크립토그래피, 즉 암호학은 디지털 정보 보안의 근간을 이루는 기술이다. 이 책은 암호학이 인터넷, 모바일, 와이파이, 지불카드, 토르, 비트코인 등의 정보 보안을 어떻게 가능케 하는지 평이하면서도 종합적으로 일러준다. 이 책의 가장 큰 미덕은 수학적 지식이 없는 독자도 충분히 이해할 수 있도록 배려했다는 점이다. 수학적 배경과 원리를 의도적으로 배제하면서 암호학을 설명했기 때문에, 수학 지식이 없는 독자도 흥미롭게 읽을 수 있는 입문서이다.

█ 현대 사회에서 암호학의 위치
█ 사전 수학 지식 없이도 누구나 쉽게 읽을 수 있는 암호학 입문
█ 각 장마다 추가 참고 도서와 학습 과제 수록
█ 암호학 사용과 관련된 사회적 문제와 논란
█ 전 국가안보국(NSA) 직원 에드워드 스노든의 폭로가 암호학 사용과 통제에 몰고온 파장
█ 왓츠앱, 애플의 iOS 등 개인용 기기를 보호하기 위한 암호학 기술
█ 토르와 비트코인의 암호학 배경
█ TLS 1.3, LTE, 애플 페이 등 새로운 암호학 기술 사례 연구
█ SHA3, 인증 암호화 모드, 키 유도 함수, 키 포장 등 암호화 기법

이 책의 대상 독자는 다음 몇 가지 범주로 정리할 수 있다.

■ 정보 보안 이용자와 실무자: 암호학은 디지털 데이터를 안전하게 관리하려는 모든 이에게 긴요한 주제다. 그런 맥락에서 이 책은 다음과 같은 독자들에게 유용할 것으로 기대한다.

• 데이터 보호 기법을 이해하려는 일반 IT 이용자
  
• 여러 보안 기법을 데이터 관리에 적용하는 IT 산업 종사자
  
• 정보 보호가 임무인 정보 보안 전문가
  
• 여러 데이터 보안 문제를 이해하려는 기업 관리자
  

■ 암호학 전공 학생: 암호학의 기본 원리를 다루되 그 바탕이 되는 알고리즘의 수학적 세부 사항까지는 파고들지 않는 학부나 대학원 과목의 기초 교재로 활용할 수 있다. 실제로 그러한 과정을 염두에 두고 이 책을 썼다. 암호화 기법의 수학적 원리를 공부하는 학생들에게도 유익하리라 기대한다. 암호학 이론과 실제 문제 사이에 일종의 ‘가교’를 제공하기 때문이다. 암호화 기법의 ‘어떻게’에 해당하는 방법론을 이미 아는 학생들에게는 ‘왜’에 해당하는 원리를 설명해 줄 것이다.

■ 일반 관심 독자: 암호학이 무엇이고 어떻게 작동하는지 좀 더 구체적으로 알고 싶어하는 일반 과학이나 공학 분야의 독자들에게도 유용한 정보를 제공하리라 기대한다.

이 책은 네 부분으로 구성돼 있다.

1부 준비 지식
1~3장은 기본 배경 지식을 전달한다. 1장은 암호학의 필요성 그리고 암호화 기술을 통해 제공되는 핵심 보안 서비스를 소개한다. 암호화 시스템의 기본 모델과 암호학의 용도를 논의한다. 2장에서는 과거의 주목할 만한 암호화 알고리즘 사례를 다룬다. 이들은 대부분 더 이상의 실용성은 없지만 기본적인 암호화 알고리즘의 설계 원칙과 여러 핵심 개념을 보여준다. 3장은 보안의 이론과 실제의 변별점을 다룬다. 깰 수 없는 암호화 시스템은 존재하지만 실용적이지 않으며, 가장 실용적인 암호화 시스템은 이론상 깨질 수 있다는 점을 보여준다. 실제 상황에서는 늘 '타협'이 불가피하다. 암호학 연구는 결국 각기 다른 보안 목표를 달성하기 위해 다양한 방식으로 조합될 수 있는 암호화 기본 재료의 '툴킷'임을 주장한다.

