42
1976호 2020.12.09.

 · 2020. 12. 10. · nist 양자 내성 암호 표준화 3라운드 알고리즘 특성 비교 [김영식/조선대학교] Ⅰ. 서론 Ⅱ. nist 표준화

  • Upload
    others

  • View
    4

  • Download
    0

Embed Size (px)

Citation preview

  • 1976호2020.12.09.

  • 「주간기술동향」은 과학기술정보통신부 「ICT 동향분석 및 정책지원」 과제의 일환으로 정보통신기획평가원(IITP)에서 발간하고 있습니다.

    「주간기술동향」은 인터넷(http://www.itfind.or.kr)을 통해 서비스를 이용할 수 있으며, 본 고의 내용은 필자의 주관적인 의견으로 IITP의 공식적인 입장이 아님을 밝힙니다.

    정보통신기획평가원의 「주간기술동향」 저작물은 공공누리 “출처표시-상업적 이용금지” 조건에 따라 이용할 수 있습니다. 즉, 공공누리의 제2유형에 따라 상업적 이용은 금지하나, “별도의 이용 허락”을 받은 경우에는 가능하오니 이용하실 때 공공누리 출처표시 지침을 참조하시기 바랍니다.(http://www.kogl.or.kr/info/license.do 참고)

    예시) “본 저작물은 ‘OOO(기관명)’에서 ‘OO년’ 작성하여 공공누리 제O유형으로 개방한 ‘저작물명(작성자:OOO)’을 이용하였으며, 해당 저작물은 ‘OOO(기관명), OOO(홈페이지 주소)’에서 무료로 다운받으실 수 있습니다.”

  • 1976호

    기획시리즈 2의료기기 시판 후 사이버 보안 동향

    [방지호·이지우/한국기계전기전자시험연구원]

    Ⅰ. 서론

    Ⅱ. 국외 의료기기 시판 후 사이버 보안 동향

    Ⅲ. 결론

    ICT 신기술 14NIST 양자 내성 암호 표준화 3라운드 알고리즘 특성 비교

    [김영식/조선대학교]

    Ⅰ. 서론

    Ⅱ. NIST 표준화 과정 소개

    Ⅲ. 3라운드 진출 알고리즘 특성 분석

    Ⅳ. 결론

    ICT R&D 동향 28다중 임무 환경의 해결을 위한 메타 학습 기술

    [장병탁/서울대학교]

    자율주행 배달로봇 Cyber Physical System 플랫폼

    [김시호/연세대학교]

  • 주간기술동향 2020. 12. 9.

    2 www.iitp.kr

    *

    I. 서론

    최근 정보통신기술을 활용한 의료기기의 사용이 증가하면서 유·무선 통신을 이용하여

    원격에서 의료기기를 제어하거나 소프트웨어 업데이트를 수행하고, 환자 개인정보를 포함

    한 민감한 개인의료정보를 수집 및 활용하고 있다. 이에 따라 의료기기를 대상으로 하는

    사이버 보안 위협이 증가하고 있으며, 이는 개인의료정보의 유출뿐만 아니라 의료기기의

    중단 또는 오작동을 발생시켜 환자의 생명에 직접적인 위해를 줄 수 있다.

    * 본 내용은 방지호 센터장(☎ 031-428-3763, [email protected])에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.

    정보통신기술을 활용한 의료기기의 사용이 증가함과 동시에 의료기기 사이버 보안 위협 사례도 증가하고 있다. 의료기기의 사이버 보안 위협은 개인의료정보의 유출뿐만 아니라 의료기기의 중단 또는 오작동을 발생시켜 환자의 생명에 직접적인 위해를 줄 수 있다. 따라서 의료기기 수명 주기 전반에 걸쳐 사이버 보안에 대한 관리 강화가 필요한 상황이다. 현재 국내에서는 식품의약품안전처를 중심으로 의료기기 시판 전 사이버 보안을 위한 위험 관리 체계를 확보하고 있지만, 시판 후 발생할 수 있는 새로운 취약점에 대한 대응 체계는 존재하지 않는다. 이에 본 고에서는 국내 의료기기 시판 후 사이버 보안 위험 관리 체계를 마련하기 위해 필요한 국외 의료기기 시판 후 사이버 보안 동향을 살펴보고자 한다.

    chapter 1

    의료기기 시판 후 사이버 보안 동향

    •••방지호 ‖ 이지우 ‖

    한국기계전기전자시험연구원 센터장한국기계전기전자시험연구원 연구원

    기획시리즈

  • 기획시리즈-차세대보안

    정보통신기획평가원 3

    2020년 1월 미국 식품의약국(Food and Drug Administration: FDA)은 GE

    Healthcare사의 환자 모니터링 기기와 관련된 사이버 보안 취약점을 이용하여 권한이

    없는 사용자가 기기에 접근한 후 경보를 음소거하거나 잘못된 경보를 생성함으로써 환자

    모니터링 업무를 방해할 수 있음을 경고하였다. 이처럼 의료기기에 대한 사이버 보안 위협

    사례는 꾸준히 보고되고 있다([표 1] 참조).

    [표 1] 의료기기 사이버 보안 위협 사례

    연도 월 의료기기 사이버 보안 위협 사례

    2020

    1- GE Healthcare사의 환자 모니터링 기기와 관련된 취약점 확인- 권한이 없는 사용자가 기기에 접근하여 경보를 음소거하거나 잘못된 경보를 생성함으로써 환자 모니터링

    업무를 방해할 수 있음

    3

    - Bluetooth Low Energy(BLE) 무선 통신 기술과 관련된 12개의 취약점 확인※ BLE: 두 장치를 페어링하고 정보를 교환하여 배터리 수명을 보존하면서 원하는 기능 수행- 취약점의 잠재적인 영향은 다음과 같이 세 가지 범주로 나눌 수 있음- 기기 충돌 → 통신이 중단되거나 작동이 멈출 수 있음- 기기 교착 상태 → 기기가 멈추고 올바르게 작동하지 않을 수 있음- 보안 우회 → 권한이 있는 사용자만 사용할 수 있는 기능에 접근할 수 있음

    2019

    3

    - Medtronic사의 이식형 심장 장치, 클리닉 프로그래머 및 가정용 모니터 간의 통신에 사용되는 무선 원격 측정 기술과 관련된 취약점 확인

    - 암호화, 인증 또는 권한 부여를 사용하지 않는 Conexus 무선 원격 측정 프로토콜을 사용하기 때문에 권한이 없는 사용자가 기기에 접근하여 원격으로 조작할 수 있음

