[CBK특집] 정보보안의 ABC, CBK를 이해하자-④암호학

‘암호학’...CISSP라면 꼭 알아두어야 할 분야

<게재순서>

①CBK의 개요

②Domain 1 Information Security and Management(정보보안과 위험관리)

③Domain 2 Access Control (접근통제)

④Domain 3 Cryptography (암호학)

⑤Domain 4 Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5 Security Architecture and Design(보안 아키텍처와 설계)

⑦Domain 6 Business Continuity and Disaster Recovery Planning(기업연속 및 재난복구계획)

⑧Domain 7 Telecommunications and Network Security(통신 및 네트워크 보안)

⑨Domain 8 Application Security(응용프로그램 보안)

⑩Domain 9 Operations Security(운영보안)

⑪Domain 10 Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)

머리말

사람들은 살면서 많은 비밀을 안고 산다. 비밀은 혼자만 알고 있어야 하고 혼자만 간직해야 한다. 하지만 인간사의 역사를 보면 이러한 비밀은 몇 사람이 공유하게 됨으로써 특정 목적을 달성하거나 공유한 사람들만의 집단적 이익이 추구된다. 얼마 전 광고에서 등장했던 ‘며느리도 안 가르쳐 준다’라는 요리 비법도 결국은 요리를 전수해야 하는 시점이 온다면 비법 전수를 하게 될 것이다. 요리의 달인인 시어머니는 다른 사람들은 모르게 본인만이 아는 방법으로 비법을 써 놓게 되고, 본인만이 아는 방법을 며느리에게 알려주게 될 것이다. 본인만이 아는 방법이라고 하는 것이 암호학의 출발이 된다.

과거 지식사회의 태동이전에 전쟁과 영토확장이 국가의 대과제이던 시절 멀리 떨어진 아군의 장군에게 알려야 할 중요한 메시지가 있었다. 일반전화나 휴대폰도 없고 인터넷도 없던 시절, 결국은 누군가를 시켜서 글로 적은 것을 전달해야 하는데 전달하기 위해 며칠을 걸어가야 하고 중간에 적군에게 들킬 확률도 생각해야 했었다. 편지나 글을 전달하는 병사도 몰라야 하고 적군도 모르려면 본국의 왕과 원격지의 장군만이 아는 암호가 필요했었다. 기밀성이 무척 필요했던 시기였던 것이다. 정보보안의 기본 요소 중에 하나인 기밀성은 암호학에 의해서 출발하고 완성되는 이유도 여기에 있다.

CBK(Common Body of Knowledge: (정보보안)지식체계)를 이해하는 시간, 그 세 번 주제(도메인이라고 표현해도 될 것 같다)를 살펴보자. 암호학은 기밀성을 지키기 위해서 시작된다. 정보보안에서 얘기하는 인가된 자들만이 서로를 알 수 있는 의사소통의 수단이 암호학이다. 과거의 암호는 특별한 문자나 언어로 암호를 구사하여 그들만이 서로 알고 이해하고 하였다. 시간은 흘러서 기계화되고 전자화된 암호학이 나오게 된다. 암호학을 연구하다 보니 규칙성과 배열이 필요하게 되어 수학에 근거를 두게 되었다.

CISSP (Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 암호학이라고 하면 왠지 어렵고 또한 정보보안의 고전이고 지금은 중요치 않다고 생각할 수 도 있다. 하지만 사실은 수학을 기초로 한 암호학은 계속 발전되고 있고 오늘날의 인터넷과 같은 개방형 의사소통체계에서는 OS, 응용프로그램, 프로토콜의 기초가 암호학이다. CISSP라면 꼭 알아두어야 할 분야이다.

암호학 (Cryptography)

접근통제를 지난 시간에 살펴보았듯이 접근통제의 기본은 Identity와 Password이다. ‘나’라고 주체를 알리고 나만이 가지고 있는 비밀번호로 접근하는 것도 또한 암호학의 일부분이다. Password는 암호화 되어 저장되는 것은 기본이 된다.

암호학은 일반인들이 보통 사용하는 평문의 형태를 수학적 기법인 알고리즘(수학적 방식의 조합)을 통하여 암호화 하여 암호문으로 만들어 낸다. 키(특정한 값)와 키 스페이스(알고리즘의 특정한 값)에 따라 다양한 암호문이 형성되고 이것은 알아볼 수 없는 형태를 지니게 된다. 다시 이것을 평문으로 보기 위해서는 복호화 과정을 거쳐서 평문으로 만들어 내는 데 또한 알고리즘을 통하여 키가 사용된다.

자전거는 휴대성이 훌륭한 교통수단이다. 목적지인 가까운 곳을 가서 근처에 세워놓고 일을 보면 되는데 자전거의 분실을 막기 위해 번호패드가 붙어있는 잠금 장치를 사용한다. 번호패드는 잠금 장치를 만든 회사의 제품이라는 똑 같은 조합을 가지고 있지만 번호패드의 비밀번호는 ‘나’만 가지고 있는 ‘키’값인 것이다.

암호학의 기본 흐름을 표현하면 아래와 같다.

CBK 제 3 도메인의 주제들

암호학의 주제들을 보도록 하자.

이 연재로는 4번째 시간이면서 CBK의 주제로는 3번째 주제인 암호학에 대해서 알아 보았다. 이미 CISSP를 보유하고 정보보호 업무를 하고 있는 독자들은 과거 어느 날엔가 CISSP 자격증 공부를 하면서 암호학을 재미있게 아니면 어렵게 공부했던 기억이 날 것이다.

독자들이 편리하게 인터넷을 사용하고 안전하게 이용하는 바탕에는 암호학의 숨은 공로가 있다. 자칫 눈에 보이는 결과만을 중요시 하는 사회에 살다 보니 그럴 수도 있겠지만 학교나 학계에서 암호학과 수학과 같은 (상대적인)순수학문을 공부하거나 연구하는 인력에 대한 관심이 지속적으로 필요하다고 생각한다. 암호학은 기밀성뿐 아니라 무결성을 결정 짓는 해시함수에도 영향을 끼치게 되는 것은 알고 있을 것이다. 작금의 공인인증서를 통한 은행거래 및 개인신용과 개인정보의 인터넷 사용은 PKI 기반의 전자서명이며 이 또한 암호학이 기본을 만들어 준 것이다.

필자와 함께 CBK를 둘러보면서 독자들이 속한 기업이나 공공기관에서 정보보안은암호학처럼 기업이나 공공기관의 목적달성에 근간이 되고 바탕이 되는 역할을 하였으면 한다. 바탕이나 베이스라인은 전면에 잘 나타나지 않을 수 있겠지만 기업을 지탱하는 원천 중의 하나임을 상기하며 정보보안 전문가로서 또 다른 면을 생각하는 계기가 되었으면 한다.

보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2009

[글 · 조 희 준 / josephc@chol.com]

CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원

[필자 약력]

·IT컨설팅 및 IT감리법인 수석컨설턴트

·(사)한국정보시스템 감사통제협회 ISACA Korea 임원

·한국 CISSP 협회 (ISC)2 Korea 임원

·한국 포렌식조사 전문가 협회 임원

·감사행정학과 석사과정

[정리: 길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)