현실화되는 동형암호, 관건은 ‘성능’

[아이티데일리]  차세대 암호기술로 각광받고 있는 동형암호 기술이 무르익고 있다. 상용화를 가로막고 있던 ‘성능’ 문제가 해결될 기미를 보이면서 실제 활용할 수 있는 방안에 대한 논의가 활발해지고 있다.

특히 동형암호 기술 분야에서는 우리나라가 세계 선두 그룹에 속해 있다. 지난해 미국에서 진행된 개인정보보호기술 경진대회 ‘iDASH’의 동형암호 부문에서 1위에 선정된 4개 팀 중 3개가 우리나라 팀이었다. 이외에도 동형암호 표준화를 위한 컨소시엄에 삼성SDS, 서울대가 MS, IBM, MIT 등 글로벌 기업 및 학교와 함께 참여해 기술 발전을 주도하고 있다.

① 상용화 앞두고 성능 향상에 박차, 표준화도 추진
② 글로벌 및 국내에서 상용화 위한 연구 박차


기술의 관건은 ‘속도’

동형암호는 ‘데이터 활용’과 ‘보안’, 두 마리 토끼를 모두 잡을 수 있는 기술이다. 하지만 아직까진 완벽한 기술이 아니다. 암호화된 상태로 데이터를 연산해야 한다는 점 때문에 처리 속도에 대한 성능 이슈가 있다.

이런 이유로 동형암호 기술을 연구는 현재 ‘성능’에 초점을 맞춰져 있다. 초기 동형암호 기술은 실제 사용이 불가능할 만큼 성능에 문제가 있었다. 하지만 10여년 동안 기술에 대한 연구 개발이 지속되면서 성능 부분이 상당히 개선돼 활용할 수 있는 단계에 와있다. 암복호화 작업은 기존 RSA 알고리즘 처리속도에 근사한 수준까지 와있으며, 연산처리 과정에서의 속도를 개선하기 위한 연산 가속기 등에 대한 연구가 활발하게 진행되고 있다.

마이클 오스본 IBM 리서치 유럽 시큐리티 부문 매니저는 “IBM의 완전 동형 암호화 기술은 일반 데이터만큼 빠르지는 않지만, 비슷한 성능에 도달했다. 불과 몇 년 전만 하더라도 완전 동형 암호화를 적용하는 데 며칠이 걸렸지만, 현재는 동일한 기준을 적용했을 때 마이크로 초 안에 달성할 수 있다”고 설명했다. 그는 이어 “이제는 동형암호 기술을 통해 해결하려는 문제가 무엇인가에 달려 있다. 예를 들어 동형 암호 기술을 자율주행차에서 GPS 방향을 숨기는 것에 적용할 경우, 마이크로 초 단위도 너무 느리다. 하지만 은행 데이터를 사용해 고객이 단기 대출을 사용할 수 있는지를 결정하는 데는 충분한 성능이다”라고 말했다.

조지훈 삼성SDS 보안연구센터장 또한 “동형암호기술은 무엇보다 암호화된 상태로 데이터를 처리하다 보니 속도가 느리다는 단점이 있는데 이를 극복하기 위한 많은 연구개발이 진행되고 있다”고 말했다. 최근 연산 속도를 높이기 위해 AI 분야에서 널리 사용되고 있는 GPU, FPGA와 같은 하드웨어를 이용한 동형암호 가속 기술이 다양하게 검토되고 있다는 것이 조지훈 센터장의 설명이다.

조지훈 센터장은 미국 국방부에서 진행 중인 프로젝트를 예로 들었다. 미국 방위고등연구계획국(DARPA)는 ‘디프라이브(DPRIVE)’라는 프로젝트를 통해 동형암호향 하드웨어 개발에 많은 비용을 투자하고 있다. 이 프로젝트에는 인텔, MS 등 대기업부터 스타트업과 학계까지 참여하고 있으며, 최종 목표는 2025년까지 암호화 미적용 데이터 처리 속도 대비 10배로 알려져 있다.