    6- Medtronic사의 인슐린 펌프와 관련된 취약점 확인- 권한이 없는 사용자가 기기에 무선 연결하여 환자에게 인슐린을 과도하게 전달하거나 인슐린 전달을

    중단하는 등 펌프의 설정을 변경할 수 있음

    10- 한 보안 회사에서 “Urgent/11”이라는 11개의 취약점 확인- 권한이 없는 사용자가 기기에 접근하여 기능을 변경하거나 서비스 거부를 유발하거나 정보 유출 또는

    논리적 결함을 유발하여 기기의 동작을 방해할 수 있음

    20184

    - Abbott사의 무선 주파수를 지원하는 이식형 심장박동기와 관련된 취약점 확인- 권한이 없는 사용자가 기기에 접근하여 배터리를 빠르게 고갈시키거나 심장 박동 조절 기능을 변경하는

    등 프로그래밍 명령을 변경할 수 있음

    10 - Medtronic사의 이식형 심장박동기 프로그래머의 인터넷 연결과 관련된 취약점 확인- 권한이 없는 사용자가 프로그래머의 기능 또는 기기를 변경할 수 있음

    2017

    1- St. Jude Medical사의 이식형 심장박동기와 관련된 취약점 확인- 권한이 없는 사용자가 기기에 접근하여 배터리를 빠르게 고갈시키거나 심장 박동 조절 기능을 변경하는

    등 프로그래밍 명령을 변경할 수 있음

    8- Abbott사(이전 St. Jude Medical)의 무선 주파수를 지원하는 이식형 심장박동기와 관련된 취약점 확인- 권한이 없는 사용자가 기기에 접근하여 배터리를 빠르게 고갈시키거나 심장 박동 조절 기능을 변경하는

    등 프로그래밍 명령을 변경할 수 있음

    한국기계전기전자시험연구원 자체 작성

  • 주간기술동향 2020. 12. 9.

    4 www.iitp.kr

    따라서 의료기기의 개발에서 폐기에 이르기까지 수명 주기 전반에 걸쳐 사이버 보안에

    대한 중요성이 높아지고 있는 가운데, 각국의 의료기기 규제 당국은 의료기기의 수명 주기

    전반에 걸친 사이버 보안에 대한 관리를 강화하기 위해 의료기기 시판 전후에 대한 사이버

    보안 가이드를 [표 2]와 같이 개발하였다.

    [표 2] 의료기기 사이버 보안 가이드 동향

    국가 가이드 명 발간일

    미국

    Cybersecurity for Networked Medical Devices Containing Off-the-Shelf(OTS) Software 2005.01

    Content of Premarket Submissions for Management of Cybersecurity in Medical Devices 2014.10

    Postmarket Management of Cybersecurity in Medical Devices 2016.11

    Content of Premarket Submissions for Management of Cybersecurity in Medical Devices 2018.10

    Medical Device Manufacturer Internet of Things(IoT) Code of Conduct 2020.01

    캐나다 Pre‐market Requirements for Medical Device Cybersecurity 2019.06호주 Medical device cyber security guidance for industry 2019.07

    유럽 MDCG 2019-16 Guidance on Cybersecurity for medical devices 2019.11

    독일 Cyber Security Requirements for Network-Connected Medical Devices 2018.11

    프랑스 Cybersecurity of medical devices integrating software during their life cycle 2019.07

    한국스마트의료 사이버보안 가이드 2018.05

    의료기기의 사이버 보안 허가·심사 가이드라인(민원인 안내서) 2019.11

    일본

    Ensuring Cybersecurity of Medical Device: PFSB/ELD/OMDE Notification No. 0428-1 2015.04

    Guidance on Ensuring Cybersecurity of Medical Device: PSEHB/MDED-PSD Notification No. 0724-1 2018.07

    Recent Trends in Cybersecurity Assurance of Medical Devices No. 373 2020.06

    중국 Medical Device Network Security Registration on Technical Review Guidance Principle 2017.01

    싱가포르 Information Technology Standards Council Technical Reference 67: Medical device cybersecurity 2018.09

    대만 Guidance on Management of Cybersecurity in Medical Devices for Manufacturers 2019.11

    사우디 Guidance to Pre-Market Cybersecurity of Medical Devices 2019.04

    IMDRF* Principles and Practices for Medical Device Cybersecurity 2020.01

    * IMDRF(International Medical Device Regulators Forum): 미국, 유럽, 캐나다, 일본, 호주, 중국, 브라질, 러시아, 싱가포르, 대한민국의 의료기기 규제당국자로 구성된 국제협의체

    한국기계전기전자시험연구원 자체 작성

  • 기획시리즈-차세대보안

    정보통신기획평가원 5

    국내의 경우, 식품의약품안전처에서 개발한 「의료기기의 사이버 보안 허가·심사 가이드

    라인(민원인 안내서)」을 통해 의료기기의 허가·심사 시 사이버 보안과 관련된 안전성 자료

    를 제출 받아 검토하는 등 안전한 의료기기를 개발하여 판매할 수 있는 사이버 보안 위험

    관리 체계를 확보하고 있다[1]. 해당 가이드는 유·무선 통신을 이용하여 환자의 생체정보

    등 개인의료정보를 송·수신하거나 기기를 제어하는 의료기기 또는 펌웨어/소프트웨어 업

    데이트 등 유지보수하는 의료기기를 대상으로 하며, [표 3]과 같이 의료기기의 사이버 보

    안 안전성 등급을 분류하고, 의료기기 수명 주기 전반에 걸쳐 고려해야 하는 보안 요구사

    항을 식별, 보호, 탐지, 대응, 복구 유형으로 구분하여 제시하고 있다. 또한, 의료기기 사이

    버 보안 허가·심사 시 해당 요구사항에 대한 적용 여부, 적합성 입증 방법, 법규 및 규격,

    첨부 자료를 작성하여 제출하도록 하고 있다. 그러나 공격 기법이 나날이 진화하고 새로운

    취약점이 발견됨에 따라 허가·심사 시 위험 관리로는 의료기기 시판 이후에 대한 안전성을

    지속적으로 확보하기 어렵다. 따라서 의료기기 시판 후 발생할 수 있는 사이버 보안 취약

    점을 확인하고 대응할 수 있는 사이버 보안 위험 관리에 대한 가이드 제시가 필요하다.

    [표 3] 의료기기 사이버 보안 안전성 등급 분류

    이에 본 고에서는 국내 의료기기 시판 후 사이버 보안 위험 관리 체계 마련을 위해

    필요한 국외 의료기기 규제 당국의 의료기기 시판 후 사이버 보안 가이드 동향을 살펴보고

    자 한다.

