휴대기기 속 사진이나 사람들과 나눈 메시지를 보지 못하도록 패턴이나 비밀번호를 걸고 있나요? 휴대전화 비밀번호를 연속해 5번을 틀리면 30초 동안 기다리라는 보안 경고 메시지가 뜨는데요. 누군가가 내 개인 정보를 보지 못하도록 하는 이 장치에 ‘수학적 원리’가 숨어 있습니다.
그리고 이 원리로 삼성전자 반도체 보안을 책임지는 수학 박사가 있습니다.
바로 강보경 삼성전자 시스템 LSI 사업부 디자인 플랫폼 개발팀 상무입니다.
반도체 보안의 사령탑
“삼성전자에서 새로운 것을 시도할 때마다 겁 없이 도전했어요. 보안 솔루션을 휴대기기에 적용하는 것부터 스타트업 투자 설득까지 어느 하나 쉬운 건 없었어요. 정말 어려운 수학 문제를 풀고 나면 다른 문제가 쉬워지는 것처럼 ‘이 일도 했는데, 이것쯤이야. 할 수 있어!’라는 마음으로 일해 왔어요.”
강 상무는 삼성전자에서 임원이 될 수 있었던 이유로 ‘수학이 어려움의 기준이기 때문’이라고 답했습니다. ‘내가 이걸 해낼 수 있을까?’라는 벽에 부딪힐 때마다 어려운 수학 문제에 정면으로 마주하고 인내해서 풀었던 경험이 자신의 한계를 넘을 수 있는 힘을 줬다고 합니다.
강 상무가 삼성전자에 입사한 때에는 ‘보안의 중요성’이 산업계에서 자리를 잡지 못하는 상황이었습니다. 삼성전자도 예외는 아니었습니다. 강 상무는 홀로 보안 업무를 맡았던 적도 있고, 팀을 옮겨 보안과 무관한 새로운 일을 담당한 적도 있다고 회상했지요. 하지만 이런 어려움에도 강 상무는 보안 솔루션을 개발하고 새로운 사업을 성공적으로 이끌었습니다. 최근 5년간 모바일 환경에서 보안이 중요해지면서 조직이 생기고 그 규모가 커졌고, 지금의 자리에 오를 수 있었습니다.
현재 강 상무는 삼성전자에서 ‘반도체 보안’의 선봉장입니다. 컴퓨터, 스마트폰 등 반도체가 들어가는 기기가 많은데요. 반도체 칩에는 특정 저장공간에 비밀번호 등의 개인 정보를 저장하고, 해킹하지 못하도록 암호로 보호하는 보안 솔루션이 내장돼 있습니다. 여기에 쓰이는 표준 암호 알고리듬은 함수이며, 이 함수는 컴퓨터를 이용해도 몇백 년이 걸릴 만큼 풀기 어렵습니다.
삼성전자에서 강 상무가 해낸 3가지
소리 없는 전쟁터!
일본 업체와 메모리 보안 기술 표준화
2011년 강 상무는 일본 내 메모리 보안 기술을 삼성전자의 기술로 표준화해냅니다. 메모리에 담기는 디지털 콘텐츠의 복제를 방지하는 기술이지요. 표준화란 기기 사이에 데이터를 원활하게 주고받기 위해 암호 알고리듬에 기반한 프로토콜을 약속하는 거예요.
기기의 모든 데이터는 메모리에 저장됩니다. 이 메모리를 누군가가 빼가면 개인 정보가 유출되기에 정보를 암호로 바꿔서 보호하는데요. 만약 두 회사가 거래를 할 때 서로 다른 암호 알고리듬에 기반한 프로토콜을 사용하면 데이터를 주고받을 수 없게 됩니다. 모두 같은 것을 써야 정보를 보호하면서 사용할 수 있겠지요. 그래서 표준화가 필요합니다.
강 상무는 어떤 기술을 표준화할 때 가장 중요한 것이 ‘논리적인 설득’이라고 강조합니다. 본인 회사 제품에 쓴 프로토콜을 다른 모든 기기에 전략적으로 반영하기 위해서는 국가나 표준화 단체를 논리적인 근거를 가지고 설득해야 하지요.
기기 도난 당해도 비밀번호 뚫리지 않아!
휴대기기용 보안 솔루션 개발
2020년 강 상무 팀은 갤럭시 S 시리즈 등 삼성전자의 휴대기기를 해킹하는 위협으로부터 보호하는 보안 솔루션을 개발했어요. 이 보안 솔루션은 비밀번호에 접근하는 시도의 횟수를 저장하는 ‘금고’라고 할 수 있어요.
예를 들어 휴대전화 비밀번호를 5번 틀리면 30초를 기다리도록 하고, 그 이상 틀리면 더 오랜 시간 동안 휴대전화에 접근할 수 없게 하는데요. 이때 해커가 비밀번호를 n번 입력해도 기기가 0번으로 인식하도록 조작하거나 틀린 횟수를 확인하는 단계를 건너뛰어 비밀번호를 무한 번 입력할 수 있게 한 뒤 비밀번호를 찾아냅니다. 처음 비밀번호를 입력할 때, 그 다음 입력할 때 휴대기기에서 신호들이 다르게 나오는데 그 신호를 조작하는 거지요.