또한 인텔에서는 동형암호를 가속화하기 위한 SW 기반의 최적화 툴도 개발, 제공하고 있다. 인텔의 동형암호화 툴킷은 최신 인텔 플랫폼에서 동형암호 기반 클라우드 솔루션의 성능을 향상시킬 수 있도록 설계돼 있다. 동형암호에서 사용되는 격자 암호 커널에 최적화된 ‘인텔 AVX-512(Intel Advanced Vector Extensions 512)’ 가속 지침을 구현한다. 다만 인텔의 동형암호 툴킷은 MS ‘씰(SEAL)’ 및 ‘팰리세이드’ 라이브러리에 최적화된 버전만 제공되고 있다.

 인텔에서 예상하는 동형암호 활용 사례(출처: 인텔)
인텔에서 예상하는 동형암호 활용 사례(출처: 인텔)

 

격자 기반 암호 알고리즘 적용

그렇다면 현재 상용화된 암호기술로는 동형암호를 구현할 수 없는 것일까. 업계에서는 제한된 연산을 지원하는 동형암호는 구현이 가능하지만, 사실상 어렵다고 말한다. 공인인증서, HTTPS 등에서 다양하게 활용되고 있는 공개키 기반 암호 기술인 ‘RSA(알고리즘 발명자인 Rivest, Shamir, Adelman 세 사람 이름의 첫 글자) 알고리즘’ 또는 국제 표준으로 지정된 ‘Paillier 알고리즘’ 등에도 곱셈 또는 덧셈 중 하나의 연산만 지원하는 부분 동형암호 알고리즘들이 포함돼 있다. 다만 실제 시스템에 적용돼 사용되고 있는 알고리즘에는 동일 데이터에 대해서도 다양한 암호문을 출력하기 위한 ‘랜덤 패딩 기술’이 적용돼 있어, 동형암호적인 성질을 만족하지 않는다.

현재 연구되고 있는 동형암호 기술은 격자 암호 알고리즘을 기반으로 한다. 격자 암호 알고리즘은 LWE(Learning with Errors) 등의 수학적 난제를 기반으로 설계된다. 격자 암호 알고리즘은 양자내성암호로도 각광받고 있을 만큼 보안성이 높은 기술로 평가받는다. 양자컴퓨터로도 풀어낼 수 없는 난제이기 때문에, 암호화된 데이터를 해독하는 것은 불가능하다는 것이다. 격자 암호 알고리즘에는 NTRU, SS-NTRU, BLISS, New Hope, NTRU 프라임, LWE-Frodo 등이 있다.

격자 암호 알고리즘 종류(출처: KISA)
격자 암호 알고리즘 종류(출처: KISA)

마이클 오스본 IBM 매니저는 “완전 동형 암호화는 격자 수학을 기반으로 한다. 격자 수학은 반복되는 다차원 격자 모양의 점 모음을 이용한다. 격자 기반 체계는 이 격자 내부에 데이터를 숨기는데, 한 지점에서 일정 거리 떨어뜨려 놓는다. 암호화된 메시지가 격자 지점에서 얼마나 멀리 떨어져 있는지 알아내는 것은 양자컴퓨터나 기존 컴퓨터 모두에서 매우 어려운 것으로 평가받고 있다. 그러나 비밀 키를 알고 있으면 메시지를 쉽게 얻을 수 있다”고 설명했다.

조지훈 삼성SDS 센터장 또한 “동형암호 기술의 경우 LWE 문제라고 불리는 수학적 난제에 기반해 데이터를 보호한다. 즉 LWE 문제가 어렵다면 동형암호 기술이 데이터를 보호할 수 있다는 의미”라면서, “기존 암호 기술은 데이터를 보호하기 위해 랜덤 패딩 기술을 활용하고 있으며, 동형암호에서도 기존 암호화 기술과 유사하게 암호화할 때 작은 임의의 값을 더하는 방식으로 암호 기술의 조건을 만족하고 있다”고 말했다.