    등급 정의 분류

    상(Major)

    의료기기 사이버 보안 침해로 사용자의 심각한 상해 또는 사망, 신체기능의 영구적 장애, 신체구조의

    영구적 손상의 가능성이 있음

    - 4등급 의료기기- 2, 3등급 의료기기 중 사이버 보안 침해로 오동작이

    발생할 수 있는 의료기기: 수술용 치료기기, 치료목적의 방사선 이용 의료기기, 치료용 의료기기, 생명유지용 의료기기, 생체신호 측정용 의료기기

    중(Moderate)

    의료기기 사이버 보안 침해로 사용자의 일시적이고 경미한 상해, 의학적 중재가 필요할 수 있음

    - 3등급 의료기기: 체외충격파치료기, 유헬스케어 진단지원시스템 등

    - 2등급 의료기기 : 초음파자극기, 유헬스케어 의료기기 등

    하(Minor)

    의료기기 사이버 보안 침해로 사용자의 일시적인 불편, 의학적 중재 없이 가역적이거나 경미하고

    단시간의 불편이 있을 수 있음

    - 2등급 의료기기 중 치료, 감시, 분석 또는 진단 기능을 하지 않는 의료기기 : 전자체온계 등

    - 1등급 의료기기: 1등급 유헬스케어 게이트웨이 등

    한국기계전기전자시험연구원 자체 작성

  • 주간기술동향 2020. 12. 9.

    6 www.iitp.kr

    II. 국외 의료기기 시판 후 사이버 보안 동향

    국외에서 개발한 의료기기 사이버 보안 가이드(표 [2] 참조) 중 시판 후 사이버 보안에

    대한 내용을 다루고 있는 대표적인 가이드는 다음 [그림 1]과 같이 미국[2], 프랑스[3],

    호주[4], 대만[5], IMDRF[6]에서 개발한 가이드이다.

    의료기기 시판 후 사이버 보안 위험 관리를 위해 각국에서는 [표 4]와 같이 모니터링

    (Monitoring), 업데이트 개발(Update development), 정보 공유(Information sharing),

    지원 종료(End of Support)의 공통적인 프로세스를 권고하고 있다. 본 절에서는 각 단계

    에서 국가별로 권고하는 사항을 서술한다.

    [표 4] 의료기기 시판 후 사이버 보안 위험 관리 프로세스

    1. 모니터링 단계

    모니터링 단계는 취약점 확인, 위험 평가, 보고 및 안내문 통지로 이루어진다.

    한국기계전기전자시험연구원 자체 작성

    [그림 1] 의료기기 시판 후 사이버 보안 가이드(미국, 프랑스, 호주, 대만, IMDRF)

    모니터링 업데이트 개발 정보 공유 지원 종료

    취약점 확인위험 평가

    보고 및 안내문 통지

    취약점 개선 조치업데이트 배포보고서 제출

    정보 공유 계획 수립 및 안내문 통지

    한국기계전기전자시험연구원 자체 작성

  • 기획시리즈-차세대보안

    정보통신기획평가원 7

    가. 취약점 확인

    취약점 확인 단계에서는 의료기기 수명 주기 전반에 걸쳐 지속적인 모니터링을 통해

    사이버 보안 취약점을 식별 및 탐지하고, 공개된 사이버 보안 관련 자료 분석을 통해 의료

    기기에서 발생할 수 있는 잠재적인 사이버 보안 취약점을 확인해야 한다.

    취약점 확인 단계는 미국, 프랑스, 호주, 대만, IMDRF의 가이드에서 수행하도록 권고하고 있으며, 대표적으로 미국에서는 의료기기 수명 주기 전반에 걸쳐 새로운 취약점을 확인하기 위해 타사 소프트웨어 구성 요소도 모니터링할 것을 권고하고 있다. 또한, 프랑스에서는 제품에 내장된 기술과 관련된 취약점을 영구적으로 제공할 것을 권고하고 있다([표 5] 참조).

    [표 5] 모니터링 단계의 취약점 확인을 위한 가이드 내용

    나. 위험 평가

    위험 평가 단계에서는 확인된 사이버 보안 취약점이 악용될 경우 환자에게 영향을 미칠

    수 있는 위험을 평가해야 한다. 또한, 평가 결과에 따라 사이버 보안 위험이 수용 가능한

    수준인지 또는 수용 불가능한 수준인지 결정해야 하며, 위험을 완화하기 위한 조치를 고려

    해야 한다.

    위험 평가 단계는 미국, 프랑스, 호주, 대만, IMDRF의 가이드에서 수행하도록 권고하고

    있으며, 대표적으로 미국에서는 위험 평가를 위해 사이버 보안 취약점 악용 가능성과 취약

    국가 가이드 내용

    미국[2] - 사이버 보안 위험 식별 및 탐지를 위해 취약점 출처 정보 모니터링- 의료기기 수명 주기 전반에 걸쳐 새로운 취약점을 확인하기 위해 타사 소프트웨어 구성 요소 모니터링

    프랑스[3] - 모니터링을 통해 제품에 내장된 기술과 관련된 취약점을 영구적으로 제공- 사용자와 관련된 모든 의료기기 사고 분석

    호주[4] - TPLC(Total Product Life Cycle) 전략과 시판 후 제공업체의 의무사항으로 안전 및 성능, 사이버 보안 이슈에 대한 지속적인 모니터링 필요

    대만[5] - 네트워크 보안과 관련된 위험을 식별, 예측 및 평가하고 위험 제어 구현 및 모니터링

    IMDRF[6]

    - 제조업체는 수용할 수 없는 위험과 관련된 의료기기의 취약점을 모니터링하여 최상의 대응을 제공하고, 위험 관리의 일환으로 의료기기 수명 주기에 맞춰 지속적인 위험 문서 유지

    - 의료 서비스 제공자는 새롭게 진화하는 위험을 평가하고 네트워크 세분화, 사용자 접근 제한, 위험 평가, 보안 시험, 네트워크 모니터링 등 위험을 완화하기 위한 조치 이행

    * [ ]는 참고문헌 번호를 나타냄(이하 표 6~12도 동일) 한국기계전기전자시험연구원 자체 작성

  • 주간기술동향 2020. 12. 9.

    8 www.iitp.kr

    점이 악용될 경우 환자 위해의 심각도 및 위험성을 평가하는 방법을 권고하고 있다. 또한,

    대만에서는 ISO 14971 문서를 참고하여 환자 위해 심각도 평가 프로세스를 설정할 것을

    권고하고 있다([표 6] 참조).

