“암호 시스템이 위험하다.” 보안 전문가들은 입 모아 말합니다. 양자컴퓨터 때문입니다. 기존 암호 시스템에선 난수로 암호키를 만듭니다. 하지만 양자컴퓨터 앞에서 기존 난수 생성 로직은 보안에 취약해지고 맙니다. 양자컴퓨터가 수많은 경우의 수를 동시 연산해 ‘난수 생성 패턴’을 순식간에 파악하기 때문입니다.
그러나 창이 있다면 방패가 있게 마련이죠. 최근 SKT와 삼성전자는 양자컴퓨팅의 해킹 가능성을 차단하는 스마트폰, ‘갤럭시 A 퀀텀(Galaxy A Quantum)’을 선보였는데요. SKT 퀀텀성장추진팀 엄우현 님과 Smart Device PM팀 조승현 님을 만나 그 이야기를 자세히 들어봤습니다.
암호 시스템, QRNG로 양자컴퓨터에 맞서다
‘양자 난수’는 무엇일까요. 양자(Quantum)란 더는 쪼갤 수 없는 물리량의 최소 단위를 말합니다. 불확정성, 비가역성, 예측 불가능성이란 특성을 띱니다. 양자 난수는 이런 특성을 활용해 만들어진 난수입니다. 쉽게 말해 자연에서 무작위로 일어난 현상에 숫자를 대입해 만든 순수 난수입니다.
SKT가 삼성전자 ‘갤럭시 A 퀀텀’에 심은 양자난수생성기(QRNG : Quantum Random Number Generator)로 암호키를 생성하면, 보안성은 차원이 달라집니다. 기존 난수로 만들었던 암호키와 비교할 수 없을 정도로 말이죠. SKT는 2017년 스위스 양자암호기술회사 IDQ를 인수했는데요. 이번에 출시된 ‘갤럭시 A 퀀텀’은 그동안 SKT가 다져놓은 QRNG 기술의 결과물이라 할 수 있겠습니다.
QRNG, 비교 불가능한 암호 품질을 갖추다
SKT Insight: 이번 프로젝트에서 어떤 업무를 담당했는지 궁금합니다.
엄우현 님: IDQ와 함께 QRNG 칩을 개발하는 업무를 맡았습니다.
조승현 님: 삼성전자와 협력해 QRNG 칩을 스마트폰에 적용하는 프로젝트를 담당했습니다.
SKT Insight: QRNG가 기존 난수생성기와 비교해 다른 점은 무엇인가요?
조승현 님: 진짜(True) 난수(Random number)는 컴퓨터 구조상 만들 수 없습니다. 수학적 알고리즘과 보조 장치 등을 통해 진짜 난수처럼 보이게 할 뿐입니다. 유사 난수라고 하죠. 인풋(Input) 값에 ‘시간’을 넣는다고 생각해 봅시다. 시간은 계속 변하니까, 아웃풋(Output)은 계속 달라집니다. 하지만 이 아웃풋을 꾸준히 보면 일정한 패턴이 드러납니다. 예측 가능성이 있는 것이죠.
반면 QRNG는 알고리즘이 아닙니다. “랜덤 값을 줘” 한마디면 순수 난수를 줍니다. A4 용지 위 1미터 높이에서 분무기로 물을 뿌린다고 가정해 봅시다. 물방울이 몇 개나 떨어질까요? 뿌릴 때마다 제각각이겠죠. 이런 물리적 랜덤 현상을 난수 발생기에 접목한 사례가 QRNG인 것입니다. 추출한 난수는 예측 불가능하고, 편향성이 없으며, 앞뒤 숫자 간 어떤 연관성도 없습니다. 생성 패턴 추적이 불가능하다는 의미입니다.
SKT Insight: QRNG는 어떻게 양자 난수를 뽑아내나요?
