IoT 환경에서 PKI보다 안전한 인증방식 ‘KIDS’

“키 없는 기반구조 전자서명 기술로 비용 낮추고, 보안성 높이고”

[보안뉴스 김태형] IoT(Internet of Things, 사물인터넷) 환경에서 PKI보다 안전한 인증방식인 ‘키 없는 전자서명기술, KIDS(Keyless Infrastructure for Digital Signature)’에 대한 관심이 높아지고 있다.

마크애니가 지난해 개발해서 발표한 KIDS는 기존 PKI 방식과 달리 키 값을 필요로 하지 않고 대규모 데이터에 대한 전자서명이 가능하기 때문에 향후 IoT 환경에서 사물 간 유통되는 대규모 데이터에 대한 진위 여부도 정확하게 식별할 수 있을 전망이다.

전자서명이란 전자적 형태의 정보에 대한 출처 및 위·변조 여부를 검증하기 위한 기술로 현재 RSA-PSS, ECDSA, KCDSA 등 비대칭키 전자서명 알고리즘이 널리 보급되어 있다. 국내에는 아직까지 공인인증서로 알려진 PKI 기반 전자서명이 널리 사용되고 있지만, 기존의 전자서명 기술은 키 관리와 효율성 등의 문제로 다가오는 IoT, 클라우드, 빅데이터 환경에서 대규모 데이터에 대한 전자서명을 위해서는 적용에 한계가 있는 실정이었다.

그러나 마크애니가 개발한 KIDS는 별도의 키 관리와 키 Management System을 필요로 하지 않는 것이 특징이다. 또한, 초당 최대 5천억 건의 전자서명이 가능하고 기존 PKI와는 달리 보안강도에 따라 유효기간을 반영구적으로 할 수도 있다.

마크애니 유창훈 부문장은 “키 없는 전자서명 기술은 이미 해외에서 활용되고 있는 기술이다. 전자주민증, 은행, 무인항공기 명령전달 체계 등 해외 선진국에서는 이미 이 기술을 적용한 사례가 있다”면서 “KIDS는 자체적으로 인증, 무결성, 시점보증까지 모두 가능하기 때문에 앞으로 IoT 환경에서 사물 간의 제어는 물론 전자정부, 금융, 의료 등 다양한 분야에서 KIDS를 활용 가능할 것”이라고 말했다.

기존 전자서명 기술이 자격증명 및 일부 소규모 데이터 검증에만 적용이 가능했던 반면, ‘KIDS’는 서버 한대만으로도 초당 50만건 이상의 서명을 생성 및 검증할 수 있기 때문에 적은 수의 서버로 온라인상 거대규모 데이터에 대한 실시간 전자서명 서비스가 가능하고, 기존 공개키 기반구조(PKI) 방식의 단점을 보완해 전자서명 자체로 생성시간에 대한 증명이 동시에 가능하다.

이어 그는 “KIDS는 양자 컴퓨팅 환경의 핵심 암호기술인 해시함수를 기반으로 서명하기 때문에 보안성과 안정성이 보다 뛰어난 차세대 전자서명 기술이다. 최소 비용으로도 대규모 데이터의 시간 인증, 무결성 검증, 출처 증명 등이 가능해 향후 전자적 증거물도 ‘KIDS’를 이용한 전자서명을 통해 법적 증거력을 높일 수 있다”고 설명했다.

또한 그는“이러한 키 없는 전자서명은 대규모 데이터에 대한 전자서명이 필요한 환경이나 데이터에 대한 오랜 시간 동안 보관되고 검증이 필요한 환경, 그리고 개인키나 공개키 관리가 어려운 환경에서 꼭 필요하다”면서 “KIDS는 현재의 IT 환경에서 유통되는 대규모 데이터(최대 초당 5천억개)의 전자서명을 수행할 수 있는 기술로 서명 검증에 대한 유효기간이 없으며, 서명 검증을 위한 키 관리가 필요 없는 기술”이라고 덧붙였다.

KIDS의 가장 큰 장점은 저렴한 전자서명 비용으로 대용량 데이터의 전자서명이 가능하고 전자적 증거물이 법적 효력을 갖기 위한 디지털 포렌식 친화성으로 데이터 생성시점부터 증명이 가능하다. 특히, 실시간 인증으로 IoT와 M2M과 같은 자동화된 스마트 기기간 통신에서 메시지 생성 주체에 인증이 가능하고 불필요한 키 관리로 비밀정보 노출로 인한 전자서명 조작의 위험이 없다는 점에서 IoT 보안 인증 등에서 널리 활용될 전망이다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)