    [표 6] 모니터링 단계의 위험 평가를 위한 가이드 내용

    다. 보고 및 안내문 통지

    보고 및 안내문 통지 단계에서는 사이버 보안 위험이 발생했을 시 사용자에게 해당 의료기기의 정보, 사용자가 취할 조치, 업데이트 계획 등을 포함한 정보를 제공해야 한다.

    보고 및 안내문 통지 단계는 미국, 프랑스, 대만, IMDRF의 가이드에서 수행하도록 권고

    하고 있으며, 대표적으로 대만에서는 15일 이내에 고객과 사용자에게 통지할 것을 권고하

    [표 7] 모니터링 단계의 보고 및 안내문 통지를 위한 가이드 내용

    국가 가이드 내용

    미국[2]

    - 위험 평가를 체계적으로 수행하여 사이버 보안 위험이 수용 가능한 수준인지 파악- 다음과 같은 사항을 고려하여 환자 위해의 위험을 평가하고, 보완 통제와 위험 완화에 대해 고려

    ※ 사이버 보안 취약점 악용 가능성 평가※ 취약점이 악용될 경우 환자 위해의 심각도 및 위험성 평가

    프랑스[3] - 알려진 모든 보안취약점에 대해 지연 없이 식별하고 조치 이행

    호주[4] - 제품의 안전, 품질, 성능 등의 영향으로 인한 사이버 보안 위험이 환자에게 위해를 입히는 것에 대한 평가 고려

    대만[5]- 네트워크 보안취약점 위험 평가 프로세스 수행 및 완화 조치 고려- ISO 14971의 정성적 위해 심각도를 참조하여 네트워크 보안취약점이 악용될 수 있는 경우 환자 위해 심

    각도 평가 프로세스 설정

    IMDRF[6] - 보안취약점 정보 식별, 평가 및 공유- 보안취약점 발견자는 제조업체 또는 정부기관과 같은 제3자에게 직접 보고 한국기계전기전자시험연구원 자체 작성

    국가 가이드 내용

    미국[2] 사용자가 위험을 완화하기 위해 적절한 조치를 취하고 기기 사용과 관련해 잘 알고 판단을 내릴 수 있도록 권장되는 보완 통제와 잔여 사이버 보안 위험에 대한 정보 제공

    프랑스[3] 공격이 발생했을 때 사용자가 제일 먼저 무엇을 해야 하며, 제조업체는 알림 메시지에 따른 조치를 어떻게 취해야 하는지 문서화하여 제공

    호주[4] 15일 이내에 고객과 사용자에게 통지

    대만[5] 의료기기 보안 정보가 필요한 사용자에게 적절한 수준의 언어를 사용하여 업데이트 배포 및 배포 전까지 필요한 보상 내용을 포함한 정보 제공 IMDRF, “Principles and Practices for Medical Device Cybersecurity”, IMDRF, IMDRF/CYBER WG/N60FINAL:2020, 2020.

  • 기획시리즈-차세대보안

    정보통신기획평가원 9

    고 있다. 또한, IMDRF에서는 사용자가 이해할 수 있는 적절한 수준의 언어를 사용하여

    업데이트 배포 전까지 필요한 보상 내용을 포함한 정보를 제공하도록 권고하고 있다([표

    7] 참조).

    2. 업데이트 개발 단계

    업데이트 개발 단계는 취약점 개선 조치, 업데이트 배포, 보고서 제출로 이루어진다.

    가. 취약점 개선 조치

    취약점 개선 조치 단계에서는 사이버 보안 취약점을 제거 또는 완화하여 환자 위해 위험

    을 수용 가능한 수준으로 감소시켜야 한다. 취약점 개선 조치는 잔여 위험이 수용 가능한

    수준일 때도 사이버 보안 위험을 줄이기 위해 꾸준히 수행되어야 한다.

    [표 8] 업데이트 개발 단계의 취약점 개선 조치를 위한 가이드 내용

    취약점 개선 조치 단계는 미국, 프랑스, 호주, 대만, IMDRF의 가이드에서 수행하도록

    권고하고 있으며, 대표적으로 호주에서는 의료기기의 취약점 개선을 위해 업데이트를 하

    기 전에 취해야 할 조치사항을 평가하도록 권고하고 있다. 또한, IMDRF에서는 업데이트

    를 합리적인 시간 내에 적용할 수 없는 경우 위험을 완화할 수 있는 다른 방법을 적용하도

    록 권고하고 있으며, 대만에서는 개인정보보호법 또는 기타 규정의 적용을 받는 안전 위험

    국가 가이드 내용

    미국[2] - 잔여 위험이 수용 가능한 수준일 때도 사이버 보안 위험을 감소할 것을 권장- 환자 위해 위험이 통제되지 않은 위험으로 평가되는 경우, 추가적 위험 통제 대책 적용

    프랑스[3]- 공격 및 공격 시도 후 의료기기는 다음의 안전 기준 고려사항을 충족해야 함

    ※ 의료기기의 가용성, 무결성, 기밀성 보장※ 사용자 알림

    호주[4] - 사이버 보안 취약점을 개선하여 환자 위해 위험을 수용 가능한 수준으로 맞춰야 함- 의료기기(소프트웨어 포함) 업데이트를 하기 전에 취해야 할 조치사항 평가

    대만[5]- 수용 가능한 위험의 경우, 업데이트 및 패치의 적용이 필요하진 않지만 기기의 안전을 강화하기 위한 수단으

    로 고려- 개인정보보호법 또는 기타 규정의 적용을 받는 안전 위험 이벤트가 발생한 경우 관련 규정에 따라 폐기 처리

    IMDRF[6] - 환자에 대한 위험을 줄이기 위해 시기적절한 보안 취약점 교정- 업데이트를 합리적인 시간 내에 적용할 수 없는 경우, 위험을 완화할 수 있는 다른 방법 적용 한국기계전기전자시험연구원 자체 작성

  • 주간기술동향 2020. 12. 9.

    10 www.iitp.kr

    이 발생한 경우 관련 규정에 따라 폐기 처리하도록 권고하고 있다([표 8] 참조).

    나. 업데이트 배포

    업데이트 배포 단계에서는 취약점 개선 조치가 완료된 업데이트 배포 시 관련 규정에

    따라 처리해야 한다.

