[아이티데일리] 차세대 암호기술로 각광받고 있는 동형암호 기술이 무르익고 있다. 상용화를 가로막고 있던 ‘성능’ 문제가 해결될 기미를 보이면서 실제 활용할 수 있는 방안에 대한 논의가 활발해지고 있다.

특히 동형암호 기술 분야에서는 우리나라가 세계 선두 그룹에 속해 있다. 지난해 미국에서 진행된 개인정보보호기술 경진대회 ‘iDASH’의 동형암호 부문에서 1위에 선정된 4개 팀 중 3개가 우리나라 팀이었다. 이외에도 동형암호 표준화를 위한 컨소시엄에 삼성SDS, 서울대가 MS, IBM, MIT 등 글로벌 기업 및 학교와 함께 참여해 기술 발전을 주도하고 있다.

현실로 다가온 ‘동형암호’

세계적으로 차세대 암호기술인 ‘동형암호’에 대한 연구가 활발히 진행되고 있다. 동형암호 기술은 암호화된 데이터를 연산할 수 있도록 지원하는 암호기술을 뜻한다. 동형암호 기술은 1970년대 수학자들이 처음 구상한 이후, 2009년 스탠포드 대학과 IBM의 과학자 크레이그 젠트리(Craig Gentry)에 의해 개발됐다. 크레이그 젠트리는 개발 당시, 이 기술을 “독성 화학 물질을 취급하는 데 사용되는 장갑이 들어 있는 상자와 같다”고 비유하며 “모든 조작이 상자 안에서 이뤄지므로 화학 물질은 외부 세계에 절대 노출되지 않는다”고 설명했다.

마이클 오스본(Michael Osborne) IBM 리서치 유럽 시큐리티 부문 매니저는 “완전 동형 암호화 기술은 기존 암호화와는 다르게 암호화된 데이터(암호문)에 대해 직접 계산을 수행할 수 있도록 설계된 수학적 알고리즘을 기반으로 한다”고 기술에 대해 소개했다. 그는 또한 “이 새로운 암호화 모델을 사용하면 원본 데이터를 일반 텍스트로 ‘볼’ 필요 없이 제3자가 클라우드에서 암호화된 데이터를 처리 및 분석해 나온 정확한 결과를 데이터 소유자에게 반환할 수 있다”고 강조했다.

이러한 기술 특성의 대표적인 예로 마이크로소프트에서 제공하고 있는 동형암호 기술 기반 비밀번호 유출 조회 서비스를 들 수 있다. 최근 MS는 에지(Edge) 브라우저 사용자를 대상으로 비밀번호 점검 서비스를 제공하고 있다. 이 서비스는 준동형암호 기술을 활용, 서비스를 제공하는 MS에서도 사용자의 비밀번호는 물론 비밀번호 유출 여부(연산 값)도 확인할 수 없다. 사용자만 데이터를 확인할 수 있는 것이다.

이러한 점 때문에 동형암호 기술은 개인정보보호는 물론, 데이터 활용에 있어서 획기적인 기술로 평가받고 있다. 개인정보보호의 경우 암호화된 개인정보를 제공함으로써 기업은 개인정보를 확인할 수 없지만, 사용자는 개인화된 서비스를 받을 수 있다. 더불어 기업의 관점에서 다른 기업 및 기관과 데이터를 결합하는 경우에도 데이터 유출에 대한 우려를 없앨 수 있다.

동형암호 기술은 ▲스토리지 아웃소싱 ▲헬스케어 ▲DNA 분석 ▲스마트 시티 등 가상 물리 시스템 ▲기계학습 ▲양자내성암호 ▲금융 협업 등에 활용될 수 있을 것으로 기대된다.

스토리지 아웃소싱의 경우 동형암호를 활용해 클라우드에 데이터를 안전하게 저장할 수 있으며, 데이터 연산 및 검색도 가능해진다. 헬스케어 분야는 환자의 건강정보 등 민감정보를 다루고 있기 때문에 정보규제가 엄격한 분야 중 하나다. 동형암호를 활용하면 민감정보를 보호하면서도 연산처리가 가능해진다. DNA분석도 마찬가지다. 개인의 유전정보를 이용하는 맞춤형 정밀 치료기술이 개발되고 있는데, 이를 위해 활용하는 DNA정보는 민감정보이기 때문에 필연적으로 프라이버시 이슈가 뒤따른다. 동형암호를 적용해 DNA 정보 유출을 방지하면서 데이터 연산이 가능해진다.

머신러닝 분야에서도 동형암호가 각광받고 있다. 개인정보보호가 적용된 환경에서는 머신러닝이 얻는 데이터의 정확성이 문제되는 경우가 있다. 비식별 처리된 데이터는 개인정보의 결합도가 낮아, 데이터 가치가 떨어지기 때문이다. 이러한 단점을 극복하기 위한 방법으로 순수 데이터를 그대로 암호화하고, 암호화된 데이터를 개인정보 유출없이 머신러닝에 활용하는 방안이 대두되고 있다.

