[컴퓨터월드] 차세대 암호기술로 각광받고 있는 동형암호 기술이 무르익고 있다. 상용화를 가로막고 있던 ‘성능’ 문제가 해결될 기미를 보이면서 실제 활용할 수 있는 방안에 대한 논의가 활발해지고 있다.

특히 동형암호 기술 분야에서는 우리나라가 세계 선두 그룹에 속해 있다. 지난해 미국에서 진행된 개인정보보호기술 경진대회 ‘iDASH’의 동형암호 부문에서 1위에 선정된 4개 팀 중 3개가 우리나라 팀이었다. 이외에도 동형암호 표준화를 위한 컨소시엄에 삼성SDS, 서울대가 MS, IBM, MIT 등 글로벌 기업 및 학교와 함께 참여해 기술 발전을 주도하고 있다.

현실로 다가온 ‘동형암호’

세계적으로 차세대 암호기술인 ‘동형암호’에 대한 연구가 활발히 진행되고 있다. 동형암호 기술은 암호화된 데이터를 연산할 수 있도록 지원하는 암호기술을 뜻한다. 동형암호 기술은 1970년대 수학자들이 처음 구상한 이후, 2009년 스탠포드 대학과 IBM의 과학자 크레이그 젠트리(Craig Gentry)에 의해 개발됐다. 크레이그 젠트리는 개발 당시, 이 기술을 “독성 화학 물질을 취급하는 데 사용되는 장갑이 들어 있는 상자와 같다”고 비유하며 “모든 조작이 상자 안에서 이뤄지므로 화학 물질은 외부 세계에 절대 노출되지 않는다”고 설명했다.

마이클 오스본(Michael Osborne) IBM 리서치 유럽 시큐리티 부문 매니저는 “완전 동형 암호화 기술은 기존 암호화와는 다르게 암호화된 데이터(암호문)에 대해 직접 계산을 수행할 수 있도록 설계된 수학적 알고리즘을 기반으로 한다”고 기술에 대해 소개했다. 그는 또한 “이 새로운 암호화 모델을 사용하면 원본 데이터를 일반 텍스트로 ‘볼’ 필요 없이 제3자가 클라우드에서 암호화된 데이터를 처리 및 분석해 나온 정확한 결과를 데이터 소유자에게 반환할 수 있다”고 강조했다.

이러한 기술 특성의 대표적인 예로 마이크로소프트에서 제공하고 있는 동형암호 기술 기반 비밀번호 유출 조회 서비스를 들 수 있다. 최근 MS는 에지(Edge) 브라우저 사용자를 대상으로 비밀번호 점검 서비스를 제공하고 있다. 이 서비스는 준동형암호 기술을 활용, 서비스를 제공하는 MS에서도 사용자의 비밀번호는 물론 비밀번호 유출 여부(연산 값)도 확인할 수 없다. 사용자만 데이터를 확인할 수 있는 것이다.

이러한 점 때문에 동형암호 기술은 개인정보보호는 물론, 데이터 활용에 있어서 획기적인 기술로 평가받고 있다. 개인정보보호의 경우 암호화된 개인정보를 제공함으로써 기업은 개인정보를 확인할 수 없지만, 사용자는 개인화된 서비스를 받을 수 있다. 더불어 기업의 관점에서 다른 기업 및 기관과 데이터를 결합하는 경우에도 데이터 유출에 대한 우려를 없앨 수 있다.

동형암호 기술은 ▲스토리지 아웃소싱 ▲헬스케어 ▲DNA 분석 ▲스마트 시티 등 가상 물리 시스템 ▲기계학습 ▲양자내성암호 ▲금융 협업 등에 활용될 수 있을 것으로 기대된다.

스토리지 아웃소싱의 경우 동형암호를 활용해 클라우드에 데이터를 안전하게 저장할 수 있으며, 데이터 연산 및 검색도 가능해진다. 헬스케어 분야는 환자의 건강정보 등 민감정보를 다루고 있기 때문에 정보규제가 엄격한 분야 중 하나다. 동형암호를 활용하면 민감정보를 보호하면서도 연산처리가 가능해진다. DNA분석도 마찬가지다. 개인의 유전정보를 이용하는 맞춤형 정밀 치료기술이 개발되고 있는데, 이를 위해 활용하는 DNA정보는 민감정보이기 때문에 필연적으로 프라이버시 이슈가 뒤따른다. 동형암호를 적용해 DNA 정보 유출을 방지하면서 데이터 연산이 가능해진다.