    업데이트 배포 단계는 미국, 프랑스, 호주, 대만, IMDRF의 가이드에서 수행하도록 권고

    하고 있으며, 대표적으로 미국에서는 일상적 업데이트에 대해서는 시판 전 심사가 필요하

    지 않지만 기기 설계나 구성 요소 등에 상당한 변경을 주는 경우 시판 전 신고서를 제출하

    도록 권고하고 있다. 또한, 대만에서도 업데이트에 신규 사양 또는 성능 변경이 포함된

    경우 관련 조항에 따라 처리할 것을 권고하고 있다([표 9] 참조).

    [표 9] 업데이트 개발 단계의 업데이트 배포를 위한 가이드 내용

    다. 보고서 제출

    보고서 제출 단계에서는 의료기기에서 발생한 사이버 보안 취약점과 그에 대한 대응

    절차를 규제기관에 보고해야 한다.

    보고서 제출 단계는 미국, 프랑스, 대만, IMDRF의 가이드에서 수행하도록 권고하고

    있으며, 대표적으로 미국에서는 주기적(연례) 보고서를 통해 사이버 보안 취약점에 대한

    정보와 그에 실행된 기기 변경 및 보완 통제를 FDA에 보고할 것을 권고하고 있다. 또한,

    국가 가이드 내용

    미국[2]- 일상적인 업데이트 및 패치에 대해 FDA는 일반적으로 의료기기 소프트웨어 변경을 허가하거나 승인하기

    위한 시판 전 심사를 수행할 필요가 없음 ※ 기기 설계나 구성 요소 등이 상당한 변경으로 간주되는 경우 시판 전 신고서(510(k)) 요구

    프랑스[3]- 신뢰성과 무결성이 보장된 소프트웨어 보안기능 업데이트 권장- 업데이트 절차에 개인에 대한 명확한 식별을 포함하고 있어야 하며, 업데이트 절차 관련 권한은 엄중하게

    관리할 것을 권장

    호주[4] - 의료기기 업데이트 이후 위험 관리 시스템도 업데이트해야 함

    대만[5] - 신규 사양 또는 성능 변경이 포함된 경우 관련 조항에 따라 처리

    IMDRF[6]

    - 제조업체는 품질, 성능 및 보안 문제를 해결하는 소프트웨어 및 펌웨어 업데이트를 통해 해당 제품의 공급업체로부터 지원을 받을 수 있어야 함

    - 현지 규제 당국은 제조업자에게 의료기기, 부속품 또는 소프트웨어 업데이트 서버 등의 특정 기능을 비활성화하도록 지시할 수 있음

    한국기계전기전자시험연구원 자체 작성

  • 기획시리즈-차세대보안

    정보통신기획평가원 11

    [표 10] 업데이트 개발 단계의 보고서 제출을 위한 가이드 내용

    프랑스에서도 의료기기 관련 사고에 대해 ANSM(Agence Nationale de Securitedu

    Medicament)에게 알린 후 조사에 필요한 모든 정보를 지정된 기간 내에 제공할 것을

    권고하고 있다([표 10] 참조).

    3. 정보 공유 단계

    정보 공유 단계에서는 의료기기가 안전하게 사용될 수 있도록 관련 기관을 통해 정보를

    공유하고 공유되는 정보를 주기적으로 모니터링해야 한다.

    정보 공유 단계는 미국, 호주, IMDRF의 가이드에서 수행하도록 권고하고 있으며, 대

    [표 11] 정보공유 단계의 정보공유를 위한 가이드 내용

    국가 가이드 내용

    미국[2] - 주기적 보고 요구사항을 가진 PMA 기기의 경우, 사이버 보안 취약점에 대한 정보와 그에 대해 실행된 기기 변경 및 보완 통제를 주기적(연례) 보고서를 통해 FDA에 보고

    프랑스[3]

    - 제조업체는 의료기기 또는 체외진단기기 관련 사고에 대해 ANSM에게 알려야 하고, 조사에 필요한 모든 정보(지정된 기간 내 추가 질문 응답 및 60일 안에 최종보고서) 제공※ 보고서에는 해당 사고 조치가 적절하다는 분석 또는 해당 사고 조치가 필요 없는 정당화 즉, 증명할 수 있

    는 분석을 포함해야 함

    대만[5] - 심각한 반응을 초래할 경우 혹은 초래할 수 있다고 평가되는 경우 중앙보건당국 또는 위탁기관에 통지

    IMDRF[6]- 제조업체는 공개된 소프트웨어의 문제와 변경사항을 입수하고 설치하는 방법에 대해 사용자와 규제기관에 통지- 규제기관은 사이버 보안 사고를 인지하고, 규제 의사결정을 위한 추가 정보를 요청할 수 있으며, 필요에 따라

    추가 조치를 취할 수 있도록 통보 한국기계전기전자시험연구원 자체 작성

    국가 가이드 내용

    미국[2]- 제조업체는 ISAO에 적극적으로 참여하여 사이버 보안 취약점을 적극적으로 해결하고 환자와 사용자들과의

    소통과 조율을 비롯한 시의적절한 위험 통제 대책을 통해 악용을 최소화함으로써 회사와 의료기기 커뮤니티, HPH 부문에 도움이 될 수 있음

    호주[4]

    - CERT(ACSC의 일부로 사이버보안센터에서 공동 운영)와 AusCERT(퀸즈랜드대학교 비영리 조직)를 통해 사이버 보안 위험 정보 공유 및 모니터링

    - 제조업체와 스폰서는 의료기기의 안전한 작동에 영향을 줄 수 있는 사이버 보안 취약점에 관한 정보를 수집하는 방법을 설명하고 지속적인 위험 관리의 일환으로 평가 및 관련 조치 시연

    IMDRF[6]- 의료 서비스 제공자는 환자의 안전과 관련된 정보를 지속적으로 제공- 의료기기의 보안과 관련된 정보는 의료기기가 안전하게 사용될 수 있도록 그 정보가 필요한 사람과 공유- 규제기관은 의료기기의 사이버 보안과 관련된 정보가 적시에 공개될 수 있도록 프로세스 구축

    한국기계전기전자시험연구원 자체 작성

  • 주간기술동향 2020. 12. 9.

    12 www.iitp.kr

    표적으로 미국에서는 ISAO(Information Sharing and Analysis Organization)를 통

    해 제조업자가 사이버 보안 취약점에 대한 정보를 공유할 것을 권고하고 있다. 또한, 호주

    에서도 CERT(Computer Emergency Response Team)와 AusCERT(Cyber Emergency

    Response Team in Australia)를 통해 사이버 보안 위험 정보를 공유하고 모니터링할

    것을 권고하고 있다([표 11] 참조).

