데이터 보호를 위한 암호화, ‘군사 등급’의 진실
많은 기업들이 자사 데이터 보안을 강조하며 “군사 등급 암호화”를 내세웁니다. 군용이라는 단어는 최고 수준을 연상시키지만, 실제로는 마케팅 용어일 뿐입니다.
암호화의 기초
암호화는 정보를 알아볼 수 없게 만드는 과정입니다. 마치 암호처럼, 정보를 뒤섞어 의미를 알 수 없게 만들고, 특정한 방법(키)을 가진 사람만이 해독할 수 있게 합니다. 암호화된 데이터는 인터넷을 통해 전송될 때도 안전하게 보호됩니다.
예를 들어, HTTPS로 보안된 웹사이트에 접속하여 로그인하거나 신용카드 정보를 입력할 때, 데이터는 암호화되어 전송됩니다. 이렇게 되면 사용자의 컴퓨터와 웹사이트만이 해당 정보를 이해할 수 있으므로, 중간에 누군가 데이터를 가로채도 개인 정보 유출을 막을 수 있습니다. 브라우저와 웹사이트는 최초 연결 시 ‘핸드셰이크’라는 과정을 통해 데이터 암호화 및 해독에 필요한 비밀 키를 공유합니다.
다양한 암호화 알고리즘이 존재하며, 일부는 다른 알고리즘보다 더욱 안전하고 복잡합니다.
표준 암호화의 재포장
온라인 뱅킹, VPN, 파일 암호화, 안전한 암호 관리 등 다양한 상황에서 강력한 암호화가 필요합니다. 여러 서비스들이 “군사 등급 암호화”를 광고하며 사용자들을 안심시키려 합니다.
이 용어는 매우 강력하고 검증된 것처럼 들리지만, 군대에서는 실제로 “군사 등급 암호화”를 공식적으로 정의하지 않습니다. 이는 마케팅 담당자들이 만들어낸 문구에 불과합니다. 기업들은 ‘군사 등급’이라는 용어를 사용하여 ‘군대에서 사용하는 암호화’라는 인상을 심어줍니다.
“군사 등급 암호화”의 실제 의미
암호 관리 서비스인 Dashlane은 자사 블로그에서 “군사 등급 암호화” 용어에 대해 설명했습니다. Dashlane에 따르면, 이는 AES-256 암호화를 의미합니다. 즉, 256비트 키 크기를 사용하는 고급 암호화 표준입니다.
AES-256은 미국 국가안보국(NSA)에서 ‘일급 비밀’ 수준의 정보를 보호하기 위해 처음으로 승인한 공개 암호화 방식입니다.
AES-256은 AES-128 및 AES-192와 비교하여 키 크기가 더 큽니다. 이는 암호화 및 복호화에 더 많은 연산 능력을 필요로 하지만, 그만큼 AES-256을 해독하기 훨씬 더 어렵다는 것을 의미합니다.
은행 수준 암호화와 동일
“은행 수준 암호화”라는 용어도 마케팅에서 자주 사용됩니다. 대부분의 은행에서 실제로 사용하는 암호화 방식은 AES-256 또는 AES-128과 같습니다. 심지어 일부 은행들은 “군사 등급 암호화”를 광고하기도 합니다.
이러한 암호화 방식은 널리 사용되며 안전한 것으로 간주됩니다. Timothy Quinn은 “군사 등급 암호화”와 “은행 수준 암호화”를 “산업 표준 암호화”로 통칭해야 한다고 주장합니다.
AES-256도 좋지만 AES-128도 훌륭합니다.
AES-256은 다양한 서비스와 소프트웨어에서 널리 사용됩니다. 대부분의 서비스가 “군사 등급 암호화”라고 명시하지 않기 때문에 사용자가 이를 인지하지 못할 뿐입니다.
예를 들어, 최신 웹 브라우저는 HTTPS 웹사이트와 통신 시 AES-256을 지원합니다. Internet Explorer조차도 Windows Vista용 Internet Explorer 8에서 AES-256을 지원했습니다. 물론 크롬, 파이어폭스, 사파리 역시 지원합니다. 아마도 사용자들은 다양한 웹사이트에서 자신도 모르게 “군사 등급 암호화”를 사용하고 있을 것입니다.
Windows 기본 암호화 기능인 BitLocker는 기본적으로 AES-128을 사용하지만, AES-256을 사용하도록 설정할 수도 있습니다. AES-128 역시 매우 안전하며 공격에 강한 암호화 방식입니다.
암호 관리 프로그램인 1Password는 2013년에 AES-128에서 AES-256으로 변경했습니다. 1Password의 Jeffrey Goldberg는 그 이유를 설명했습니다. 그는 AES-128이 기본적으로 안전하지만, 많은 사람들이 더 큰 키 크기와 “군사 등급 암호화”라는 단어에 더 큰 안정감을 느낀다고 말했습니다.
AES-256, AES-128 또는 AES-192 중 어떤 것을 사용하든, 매우 안전한 암호화를 사용할 수 있습니다. “군사 등급”이라는 용어는 대부분 마케팅을 위해 만들어진 것이며, 실제로는 큰 의미가 없습니다.
암호화와 군사
암호화 기술이 왜 군대와 밀접하게 연관되어 있는지 궁금할 수 있지만, 사실 암호화는 과거보다 군대와 덜 관련이 있습니다.
암호화는 오랫동안 전쟁에서 중요한 역할을 해왔습니다. 군대는 적에게 메시지가 노출되지 않고 안전하게 메시지를 전송하기 위해 암호화 기술을 사용해 왔습니다. 고대 로마인들은 2000년 전부터 메시지를 위장하기 위해 암호를 사용했습니다. 율리우스 카이사르 시대에는 암호가 사용되었습니다. 제2차 세계대전 당시 독일군은 에니그마라는 암호화 기계를 사용했습니다. 영국과 연합군은 에니그마 암호화된 메시지를 해독하여 전쟁에서 승리하는 데 큰 도움을 받았습니다.
정부가 암호화 기술을 수출 규제하는 것은 당연한 일이었습니다. 1992년까지 미국에서는 암호화 기술이 ‘보조 군사 장비’로 분류되어 미국 내에서 개발 및 소유는 가능했지만, 다른 국가로 수출하는 것은 금지되었습니다. Netscape 웹 브라우저에는 128비트 암호화가 적용된 미국 내수용 버전과, 40비트 암호화가 적용된 국제 버전의 두 가지 버전이 있었습니다.
1990년대 중반에 미국은 암호화 기술 수출 규정을 완화했습니다.
암호화 기술은 오랫동안 군대와 연관되어 있었기 때문에 “군사 등급 암호화”라는 용어가 사용자들에게 어필하는 것은 놀라운 일이 아닙니다. 이것이 마케팅 캠페인에서 계속 사용되는 이유 중 하나일 것입니다.