금융 분야에서도 동형암호에 대한 관심이 높다. 이상거래 탐지나 개인신용평가, 개인 맞춤형 서비스 등에 동형암호를 적용하면 데이터 기밀성은 보장되면서 다자간 협업 환경을 구현할 수 있다. 알리바바의 자회사 앤트 파이낸셜(ANT Financial)은 신용분석 및 마케팅 분석, 은행데이터 결합분석에 동형암호 기술 적용을 추진중이다.

양자내성암호로의 활용도 가능하다. 현재 사용되고 있는 공개키 기반 구조의 암호화는 양자컴퓨터가 출현하면 폐기될 것으로 전망된다. 양자컴퓨터가 사용하는 ‘쇼어 알고리즘’으로 해독이 가능해 암호화가 무용지물이 될 수 있다는 것이다. 이에 양자컴퓨터에 대응할 수 있는 기술에 대한 연구도 활발하게 진행되고 있는데, 그중 하나가 바로 동형암호다. 동형암호를 포함한 격자기반암호 알고리즘은 양자컴퓨터가 도입돼도 깨지지 않는 차세대 암호체계로 평가받고 있다. 격자 문제는 ‘현재로서는 풀 수 있음이 증명되지 않은 문제’라는 뜻의 NP 완전 문제로 분류된다.

동형암호 기술은 ▲PHE(Partially Homomorphic Encryption) ▲SHE(Somewhat Homomorphic Encryption) ▲FHE(Fully Homomorphic Encryption) 등 크게 3가지로 구분된다. PHE는 주어진 데이터 세트에 대해 무제한의 시간동안 한 가지 유형의 수학연산만 허용한다. SHE는 PHE에 비해 허용범위가 넓지만 여전히 제한적인 방법이다. 주어진 데이터 집합에 대해 덧셈과 곱셈 등의 연산을 몇 차례만 허용한다. 지금 활발하게 연구되는 것은 FHE다. 동형암호 기술 중 최선의 방법으로 평가받고 있으며, 데이터에 대해 회수 제한 없이 다양한 유형의 연산을 허용하지만, ‘성능’이 문제로 지적된다.

미국 및 한국이 기술 개발 주도

동형암호가 차세대 암호기술로 전 세계적인 주목을 받고 있는 가운데, 미국과 우리나라가 기술 개발을 주도하고 있다. 이를 단적으로 보여주는 것이 미국에서 진행된 개인정보보호기술 경진대회 ‘iDASH’에서의 성과다. ‘iDASH’는 미국국립보건원(NIH)에서 후원하는 프라이버시 및 보안 워크숍으로, 매년 미국에서 개최되고 있다. ‘iDASH’에서는 최근 몇 년간 동형암호 기술을 기반으로 한 경진대회가 진행되고 있다.

‘iDASH’에서 동형암호 기술이 본격적으로 논의되기 시작한 것은 2017년부터다. 이때 워크숍의 주요 트랙으로 ‘동형암호 기반 로지스틱 회귀 모델 학습(Homomorphic encryption based logistic regression model learning)’이라는 주제 발표가 진행됐는데, 이를 서울대학교가 발표했다.

이후 2018년부터는 동형암호 기술을 활용한 기술경진대회가 진행되고 있다. 서울대학교는 이 경진대회에 참여해 좋은 성과를 거두고 있다. 특히 지난해에는 ‘동형 암호화를 사용한 안전한 다중 레이블 종양 분류(Secure multi-label Tumor classification using Homomorphic Encryption)’라는 주제로 대회가 진행됐는데 1위에 서울대, 삼성SDS, 디사일로(Desilo, 대표 이승명)를 포함한 4개팀이 선정됐다.

이렇듯 기술 개발에 처음 나섰던 미국과 함께 우리나라가 동형암호 기술 연구를 선도하고 있다. 동형암호의 원천기술은 마이크로소프트와 IBM, 매사추세츠공과대학교(MIT), 서울대학교 등에서 주도하고 있는 것으로 알려져 있다.

동형암호 스킴(Scheme)과 관련해 여러 오픈소스 라이브러리가 운영되고 있다. 대표적으로 ▲MS 씰(SEAL) ▲팰리세이드(PALISADE) ▲HELib ▲혜안(HeaAn) ▲NFLlib ▲cuHE 등을 꼽을 수 있다. MS 씰은 BFV(Brakerski/Fan-Vercauteren) 및 CKKS(Cheon-Kim-Kim-Song) 스킴을 지원하는 MS의 오픈소스 라이브러리이며, 팰리세이드는 BGV(Brakerski-Gentry-Vaikuntanathan), BFV, CKKS, TFHE, FHEW 등 여러 동형암호화 체계를 지원하는 오픈소스 라이브러리다. 특히 팰리세이드는 DARPA의 지원을 받고 있다.

