 중국의 지원을 받는 해커가 Microsoft의 서명 키를 훔치게 한 오류의 코미디, Wired, 2023년 9월 6일.
2 연구 보고서: 암호화 및 키 관리 운영화, TechTarget의 엔터프라이즈 전략 그룹, 2024년 4월 5일.
3 NIST가 발표한 최초의 4가지 양자 저항 암호화 알고리즘, NIST, 2022년 7월 5일.