2부 암호화 툴킷
4~9장은 암호화 툴킷의 다양한 구성 요소를 다룬다. 여기에는 암호학의 기초 요소(primitive)와 이를 조합하는 암호화 프로토콜이 포함된다. 우선 기밀성의 규정부터 시작하는데, 여기에는 두 가지 유형의 암호화 시스템이 있다. 4장에서는 그중 하나인 대칭형 암호화 시스템을 설명한다. 서로 다른 유형의 대칭형 암호화 알고리즘이 각기 어떻게 활용될 수 있는지 논의한다. 5장에서는 공개 키 암호화를 살펴본다. 공개 키 암호화의 필요성을 설명하고, 두 가지 주요 공개 키 암호화 시스템을 상세하게 다룬다. 6장에서는 대칭형 암호화 기법이 데이터의 무결성과 데이터 발신 인증 서비스를 제공하는 데 어떻게 활용될 수 있는지 알아본다. 7장에서는 부인 방지(non-repudiation)에 필요한 암호화 기법을 다루는데, 디지털 서명 기법에 초첨을 맞춘다. 8장에서는 개체 인증에 활용될 수 있는 암호화 기술을 설명한다. 개체 인증 메커니즘에 흔히 요구되는 난수 생성 방식도 살펴본다. 그리고 9장에서는 암호화 기초 요소를 조합해 암호화 프로토콜을 만드는 방법을 알아본다.

3부 키 관리
10장과 11장에서는 암호학에서 실질적으로 가장 중요하다고 볼 수 있음에도 자주 간과되는 분야를 살펴본다. 바로 '키 관리'다. 모든 암호 시스템의 보안은 여기에서 출발하며, 암호화 기법과 관련된 결정에 직접 개입하는 대목이기도 하다. 10장은 키 관리를 평이하게 설명하며 비밀 키 관리에 초점을 맞춘다. 암호 키의 생명 주기(life cycle)를 다루고, 이 생명 주기의 여러 단계에서 가장 일반적으로 이용되는 몇 가지 기법도 살펴본다. 11장에서는 특히 공개 키 암호화와 관련된 키 관리와 그와 관련해 발생하는 여러 이슈를 따져본다.

4부 암호학의 활용
12장에서는 앞에서 다룬 내용을 한데 묶어 암호학의 몇 가지 실제 응용 사례를 상세하게 다룬다. 이전 장에서 제기된 여러 문제는 암호화 기법을 적용하기 전에 해당 애플리케이션의 특성에 따라 적절히 처리돼야 하기 때문에, 여러 유명 암호화 애플리케이션 사례를 통해 이런 문제가 실제로 어떻게 처리됐는지 확인할 수 있을 것이다. 특히 특정한 암호화 기초 요소가 이용되는 이유와 키 관리가 이뤄지는 방법도 알아본다. 따라서 12장은 이전 장보다 더 상세하다. 13장에서는 평범한 사람들이 개인 기기나 전자 통신의 보안을 위해 (때로는 무의식적으로) 이용하는 암호화 기법을 다루면서 암호학이 실제로 얼마나 우리의 일상과 밀접하게 맞닿아 있는지 확인한다. 마지막으로 14장에서는 암호학의 이용이 초래하는 여러 사회적 문제를 좀 더 넓게 바라보는 한편, 어떻게 하면 프라이버시와 통제 사이에서 균형을 유지할 수 있을지 논의한다.