    참고로 국내의 경우, 의료 분야에 대한 정보 공유를 위해 「정보통신기반 보호법」 제16

    조(정보공유·분석센터)에 따라 의료기관공통보안관제센터(의료ISAC)가 설립되었으며, 사

    회보장정보원(「사회보장급여의 이용ㆍ제공 및 수급권자 발굴에 관한 법률」 제29조)에서

    운영하고 있다.

    4. 지원 종료 단계

    지원 종료 단계는 계획 수립 및 안내문 통지로 이루어진다.

    계획 수립 및 안내문 통지 단계에서는 지원 종료 날짜를 미리 계획하고, 사용자에게

    지원 종료 날짜, 지원 종료 후 이용 가능한 서비스, 대체 제품 등 관련 정책에 대해 지속적

    으로 전달해야 한다.

    계획 수립 및 안내문 통지 단계는 IMDRF의 가이드에서만 수행하도록 권고하고 있으며,

    지원되지 않는 레거시 장치가 단계적으로 폐기되고 지원되는 의료기기로 대체될 수 있도록

    미리 계획할 것을 권고하고 있다. 또한, 사용자가 지원 종료에 대비할 수 있는 충분한 시간을

    확보하기 위해 관련 일정을 지속적으로 전달하도록 권고하고 있다([표 12] 참조).

    [표 12] 지원 종료 단계의 계획 수립 및 안내문 통지를 위한 가이드 내용

    국가 가이드 내용

    IMDRF[6]

    - 지원되지 않는 레거시 장치가 단계적으로 폐기되고 지원되는 의료기기로 대체될 수 있도록 사이버 보안 EOS (End of Support) 날짜를 미리 계획

    - 수명 주기가 가장 짧은 소프트웨어는 해당 기기의 지원 가능성과 보안에 영향을 미치기 때문에 SBOM (Software Bill of Materials) 요청

    - 사이버 보안 EOL(End of Life)에 접근하는 즉시, 제조업체는 기기의 사이버 보안 지원 종료 날짜를 명확하게 전달하면서 EOL을 지난 이후의 이용 가능한 제한된 지원을 고객에게 통지

    - 고객이 EOS 및 관련 고객 책임에 대비할 수 있는 충분한 시간을 확보하기 위해 사이버 보안 EOS 날짜에 대한 일정을 지속적으로 전달

    한국기계전기전자시험연구원 자체 작성

  • 기획시리즈-차세대보안

    정보통신기획평가원 13

    III. 결론

    본 고에서는 국외 의료기기 시판 후 사이버 보안 가이드 동향을 살펴보았다. 의료기기의

    사이버 보안 취약점은 환자의 위해로 이어질 수 있으므로 의료기기 수명 주기 전반에 걸쳐

    사이버 보안에 대한 위험 관리가 필요하다.

    미국, 프랑스 등 주요 국가에서는 정보통신기술과 의료기기가 통합된 환경에서 급격하

    게 증가하는 사이버 보안 위험을 관리할 수 있도록 정책이나 지침을 마련하고 있다. 그

    중 IMDRF에서 개발한 가이드는 가장 최신 문서로 각국 규제기관이 참여해서 만들었으

    며, 앞으로는 시판 전후에 대한 사이버 보안 관리가 강화될 것으로 예상된다.

    이러한 중요성을 인지하여 국내에서도 국외에서 개발된 의료기기 사이버 보안 가이드

    및 국제 표준을 기반으로 의료기기 수명 주기 전반에 걸친 위험 관리 체계를 구축하기

    위한 지속적인 노력이 이루어지기를 기대해본다.

    [ 참고문헌 ]

    [1] 식품의약품안전처 식품의약품안전평가원, “의료기기의 사이버 보안 허가·심사 가이드라인(민원인 안내서)”, 안내서-0995-01, 2019.

    [2] USFDA, “Postmarket Management of Cybersecurity in Medical Devices,” USFDA, FDA- 2015-D-5105, 2016.

    [3] ANSM, “Cybersecurity of medical devices integrating software during their life cycle,” ANSM, BSI-CS 142, 2019.

    [4] TGA, “Medical device cyber security guidance for industry,” TGA, 2019.[5] TFDA, “Guidance on Management of Cybersecurity in Medical Devices for Manufacturers,”

    TFDA, 2019.[6] IMDRF, “Principles and Practices for Medical Device Cybersecurity,” IMDRF, IMDRF/

    CYBER WG/N60FINAL:2020, 2020.

  • 주간기술동향 2020. 12. 9.

    14 www.iitp.kr

    *

    I. 서론

    1994년 피터 쇼어(Peter Shor)에 의해 양자 연산으로 소인수분해 문제를 다항식 시간

    으로 해독할 수 있는 알고리즘이 소개된 이후 양자 컴퓨터를 구현하기 위한 연구가 진행되

    었다[1]. 오늘날 양자 컴퓨터 구현 기술이 Google, MS, Intel, IBM 등 대표적인 IT기업들

    을 중심으로 빠른 속도로 발전하고 있으며, 최근에는 이미 특정 문제에 대해 슈퍼컴퓨터

    성능을 뛰어넘은 것으로 평가되고 있다[2]. 따라서 현재 광범위하게 응용되고 있는 RSA와

    타원곡선 암호(Elliptic Curve Cryptography) 기반의 암호화 및 전자서명 알고리즘을

    해독할 수 있는 수준의 양자 컴퓨터가 앞으로 10년 이내에 등장할 것으로 예상된다.

    이러한 문제에 대응하기 위해 양자 컴퓨터 상에서의 연산에서도 안전한 새로운 암호

    알고리즘에 관한 연구가 활발하게 이루어지고 있으며 이런 암호 기술을 양자 내성 암호

    (quantum safe cryptography) 또는 양자 컴퓨터 이후에도 안전하게 사용할 수 있는

    암호라는 의미의 포스트 양자 암호(Post Quantum Cryptography: PQC)라 부른다. 이

    런 활동에 부응하여 미국 연방정부의 표준 기술을 제정하는 NIST(National Institute

    of Standards and Technology)에서는 2016년 포스트 양자 암호 알고리즘 표준화를

    * 본 내용은 김영식 교수(☎ 062-230-7032, [email protected])에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.

    chapter 2

    NIST 양자 내성 암호 표준화 3라운드 알고리즘 특성 비교

    •••김영식 ‖ 조선대학교 교수

    ICT 신기술

  • ICT 신기술

    정보통신기획평가원 15

    위한 알고리즘 제안 요청을 공지하였고, 2017년 11월에 82개의 알고리즘을 접수하여

    본격적으로 표준화 과정을 진행하고 있다[3].