현재 국내에서 동형암호 기술을 활용한 ‘K-통계시스템 구축 사업’을 수행하고 있는 마크애니의 김동호 부장은 “동형암호도 기존의 암호기술과 방식은 비슷하다. 하지만 동형암호적인 성질을 위해서는 암호문이 연산 후에도 그 구조를 유지해야 하는 것이 차이점”이라면서, “즉 암호화 기술 안전성에 기반이 되는 어려운 수학적 문제가 이러한 동형적 성질을 가져야 한다. 대표적으로 격자 암호 알고리즘은 이러한 성질을 만족한다. 그래서 현재 많은 동형암호들은 격자구조에서의 수학적 난제(LWE 종류)를 기반으로 설계되고 있다”고 설명했다.


흥미로운 신기술에서 실제 적용 가능 기술로

동형암호를 실제 활용하기 위한 연구도 지속되고 있다. 먼저 서비스에 가장 많은 관심을 보이고 있는 기업은 IBM이다. 마이클 오스본 IBM 매니저는 “IBM은 IBM 리서치에서 개발한 기술과 툴을 기반으로, IBM 클라우드의 확장 가능한 호스팅 환경을 통해 동형 암호화 서비스를 제공하고 있다. 이와 함께 동형암호 프로토타입 솔루션에 대해 배우고 설계할 수 있도록 돕는 컨설팅, 교육 및 관리 서비스를 함께 제공하고 있다. 또한 동형 암호화를 구현하는 HELib 오픈 소스 소프트웨어 라이브러리와 맥(mac)OS, iOS 및 리눅스(Linux) 용 완전 동형 암호화 툴킷을 제공하고 있으며, 유닉스와 안드로이드용 툴킷도 개발하고 있다”고 소개했다.

이어 그는 “완전 동형 암호화를 사용하면 클라우드에서 동형적으로 암호화된 유전자 염기서열을 기반으로 임상 실험에 알맞는 환자를 찾아내기 위해 머신러닝을 사용할 수 있다. 시스템은 민감한 데이터를 노출하지 않고도 알맞은 환자를 찾아 암호화된 결과를 내놓을 수 있다”고 말하며, 동형암호 활용사례에 대해서도 소개했다.

IBM은 지난해 브라데스코 은행(Banco Bradesco)과 함께 실제 재무데이터에 동형암호 기술을 적용한 사례를 연구한 논문을 발표했다. IBM과 브라데스코 은행팀은 거래 데이터와 기존 머신 러닝 기반 예측 모델을 가져와 두 가지 실험을 했다. 먼저 데이터와 모델을 동형 암호화해 암호화를 사용하지 않았을 때와 동일한 정확도로 예측을 수행할 수 있음을 확인했다. 마이클 오스본 매니저는 “이는 은행들이 신뢰할 수 없는 환경에서도 예측 실행 작업을 안전하게 아웃소싱 할 수 있음을 의미한다”고 설명했다.

그 다음 실험을 통해서는 암호화된 데이터를 사용, 모델을 훈련해 데이터의 개인정보를 보호하기 위해 동형 암호화를 사용할 수 있음을 확인했다. 마이클 오스본 매니저는 “일반적으로 금융 기관은 고객에 대한 정보를 수집해 한 사람이 식료품, 휘발유 등에 지출하는 금액을 분석하고 해당 고객이 곧 대출이 필요할지 여부를 예측한다. 은행의 분석가는 해당 예측을 수행하기 위해 일반적으로 개인의 재무 이력에 대한 가장 중요한 특징을 수작업으로 식별하는데, 약 1,000개의 특징 중에서 몇 가지를 선택한다. 이러한 작업을 진행하는 동안 분석가들은 데이터에 접근할 수 있으며 잠재적으로 데이터를 손상시킬 수 있다. IBM은 이러한 과정에서 완전동형암호화를 통해 데이터를 보호하면서도 분석할 수 있음을 확인했다”고 말했다.