암호학은 근래 들어 우리 일상과 밀접한 연관성을 갖게 된 주제다. 그전까지는 암호학이라면 군사 통신을 보호하기 위한 수단이나 재미 삼아 풀어보는 퍼즐 정도로 생각했다. 하지만 컴퓨터 네트워크, 특히 인터넷 발전과 더불어 점점 더 많은 사람이 암호화 기술을 일상적으로 사용하게 됐다. 암호학은 ‘정보 보안’ 분야의 기본 요소다. 전자 정보는 상대적으로 취약한 환경에서 쉽게 송수신되고 저장된다. 그 때문에 정보 유출의 위험성도 더욱 커졌다.
정보 보안 사고의 금전적 타격이 클수록 정보 보호와 통제의 필요성도 높아진다. 암호학은 그런 보호와 통제를 가능케 하는 필수 기술이다. 암호학은 전자 정보 보호에 필요한 보안 서비스, 예컨대 데이터의 기밀성과 완전성, 인증 절차를 보장하기 위한 기본 메커니즘을 제공한다. 암호학 자체가 정보를 보호하지는 않지만, 정보 보호에 적용되는 여러 기술적 메커니즘의 바탕에는 암호학이 자리잡고 있다.
따라서 암호학은 정보 보안에 관심을 가진 사람이라면 주목해야 하는 중요한 주제다. 암호학이 폭넓게 주목받는 이유는 또 있다.

● 암호학은 정치적으로도 흥미로운 역할을 담당한다. 국가나 진영 간 갈등이 있을 때 암호학은 긴요한 기술이다. 암호화 기술은 현대 사회에 여러 흥미로운 윤리적, 정치적 딜레마를 제기한다.

● 암호학은 일반 사람들에게도 고유한 매력을 느끼게 한다. 많은 사람이 ‘비밀’이나 ‘코드’ 같은 단어와 관련 기술에 매력을 느낀다. 주요 미디어는 이 매혹을 대중에게 꽤 성공적으로 활용해 왔다.

이 책이 2012년 처음 출간됐을 때, 비교적 유행을 타지 않는 내용이어서 2002년에 유효하다고 여겼던 내용이 2022년에도 여전히 유효하리라는 말을 들었다. 최신 기술보다는 기본 원칙에 초점을 맞췄기 때문이다.
이 책의 마지막 부분은 암호학을 실제 애플리케이션에 적용할 때 기본 원칙이 어떻게 작동하는지 구체적으로 보여준다. 2012년 이후 해당 애플리케이션에 업데이트가 있었고, 따라서 사용된 암호화 기법도 변화도 불가피했다. 2판은 업데이트의 기회였다. 더불어 해당 암호화 툴을 좀더 상세히 다룰 수 있었다. 논의에 추가된 애플리케이션은 TLS 1.3, LTE 그리고 애플 페이 등이다.
하지만 2012년 이후 가장 큰 변화는 사회 전반적으로 암호학의 중요성이 커졌다는 점이다. 이는 2013년 미국 정부 기관과 계약했던 에드워드 스노든(Edward Snowden)의 내부 고발 이후 암호 사용에 관한 공개 논쟁에서 비롯된 것으로, 정부 기관이 어떻게 암호화 기술을 통제하고 관리하는지를 보여주는 많은 정보가 드러났다.
암호화 기술의 이용에 관해 사회는 늘 딜레마를 겪어 왔다. 프라이버시 보호 조항과 확실한 감시라는 욕망 사이의 긴장은 수십 년 동안 존재해왔고, 여전히 존재하고 있다. 스노든의 폭로는 그러한 옛이야기의 최신 반전일 뿐이다. 1판에서는 이 문제를 간략히 짚는 데 그쳤다. 2판에서는 암호화 기술의 통제에 관한 내용만으로 별도의 장을 꾸렸다. 암호화 기술이 제기하는 딜레마를 짚고, 이를 해소하기 위한 여러 전략과 그에 깃든 함의를 논의한다. 우리의 의도는 어느 쪽이 옳다고 판단을 내리거나 해법을 제시하는 데 있지 않다는 점에 유의하기 바란다.
암호화 기술의 이용에 대해 관심이 높아진 것은 스노든 고발로 인한 영향 중 하나라는 점은 의심의 여지가 없다. 2판은 그런 점을 반영해 2012년 이후 비교적 높은 인지도를 갖게 된 암호화 적용 툴 두 가지를 자세히 다룬다. 첫째는 이용자에게 일정 수준의 익명성을 제공하는 네트워크 환경을 만들기 위해 암호화 기술을 이용하는 토르(Tor)다. 둘째는 디지털 통화인 ‘비트코인’이다.
2012년 이후 점점 더 많은 소비자용 기기가 암호화 기술을 적용한 보호 기능을 제공하고 있다. 이에 따라 개인용 기기에 사용할 수 있는 암호화 기술 설명을 추가했다. 휴대용 전화기 같은 기기에서 파일, 디스크, 이메일, 메시지 등을 보호할 수 있는 암호화 기술을 논의한다. 왓츠앱과 iOS 같은 기술에 관한 사례 연구도 넣었다.
암호화 기술의 중요성과 그것이 우리 일상에서 차지하는 역할이 요즘처럼 컸던 적은 없었다. 왜 그리고 어떻게 그렇게 됐는지, 이 개정판이 명료하게 설명해 줄 수 있기를 바란다.