머신러닝 분야에서도 동형암호가 각광받고 있다. 개인정보보호가 적용된 환경에서는 머신러닝이 얻는 데이터의 정확성이 문제되는 경우가 있다. 비식별 처리된 데이터는 개인정보의 결합도가 낮아, 데이터 가치가 떨어지기 때문이다. 이러한 단점을 극복하기 위한 방법으로 순수 데이터를 그대로 암호화하고, 암호화된 데이터를 개인정보 유출없이 머신러닝에 활용하는 방안이 대두되고 있다.

금융 분야에서도 동형암호에 대한 관심이 높다. 이상거래 탐지나 개인신용평가, 개인 맞춤형 서비스 등에 동형암호를 적용하면 데이터 기밀성은 보장되면서 다자간 협업 환경을 구현할 수 있다. 알리바바의 자회사 앤트 파이낸셜(ANT Financial)은 신용분석 및 마케팅 분석, 은행데이터 결합분석에 동형암호 기술 적용을 추진중이다.

양자내성암호로의 활용도 가능하다. 현재 사용되고 있는 공개키 기반 구조의 암호화는 양자컴퓨터가 출현하면 폐기될 것으로 전망된다. 양자컴퓨터가 사용하는 ‘쇼어 알고리즘’으로 해독이 가능해 암호화가 무용지물이 될 수 있다는 것이다. 이에 양자컴퓨터에 대응할 수 있는 기술에 대한 연구도 활발하게 진행되고 있는데, 그중 하나가 바로 동형암호다. 동형암호를 포함한 격자기반암호 알고리즘은 양자컴퓨터가 도입돼도 깨지지 않는 차세대 암호체계로 평가받고 있다. 격자 문제는 ‘현재로서는 풀 수 있음이 증명되지 않은 문제’라는 뜻의 NP 완전 문제로 분류된다.

동형암호 기술은 ▲PHE(Partially Homomorphic Encryption) ▲SHE(Somewhat Homomorphic Encryption) ▲FHE(Fully Homomorphic Encryption) 등 크게 3가지로 구분된다. PHE는 주어진 데이터 세트에 대해 무제한의 시간동안 한 가지 유형의 수학연산만 허용한다. SHE는 PHE에 비해 허용범위가 넓지만 여전히 제한적인 방법이다. 주어진 데이터 집합에 대해 덧셈과 곱셈 등의 연산을 몇 차례만 허용한다. 지금 활발하게 연구되는 것은 FHE다. 동형암호 기술 중 최선의 방법으로 평가받고 있으며, 데이터에 대해 회수 제한 없이 다양한 유형의 연산을 허용하지만, ‘성능’이 문제로 지적된다.

미국 및 한국이 기술 개발 주도

동형암호가 차세대 암호기술로 전 세계적인 주목을 받고 있는 가운데, 미국과 우리나라가 기술 개발을 주도하고 있다. 이를 단적으로 보여주는 것이 미국에서 진행된 개인정보보호기술 경진대회 ‘iDASH’에서의 성과다. ‘iDASH’는 미국국립보건원(NIH)에서 후원하는 프라이버시 및 보안 워크숍으로, 매년 미국에서 개최되고 있다. ‘iDASH’에서는 최근 몇 년간 동형암호 기술을 기반으로 한 경진대회가 진행되고 있다.

‘iDASH’에서 동형암호 기술이 본격적으로 논의되기 시작한 것은 2017년부터다. 이때 워크숍의 주요 트랙으로 ‘동형암호 기반 로지스틱 회귀 모델 학습(Homomorphic encryption based logistic regression model learning)’이라는 주제 발표가 진행됐는데, 이를 서울대학교가 발표했다.

이후 2018년부터는 동형암호 기술을 활용한 기술경진대회가 진행되고 있다. 서울대학교는 이 경진대회에 참여해 좋은 성과를 거두고 있다. 특히 지난해에는 ‘동형 암호화를 사용한 안전한 다중 레이블 종양 분류(Secure multi-label Tumor classification using Homomorphic Encryption)’라는 주제로 대회가 진행됐는데 1위에 서울대, 삼성SDS, 디사일로(Desilo, 대표 이승명)를 포함한 4개팀이 선정됐다.

이렇듯 기술 개발에 처음 나섰던 미국과 함께 우리나라가 동형암호 기술 연구를 선도하고 있다. 동형암호의 원천기술은 마이크로소프트와 IBM, 매사추세츠공과대학교(MIT), 서울대학교 등에서 주도하고 있는 것으로 알려져 있다.