IBM은 해당 논문을 통해 처리 과정에서 데이터와 결과를 감추고서도 암호화된 예측을 수행할 수 있음을 보여줬으며, 현재 다른 방법으로는 불가능한 수준의 프라이버시 보호 역량을 확보했다고 평가했다.

마이클 오스본 매니저는 “완전 동형 암호화는 암호화 전문가뿐만 아니라 데이터 사이언티스트와 일반 애플리케이션 개발자도 접할 수 있는 기술이 되고 있다. 진입 장벽을 줄여 완전 동형 암호화를 모두가 사용할 수 있게 하는 것이 IBM이 추구하는 방향이다. 간단히 말해서 완전 동형 암호화를 더 빠르고 사용하기 쉽도록 개방형 기술을 기반으로 만들고 클라우드 서비스로 사용할 수 있도록 하고 있다. 보다 구체적으로 특정 유형의 문제에 대해 IBM 리서치의 완전 동형 암호화는 12줄 미만의 코드로 마이크로초 속도로 작동한다. 완전 동형 암호화는 10년의 연구 끝에 흥미로운 신기술에서 기업이 테스트를 해보고 실제 도입할 수 있는 기술로의 변곡점에 와 있다”고 강조했다.

마지막으로 그는 “올해 안에 IBM 클라우드를 통해 엔터프라이즈 클라이언트에서 사용할 수 있는 오픈 소스 레벨과 프리미엄 레벨 모두에서 몇 가지 새로운 완전 동형 암호화 서비스를 출시할 예정”이라고 말했다.


국내에서도 동형암호 활용 방안 연구

국내에서도 동형암호를 활용하기 위한 연구가 활발하게 진행되고 있다. 지난 6월에는 마크애니가 동형암호 기술 활용한 ‘K-통계시스템 구축 사업’을 수주하고, 시스템 개발에 착수했다. 이 사업은 3년 간 총 55억 원이 투입되며, 주관기관인 마크애니를 비롯해 시큐센과 고려대학교가 참여한다. 마크애니는 동형암호 기반 통계분석시스템 설계와 개발을 담당한다.

 동형암호를 활용한 국가통계분석시스템 개발 목표(출처: 마크애니)
동형암호를 활용한 국가통계분석시스템 개발 목표(출처: 마크애니)

김동호 마크애니 부장은 “아직까지 동형암호 알고리즘은 표준화된 부분이 없는 상황이다. 그렇기 때문에 알고리즘의 종류가 바뀔 가능성이 높다”면서, “이에 마크애니는 다양한 연산과 다양한 알고리즘을 지원하는 기술을 개발하고 있다”고 설명했다.

동형암호에 대한 관심이 높아지면서 디사일로, 크립토랩 등 관련 기업에 대한 투자도 활발하게 이루어지고 있다.

디사일로는 지난 7월 60억 원 규모의 시리즈A 투자를 유치했다. KB 인베스트먼트, 슈미트, 본엔젤스 등과 함께 네이버의 스타트업 양성 조직 D2SF가 투자에 참여했다. 디사일로는 동형암호 기술에 기반을 둔 데이터 분석·거래 플랫폼을 개발 중이다. 이 플랫폼은 민감한 정보 유출을 원천 차단해 원본 데이터를 보호하면서도 기업 간 데이터 결합 분석이나 거래를 원활하게 구현하는 것이 특징이다. 디사일로는 연내 베타 버전을 선보일 계획이다.

크립토랩은 LG유플러스, KB국민은행, 네이버클라우드, 코리아크레딧뷰로(KCB), 삼성SDS 등과 협력관계를 이어가고 있다. 특히 LG유플러스로부터는 지분 투자도 유치했다. 더불어 크립토랩은 동형암호 데이터 분석 솔루션 ‘혜안스탯(HEaaN.STAT)’을 활용해 코리아크레딧뷰로, 국민연금공단, 한국신용정보원, 금융보안원 등과 공동으로 국민연금 납부 데이터와 신용데이터를 결합·분석하는 데 성공했다. 이는 동형암호 상용화 성공 사례로 평가받는다.

