암호화(Encryption)의 역할

암호화가 왜 필요한가? 이것이 하고자 하는 목표는 뚜렷하다. A가 B에게 데이터를 전송할 때 이 데이터는 B가 아닌 다른 어느 누구도 들여다 봐서는 안된다는 것이다. 그것을 만족시키기 위해서는 A와 B만이 알고 있는 방법을 이용해서 원본 데이터를 위장할 필요가 있다. 제3자는 A가 보내는 데이터를 네트워크에서 훔쳐낼 수는 있지만 A가 보낸 완전한 원본 데이터를 알아낼 수는 없다. 그 방법은 B만이 알고 있기 때문이다.

A가 B에게 보내는 데이터의 종류는 중요하지 않다. A가 B라는 인터넷쇼핑몰에서 물건을 구입하고 자신의 신용카드 번호를 넘겨주는 것일 수도 있고, A가 B라는 사용자에게 회사의 기밀을 담고 있는 전자메일을 전송하는 것일 수도 있다. 어떠한 유형의 데이터이든지 상대방이 아닌 다른 사람은 데이터를 열수 없도록 하기 위해서는 ‘암호화’와 같은 방법이 필요하다.

 

현재 이러한 암호화가 제공하고자 하는 것, 즉 업계에서 암호화를 통해서 얻고자 하는 요구사항은 크게 4가지로 정리해 볼 수 있다. 잘 정리해 보자. 앞으로의 내용들을 이해하는데 필수적인 사항들이다.

 

요구사항	내용	예제
Confidentiality (기밀성)	Privacy라고도 표현할 수 있다. A가 B에게 데이터를 보낼 때 B가 아닌 어느 누구도 이 데이터를 열어봐서는 안 된다는 것이다.	인터넷쇼핑몰에서 주문을 하고 신용카드로 결제를 하고자 “신용카드 번호 와 유효기간”을 입력했다. 이때 지켜야 할 데이터는 ‘카드번호와 유효기간’이다.
Authenticity (신뢰성)	A가 B에게 데이터를 보낼 때 데이터를 받은 B는 자신이 받은 데이터가 정말 A가 보낸 것이 맞는지 확인해야 한다는 것이다. 그러기 위해서 A는 자신의 신원을 B에게 증명할 수 있어야 한다.	B지사는 본사로부터 가지고 있는 모든 외환을 처분하라는 지시를 전자메일로 받았다. 이 전자메일이 정말 본사로부터 온것인지 확인하기를 원한다.
Integrity (무결성)	원본 데이터의 훼손이 없어야 한다는 것을 뜻한다. 무결성이 보장된다는 것은 Confidentiality와는 다르다. A가 B로 보내는 데이터를 제3자가 열어볼 수도 있다. 그렇지만 제3자가 데이터를 변조하거나 바이러스 코드를 심는다면 무결성이 깨지는 것이다. B는 데이터를 받고서 A가 보낸 원본과 정확히 일치하는지 판단할 수 있어야 한다.	위에서 B지사는 본사로부터 온 전자메일이라는 것을 신뢰하게 되었다. 이번에는 데이터의 내용이 본사가 보낸 내용 그대로라는 확인이 필요하다. 제3자가 중간에서 데이터를 변조했을 수도 있기 때문이다.
Non-repudiation (부인방지)	전자상거래를 하는데 A가 B에게 돈을 받고서 오리발을 내민다. 혹은 B가 A에게 물건을 받고서 언제 주문했었느냐고 딴소리를 하고 있다. 이것을 방지할 필요가 있다는 것이다.	인터넷서점을 운영하는데 고객의 주문을 받아 책을 발송했는데 변심한 고객이 책을 주문한 적이 없다고 한다. 책 주문의 마지막 과정에서 고객의 전자서명을 받음으로써 증거를 확보할 수 있다. 다만 실효성과 운영의 문제가 뒤따른다.

암호화를 통해서 위의 4가지 요구사항을 해결해야 한다. 암호화를 한다는 것은 데이터를 통신의 양자간에만 알 수 있는 ‘방법’을 통해서 데이터를 변경시키는 작업을 의미한다. 이때 ‘방법’에 해당하는 것이 바로 ‘키(Key)’이다. 이 Key가 어떻게 사용되는가가 암호화를 이해하는데 가장 관건이 된다.

개념은 단순하다.

A는 데이터를 암호화키(Encryption Key)를 이용해서 걸어잠그고(암호화하고), B는 복호화키(Decryption Key)를 이용해서 해독하는 것이다.

 

출처: 정보|기술|커뮤니케이션|사람들 Information Communication Technology & People