동형암호 스킴(Scheme)과 관련해 여러 오픈소스 라이브러리가 운영되고 있다. 대표적으로 ▲MS 씰(SEAL) ▲팰리세이드(PALISADE) ▲HELib ▲혜안(HeaAn) ▲NFLlib ▲cuHE 등을 꼽을 수 있다. MS 씰은 BFV(Brakerski/Fan-Vercauteren) 및 CKKS(Cheon-Kim-Kim-Song) 스킴을 지원하는 MS의 오픈소스 라이브러리이며, 팰리세이드는 BGV(Brakerski-Gentry-Vaikuntanathan), BFV, CKKS, TFHE, FHEW 등 여러 동형암호화 체계를 지원하는 오픈소스 라이브러리다. 특히 팰리세이드는 DARPA의 지원을 받고 있다.

‘혜안’은 CKKS 스킴을 구현한 라이브러리다. CKKS 스킴은 덧셈과 곱셈 외에 반올림이라는 세 번째 연산이 암호화상태에서 가능하다. 기존의 동형암호도 반올림연산을 수행할 수는 있으나 재부팅에 준하는 매우 복잡한 연산을 수행해야 하는 반면, 혜안 스킴은 이를 덧셈 수준으로 빠르게 처리할 수 있어 산술연산이 대폭 개선된 것이 특징이다. 실제로 비트당 30분이 걸리던 재부팅연산이 2019년에는 0.5ms로 300만배 개선됐다. 이에 따라 기계학습 등 근사연산을 활용하는 응용분야의 상용화가 가능해졌다. 업계에서는 CKKS 스킴을 4세대 동형암호로 분류한다.

cuHE는 ‘동형암호화를 가속화하기 위한 GPGPU 사용’에 관한 연구를 진행하고 있는 라이브러리다.

컨소시엄 중심으로 표준화 추진

서울대학교와 삼성SDS 등 국내기업은 이러한 기술력을 바탕으로 동형암호 표준화에도 참여하고 있다. 2009년 IBM에서 동형암호를 제안한 이후, 산업계에서는 표준화 필요성을 인식해 컨소시엄 형태로 표준화를 진행해왔다. 지난해부터는 ISO/IEC 등 공적 표준화기구에서도 표준화를 추진하고 있다. 동형암호 표준화 관련 기구는 ‘Homomorphic Encryption Standardization’과 ITU-T SG17, ISO/IEC JTC 1/SC27이 있다.

먼저 ‘Homomorphic Encryption Standardization’은 동형암호의 보안, API 및 애플리케이션 등 세 가지 백서를 기반으로 동형암호에 대한 표준을 개발하고 있다. 2018년에는 동형암호 첫 번째 표준 버전을 제정했다. 이 표준 버전에는 스킴에 대한 설명, 보안 속성에 대한 설명, 보안 매개 변수에 대한 표 등이 포함됐다. 향후 표준 버전에는 동형암호를 위한 표준 API 및 프로그래밍 모델 등이 마련될 예정이다.

컨소시엄 참여 기업은 삼성SDS, 마이크로소프트, 인텔, 듀얼리티 테크놀로지스(Duality Technologies), IBM, 구글, SAP 등이다. 기관으로는 미국국립보건원, 미국표준기술연구소(NIST), 미국국립과학재단(NSF), 국제전기통신연합(ITU) 등이 참여하고 있으며, 학계에서는 서울대, 보스턴대, MIT, 캘리포니아대학교 샌디에이고캠퍼스(UCSD) 등이 함께하고 있다.

ITU-T SG17에서는 동형암호를 이용할 수 있는 산업 분야 중 하나로 기계학습 분야를 설정했다. 이를 위해 동형암호의 이해와 데이터 분석에 있어 개인정보를 보호하기 위한 처리 구조, 절차와 특성에 관한 지침 등을 개발하고 있다. 삼성SDS, 서울대, 한국전자통신연구원(ETRI) 등이 에디터로 참여하고 있다.

특히 지난해 3월 신규 아이템(FHE based data collaboration in machine learning)을 채택해 개발하고 있다. 자세히 살펴보면, 완전동형암호 기술을 활용해 머신러닝의 보안추론 서비스 및 데이터 집계에 대한 보안 지침을 제공한다. 데이터 소유자가 기계학습 모델 공급자의 추론 서비스를 사용하는 반면, 각 당사자는 자신의 데이터를 공개하지 않는 구조와 절차를 제공한다.

ISO/IEC JTC 1/SC27에는 기존에 ‘IS 18033-6, Encryption Algorithms – Part 6: Homomorphic Encryption’이라는 표준이 있었으며, 지난 2019년 개정판이 제정됐다. 개정된 표준은 부분동형암호를 위한 지수 ‘ElGamal 암호’와 ‘Paillier 암호’, 두 가지 메커니즘으로 구성됐다.

