[외신] 美 차세대 보안해싱 표준위한 해시콘테스트 열려

미(美) NIST가 지난주 미국의 차세대 보안 해싱 표준을 위한 51개 서브미션의 리스트를 발표했다.

지난주 미(美) 국립기술표준(National Institute of Standards and Technology, 이하 NIST)의 51개 서브미션 리스트 발표로 미국의 차세대 보안 해싱 표준을 위한 경쟁의 첫 장이 열렸다. NIST가 주관하고 참가 자격에 제한이 없는 이번 콘테스트는 암호화가 애초의 예상보다 훨씬 취약한 것으로 나타난 일련의 현 해시 기능을 대체할 강력한 수단을 찾는 것을 목적으로 하고 있다.

특히 대표적인 초기 알고리즘 중 하나인 MD4와 SHA-0 등 기존의 해시 기능에 대한 실질적인 공격이 발견되기도 했다. 일례로 동일한 해시 결과를 가져오는 두 개의 데이터 파일을 생성하는 방식으로 충돌을 야기하는 공격이 알려져 있다. 또한 일부 취약점들은 SHA-1과 같은 좀 더 최근의 해싱 알고리즘에서 발견되기도 했다. 한편, 아직 SHA-2와 같은 현재의 보안 표준에 대한 실질적인 공격은 발견되지 않았음에도 불구, NIST는 서둘러 이를 대체할 방법을 찾고 있으며, 그것이 바로 이번 해싱 콘테스트라 할 수 있다.

이 콘테스트에 등록한 팀들은 이미 지난 10월말 미 정부에 서브미션을 제출 했으며 장기간의 심사 과정을 거쳐 지난주 발표된 리스트는 이들 서브미션 중 정부의 기본 기준을 충족시킨 서브미션들의 결과를 보여주고 있다. 서브미션 제출에 이은 다음 단계는 다른 알고리즘을 ‘크래킹’하는 것으로, 각각의 참가 팀들은 다른 팀의 서브미션들의 취약점을 찾게 된다. NIST 홈페이지에 따르면 이미 51개 팀 중 세 팀이 자신들의 제안 내의 취약성을 인정한 것으로 알려졌다.

이른바 SHA-3 (secure hashing algorithms) 콘테스트라고 불리는 이번 콘테스트는 미국 정부에 의해 의무화되고 전 세계의 많은 나라들과 기업들이 사용하는 고급 암호화 표준(AES : Advanced Encryption Standard)을 결정했던 콘테스트와도 필적하는 것으로 그 결과가 주목된다. NIST는 2010년까지 참가자들을 십여 팀으로 간추릴 예정이며 두 번째 콘테스트를 개최할 계획인 것으로 알려졌다.

[김동빈 기자(foregin@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)