[Tech in Trend] 삼성SDS "동형암호, 사회 난제 풀 미래 보안기술…세계적 연구 수행하겠다"

조지훈 마스터, 동형암호 연구 성과와 포부 드러내

"유출 위험 없는 데이터 공유로 사회문제 해결 OK"

美NIH 보안경진대회 입상…UN 기술문서 작성 참여

"동형암호 실용화 위해 표준화와 법규 개정 필요"

"세계적 연구조직 만들고 클라우드 암호 상품화"

조지훈 삼성SDS 보안연구팀장(마스터)이 '과학기술정보통신 국제 콘퍼런스'에 참석해 사물인터넷(IoT) 보안을 주제로 발표하고 있다. [사진=삼성SDS]

마이크로소프트(MS)·IBM 같은 빅테크 기업과 나란히 차세대 암호 기술 ‘동형암호’ 연구에 투자해 온 국내 IT서비스업계 선두 기업 삼성SDS가 국제 학계·산업계에서 두각을 나타내고 있다. 동형암호는 데이터를 암호화한 채 빅데이터 분석, 머신러닝 모델에 쓸 수 있어 민감한 정보를 보호하는 동시에 데이터 경제 시대에 걸맞게 활용할 길을 열어 주는 미래 보안기술로 꼽힌다. 아주경제는 2일 조지훈 삼성SDS 보안연구팀장(마스터)과 동형암호 확산을 위한 조건과 이 기술에 대한 가치를 주제로 인터뷰했다. 다음은 일문일답 내용.

-삼성SDS 보안연구팀 조직 성격과 사내 역할, 운영 현황에 대해 간단히 소개해 달라.

“보안연구팀은 삼성SDS 연구소 산하 조직이다. 차세대 암호기술, 그리고 클라우드 환경에 특화된 개발·운영 보안기술을 연구하고 있다. 그간 연구개발한 기술은 국제표준화기구·국제전기기술위원회(ISO/IEC) 및 국제전기통신연합 전기통신표준화부문(ITU-T) 국제표준으로 채택됐고, 여러 제품과 서비스에 다수 적용됐다.”

-동형암호 기술은 왜 중요한가. 이 기술이 사람들에게 어떤 가치를 줄 수 있을까.

“현대사회 문제를 해결하려면 다양한 조직과 국가 간에 분산된 데이터를 결합해 분석해야 하는데 개인정보 보호 문제로 어려움이 있다. 동형암호와 같은 기술을 활용하면 개인정보 유출을 최소화하면서 안전하게 데이터를 공유해 사회적 문제들을 해결할 수 있다. (국가 간 사법기관 공조를 통해) 아동 인신매매, 금융 범죄와 같은 문제를 해결하거나 (국제 협력 연구로) 의료 분야 팬데믹 대처 능력 향상에 큰 도움을 줄 수 있다. 일반적인 기업이나 조직도 동형암호 기술로 데이터 공유를 통해 경제적 이득을 얻을 수 있다.”

-정보보호 관련 학계와 산업계는 동형암호 기술에 대해 얼마나 주목하고 있나.

“조직이 경쟁력을 높이기 위해 각자 보유한 데이터를 안전하게 외부 데이터와 연계하는 프라이버시 강화 기술(PETs·Privacy Enhancing Technologies)이 필수적이다. PETs에는 동형암호뿐만 아니라 △다자간 계산(MPC·Multi-Party Computation) △하드웨어 기반 격리(TEE·Trusted Execution Environment) △차분 프라이버시(DP·Differential Privacy)와 같은 다양한 기술이 있다. 이들은 단독으로 쓰이기보다 결합돼 쓰일 것이다. 기업뿐 아니라 유엔, 유럽연합(EU)과 같이 국가 간 데이터 결합이 필요한 기관에서도 PETs를 주목하고 있다.”

-삼성SDS는 수년 전부터 동형암호 기술 연구에 투자해 왔는데, 최근 연구 성과는.

“동형암호 등 PETs를 주목하는 분야로 금융과 의료 분야가 있다. 예를 들어 최근 미국과 영국이 공동으로 금융범죄나 팬데믹 대응을 위해 동형암호와 같은 PETs 기술을 활용하는 경진대회를 개최하기도 했다. 삼성SDS는 미국 국립보건원(NIH)이 후원하는 유전체 분석 보안경진대회 ‘iDASH’에 2020년부터 참여해 왔는데 첫 해 우승하고 이후에도 줄곧 상위권 입상을 하고 있다. 이러한 기술력을 인정받아 2022년부터 유엔 산하기관과 동형암호를 비롯한 개인정보 보호기술을 안전하게 사용하기 위한 가이드라인을 공동 작성했다. 해당 문서는 지난 2월 '유엔 프라이버시 강화 기술 안내서(UN PET Guide)’로 공개됐다.”

-동형암호 기술을 실용화하고 사업적으로 성공하려면 어떤 조건이 맞아야 하나.

“동형암호가 시장에 확산되기 위해서는 우선 기술의 성숙, 활용 사례 확산, 기술 표준화, 그리고 관련 법규 개정이 필요하다. 기술적 측면에서는 미국 방위고등연구계획국(DARPA) 등에서 동형암호를 하드웨어 기반으로 가속화하는 프로젝트를 진행 중이다. 몇몇 기관·기업에서 다양한 동형암호 활용 사례를 구체화하고 있다. 동형암호는 암호 기술이기 때문에 기술 표준화가 선행되어야 하는데 이미 학계와 업계 주도로 ISO/IEC 그리고 ITU-T와 같은 국제표준화 기구를 통해 동형암호 기술에 대한 표준화가 진행되고 있다. 표준화는 이르면 2024년 말 완료되고 이후 규제 환경도 동형암호 사용에 용이한 방향으로 조성될 것으로 예상한다.”