‘혜안’은 CKKS 스킴을 구현한 라이브러리다. CKKS 스킴은 덧셈과 곱셈 외에 반올림이라는 세 번째 연산이 암호화상태에서 가능하다. 기존의 동형암호도 반올림연산을 수행할 수는 있으나 재부팅에 준하는 매우 복잡한 연산을 수행해야 하는 반면, 혜안 스킴은 이를 덧셈 수준으로 빠르게 처리할 수 있어 산술연산이 대폭 개선된 것이 특징이다. 실제로 비트당 30분이 걸리던 재부팅연산이 2019년에는 0.5ms로 300만배 개선됐다. 이에 따라 기계학습 등 근사연산을 활용하는 응용분야의 상용화가 가능해졌다. 업계에서는 CKKS 스킴을 4세대 동형암호로 분류한다.

cuHE는 ‘동형암호화를 가속화하기 위한 GPGPU 사용’에 관한 연구를 진행하고 있는 라이브러리다.

컨소시엄 중심으로 표준화 추진

서울대학교와 삼성SDS 등 국내기업은 이러한 기술력을 바탕으로 동형암호 표준화에도 참여하고 있다. 2009년 IBM에서 동형암호를 제안한 이후, 산업계에서는 표준화 필요성을 인식해 컨소시엄 형태로 표준화를 진행해왔다. 지난해부터는 ISO/IEC 등 공적 표준화기구에서도 표준화를 추진하고 있다. 동형암호 표준화 관련 기구는 ‘Homomorphic Encryption Standardization’과 ITU-T SG17, ISO/IEC JTC 1/SC27이 있다.

먼저 ‘Homomorphic Encryption Standardization’은 동형암호의 보안, API 및 애플리케이션 등 세 가지 백서를 기반으로 동형암호에 대한 표준을 개발하고 있다. 2018년에는 동형암호 첫 번째 표준 버전을 제정했다. 이 표준 버전에는 스킴에 대한 설명, 보안 속성에 대한 설명, 보안 매개 변수에 대한 표 등이 포함됐다. 향후 표준 버전에는 동형암호를 위한 표준 API 및 프로그래밍 모델 등이 마련될 예정이다.

컨소시엄 참여 기업은 삼성SDS, 마이크로소프트, 인텔, 듀얼리티 테크놀로지스(Duality Technologies), IBM, 구글, SAP 등이다. 기관으로는 미국국립보건원, 미국표준기술연구소(NIST), 미국국립과학재단(NSF), 국제전기통신연합(ITU) 등이 참여하고 있으며, 학계에서는 서울대, 보스턴대, MIT, 캘리포니아대학교 샌디에이고캠퍼스(UCSD) 등이 함께하고 있다.

ITU-T SG17에서는 동형암호를 이용할 수 있는 산업 분야 중 하나로 기계학습 분야를 설정했다. 이를 위해 동형암호의 이해와 데이터 분석에 있어 개인정보를 보호하기 위한 처리 구조, 절차와 특성에 관한 지침 등을 개발하고 있다. 삼성SDS, 서울대, 한국전자통신연구원(ETRI) 등이 에디터로 참여하고 있다.

특히 지난해 3월 신규 아이템(FHE based data collaboration in machine learning)을 채택해 개발하고 있다. 자세히 살펴보면, 완전동형암호 기술을 활용해 머신러닝의 보안추론 서비스 및 데이터 집계에 대한 보안 지침을 제공한다. 데이터 소유자가 기계학습 모델 공급자의 추론 서비스를 사용하는 반면, 각 당사자는 자신의 데이터를 공개하지 않는 구조와 절차를 제공한다.

ISO/IEC JTC 1/SC27에는 기존에 ‘IS 18033-6, Encryption Algorithms – Part 6: Homomorphic Encryption’이라는 표준이 있었으며, 지난 2019년 개정판이 제정됐다. 개정된 표준은 부분동형암호를 위한 지수 ‘ElGamal 암호’와 ‘Paillier 암호’, 두 가지 메커니즘으로 구성됐다.

올해부터는 표준 완전동형암호 기술에 대한 표준 아이템을 발굴하기 위한 움직임이 나오고 있다. 완전동형암호에 대해 임의 작업을 지원하고, 암호화데이터에 대한 임의 계산을 허용하는 동형암호 스킴 표준 작업을 수행하고 있다. 이를 위한 사전모임에서는 ‘완전동형암호 표준화의 적합성(SP Suitability of standardization of FHE)’에 대한 협의를 통해 표준 제안 개선 작업과, 이를 활용하기 위한 사례 소개로 천정희 서울대 교수의 ‘암호화된 데이터 분석을 위한 동형암호화 적용(Approzimate Homomorphic Encryption in analzing encrypted data)’ 주제발표가 진행됐다. ISO/IEC JTC 1/SC27은 향후 WG2 회의에 신규아이템 제안을 계획하고 있다. 한국에서는 서울대와 삼성SDS가 이 작업에 참여하고 있다.