    본 고에서는 현재 미국 NIST에서 진행 중인 PQC 표준화 알고리즘 진행 과정을 소개하

    고, 현재 3라운드 후보로 선정된 알고리즘을 분류하고 비교한다. 그리고 공개키 암호화

    (Publick Key Encryption: PKE)/키 교환 메커니즘(Key Encapsulation Mechanism:

    KEM) 분야와 전자서명 두 분야로 동시에 진행되는 NIST의 표준화 과정의 3라운드 알고

    리즘으로 선정된 후보의 개별 특징들을 요약 설명한다. 이를 통해 NIST에서 알고리즘을

    선정한 전체적인 방향을 이해하고 3라운드 각 알고리즘의 장단점을 확인하여, 3라운드

    과정에서 집중해서 살펴봐야 할 남은 문제들을 고찰해 본다. 이를 통해 향후 NIST PQC

    이후 선정된 양자 내성 암호를 본격적으로 사용할 수 있는 대비를 할 수 있을 것이다.

    II. NIST 표준화 과정 소개

    NIST PQC 표준화 과정은 PKE, KEM 그리고 전자서명 알고리즘 세 가지 트랙이 동시에 진행되는 방식으로 공지가 되었다. 그러나 진행 과정 중에 PKE만으로 제안된 알고리즘은 매우 적고, PKE를 기반으로 한 KEM 알고리즘이 다수를 차지하여 실제 진행 과정에서는 PKE와 KEM을 하나의 트랙으로 나머지 전자서명 알고리즘을 다른 트랙으로 구분하여 진행되었다.

    2017년 마감된 알고리즘 제안에서는 총 82개의 알고리즘이 제안되었으며, 이 중에서 기본 요건 및 특성을 NIST에서 자체 분류하여 67개의 알고리즘을 1라운드 대상 알고리즘으로 선별하여 공표하였다. 2018년 4월에는 1라운드 알고리즘 제안자 발표를 진행하였으며, 2019년 1월에 2라운드 선정 알고리즘이 발표되고, 2019년 8월에 2라운드 알고리즘 제안자 발표 및 워크샵을 진행하였다. 마지막으로 2020년 7월에 최종적으로 3라운드 알고리즘이 발표되었다. [표 1]에서는 NIST PQC 표준화 과정 중 라운드별 선정된 알고리즘을 종류별로 분류하였다. [표 1]의 3라운드 알고리즘에서 괄호 밖의 숫자는 본 알고리즘 수를 의미하고 괄호 안의 숫자는 후보 알고리즘으로 공개된 알고리즘 수를 의미한다.

    NIST에서는 제안 알고리즘들의 보안 수준이 사전에 정의된 다섯 가지 영역에 맞추도록

    요구하였다. 이를 통해 제안된 알고리즘 사이의 성능 비교를 위한 기준을 마련하였으며,

  • 주간기술동향 2020. 12. 9.

    16 www.iitp.kr

    [표 1] NIST PQC 표준화 라운드별 알고리즘 분류

    보안과 성능 사이의 절충 관계를 고려해 제안자들이 해당 파라미터를 제안할 수 있었다.

    또한, 공개키 암호와 KEM 방식에서는 최소 IND-CCA2(Indistinguishability under

    adaptive chosen ciphertext attack) 안전성을 만족해야 하며 특별한 경우에 IND-

    CPA(Indistinguishability under chosen-plaintext attack) 안전 조건을 만족하는 것

    을 허용하였다. 전자서명의 경우에는 EUF-CMA(Existentially unforgeable under

    adaptive chosen message attacks) 안전 조건을 만족할 것을 요구하고 있다.

    기존 NIST의 암호 표준화와 가장 큰 차이점은 이번 표준화 과정에서는 단일한 알고리

    즘 선정이 아닌 여러 알고리즘을 포트폴리오 형식으로 선정할 예정이라는 점이다. 최종

    3라운드에는 최종 3라운드 알고리즘 이외에 대체 가능한 후보 알고리즘이 함께 공개되었

    다[3],[4]. PKE/KEM 분야에서는 총 4개의 알고리즘이 3라운드 알고리즘으로 선정되었

    고, 전자서명에서는 총 3개의 알고리즘이 선정되었다. 가장 눈에 띄는 점 중 하나는 선정

    된 알고리즘이 모두 서로 다른 수학 난제에 기반을 두고 있다는 것이다. 이는 양자 내성

    암호의 안전성에 대해 완전한 확신을 하지 못하는 상황에서 현재 어려운 문제가 향후 효율

    적인 연산 방법이 발견되어 공격이 이루어진다 하더라도, 다른 문제에 기반을 둔 또 다른

    알고리즘을 통해서 표준이 바로 무력화되지 않도록 만들고자 하는 의도가 담겨 있다. 마찬

    가지 이유에서 대체 가능한 후보 알고리즘 역시 3라운드 알고리즘에서 향후 새로운 암호

    해독 기술이 발견되더라도 후보 알고리즘에서 대체할 수 있도록 하였다.

    3단계 알고리즘을 선정할 때 가장 중요한 기준은 보안이었다. 평가 과정에서 기존에

    PKE/KEM 전자서명 소계 비율

    1라운드 2라운드 3라운드 1라운드 2라운드 3라운드 3라운드 3라운드

    Code 17 7 1(2) 3 0 0(0) 1(2) 20%

    Lattice 21 9 3(2) 5 3 2(0) 5(2) 47%

    MQ 2 0 0(0) 7 4 1(1) 1(1) 13%

    SIDH 1 1 0(1) 0 0 0(0) 0(1) 7%

    Hash 0 0 0(0) 3 1 0(1) 0(1) 7%

    Others 5 0 0(0) 2 1 0(1) 0(1) 7%

    총계 46 17 4(5) 20 9 3(3) 7(8) 100% 조선대학교 자체 작성

  • ICT 신기술

    정보통신기획평가원 17

    조금이라도 보안 이슈가 있는 알고리즘들은 대부분 배제가 되었으며, 반대로 오랫동안

    안전성을 인정받은 McEliece와 NTRU와 같은 알고리즘들이 최종 후보에 포함되었다.

    또한, TLS, SSH, IKE, IPSec, DNSSEC 등 다양한 인터넷 프로토콜들과 연동 가능성도

    중요한 평가 기준 중 하나였다.