올해부터는 표준 완전동형암호 기술에 대한 표준 아이템을 발굴하기 위한 움직임이 나오고 있다. 완전동형암호에 대해 임의 작업을 지원하고, 암호화데이터에 대한 임의 계산을 허용하는 동형암호 스킴 표준 작업을 수행하고 있다. 이를 위한 사전모임에서는 ‘완전동형암호 표준화의 적합성(SP Suitability of standardization of FHE)’에 대한 협의를 통해 표준 제안 개선 작업과, 이를 활용하기 위한 사례 소개로 천정희 서울대 교수의 ‘암호화된 데이터 분석을 위한 동형암호화 적용(Approzimate Homomorphic Encryption in analzing encrypted data)’ 주제발표가 진행됐다. ISO/IEC JTC 1/SC27은 향후 WG2 회의에 신규아이템 제안을 계획하고 있다. 한국에서는 서울대와 삼성SDS가 이 작업에 참여하고 있다.

기술의 관건은 ‘속도’

동형암호는 ‘데이터 활용’과 ‘보안’, 두 마리 토끼를 모두 잡을 수 있는 기술이다. 하지만 아직까진 완벽한 기술이 아니다. 암호화된 상태로 데이터를 연산해야 한다는 점 때문에 처리 속도에 대한 성능 이슈가 있다.

이런 이유로 동형암호 기술을 연구는 현재 ‘성능’에 초점을 맞춰져 있다. 초기 동형암호 기술은 실제 사용이 불가능할 만큼 성능에 문제가 있었다. 하지만 10여년 동안 기술에 대한 연구 개발이 지속되면서 성능 부분이 상당히 개선돼 활용할 수 있는 단계에 와있다. 암복호화 작업은 기존 RSA 알고리즘 처리속도에 근사한 수준까지 와있으며, 연산처리 과정에서의 속도를 개선하기 위한 연산 가속기 등에 대한 연구가 활발하게 진행되고 있다.

마이클 오스본 IBM 리서치 유럽 시큐리티 부문 매니저는 “IBM의 완전 동형 암호화 기술은 일반 데이터만큼 빠르지는 않지만, 비슷한 성능에 도달했다. 불과 몇 년 전만 하더라도 완전 동형 암호화를 적용하는 데 며칠이 걸렸지만, 현재는 동일한 기준을 적용했을 때 마이크로 초 안에 달성할 수 있다”고 설명했다. 그는 이어 “이제는 동형암호 기술을 통해 해결하려는 문제가 무엇인가에 달려 있다. 예를 들어 동형 암호 기술을 자율주행차에서 GPS 방향을 숨기는 것에 적용할 경우, 마이크로 초 단위도 너무 느리다. 하지만 은행 데이터를 사용해 고객이 단기 대출을 사용할 수 있는지를 결정하는 데는 충분한 성능이다”라고 말했다.

조지훈 삼성SDS 보안연구센터장 또한 “동형암호기술은 무엇보다 암호화된 상태로 데이터를 처리하다 보니 속도가 느리다는 단점이 있는데 이를 극복하기 위한 많은 연구개발이 진행되고 있다”고 말했다. 최근 연산 속도를 높이기 위해 AI 분야에서 널리 사용되고 있는 GPU, FPGA와 같은 하드웨어를 이용한 동형암호 가속 기술이 다양하게 검토되고 있다는 것이 조지훈 센터장의 설명이다.

조지훈 센터장은 미국 국방부에서 진행 중인 프로젝트를 예로 들었다. 미국 방위고등연구계획국(DARPA)는 ‘디프라이브(DPRIVE)’라는 프로젝트를 통해 동형암호향 하드웨어 개발에 많은 비용을 투자하고 있다. 이 프로젝트에는 인텔, MS 등 대기업부터 스타트업과 학계까지 참여하고 있으며, 최종 목표는 2025년까지 암호화 미적용 데이터 처리 속도 대비 10배로 알려져 있다.

또한 인텔에서는 동형암호를 가속화하기 위한 SW 기반의 최적화 툴도 개발, 제공하고 있다. 인텔의 동형암호화 툴킷은 최신 인텔 플랫폼에서 동형암호 기반 클라우드 솔루션의 성능을 향상시킬 수 있도록 설계돼 있다. 동형암호에서 사용되는 격자 암호 커널에 최적화된 ‘인텔 AVX-512(Intel Advanced Vector Extensions 512)’ 가속 지침을 구현한다. 다만 인텔의 동형암호 툴킷은 MS ‘씰(SEAL)’ 및 ‘팰리세이드’ 라이브러리에 최적화된 버전만 제공되고 있다.