키스 M. 마틴(Keith M. Martin)

로열 홀로웨이(Royal Holloway) 런던 대학교에서 1980년대 말 암호학을 공부했고, 현재 정보 보안 교수로 재직중이다. 오스트레일리아의 애들레이드 대학교와 벨기에 루뱅 대학교에서 연구원으로 지내다 2000년 로열 홀로웨이로 복귀했다. 2010년부터 2015년까지 세계적으로 유명한 로열 홀로데이 산하 ‘정보 보안 그룹’의 디렉터로 활약했다. 암호학 연구 커뮤니티의 현역 멤버로 암호학의 원리와 용도를 대중에게 널리 알리는 데 힘을 쏟고 있다. 로열 홀로웨이 정보 보안 석사 과정의 학생들을 비롯해, 수학적 배경 지식이 없거나 부족한 학생들에게 암호학의 원리를 강의한다.

이 책의 원제는 『Everyday Cryptography: Fundamental Principles & Applications』로, 『일상의 암호학: 기본 원리와 응용』쯤으로 번역할 수 있다. 암호학에 관심을 둔 사람이 가장 처음 읽을 만한 입문서의 성격이 짙은 교재다. 이 책의 의도는 일반 이용자나 실무자가 일상의 암호학 애플리케이션의 설계와 용도를 이해하기 위해 꼭 알아야 할 정보 보안 지식을 전달하는 데 있다.
저자도 처음부터 밝히고 있듯이, 수학적 지식이나 배경이 없는 사람도 큰 어려움을 겪지 않고 읽을 수 있도록 배려한 흔적이 책 전체에 걸쳐 선명하게 느껴진다. 암호학이라는 것이 수학적 원리와 법칙을 기반으로 한 공학적 메커니즘이라는 점을 감안하면, 수학에 대한 기본 지식이나 바탕이 없는 사람들에게 암호학의 원리를 설명하는 것이 결코 쉬운 일은 아닐 것이다. 그러나 저자인 키스 마틴 교수는 그런 어려운 일을 성공적으로 수행했다.
내게도 이 책은 퍽 특별한 경험으로 기억될 것 같다. 이과를 나왔다고 하지만 수학을 배운 지도 오래됐고, 배울 당시에도 수학 성적은 표나게 내세울 만한 수준이 결코 아니었기 때문에 번역 의뢰가 들어왔을 때 꽤 망설였다. 적지 않은 우려와 두려움을 안고 시작한 번역 작업은, 그러나 시간이 지날수록 흥미진진한 모험처럼 나를 흥분시켰다. 마치 자잘한 쇳조각을 끌어들이는 자석처럼 나의 호기심을 자극하고, “그래서? 그 다음에는?”하고 자꾸 다음 내용을 읽게 만드는 지적 즐거움을 끊임없이 선사했다. 다음에는 어떤 설명이 나올까, 어떤 새로운 정보가 제공될까, 생일 선물이나 크리스마스 선물을 기다리는 어린아이처럼 기대하게 만들었다. 독자의 호기심을 자극하고, 그렇게 자극된 호기심이 지속적으로 유지되도록 새로운 정보와 지식을 맛난 간식처럼 끊임없이 전해주는 마틴 교수의 전달 능력은 실로 감탄할 만했다.