-지난 3월 국제 학회인 제6회 동형암호 워크숍을 서울대와 공동 주관으로 개최했는데 그 배경이 궁금하다.

“동형암호 워크숍은 2017년 미국 워싱턴 레드몬드에서 처음 시작했다. 서울대는 이 1회 행사부터, 삼성SDS는 2018년 보스턴에서 개최한 2회 행사부터 적극적으로 참여해 많이 활동했다. 그간 커뮤니티 기여도를 인정받아 이번에 서울에서 워크숍을 개최하게 됐다.”
 

조지훈 삼성SDS 보안연구팀장 [사진=삼성SDS]

-제6회 워크숍에 참석한 전 세계 연구자에게 삼성SDS 차원에서 어떤 메시지를 제시했는지.

“삼성SDS는 ITU-T에서 데이터 결합 시 동형암호를 안전하게 사용하는 지침(guideline) 표준화에 참여하고 있다. 이번 행사에서 제가 동형암호 관련 표준화 세션 발표를 맡아 진행했다. 동형암호 확산을 위해 표준화에 대한 중요성을 언급했다. 동형암호 기술 알고리즘을 표준화하는 것도 중요하지만 이를 안전하게 사용하기 위한 가이드라인과 프레임워크를 표준화하는 것도 필요하다고 지적했다. 이에 대한 커뮤니티의 참여를 호소했다.”

-동형암호 기술 분야 연구를 통해 추구하는 목표나 기대하는 미래상은.

“선진국에 비해 한국은 한참 늦게 암호기술 연구를 시작했지만 기관, 학계, 업계 선배들의 노력으로 단기간 엄청난 성장을 거뒀다. 최근 국내 암호 분야 박사 과정 학생들 수준은 놀랍기만 하다. 저는 훌륭한 선후배들을 이어주는 다리가 되고 싶다. 후배 연구자들 연구 경력이 지금 저와 비슷해질 때 암호 분야에 있어 한국 위상이 세계 최고가 될 수 있도록 노력하겠다.”

-MS나 네이버클라우드 같은 기업이 실험적으로 자사 클라우드에서 동형암호 기술을 제공하고 있다. 삼성SDS의 연구 성과는 회사 비즈니스와 어떻게 연결될 수 있을까.

“앞서 말씀드렸듯 동형암호 확산에 앞서 기술 표준화가 선행되고 고객들이 동형암호를 안심하고 사용할 수 있도록 관련 법규 개정 등 규제 환경이 뒷받침돼야 한다. 삼성SDS는 기술·규제 동향과 시장 성숙도를 주시하면서 적절한 시점에 삼성SDS 클라우드 기반으로 동형암호 관련 상품을 제공할 예정이다.”

-삼성SDS는 최근 동형암호 관련 기술인 양자내성암호(PQC·Post-Quantum Cryptography) 전환을 시작해야 한다는 메시지도 내놓았다. PQC는 이미 실용화 단계에 도달했다고 볼 수 있나.

“PQC 중 특정 암호 기술은 동형암호와 유사한 수학적 기법(격자기반암호 알고리즘)으로 설계됐다. 동형암호보다 오히려 PQC 상용화가 더 빠르게 이뤄질 것으로 예상한다. PQC는 미국 국립표준기술연구소(NIST)에서 주관하는 표준화 작업이 늦어도 2024년 완료된다. 조 바이든 대통령은 2022년 5월 정부 기관 IT 시스템에 사용하는 기존 암호 시스템을 PQC 기반 암호 시스템으로 전환하는 행정명령에 서명하기도 했다. 삼성SDS는 수년 전부터 PQC 연구에도 주력해 왔다. 2022년부터 NIST가 추진하는 PQC 전환 프로젝트에 참여하고 있고, PQC 원천기술을 확보해 국내 양자내성암호 국가공모전(KpqC 공모전)에 참여하고 있다. 2022년 삼성SDS 자회사 시큐아이 제품에 PQC를 적용하기도 했다.”

-앞으로 주력할 연구 방향에 대해 알고 싶다. 이와 관련해 정부에 바라는 점도.

“삼성SDS는 국내 기업 가운데 최고 수준의 암호 연구 역량과 인력을 보유하고 있다. 보안연구팀을 세계적인 암호연구 수행 조직으로 만드는 것이 목표다. 보안연구팀에서는 암호기술뿐 아니라 클라우드 개발·운영 보안기술도 연구개발하고 있다. 암호기술은 결국 데이터를 보호하고자 하는 기술인데 이런 데이터가 클라우드에 모이고 있다. 하지만 국내 학계에서 쿠버네티스, 컨테이너와 같은 클라우드 네이티브(cloud-native) 기술, 멀티 클라우드와 하이브리드 클라우드 환경에 필요한 보안 기술 연구가 부족한 편이다. 삼성SDS는 국내 신진 연구자들과 클라우드 네이티브 보안 연구 협업을 강화하고 있지만 국가 차원에서 이 분야 연구 예산 수립과 지원 프로그램을 마련해 주면 좋겠다.”