삼성SDS는 개인정보보호 규제가 강화되는 추세에 따라, 동형암호 기술과 함께 PETs(Privacy Enhancing Technologies)기술 등을 제공, 안전한 개인정보보호 환경을 구현할 수 있도록 지원한다는 전략이다.

<인터뷰> “동형암호와 PETs 기술 조합해 안전한 데이터 활용 환경 구현”
조지훈 삼성SDS 보안연구센터장
조지훈 삼성SDS 보안연구센터장

 

“개인정보를 보호하면서 데이터를 분석하거나 공유하려면 동형암호 외에도 다양한 PETs(Privacy Enhancing Technologies)를 적절히 조합해서 사용해야 한다. 특히 최근 PETs기술을 보유한 업체는 데이터를 보호하면서 안전하게 데이터 간 교집합(예: 공통고객의 수, 특정 조건을 만족하는 속성의 합 등)을 계산할 수 있는 PSI(Private Set Intersection) 기술을 활발히 적용하고 있다. 이 기술도 동형암호 기술 외에도 기존에 안전성이 이미 증명된 다자간 계산(Multiparty Computation)과 같은 PETs기술을 함께 적용한다. PSI의 경우 삼성SDS는 구글이 보유한 PSI기술 대비 10배 이상의 속도를 제공한다.”

조지훈 삼성SDS 보안연구센터장은 삼성SDS의 동형암호 기술 연구 방향성에 대해 이같이 설명했다.

조지훈 센터장은 “동형암호는 단지 하나의 빌딩블록이다. 이 기술 외에도 밑단에서는 고속화를 위한 다양한 기술이 필요하며, 또한 동형암호 기반으로 데이터를 사용할 수 있는 다양한 함수개발이 필요하다. 또한 데이터분석가들이 편리하게 사용할 수 있는 UI도 함께 제공돼야 한다”고 말했다.

이어 “무엇보다 데이터 분석 및 활용, 공유에 있어 동형암호 기술 외에도 다자간계산(MPC, Multiparty Computation), 기밀컴퓨팅(CC, Confidential Computing), 연합학습(Federated Learning)등 타 PETs기술과 결합해 사용될 것으로 예상된다”면서 “마지막으로 동형암호를 비롯한 PETs 기술들은 데이터 공유나 분석 시 개인정보를 강화할 수 있는 기술이다. 이러한 기술들이 활성화되려면 먼저 데이터를 공유하고 분석할 수 있는 효과적이고 투명한 플랫폼이 제공돼야 한다. 클라우드와 블록체인 기반 기술이 이를 가능하게 할 수 있다”고 설명했다.

또한 그는 “시장의 상황을 보면 아직도 많은 기업들이 자신들이 보유하고 있는 데이터의 가치에 대한 이해도와 혹은 기업, 조직 간 어떻게 가치를 부여할 것인가에 대한 합의가 부족한 상황이다. 아직 많은 기업이나 기관들이 데이터를 활용하는 역량, 무엇보다 데이터를 결합해 더 많은 인사이트를 얻을 수 있는 역량이 부족한 실정이다. 향후 이러한 데이터 역량이 조직의 역량이 될 것이고, 이러한 역량이 향상됨에 따라 동형암호를 비롯한 PETs기술의 니즈가 더욱 증가할 것으로 예상하고 있다”고 강조했다.


“동형암호 기반 PSI, AI 예측 등 활용사례 나올 것”

조지훈 센터장은 동형암호 기술을 활용해 PSI 기반 비밀번호 유출 조회 서비스 등이 등장하고 있다고 소개했다. 그는 “최근 MS에서 에지 브라우저를 사용하는 사용자를 대상으로 비밀번호가 해커에게 노출됐는지 점검해주는 서비스를 PSI기반으로 제공하고 있다. 이때 MS는 비밀번호에 대한 어떠한 정보도 알 수 없으며, 심지어 해당 비밀번호가 유출됐는지도 알 수 없다. 오직 사용자만이 유출유무를 확인할 수 있다”고 설명했다.

