본문 바로가기

전자서명

[보안동향] 데이터 무결성 검증 위한 '해시함수', 올바른 사용법은? 지난 콘텐츠에서 해시함수의 다양한 활용 분야를 소개했습니다. 이번 글에서는 해시함수의 안전성을 깨기 위한 도전의 결과인 충돌쌍 발견 사례와 올바른 해시함수 선택과 사용에 관해 알아보겠습니다. 해시함수의 충돌쌍을 발견했다는 것은 더 이상 해시함수가 안전하지 않다는 것을 의미한다고 봐도 무방합니다. 해시함수 충돌쌍 발견은 생일 역설(birthday paradox)에 기반을 두고 있는데요. 생일 역설이론은 랜덤하게 모인 23명 중에 생일이 같은 사람이 존재할 확률이 50% 이상 된다는 이론으로, 모수가 크지 않더라도 해시함수의 주어진 출력으로부터 입력을 찾아내는 것이 가능함을 뒷받침합니다. 해시함수를 공격하는 방법은 세 가지가 있습니다. 먼저, 주어진 해시 결과값을 가지고 입력값을 찾는 공격법인 ‘역상공격(p.. 더보기
[보안동향] 블록체인 속에도 스며든 '해시함수' 과연 완벽할까? 2017년 3월 5일 자 전자신문에는 라는 제목의 기사가 눈길을 끌었습니다. 기사의 내용은 암호학자들이 이론적 위험성을 경고한 2004년 이후, 구글이 13년 만에 SHA-1의 보안성을 깨트렸다는 내용이었는데요. 실제로 구글은 네덜란드 암스테르담 국립수학전산학연구소(CWI)와 함께 SHA-1의 결과값이 똑같은 PDF 파일 두 개(충돌쌍)를 만들었다는 연구 결과를 발표했습니다. 이것은 1995년 미국의 표준기술연구소(NIST)가 국가 표준으로 채택한 이후, 22년 만에 ‘SHA-1이 더 이상 안전한 해시 알고리즘으로 역할을 할 수 없다’는 것을 공식화한 것입니다. 해시함수는 우리의 일상 속에서 가장 널리 사용되는 암호 알고리즘입니다. 가장 쉬운 예로 사용자가 시스템에 접속하는 첫 단계인 로그인 시에 아이디.. 더보기
공인인증서 폐지! 인증 방법 어떻게 바뀔까? 우리나라에서 금융 거래나 본인임을 증명할 때 가장 많이 쓰이는 수단은 공인인증서입니다. 지금까지 공인인증서를 다운받아 사용 중인 사람은 5,000만 명에 육박합니다. 그런데, 최근 공인인증서 독점적 지위가 사실상 시장에서 박탈됐습니다. 국회가 21년 만에 전자서명법을 개정하고, 공인인증서와 동등한 법적 자격을 사설 인증에도 부여했기 때문입니다. 수조 원에 달하는 공인인증 시장을 놓고 민간 사설 인증 플랫폼 경쟁이 본격화될 전망입니다. KT의 PASS 등 통신사 휴대폰 인증과 신용카드 인증, 은행 공동 뱅크사인, 카카오 인증, 분산 ID(DID)까지 서로 다른 형태 인증 플랫폼이 공인인증서를 대체하기 위해 본격적인 전쟁에 돌입했습니다. 중장기로는 사설 인증 시장이 열리면서 ‘플랫폼 개발’ 후방 시장에도 큰.. 더보기