엄우현 님: LED 광원에서 나오는 빛을 미시적으로 파고들면 쪼갤 수 없는 가장 작은 빛 입자(광자)가 나타나는데요. QRNG는 LED 광원에서 방출된 이러한 빛 알갱이를 CMOS 이미지 센서로 감지하는 구조로 되어 있습니다. QRNG는 일정한 시간 동안, 일정한 센서 면적 안에서 감지되는 광자의 개수를 측정하고요. 그 랜덤한 수를 디지털화해 양자 난수로 뽑아냅니다.
양자 기술, 스마트폰으로 들어가다
SKT는 삼성전자와 협력해 ‘갤럭시 A 퀀텀’에 QRNG 칩을 적용했습니다. 세계 최초 양자보안 5G 스마트폰이 탄생한 셈입니다. 챠밍 포인트는 역시 QRNG. ‘갤럭시 A 퀀텀’에 저장되는 ‘일부 서비스 정보’는 양자 난수로 보호됩니다. 이는 복호화나 조작의 가능성을 더 줄여준다고 합니다.
SKT Insight: 세계 최초 양자보안 5G 스마트폰의 탄생은 어떤 의미로 보아야 할까요?
엄우현 님: 혁신이죠. 양자 현상을 만드는 것은 어렵습니다. 작은 칩에 집약하는 건 더 어렵습니다. SKT는 손톱 10분의 1보다 작은 칩으로 만들었고, 스마트폰에 넣었습니다. 이로써 생산성이 떨어졌던 QRNG 칩이 마침내 상용화 수준을 밟게 됐다고 평가합니다.
SKT Insight: ‘갤럭시 A 퀀텀’으로는 무엇을 할 수 있나요?
조승현 님: 암호화/복호화에 쓰는 암호키의 일부를 양자 난수 기반으로 만들 수 있습니다. 현재 사용 가능한 서비스는 T아이디[관련영상], Initial[관련영상], SK pay[관련영상] 세 가지[관련영상]입니다. T아이디는 28개 SKT 서비스(wavve, 11번가 등)에 단일 아이디로 로그인하는 서비스입니다. QRNG 기반의 Quantum OTP(Q-OTP)를 제공합니다. 이를 통한 2단계 인증 덕분에 각종 서비스를 더욱 안심하고 이용할 수 있습니다.
Initial은 블록체인 기반의 모바일 증명서 Wallet입니다. 개인정보(각종 증명서)가 담기는 만큼 암호화가 중요하겠죠. 블록체인 Wallet의 암호화 Key를 생성하는 데 QRNG가 적용됩니다. SK pay에도 QRNG가 녹아듭니다. 이용자 생체 정보 접근을 위한 Key가 QRNG를 통해 생성됩니다.
SKT는 QRNG 기반 서비스를 지속해서 추가할 예정인데요. 오픈 API와 라이브러리를 공개하고 개발을 지원하며 생태계도 조성할 계획입니다.
QRNG, 모바일을 넘어서다
SKT Insight: QRNG는 순수 난수가 필요한 다양한 곳에 활용될 것으로 기대되는데요. 두 분은 어떤 미래를 그리고 있을까요?
엄우현 님: 작년 3월에는 5G/LTE 가입자 인증 서버에 QRNG 기술을 도입했습니다. 가입자 개인정보 보안이 한층 강화됐죠. 앞으로 보안을 중시하는 클라우드 서버 스토리지와 IoT 단말, VPN 장비 영역으로 분야를 넓혀볼 계획입니다.
조승현 님: ‘갤럭시 A 퀀텀’은 QRNG 활용 제품의 초석과 같은 스마트폰입니다. 향후엔 보안 가능한 서비스 영역도 확대할 예정입니다. 또한, QRNG 칩 탑재 기종이 늘어나도록 지속해서 노력할 계획입니다.
양자컴퓨터와 같은 신기술은 빛과 그림자를 동반한다는데요. 한발 앞서 미래에 대비하는 이 두 사람을 든든하게 믿어봅니다.