이어 “아직 적용된 사례는 아니지만, 최근 국내에서 데이터결합 전문기관을 지정해 데이터 결합에 대한 시범사업을 진행하고 있다. 이때 공통되는 고객의 수가 많을수록 데이터 결합의 효과가 커진다. 동형암호기반 PSI기술을 사용하면 데이터 결합 전, 빠르고 안전하게 사전결합율(공통고객의 비율)을 계산할 수 있다”고 덧붙였다.

조지훈 센터장은 AI 모델을 활용하는 방안에도 동형암호가 큰 역할을 할 것이라고 전망했다. 그는 “예를 들어 특정 조직(A사)은 다수의 데이터 분석가 및 데이터를 보유하고 있어 다양한 AI모델을 보유하고 있을 수 있다. 하지만 타 기관(B사)에서 이러한 모델을 사용하고자 할 때 문제가 발생한다. A사에서는 AI모델 자체가 자산이라 외부 유출을 꺼릴 수 있다. 또한 외부로 보낸 AI 모델로부터 데이터 분석에 사용된 원본 데이터가 유출될 가능성도 있다. 그렇다고 해서 해당 AI모델을 사용하고자 하는 B사가 고객의 개인정보를 동의 없이 A사로 보낼 수 없다. 이러한 상황에서 동형암호를 사용하면 문제를 해결할 수 있다”고 설명했다.

즉, B사가 개인정보를 동형암호화해 A사로 보내면, A사는 동형암호화된 데이터를 해당 AI모델에 주입해 결과를 계산하게 되며(결과 역시 암호화돼 있음), 그 결과를 보내주면 B사에서 안전하게 복호화해 확인할 수 있게 되는 것이다.


차등정보보호, 재현데이터, 동형암호·다자간계산 등 세 가지 관점으로 연구 진행

조지훈 센터장은 “데이터를 안전하게 활용하고 공유하려면 동형암호 외에도 PETs기술들이 필요하다. 삼성SDS는 ▲차등정보보호 ▲재현데이터 ▲동형암호 및 다자간계산 등 세 가지 관점에 맞춰 연구 개발을 진행하고 있다”고 말했다.

 삼성SDS 개인정보보호 및 활용 기술 전략(출처: 삼성SDS)
삼성SDS 개인정보보호 및 활용 기술 전략(출처: 삼성SDS)

그의 설명에 따르면, 첫 번째 데이터의 조회 및 분석 결과를 외부에 전송할 때 프라이버시의 노출 정도를 정확하게 측정할 필요가 있다. 프라이버시 측정 툴(Privacy Measurement Tool)로 주목 받고 있는 차세대 기술이 ‘차등정보보호기술(Differential Privacy)’이다. 차등정보보호기술은 구글이나 애플에서 사용하고 있으며, 올해부터 미국 인구조사(US Census)에서도 활용되고 있다.

두 번째, 데이터분석가들은 데이터 기반으로 전처리나 다양한 분석을 시도한다. 이러한 모든 기능이 동형암호로 제공되기는 어렵다. 이때 원본데이터와 유사한 통계적, 확률적 특징을 가지는 모조데이터를 AI기반으로 생성해 공유가 가능하다. 이렇게 생성된 데이터를 ‘재현데이터(Synthetic Data)’라고 하며, 현재 사용되고 있는 다양한 비식별화 기법(총계처리, 라운딩기법 등)보다 높은 개인정보보호와 데이터분석 정확도 분석 측면의 활용성을 제공할 수 있을 것으로 예상된다.

마지막으로 동형암호와 같이 데이터를 안전하게 결합, 분석할 수 있는 기술이 필요하다. 동형암호 단독으로는 많은 데이터 분석 활용 사례를 충족할 수 없기 때문에 다자간 계산, 혹은 연합학습 등 다양한 기술이 조합돼 사용이 돼야 한다는 설명이다.

 

저작권자 © 아이티데일리 무단전재 및 재배포 금지