격자 기반 암호 알고리즘 적용

그렇다면 현재 상용화된 암호기술로는 동형암호를 구현할 수 없는 것일까. 업계에서는 제한된 연산을 지원하는 동형암호는 구현이 가능하지만, 사실상 어렵다고 말한다. 공인인증서, HTTPS 등에서 다양하게 활용되고 있는 공개키 기반 암호 기술인 ‘RSA(알고리즘 발명자인 Rivest, Shamir, Adelman 세 사람 이름의 첫 글자) 알고리즘’ 또는 국제 표준으로 지정된 ‘Paillier 알고리즘’ 등에도 곱셈 또는 덧셈 중 하나의 연산만 지원하는 부분 동형암호 알고리즘들이 포함돼 있다. 다만 실제 시스템에 적용돼 사용되고 있는 알고리즘에는 동일 데이터에 대해서도 다양한 암호문을 출력하기 위한 ‘랜덤 패딩 기술’이 적용돼 있어, 동형암호적인 성질을 만족하지 않는다.

현재 연구되고 있는 동형암호 기술은 격자 암호 알고리즘을 기반으로 한다. 격자 암호 알고리즘은 LWE(Learning with Errors) 등의 수학적 난제를 기반으로 설계된다. 격자 암호 알고리즘은 양자내성암호로도 각광받고 있을 만큼 보안성이 높은 기술로 평가받는다. 양자컴퓨터로도 풀어낼 수 없는 난제이기 때문에, 암호화된 데이터를 해독하는 것은 불가능하다는 것이다. 격자 암호 알고리즘에는 NTRU, SS-NTRU, BLISS, New Hope, NTRU 프라임, LWE-Frodo 등이 있다.

마이클 오스본 IBM 매니저는 “완전 동형 암호화는 격자 수학을 기반으로 한다. 격자 수학은 반복되는 다차원 격자 모양의 점 모음을 이용한다. 격자 기반 체계는 이 격자 내부에 데이터를 숨기는데, 한 지점에서 일정 거리 떨어뜨려 놓는다. 암호화된 메시지가 격자 지점에서 얼마나 멀리 떨어져 있는지 알아내는 것은 양자컴퓨터나 기존 컴퓨터 모두에서 매우 어려운 것으로 평가받고 있다. 그러나 비밀 키를 알고 있으면 메시지를 쉽게 얻을 수 있다”고 설명했다.

조지훈 삼성SDS 센터장 또한 “동형암호 기술의 경우 LWE 문제라고 불리는 수학적 난제에 기반해 데이터를 보호한다. 즉 LWE 문제가 어렵다면 동형암호 기술이 데이터를 보호할 수 있다는 의미”라면서, “기존 암호 기술은 데이터를 보호하기 위해 랜덤 패딩 기술을 활용하고 있으며, 동형암호에서도 기존 암호화 기술과 유사하게 암호화할 때 작은 임의의 값을 더하는 방식으로 암호 기술의 조건을 만족하고 있다”고 말했다.

현재 국내에서 동형암호 기술을 활용한 ‘K-통계시스템 구축 사업’을 수행하고 있는 마크애니의 김동호 부장은 “동형암호도 기존의 암호기술과 방식은 비슷하다. 하지만 동형암호적인 성질을 위해서는 암호문이 연산 후에도 그 구조를 유지해야 하는 것이 차이점”이라면서, “즉 암호화 기술 안전성에 기반이 되는 어려운 수학적 문제가 이러한 동형적 성질을 가져야 한다. 대표적으로 격자 암호 알고리즘은 이러한 성질을 만족한다. 그래서 현재 많은 동형암호들은 격자구조에서의 수학적 난제(LWE 종류)를 기반으로 설계되고 있다”고 설명했다.

흥미로운 신기술에서 실제 적용 가능 기술로

동형암호를 실제 활용하기 위한 연구도 지속되고 있다. 먼저 서비스에 가장 많은 관심을 보이고 있는 기업은 IBM이다. 마이클 오스본 IBM 매니저는 “IBM은 IBM 리서치에서 개발한 기술과 툴을 기반으로, IBM 클라우드의 확장 가능한 호스팅 환경을 통해 동형 암호화 서비스를 제공하고 있다. 이와 함께 동형암호 프로토타입 솔루션에 대해 배우고 설계할 수 있도록 돕는 컨설팅, 교육 및 관리 서비스를 함께 제공하고 있다. 또한 동형 암호화를 구현하는 HELib 오픈 소스 소프트웨어 라이브러리와 맥(mac)OS, iOS 및 리눅스(Linux) 용 완전 동형 암호화 툴킷을 제공하고 있으며, 유닉스와 안드로이드용 툴킷도 개발하고 있다”고 소개했다.

