앨런 튜링의 전쟁은 아직도 진행 중이다

앨런 튜링의 전쟁은 아직도 진행 중이다

제2차 세계대전 뒤에 숨은 암호이야기

인류 역사상 가장 큰 비극이었던 제1, 2차 세계대전을 종결지은 일등공신이 암호라는 사실을 아는가? 특히 수학자 튜링은 절대 해독이 불가능할 것으로 여겨지던 독일군의 암호기계 ‘에니그마’를 깨트림으로써 연합군의 승리에 크게 한몫했다.

2018년 11월 11일은 무슨 날이었을까? ‘빼빼로데이’라고 답하는 독자들이 있을지 모르겠다. 일리 있는 답변이지만, 역사적으로는 제1차 세계대전이 끝난 지 정확히 100년이 되는 날이었다. 제1차 세계대전은 무려 1,500만 명의 사망자가 발생한 인류의 비극이었다. 전쟁에서 패배는 곧 죽음을 의미하기에, 참전국들은 가능한 수단과 방법을 모두 동원해 싸움에서 이길 방안을 찾는 데 골몰했다. 그 과정에서 과학기술이 비약적으로 발전했다.

제2차 세계대전 당시 암호기계인 에니그마로 암호 전문을 보내고 있는 독일군 병사들©German Federal Archives

특히 제1차 세계대전을 계기로 크게 발전한 과학기술 분야는 바로 통신이었다. 1901년 이탈리아의 마르코니가 최초로 대서양 횡단 무선통신에 성공하면서 무선통신은 하나의 대세가 되었다. 전쟁기간 동안 병력의 이동, 작전계획, 지휘관 교체 등 방대한 군사정보가 모두 전파를 타고 전해졌다.

참전국들은 적의 전파를 포착해 정보를 캐내느라 혈안이 되었고, 상대국은 보안을 위해 암호를 도입했다. 그렇게 양측은 총포탄이 빗발치는 전쟁터 밖에서 보이지 않는 싸움을 벌였다. 이 과정에서 암호학이 크게 발전했고, 인간의 능력으로는 해결할 수 없는 방대한 계산을 대신할 컴퓨터가 등장하는 등 기술 전반에 광범위한 발전이 이루어졌다.

암호로 흥한 독일, 암호로 몰락하다

제1차 세계대전 당시 영국의 수상이었던 처칠은 자서전 <세계의 위기>에서 ‘영국은 이미 전쟁 초기에 독일군의 암호를 해독하는 데 성공했다’고 기록했다. 전쟁이 끝난 지 20여 년 만에 다시 제2차 세계대전을 일으킨 독일은 ‘이번만큼은 절대 뚫리지 않는 철통같은 암호체계를 만들겠다’는 목표를 내걸고 새로운 암호를 개발하는 데 온 심혈을 기울였다. 그 결과 탄생한 것이 암호기계 ‘에니그마Enigma’였다.

독어로 ‘수수께끼’를 뜻하는 에니그마는 마치 구형 타자기처럼 단순하게 생겼지만, 연합군 최고의 암호분석가들도 풀 엄두를 못 낼 만큼 복잡한 암호를 만들어낼 수 있었다. 독일군이 타자기 자판처럼 된 입력장치로 알파벳을 입력하면 에니그마 내부에서는 회전자回轉子가 톱니바퀴처럼 돌아가면서 전류의 방향을 바꿔주고, 표시장치에는 입력한 것과는 전혀 다른 알파벳이 적힌 램프에 불이 들어오는 방식으로 암호를 만들어낸다.

자판으로 알파벳을 입력하면 기계 내부에서는 회전자가 톱니바퀴처럼 돌아가면서 입력한 것과 다른 알파벳이 적힌 램프에 불이 들어오는 식으로 암호를 만든다.

간단히 말하자면 에니그마는 A를 입력하면 A가 아닌 다른 알파벳으로 바꾸어 암호화해 주는데, 에니그마의 각종 설정 및 송-수신자간 개인설정을 맞추면 암호화된 알파벳을 원래 알파벳으로 되돌려 서로 정상적인 통신을 할 수 있게 되는 것이다. 스물여섯 개의 알파벳을 입력할 경우 생성 가능한 암호의 가짓수는 150조 개나 되었다. 게다가 독일군은 연합군이 에니그마를 탈취할 경우를 대비해 날마다 에니그마 내부의 회전자 순서와 위치, 전기플러그 조합을 바꿈으로써 24시간이 지나면 무용지물이 되도록 했다. 독일이 “에니그마는 그 누구도 뚫을 수 없다”며 자신만만했던 것도 무리는 아니었다. 에니그마에 힘입어 독일군 지휘부는 일선부대에 작전계획을 신속·정확하게 하달할 수 있었고, 독일군은 전쟁 초기부터 연합군을 상대로 승리를 거듭했다.

