[서평] 알기 쉬운 정보보호개론 – 흥미로운 암호 기술의 세계, 3판

알기 쉬운 정보보호개론 – 흥미로운 암호 기술의 세계, 3판
유키 히로시 (지은이),이재광,전태일,조재신 (옮긴이) 인피니티북스 2017-05-31

.


2009년에 ‘코드소프트’라는 회사에서 자기만의 독자기술로 엄청나게 훌륭한 암호법을 만들었으니, 이를 해독하면 천만원 상금을 준다는 광고를 했는데, 단 두 시간(!)만에 깨져버려 개망신-_-을 당한 사건[1]이 있었다. 지금 찾아보니 대부분의 사이트가 사라졌는데, 나무위키[2]에 대략적인 개요가 남아있다. 코드소프트에서 사용한 암호기법은 매우 잘 알려져 있는 방법인 빈도분석법으로 뚫렸다고 들었다.

암호학이나 물리학, 수학처럼 누적적인 학문은 과거의 수많은 천재들의 농축된 아이디어들의 결집으로 이루어져 있으므로, 어느 한 개인이 과거의 지식을 충분히 습득하지 않고서, 과거의 학문적 업적을 뛰어 넘는 결과를 내는 것은 실질적으로 불가능하다. 거인의 어깨 위에 서야 비로소 멀리 볼 수 있는 것이다. 이 책에서도 독창적인 알고리즘을 쓰지 말라는 경고가 여러 번 나온다.

자기가 만든 암호는 어디까지가 한글 한 자인지도 확인이 안 될정도로 뛰어나다고 자랑하던 멍청이를 예전에 본 적이 있는데, 작도 삼등분가 수준의 주장이 아닐 수 없다. 암호학자인 슈나이어 선생에게는 일주일에 두 번 꼴로, 자신의 독창적인 암호법을 해독해보라는 식의 멍청이들이 보내는 편지를 받는다고 하니[3], 확실히 그런 얼치기들이 세상에 엄청 많은 건 확실하다. ㅋㅋㅋ

뭐 여하간 그런 얼치기들이 공부해야 할만한 책이 세상에는 엄청 많은데, CPUU 선생께서 블로그에 이 책을 언급하시길래[4] 사서 읽어봤다. 몰랐는데, 다 읽고 저자인 유키 히로시 선생의 이름을 검색해보니 수학 대중서를 많이 써서 나름 유명한 사람이었다. 국내에도 몇 권 번역출간 돼 있는 듯 하다. 나무위키 항목[5]에도 등록되어 있구만. 헐…

여하간 이 책은 기본적으로는 교과서이므로, 각 챕터마다 연습문제나 중간중간에 퀴즈 같은 것도 있다. 전래 동화에 비유하는 등, 나름 쉽게 설명하려고 꽤 노력을 한 흔적이 많다. 고대 암호 기법부터 에니그마, DES / AES, 해시함수, Diffie–Hellman, RSA, SSL/TLS의 원리를 설명하고, 맨 뒷부분에는 블록체인과 양자암호에 대해 간략히 설명한다. 부록에는 타원곡선에 대해 설명하는데, 본 블로그의 설명[6]과 비교적 비슷한 듯 하다.

가장 마음에 들었던 부분은, 각 암호법에 대해 여러가지 공격법을 다양하게 설명해 놓은 부분인데, 이런 건 일반적인 대중서에서 잘 나오지 않는 것 같다. 중간자 공격이나 생일 공격과 같은 공격은 알고 있었지만, Replay attack 같은 용어는 처음 들었다.

p105부터 DES에 대한 설명이 나오는데, S-box에 대한 언급이 전혀 없을 뿐더러, S-box라는 용어조차 안 나온다. 음… 이유는 모르겠다. S-box는 나중에 미국 상원에서 조사를 할 정도로 논란이 됐긴 한데[7], 여하간 요런 재미있는 이야기를 빼 놓다니 섭섭하구만. ㅎㅎ

p111에 CPA에 대한 언급이 있던데, 일전에 텐센트 QQ 브라우저가 허술하다는 이야기[8]를 할 때, 찾아본 기억이 난다. 나름 좀 더 정교한 공격법이 있는 듯?

p208에 RSA에서 소수가 모자라는 일이 있지 않나는 의문에 대한 해설이 있는데, 책의 설명은 이론적으로 소수가 충분히 많다는 것일 뿐, 책의 설명과는 달리 실제로는 RSA에서 같은 소수를 많이 재사용하고 있어서 문제가 되고 있다고 한다.[9]

p271에 생일 공격에서, Y일 중에 N명을 뽑을 때 일치할 가능성 1/2이 되기 위해 뽑아야 할 날 수가 근사적으로 sqrt(Y)라는 이야기가 나와 있던데, 위키피디아 항목에는 좀 더 정확하게 1.1774sqrt(Y)라고 나와 있다. 아마 Stirling’s approximation을 써서 유도하는 듯 한데, 대충 손으로 계산해 봤지만, 위키피디아에 나온 식과 숫자가 딱 맞도록 계산이 안 된다. 젠장 ㅠㅠ

p441에 메르센 트위스터에 대한 언급이 있는데, 본 블로그에 좀 더 자세한 설명[10]이 있다.

p506에 HeartBleed에 대한 언급이 있는데, 이건 당시에 꽤나 유명[11]해서 본인도 좀 찾아본게 생각난다. ㅋㅋ 2017년 기사[12]에 한국이 아직도 하트블리드에 취약하다는 이야기를 들었는데, 지금은 어떨랑가 모르겠다. ㅎㅎㅎ

정보/보안 개론서로서 나름 재미있게 볼 수 있다고 생각한다. 사실 본인은 책에서 각각의 알고리즘 부분을 구체적으로 설명하는 과정은 그리 상세히 보지는 않았다-_- 뭐 대충 재미만 있으면 되지 뭐. ㅋㅋㅋ

.


[1] 보안뉴스 1천만원 ‘암호문 해킹 이벤트’…2시간 만에 해킹 2009-03-18 10:40
[2] 코드소프트 망신 사건 (나무위키)
[3] 아마추어 암호 설계자에 대한 메모 (sonnet.egloos.com)
[4] [북리뷰] 처음 배우는 암호화 (cpuu.postype.com)
[5] 유키 히로시 (나무위키)
[6] 내 백과사전 내가 이해한 Dual_EC_DRBG 백도어 2014년 1월 3일
[7] 내 백과사전 DES의 탄생 2014년 4월 15일
[8] 내 백과사전 교과서적인 RSA와 심각하게 허술한 보안 상태인 QQ 브라우저 2018년 2월 13일
[9] 내 백과사전 Diffie-Hellman의 취약점 : 소수(prime number) 재사용 문제 2016년 12월 18일
[10] 내 백과사전 메르센 트위스터 Mersenne Twister 2016년 9월 11일
[11] 내 백과사전 Heartbleed 버그 2014년 4월 9일
[12] 지디넷 “한국, 세계 2위 하트블리드 취약점 보유국” 2017.01.26.09:33

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

This site uses Akismet to reduce spam. Learn how your comment data is processed.