이어 그는 “완전 동형 암호화를 사용하면 클라우드에서 동형적으로 암호화된 유전자 염기서열을 기반으로 임상 실험에 알맞는 환자를 찾아내기 위해 머신러닝을 사용할 수 있다. 시스템은 민감한 데이터를 노출하지 않고도 알맞은 환자를 찾아 암호화된 결과를 내놓을 수 있다”고 말하며, 동형암호 활용사례에 대해서도 소개했다.

IBM은 지난해 브라데스코 은행(Banco Bradesco)과 함께 실제 재무데이터에 동형암호 기술을 적용한 사례를 연구한 논문을 발표했다. IBM과 브라데스코 은행팀은 거래 데이터와 기존 머신 러닝 기반 예측 모델을 가져와 두 가지 실험을 했다. 먼저 데이터와 모델을 동형 암호화해 암호화를 사용하지 않았을 때와 동일한 정확도로 예측을 수행할 수 있음을 확인했다. 마이클 오스본 매니저는 “이는 은행들이 신뢰할 수 없는 환경에서도 예측 실행 작업을 안전하게 아웃소싱 할 수 있음을 의미한다”고 설명했다.

그 다음 실험을 통해서는 암호화된 데이터를 사용, 모델을 훈련해 데이터의 개인정보를 보호하기 위해 동형 암호화를 사용할 수 있음을 확인했다. 마이클 오스본 매니저는 “일반적으로 금융 기관은 고객에 대한 정보를 수집해 한 사람이 식료품, 휘발유 등에 지출하는 금액을 분석하고 해당 고객이 곧 대출이 필요할지 여부를 예측한다. 은행의 분석가는 해당 예측을 수행하기 위해 일반적으로 개인의 재무 이력에 대한 가장 중요한 특징을 수작업으로 식별하는데, 약 1,000개의 특징 중에서 몇 가지를 선택한다. 이러한 작업을 진행하는 동안 분석가들은 데이터에 접근할 수 있으며 잠재적으로 데이터를 손상시킬 수 있다. IBM은 이러한 과정에서 완전동형암호화를 통해 데이터를 보호하면서도 분석할 수 있음을 확인했다”고 말했다.

IBM은 해당 논문을 통해 처리 과정에서 데이터와 결과를 감추고서도 암호화된 예측을 수행할 수 있음을 보여줬으며, 현재 다른 방법으로는 불가능한 수준의 프라이버시 보호 역량을 확보했다고 평가했다.

마이클 오스본 매니저는 “완전 동형 암호화는 암호화 전문가뿐만 아니라 데이터 사이언티스트와 일반 애플리케이션 개발자도 접할 수 있는 기술이 되고 있다. 진입 장벽을 줄여 완전 동형 암호화를 모두가 사용할 수 있게 하는 것이 IBM이 추구하는 방향이다. 간단히 말해서 완전 동형 암호화를 더 빠르고 사용하기 쉽도록 개방형 기술을 기반으로 만들고 클라우드 서비스로 사용할 수 있도록 하고 있다. 보다 구체적으로 특정 유형의 문제에 대해 IBM 리서치의 완전 동형 암호화는 12줄 미만의 코드로 마이크로초 속도로 작동한다. 완전 동형 암호화는 10년의 연구 끝에 흥미로운 신기술에서 기업이 테스트를 해보고 실제 도입할 수 있는 기술로의 변곡점에 와 있다”고 강조했다.

마지막으로 그는 “올해 안에 IBM 클라우드를 통해 엔터프라이즈 클라이언트에서 사용할 수 있는 오픈 소스 레벨과 프리미엄 레벨 모두에서 몇 가지 새로운 완전 동형 암호화 서비스를 출시할 예정”이라고 말했다.

국내에서도 동형암호 활용 방안 연구

국내에서도 동형암호를 활용하기 위한 연구가 활발하게 진행되고 있다. 지난 6월에는 마크애니가 동형암호 기술 활용한 ‘K-통계시스템 구축 사업’을 수주하고, 시스템 개발에 착수했다. 이 사업은 3년 간 총 55억 원이 투입되며, 주관기관인 마크애니를 비롯해 시큐센과 고려대학교가 참여한다. 마크애니는 동형암호 기반 통계분석시스템 설계와 개발을 담당한다.