물론 연합군도 이를 두고 보고 있지만은 않았다. 영국 버킹엄셔주의 블레츨리 파크 내에 비밀 연구팀을 꾸리고 에니그마 해독 작업에 몰두했다. 이를 주도한 것이 천재수학자 앨런 튜링이었다. ‘150조 개가 넘는 경우의 수를 일일이 계산하기란 불가능하다. 결국 기계의 힘을 빌려야 한다’는 것이 튜링의 생각이었다. 최고의 과학자들과 밤낮을 가리지 않고 수년간 연구에 매달린 끝에 1941년, 튜링은 에니그마 해독기계인 봄베Bombe를 만들었고, 1943년에는 세계최초의 컴퓨터 콜로서스Colossus를 개발해 마침내 에니그마 해독에 성공했다.

‘수수께끼’를 뜻하는 에니그마는 구형 타자기처럼 생겼지만, 연합군 최고의 암호분석가들도 풀 엄두를 못 낼 만큼 복잡한 암호를 즉석에서 만들어내거나 해독할 수 있었다.

암호가 뚫린 이상, 전쟁은 이미 끝난 것이나 다름없었다. 독일군의 작전이나 병력이동은 연합군에 고스란히 노출되었고, 연합군은 이를 활용해 전쟁 초반의 부진을 만회하며 패색이 짙던 전황을 역전시켰다. 악명 높은 독일군 잠수함 U보트 함대를 궤멸시켜 대서양 항로를 탈환한 연합군은, 1944년 노르망디 상륙작전마저 성공시킴으로써 승리의 발판을 마련했다.

상황이 이런데도 독일군은 에니그마를 과신한 나머지 암호체계를 재정비하기보다는 내부에 간첩이 있을 것으로 의심했다고 한다. 에니그마는 독일군의 생각처럼 사람은 풀 수 없었지만, 암호 해독을 위해 만들어진 컴퓨터는 풀 수 있었던 것이다. 콜로서스가 암호를 해독할 수 있도록 도움을 준 것은 보안을 소홀히 한 독일군 암호병들의 안일한 습관이었다. ‘한번 쓴 설정 값은 다시 쓰면 안 된다’는 원칙에도 불구하고 그들은 자신이 좋아하는 특정문자나 쉬운 단어를 계속 개인 설정 값으로 이용했다. 이는 연합군이 에니그마 파해법을 찾는 결정적 힌트가 되었고, 독일의 패전으로까지 이어졌다.

에니그마를 해독하는 데 성공한 천재수학자 ‘앨런 튜링’의 실화를 바탕으로 한 영화 ‘이미테이션 게임’. 그가 암호 해독을 위해 개발한 콜로서스는 오늘날 컴퓨터의 원형으로 알려져 있다.

누구도 대신 지켜줄 수 없는 자원, 개인정보

제2차 세계대전은 끝났지만, 전쟁은 지금도 계속되고 있다. 바로 우리의 소중한 개인정보와 사생활을 지키기 위한 ‘보안전쟁’이다. 이 순간에도 해커들은 여러분의 개인정보와 재산을 호시탐탐 노린다. 최근 10년 동안 일어난 개인정보 유출사건들 중 굵직한 것들만 짚어보자.

2008년 2월, 옥션 해킹사건:

온라인 상거래 사이트 ‘옥션’이 해킹당해 회원 1,860만 명의 개인정보가 유출되었다. 당시 온라인으로 금융거래가 가능했던 국민 대부분의 개인정보가 해킹되었다.

2011년 7월, 네이트 해킹사건:

지금의 카톡만큼 인기를 누리던 네이트온 메신저와 싸이월드의 운영사인 SK커뮤니케이션즈 직원 컴퓨터를 통해 해커가 사내망에 침투해 3,500만 명의 정보를 탈취했다.

2018년 9월, 페이스북 개인정보 유출:

페이스북은 작년 9월 28일 공식성명을 내고 ‘2017년 7월부터 고객 5천만 명의 계정이 해킹당한 것을 파악했다’고 밝혀 페이스북 고객은 물론 IT업계에 큰 충격을 안겼다.

오늘날 보안기술은 2차 대전 때와는 비교할 수 없을 만큼 발전했다. 에니그마보다 훨씬 더 다양하고 복잡한 암호체계도 많다. 하지만 결코 변하지 않은 사실이 하나 있다. 봄베와 콜로서스에 의해 잠금 해제된 에니그마처럼, 아무리 복잡한 암호체계도 언젠가는 뚫린다는 점이다. 앞서 소개한 옥션이나 네이트 해킹사건에 대한 대법원의 판결문을 살펴보자.

“옥션의 보안기술 수준 및 조치를 보면 회원들의 개인정보를 지키기 위해 필요한 조치를 모두 다한 것으로 보이기 때문에 손해배상 책임을 인정하기 어렵다. 인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖추는 것도 어렵다.”(2015년 2월 ‘옥션 해킹’ 대법원 판결문) “개방성을 특징으로 하는 인터넷을 통해 이뤄지는 시스템은 불가피하게 취약점을 내포하고 있어서 해킹 등에 노출될 수밖에 없고, 완벽한 보안을 갖추는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다.”(2018년 1월 ‘네이트 해킹’ 대법원 판결문)이 판결문에서 보듯 대법원은 사이트 운영자 측에 개인정보를 지키지 못한 책임을 묻지 않았다. 운영자들이 고객의 정보를 지키고자 다양한 노력을 기울였지만, 인터넷의 개방성으로 인한 위협이 워낙 큰 만큼 그 모든 위협에서 고객정보를 지키기란 어렵다는 사실을 인정한 것이다.