강 상무 팀은 비정상적인 공격을 보안 솔루션을 이용한 수학적 분석을 통해 막습니다. 이 보안 솔루션은 당시 개발된 휴대기기용 보안 솔루션 중 가장 높은 보안 등급의 인증을 받았습니다.
양자 컴퓨터의 암호 해독 위협에 대응하라!
표준화 후보 연구해 적용
2020년 강 상무는 최근 보안 업계 화두인 ‘양자 내성 암호’의 표준화가 예정된 알고리듬을 미리 연구해 보안 솔루션에 적용했어요. 양자 내성 암호는 일반적인 컴퓨터로 계산할 땐 몇백 년이 걸리는 함수 계산을 하루 만에 계산하는 양자 컴퓨터에 대응하기 위해 만든 암호 알고리듬입니다. 격자 문제, 다변수함수, 해시함수 등을 기반으로 한 암호 알고리듬이지요. 2023년 8월 미국 국립표준기술연구소에서 양자 내성 암호 중 신뢰도가 높은 암호 알고리듬 4종을 선정해 국제 표준 문서로 공개했는데요. 강 상무는 표준화 후보에 든 4종과 다른 방법 3종을 더해 삼성전자 기기에 맞는 암호 알고리듬을 미리 개발했어요. 앞으로 양자 컴퓨터가 개발되더라도 또 어떤 함수로 만든 암호가 표준화가 돼 상용화가 되어도, 삼성전자 기기는 따로 대응할 필요가 없는 거죠.
실생활과 밀접한 수학이 좋아서
암호학 연구
“고등학생 때는 어려운 문제를 풀었을 때 성취감이 아주 컸어요. 그 성취감이 수학 문제를 계속 풀게 하고, 좋아하게 한 원동력이었지요.”
한 번도 학원에 가거나 과외를 받은 적 없던 강 상무는 학창시절 혼자 끙끙 대면서 수학 문제를 풀며, 성취감을 느꼈습니다. 고등학교 시절 수학 선생님이 수학 원리를 잘 설명해준 덕분에 개념부터 탄탄히 이해할 수 있어 공부를 잘했다고 회상했지요.
“수학이 실생활과 밀접하다는 것도 스스로 공부하며 자연스럽게 알게 됐어요. 예를 들어 미적분에서 함수의 ‘변곡점’을 배우는데, 일상생활에서도 이 말을 자주 쓰잖아요. 이런 사례를 찾아내면서 수학을 일상생활에 활용하는 데에 관심을 가졌어요.”
강 상무는 수학의 여러 분야 중에서도 암호학을 석박사과정에서 전공했는데요. 학부 때 수학교육과를 전공했지만, 수학에 더 뜻이 있어 대학원은 수리과학과로 들어갑니다. 당시 KAIST에서 암호학을 공부한 선배들이 세계적인 학술지에 실리는 논문을 내면서, 실용적인 연구를 하고 싶어 하는 수학 전공자에게 암호학이 인기가 많았답니다. 강 상무도 이 중 하나였지요.
강 상무는 대학원 시절 암호 알고리듬의 취약점을 찾아내는 데 뛰어났다고 합니다. 기존 암호 알고리듬의 논리가 틀릴 수 있다는 생각을 늘 갖고, 논리적 취약점을 찾았지요. 이를 찾은 후에 암호 알고리듬을 좀 더 발전시키는 방안을 내곤 했습니다. 또한 얼굴 인식처럼 고유의 ID를 이용한 암호도 연구했습니다.
한상근 KAIST 교수는 “강 상무는 석박사과정생일 때 다양한 방식으로 암호를 만들었다”며, “그 밑바탕엔 실용적인 연구를 좋아하는 강 상무의 성향도 있겠지만 방학 때도 해외 학회에 혼자 찾아가서 보며 연구에 열정적으로 임했기 때문”이라고 강 상무의 강점을 전했습니다.
"보안의 기본부터 설득의 기술까지 수학으로부터 얻었어요"
Q. 수학을 배워야 하는 이유가 무엇인가요?
수학을 배우면 논리적으로 생각할 수 있고, 추론 능력, 문제해결력도 높일 수 있어요. 보안 솔루션을 개발할 때뿐만 아니라 기술 표준화를 위해 사람들을 설득할 때 등 논리력이 필요한 순간이 일을 하면서 많아요. 그런데 이는 수학을 배우면 자연스럽게 얻을 수 있는 능력이라 고등학교 과정까지 교과서에 나오는 수학 개념은 누구든 배워서 익혀야 한다고 생각해요.
Q. 보안 업무 외에 일에서 수학을 공부한 게 도움된 적이 있나요?
잠시 삼성전자 DS 전략기획팀에 있을 때 다양한 스타트업에 투자하는 사업 프레젠테이션을 담당했어요. 그때 수학적 논리력이 빛을 발했어요.