김동호 마크애니 부장은 “아직까지 동형암호 알고리즘은 표준화된 부분이 없는 상황이다. 그렇기 때문에 알고리즘의 종류가 바뀔 가능성이 높다”면서, “이에 마크애니는 다양한 연산과 다양한 알고리즘을 지원하는 기술을 개발하고 있다”고 설명했다.

동형암호에 대한 관심이 높아지면서 디사일로, 크립토랩 등 관련 기업에 대한 투자도 활발하게 이루어지고 있다.

디사일로는 지난 7월 60억 원 규모의 시리즈A 투자를 유치했다. KB 인베스트먼트, 슈미트, 본엔젤스 등과 함께 네이버의 스타트업 양성 조직 D2SF가 투자에 참여했다. 디사일로는 동형암호 기술에 기반을 둔 데이터 분석·거래 플랫폼을 개발 중이다. 이 플랫폼은 민감한 정보 유출을 원천 차단해 원본 데이터를 보호하면서도 기업 간 데이터 결합 분석이나 거래를 원활하게 구현하는 것이 특징이다. 디사일로는 연내 베타 버전을 선보일 계획이다.

크립토랩은 LG유플러스, KB국민은행, 네이버클라우드, 코리아크레딧뷰로(KCB), 삼성SDS 등과 협력관계를 이어가고 있다. 특히 LG유플러스로부터는 지분 투자도 유치했다. 더불어 크립토랩은 동형암호 데이터 분석 솔루션 ‘혜안스탯(HEaaN.STAT)’을 활용해 코리아크레딧뷰로, 국민연금공단, 한국신용정보원, 금융보안원 등과 공동으로 국민연금 납부 데이터와 신용데이터를 결합·분석하는 데 성공했다. 이는 동형암호 상용화 성공 사례로 평가받는다.

삼성SDS는 개인정보보호 규제가 강화되는 추세에 따라, 동형암호 기술과 함께 PETs(Privacy Enhancing Technologies)기술 등을 제공, 안전한 개인정보보호 환경을 구현할 수 있도록 지원한다는 전략이다.

<인터뷰> “동형암호와 PETs 기술 조합해 안전한 데이터 활용 환경 구현”

“개인정보를 보호하면서 데이터를 분석하거나 공유하려면 동형암호 외에도 다양한 PETs(Privacy Enhancing Technologies)를 적절히 조합해서 사용해야 한다. 특히 최근 PETs기술을 보유한 업체는 데이터를 보호하면서 안전하게 데이터 간 교집합(예: 공통고객의 수, 특정 조건을 만족하는 속성의 합 등)을 계산할 수 있는 PSI(Private Set Intersection) 기술을 활발히 적용하고 있다. 이 기술도 동형암호 기술 외에도 기존에 안전성이 이미 증명된 다자간 계산(Multiparty Computation)과 같은 PETs기술을 함께 적용한다. PSI의 경우 삼성SDS는 구글이 보유한 PSI기술 대비 10배 이상의 속도를 제공한다.”

조지훈 삼성SDS 보안연구센터장은 삼성SDS의 동형암호 기술 연구 방향성에 대해 이같이 설명했다.

조지훈 센터장은 “동형암호는 단지 하나의 빌딩블록이다. 이 기술 외에도 밑단에서는 고속화를 위한 다양한 기술이 필요하며, 또한 동형암호 기반으로 데이터를 사용할 수 있는 다양한 함수개발이 필요하다. 또한 데이터분석가들이 편리하게 사용할 수 있는 UI도 함께 제공돼야 한다”고 말했다.

이어 “무엇보다 데이터 분석 및 활용, 공유에 있어 동형암호 기술 외에도 다자간계산(MPC, Multiparty Computation), 기밀컴퓨팅(CC, Confidential Computing), 연합학습(Federated Learning)등 타 PETs기술과 결합해 사용될 것으로 예상된다”면서 “마지막으로 동형암호를 비롯한 PETs 기술들은 데이터 공유나 분석 시 개인정보를 강화할 수 있는 기술이다. 이러한 기술들이 활성화되려면 먼저 데이터를 공유하고 분석할 수 있는 효과적이고 투명한 플랫폼이 제공돼야 한다. 클라우드와 블록체인 기반 기술이 이를 가능하게 할 수 있다”고 설명했다.

또한 그는 “시장의 상황을 보면 아직도 많은 기업들이 자신들이 보유하고 있는 데이터의 가치에 대한 이해도와 혹은 기업, 조직 간 어떻게 가치를 부여할 것인가에 대한 합의가 부족한 상황이다. 아직 많은 기업이나 기관들이 데이터를 활용하는 역량, 무엇보다 데이터를 결합해 더 많은 인사이트를 얻을 수 있는 역량이 부족한 실정이다. 향후 이러한 데이터 역량이 조직의 역량이 될 것이고, 이러한 역량이 향상됨에 따라 동형암호를 비롯한 PETs기술의 니즈가 더욱 증가할 것으로 예상하고 있다”고 강조했다.