지난 8월, 국내 한 온라인 쇼핑몰 회원들의 개인정보가 중국에서 개당 1,600원에 거래되고 있다는 사실이 알려져 충격을 준 적이 있다. 아이디와 비밀번호 외에도 폰번호, 주소, 구매내역 등의 정보가 함께 판매되며, 이를 활용해 오디션 프로그램 출연자에 대한 투표도 가능하다고 한다. 내 소중한 개인정보가 타인의 이익을 위해 악용된다면 그 얼마나 화가 나고 억울한 일일까. 지금도 해커들은 개인정보를 탈취하기 위해 우리가 즐겨 사용하는 웹서비스의 취약점을 집요하게 찾아내고 있음을 명심하고 암호를 보다 철저히 관리함으로써 이를 지켜나가야 할 것이다.

집의 열쇠와도 같은 암호, 이렇게 관리하라

정보가 곧 자원이요 돈이 되는 시대, 우리의 정보를 캐가려는 해커들의 노력은 어쩌면 앨런 튜링만큼이나 집요하고 지능적일 것이다. 예나 지금이나 가장 흔히 사용되는 인증수단은 바로 암호다. 반대로 가장 뚫리기 쉬운 인증수단 역시 암호다. 전문가들이 추천하는, 해커들의 공격으로부터 암호를 비교적 안전하게 관리하고 사용하는 지침을 하나씩 살펴보자.

①주기적으로 암호를 바꿔주자.

‘이걸 누가 몰라?’ 하는 독자들이 틀림없이 있겠지만 아는 것과 실천하는 것은 전혀 다른 문제다. 에니그마가 결국 연합군에게 뚫린 것도 ‘한번 쓴 설정 값은 다시 쓰면 안 된다’는 기본원칙을 무시했기 때문이다. 여러분이 이용하는 사이트의 암호를 주기적으로 변경하고 또 이를 기억하기 위해 생각하는 습관을 들이자. 많은 암호를 매번 기억하기 어려우므로 클라우드 문서로 저장해 두는 것도 나쁘지 않다.

②개인정보 입력 페이지가 https를 사용하는지 확인하자.

https는 인터넷 통신규격인 http보다 보안이 더 강화된 버전이다. 그런데 인터넷 사이트 중에는 아직도 http 규격만 사용하는 곳이 있다. 이런 사이트는 그만큼 보안관련 조치가 허술하다는 의미이므로 가급적 이용을 자제하자. 부득이하게 이용해야 한다면 별도의 아이디와 암호(즉 다른 사이트에서 쓰는 것과는 전혀 상관없고, 유출되어도 피해가 크지 않은 아이디와 암호)를 사용하는 것도 한 가지 방법이다.

③암호는 길수록 안전하다.

전문가들에 따르면 숫자, 특수문자, 대/소문자 등을 8~10자리로 조합해 만든 암호보다는 15자리 이상의 긴 암호가 훨씬 더 안전하다고 한다. 암호를 만들 때는 사전에 등록된 단어나 본인 및 가족의 이름·취미·직업 등을 써서는 안 된다. 숫자나 대문자를 맨 앞이나 뒤에 넣는 것도 피해야 한다. 자주 쓰일만한 암호는 확실히 위험하다. newyorkcity, dunkindonuts 등 사전에 등록된 단어 한 개 또는 두 개로 구성된 암호 그리고 1234, asdf, qwer 와 같이 의미는 없지만 쉽게 타자할 수 있어 자주 암호로 사용하는 문자묶음은 절대 암호로 사용하지 말자.

④일단 유출되면 조치는 이렇게!

사이트 운영자에 대한 소송으로 시간과 비용을 허비하지 말자. 최대한 빨리 암호를 바꾸고, 같은 암호를 쓰는 다른 사이트들은 즉시 암호를 바꾸어주자. 공지를 통해 유출된 개인정보의 범위를 확인하고 어떻게 대처할지 고민하라. 아이디를 바꿔도 괜찮다면 탈퇴 후 새로운 아이디로 가입하는 것도 좋다.

⑤멀티팩터 인증MFA 사용하기

고객이 아는 것에 고객이 가진 것을 더하여 인증하는 것을 멀티팩터 인증MFA: Multi Factor Authentication이라고 한다. 최근에는 로그인이나 결제 직전에 휴대폰을 통해 인증을 한 번 더 거치기도 하는데 불편할 수 있지만 그만큼 안전하다.

감수 | 노경래(공공기관 정보시스템 보안관리자)

이진표 대학에서 컴퓨터공학을 전공하고 졸업 후 웹사이트 구축 및 모바일 앱 개발을 하고 있다. 코코넛컴퍼니 웹기획개발팀 팀장으로 가치 있는 컨텐츠를 고객이 접하기 쉽게 효과적으로전달하는 데 주력하고 있다.