이 책은 현재 암호화 기술의 수학적, 기술적 세부 내용보다는 현대 암호학의 기본 원리에 초점을 맞추고 있다. 그래서 보안 기술의 잦은 변화나 시류와는 상관없이 두고두고 참고할 만한 내용들을 담고 있다. 새로운 기술이나 흐름이 나와도 그 바탕이 되는 원리는 변하지 않기 때문이다. 그러면서도 암호학의 최근 여러 응용 사례를 기본 원리와 연결해 검토하고 고려했기 때문에, 현재 기술과 시류에 관심이 큰 독자들의 입맛에도 잘 맞을 것이다. 미국 국가안보국이 광범위한 전자 감시 활동을 벌이고 있다는 에드워드 스노든의 2013년 폭로 내용을 반영해 암호학의 사용이 갖는 정치적, 사회적 의미와 그를 둘러싼 논란의 핵심도 짚었다. 하지만 정치적 당파성을 배제하고 기술의 양면성에 초점을 맞췄기 때문에 오히려 스노든 고발의 다른 측면을 발견하게 되는 소득도 있다.
한 독자는 이 책을 '최고의 암호학 입문서'라고 단언했다. 다른 입문서들을 찾아보고 비교해 보지 않았기 때문에 단언하기는 어렵지만, 나처럼 문외한에 가까운 독자의 관심을 이렇게 두꺼운 책에 붙들어 매는 데 성공했다는 점을 고려하면, '최고'는 아닐지 몰라도 '최고 중 하나'로는 제법 자신 있게 추천할 수 있을 것 같다. 자세한 '섹션'으로 쪼개어 암호학과 관련된, 밤하늘의 별처럼 수많은 기본 지식과 원리와 정보를 이해하기 좋게 나눠 놓은 점도 인상적이지만, 그런 수백 개의 섹션들이 책 전체에 걸쳐 유기적으로 연결되도록 치밀하게 얼개를 짜놓은 점은 더더욱 감탄스럽다. 책을 읽는 동안 연관된 내용이나 찾아볼 필요가 있는 섹션을 지속적으로 친절하게 안내하기 때문에 혹시 잊어버렸거나, 좀더 명확한 이해를 위해 다시 읽어볼 필요가 있는 경우, 더없이 손쉽고 편리하게 섹션과 섹션 사이를 오갈 수 있다.
이 책의 독자는 암호학의 일상적 이용 수준과 실상을 더 잘 이해할 수 있을 뿐 아니라, 앞으로 여러 기술 분야에서 암호학이 어떻게 응용되고 변화하고 발전할지 스스로 전망하고 분석할 수 있는 기본 지식과 통찰도 얻게 될 것이다.

김상현

한국에서 IT 담당 기자로 일하다 캐나다로 이주해 개인정보 보호와 프라이버시를 공부했다. 캐나다 온타리오 주정부와 앨버타 주정부의 여러 부처에서 정보공개 담당관, 개인정보 보호 책임자, 프라이버시 관리자 등으로 일했다. 2013년부터 캐나다 브리티시 콜럼비아 주의 공공 의료서비스 기관 중 하나인 퍼스트네이션 보건국(First Nations Health Authority)의 정보공개 담당관 겸 프라이버시 책임자로 일하고 있다. 개인정보 보호와 프라이버시 분야의 자격증인 CIPP/C(캐나다), CIPT(IT 분야), CIPM(관리), FIP(정보 프라이버시 펠로) 등을 취득했다. 저서로 『인터넷의 거품을 걷어라』(미래M&B, 2000), 『디지털 프라이버시』(커뮤니케이션북스, 2018)가 있고, 번역서로 『통제하거나 통제되거나』(민음사, 2011), 『디지털 파괴』(문예출판사, 2014), 『공개 사과의 기술』(문예출판사, 2016)이 있다. 에이콘출판사에서 펴낸 번역서로 『디지털 휴머니즘』(2011), 『똑똑한 정보 밥상』(2012), 『불편한 인터넷』(2012), 『보안의 미학』(2015), 『보이지 않게 아무도 몰래 흔적도 없이』(2017) 등이 있다.