프레젠테이션을 할 땐 기술 분석, 경쟁력 분석, 투자 이유 등 설명하는 전반적인 과정에서 논리에 구멍이 생기면 안 돼요. 제게 ‘꼭 투자해야 해? 이유가 뭐지? 다른 스타트업은 없어? 이 스타트업의 경쟁력이 뭐야?’라는 질문을 하면 막힘없이 대답해야 하지요.
한 번은 명상 호흡 앱을 만드는 스타트업에 투자하도록 설득해야 했어요. 그런데 투자 의사결정을 하는 동료들이 명상을 해서 정신적인 안정을 얻는다거나 학생의 학업 집중도와 성적이 높아졌다는 것을 과학적으로 믿기 어렵다고 했어요. 그래서 스트레스가 높아 이직률이 높은 직군인 콜 센터 직원을 대상으로 명상 앱을 써보게 하고 그 결과를 분석했어요. 명상을 하지 않은 직원과 중간에 명상 호흡을 한 직원의 심전도나 감정 상태를 며칠간 비교한 거지요. 그 결과 명상 호흡을 한 직원이 고객을 응대할 때 스트레스가 줄어든다는 상관관계를 발견하고, 이것을 바탕으로 회사를 설득했어요. 이 모든 과정이 논리적인 연결고리 없인 불가능하지요.
Q. 삼성전자에서 보안 솔루션을 개발할 때 어떤 역량이 가장 필요한가요?
‘논실통’이 필요해요. 논리, 실험, 통계의 줄임말로, 제가 좋아하는 말입니다. 일단 보안 솔루션을 개발하기 위해서는 아이디어가 필요하고, 그 아이디어를 ‘논리적으로’ 증명해야 해요. 예를 들어 ‘어떻게 하면 강력한 보안 솔루션을 만들까?’라는 문제 제기를 했어요. 이후 ‘휴대기기 안에 들어가는 반도체 칩을 공정하는 과정에서 어쩔 수 없이 불순물이 들어가는데, 이 비율의 차이로 칩마다 기기 주인의 고유 ID를 생성할 수 있지 않을까?’ 하는 아이디어를 냈다고 생각해봐요.
이 아이디어를 실험 없이 제품에 적용하면 말이 안 되는 기술이 나올 수도 있어요. 이 아이디어가 실제로 의미 있는지 가설을 세워 ‘실험’하고, ‘통계’적으로 유의미한 수량이 나온 뒤 이 가설을 이용한 기술을 구현해야 하지요.
만약 100만 개를 공정해 봤더니 보안 칩 99만 개가 불순물 비율이 똑같으면 이 가설은 적용하기 힘들어요. 다 달라야 고유의 ID를 생성할 수 있지요. 또 10개만 실험했다면 통계적으로 유의미한 수량이 되지 않아요. 통계적으로 납득할 수 있도록 실험의 규모를 정해서 해야 하지요.
그래서 본인이 생각한 아이디어를 구현할 역량을 갖춘 연구원이 저희 조직에 필요해요. 암호 알고리듬이 수학 기반이기도 하고, 논리력이 뛰어나야 해서 우리 팀원의 20%는 수학과 출신 연구원이에요. 암호 알고리듬 구현도 다 직접 한답니다.
Q. 수학적인 역량 외에 많은 성과를 낼 수 있었던 본인만의 강점은 무엇인가요?
어떤 일을 하든 동기를 만들어요. 또 발전하고 싶은 욕구가 커서 스스로에게 좀 더 가혹하려고 노력해요. 잘했다고 하는 기준이 굉장히 높은 편인데요. 다른 사람이 제게 피드백 주는 것에 따라서 제 행동이나 마음가짐이 변화하는 것을 최소화하자고 항상 생각해요. 물론 수정하라는 피드백은 잘 수용해야겠지만, 칭찬을 받아도 들뜨지 않으려고 해요.
Q. 앞으로 목표는 무엇인가요?
무엇이든 의미 있는 일을 하고 싶어요. 사소하게는 우리 조직을 성장시키는 것일 수도 있지요. 국가 산업적인 측면에서 본다면 반도체는 우리나라의 기술과 먹거리라는 큰 의미를 담고 있잖아요. 우리의 기술이 국가 경제의 발전을 이루게 할 수 있다는 점에서 반도체 보안을 좀 더 좋은 방향으로 발전시켜야겠지요.
은퇴 후인 60대쯤엔 수학자로서의 삶에 도전하고 싶어요. 수학 난제 풀기에도 도전하면 좋겠죠. 박사과정 때 난제에 도전했는데, 조급한 마음에 쉽지 않았어요. 아쉬움이 남더라고요.
수학만큼 재밌는 분야는 드문 것 같아요. 답을 발견하지 못하더라도 과정의 의미도 크고요. 도전할 생각만으로도 가슴이 뛰어요.
Q. 수학을 좋아하는 학생들에게 조언해주세요.
수학은 모든 산업의 기반이 되는 학문이고, 응용되는 분야가 많아요. 이를 바탕으로 전자전기공학, 기계공학, 컴퓨터공학, 경제학 등을 부전공해서 자신이 하고 싶은 분야에 진출한다면 그 분야에서 인정받는 인재가 될 수 있어요.