“동형암호 기반 PSI, AI 예측 등 활용사례 나올 것”

조지훈 센터장은 동형암호 기술을 활용해 PSI 기반 비밀번호 유출 조회 서비스 등이 등장하고 있다고 소개했다. 그는 “최근 MS에서 에지 브라우저를 사용하는 사용자를 대상으로 비밀번호가 해커에게 노출됐는지 점검해주는 서비스를 PSI기반으로 제공하고 있다. 이때 MS는 비밀번호에 대한 어떠한 정보도 알 수 없으며, 심지어 해당 비밀번호가 유출됐는지도 알 수 없다. 오직 사용자만이 유출유무를 확인할 수 있다”고 설명했다.

이어 “아직 적용된 사례는 아니지만, 최근 국내에서 데이터결합 전문기관을 지정해 데이터 결합에 대한 시범사업을 진행하고 있다. 이때 공통되는 고객의 수가 많을수록 데이터 결합의 효과가 커진다. 동형암호기반 PSI기술을 사용하면 데이터 결합 전, 빠르고 안전하게 사전결합율(공통고객의 비율)을 계산할 수 있다”고 덧붙였다.

조지훈 센터장은 AI 모델을 활용하는 방안에도 동형암호가 큰 역할을 할 것이라고 전망했다. 그는 “예를 들어 특정 조직(A사)은 다수의 데이터 분석가 및 데이터를 보유하고 있어 다양한 AI모델을 보유하고 있을 수 있다. 하지만 타 기관(B사)에서 이러한 모델을 사용하고자 할 때 문제가 발생한다. A사에서는 AI모델 자체가 자산이라 외부 유출을 꺼릴 수 있다. 또한 외부로 보낸 AI 모델로부터 데이터 분석에 사용된 원본 데이터가 유출될 가능성도 있다. 그렇다고 해서 해당 AI모델을 사용하고자 하는 B사가 고객의 개인정보를 동의 없이 A사로 보낼 수 없다. 이러한 상황에서 동형암호를 사용하면 문제를 해결할 수 있다”고 설명했다.

즉, B사가 개인정보를 동형암호화해 A사로 보내면, A사는 동형암호화된 데이터를 해당 AI모델에 주입해 결과를 계산하게 되며(결과 역시 암호화돼 있음), 그 결과를 보내주면 B사에서 안전하게 복호화해 확인할 수 있게 되는 것이다.

차등정보보호, 재현데이터, 동형암호·다자간계산 등 세 가지 관점으로 연구 진행

조지훈 센터장은 “데이터를 안전하게 활용하고 공유하려면 동형암호 외에도 PETs기술들이 필요하다. 삼성SDS는 ▲차등정보보호 ▲재현데이터 ▲동형암호 및 다자간계산 등 세 가지 관점에 맞춰 연구 개발을 진행하고 있다”고 말했다.

그의 설명에 따르면, 첫 번째 데이터의 조회 및 분석 결과를 외부에 전송할 때 프라이버시의 노출 정도를 정확하게 측정할 필요가 있다. 프라이버시 측정 툴(Privacy Measurement Tool)로 주목 받고 있는 차세대 기술이 ‘차등정보보호기술(Differential Privacy)’이다. 차등정보보호기술은 구글이나 애플에서 사용하고 있으며, 올해부터 미국 인구조사(US Census)에서도 활용되고 있다.

두 번째, 데이터분석가들은 데이터 기반으로 전처리나 다양한 분석을 시도한다. 이러한 모든 기능이 동형암호로 제공되기는 어렵다. 이때 원본데이터와 유사한 통계적, 확률적 특징을 가지는 모조데이터를 AI기반으로 생성해 공유가 가능하다. 이렇게 생성된 데이터를 ‘재현데이터(Synthetic Data)’라고 하며, 현재 사용되고 있는 다양한 비식별화 기법(총계처리, 라운딩기법 등)보다 높은 개인정보보호와 데이터분석 정확도 분석 측면의 활용성을 제공할 수 있을 것으로 예상된다.

마지막으로 동형암호와 같이 데이터를 안전하게 결합, 분석할 수 있는 기술이 필요하다. 동형암호 단독으로는 많은 데이터 분석 활용 사례를 충족할 수 없기 때문에 다자간 계산, 혹은 연합학습 등 다양한 기술이 조합돼 사용이 돼야 한다는 설명이다.