    보안을 위한 기준은 앞서 언급한 대로 PKE/KEM은 IND-CCA2를 만족하도록 하며

    IND-CCA2보다 더 쉬운 보안 가정인 IND-CPA의 경우에는 일회용 사용의 경우 사용이

    허용되었다. 전자서명의 경우 EUF-CMA를 만족시키는 알고리즘을 선정하였다. 보안 수

    준 난이도에 따라 5가지로 정해졌지만, 처음 세 개의 난이도 1, 2, 3이 중심이 되고 4와

    5는 옵션으로 허용이 되었다.

    3라운드 평가가 끝난 후에는 최종적으로 다음과 같이 두 가지 기존의 표준 문서에 대한

    보충 알고리즘으로 PQC 알고리즘들이 포함될 예정이다. 우선 전자서명의 경우는 기존의

    FIPS 186-4 Digital Signature Standard(DSS)에 추가될 예정이다. KEM의 경우에는

    SP800-56B에 추가될 예정이다.

    III. 3라운드 진출 알고리즘 특성 분석

    3라운드는 향후 1년에서 1년 반 동안 진행될 예정으로, 3라운드로 진입하면서 알고리즘 제안자들에게 알고리즘을 수정할 기회를 한 번 더 주었고, 10월 중 최종 3라운드 알고리즘의 세부 명세가 확정되었다. 또한, 2021년 여름까지 3라운드 평가 워크숍을 개최할 예정이다. NIST PQC 3라운드 알고리즘에 대한 세부 명세 및 실행 가능한 샘플 코드는 NIST의 관련 웹사이트에 모두 공개되어 있다[3]. 본 고에서 참고하는 각 알고리즘에 대한 명세 역시 동일한 웹사이트에서 다운로드가 가능하다.

    NIST에서 진행 중인 PQC 표준화는 3라운드에 이르러서는 PKE/KEM이 합쳐져 전자서명 트랙과 함께 총 두 개의 트랙으로 평가가 진행 중이다. [표 2]와 같이 3라운드 알고리즘은 총 7개이며, 추가로 8개의 알고리즘이 후보군으로 선정되어 향후 표준화에 선정될 수 있는 여지를 남겨두고 있다. 또 다른 특징으로는 각 알고리즘은 모두 서로 다른 범주에 속하는 것을 볼 수 있으며, 양자 연산의 안전성을 보장하기 위해서 알고리즘의 다양성을 최대한 유지하려고 하는 의도가 드러나고 있다.

  • 주간기술동향 2020. 12. 9.

    18 www.iitp.kr

    [표 2] NIST PQC 3라운드 진출 알고리즘 분류

    1. PKE/KEM 3라운드 알고리즘

    가. Classic McEliece

    첫 번째 알고리즘은 1979년에 제안된 부호 기반 암호화 방식으로 표준화를 위해 제안된 알고리즘 중 가장 역사가 깊은 오래된 알고리즘이다[5]. 부호 기반 암호는 생성 행렬을 사용하는 McEliece 방식과 패리티 검사 행렬을 사용하는 Niederriter 방식으로 나눌 수 있다. 1라운드에서의 Classic McEliece는 패리티 검사 행렬을 사용하는 형태로 제안되었고, 생성 행렬을 사용하는 NTS-KEM이라는 알고리즘이 별도로 제안되었다. 2라운드가 진행되면서 NIST의 권장대로 두 알고리즘이 하나로 합쳐져 Classic McEliece라 불리게 되었다[6].

    NIST의 요구대로 보안을 위해 IND-CCA2를 만족시키는 방식으로 제안되었으며, 알고

    리즘의 구현 효율성 향상을 위한 최신 기술들이 적용되었다. 이로 인해 KEM 후보 중

    가장 작은 암호문 크기를 가지고 있다. 40년 이상 알려진 알고리즘으로 그동안 다양한

    공격 방식이 제안되었으나, 공개키 크기 등 관련 파라미터를 조정함으로써 여전히 안전하

    게 사용할 수 있으며, 큰 틀에서 변할 여지가 별로 없는 매우 안정적인 시스템이다. 이것이

    바로 이 알고리즘의 신뢰성이 높이 평가받는 이유이며 최종 후보에 들어간 가장 큰 이유이

    다. 한 가지 가장 큰 단점으로는 매우 큰 공개키 크기를 갖고 있기 때문에, 이 알고리즘을

    3라운드 대안 알고리즘

    알고리즘 분류 알고리즘 분류

    PKE/KEM

    Classic McEliece 부호기반암호 BIKE 부호기반암호

    CRYSTALS KYBER LWE FrodoKEM LWE

    NTRU NTRU HQC 부호기반암호

    SABER LWR NTRU Prime NTRU

    SIKE Isogeny

    전자서명

    CRYSTALS DILITHIUM LWE GeMMS MQ

    FALCON NTRU Picnic 대칭키암호

    Rainbow 다변수 Sphincs+ Hash 조선대학교 자체 작성

  • ICT 신기술

    정보통신기획평가원 19

    IoT를 포함한 다양한 인터넷 환경에서 사용하는 데는 제약이 따를 수 있다.

    나. CRYSTALS-KYBER

    CRYSTALS라는 이름으로 두 개의 알고리즘이 제안되었는데, 그 중 KEM 방식으로 제

    안된 것이 KYBER이고 전자서명으로 제안된 것이 DILITHIUM이다. CRYSTALS 방식은

    Ring-LWE를 일반화시킨 Module-LWE 기반 암호로서 LWE를 사용한 암호화 방식을

    처음으로 제안한 Regev의 암호화 알고리즘을 응용한 방식이라 할 수 있다[7]. LWE,

    Ring-LWE, Module-LWE를 사용하는 수많은 알고리즘이 제안되었으나 그 중에서 최종

    4개 후보로 살아남은 유일한 알고리즘이다. 그 외 7개의 대체 알고리즘에 LWE 기반의

    Frode-KEM 암호가 만약을 위한 후보로서 남아 있다.

    KYBER는 Fujisaki-Okamoto 변환을 통해서 IND-CCA2 조건을 달성하였으며, QROM(Quantum Random Oracle Model)을 기반으로 보안 증명을 제시하였다. 또한, cyclotomic ring을 사용하였기 때문에, NTT(Number Theoretic Transform)를 사용해서 효율적으로 구현할 수 있다. 매우 작은 파라미터 크기를 가지며 대부분의 사용 환경에서 좋은 성능을 보여주고 있다. Module의 rank와 LWE의 noise 파라미터를 사용해서 성능을 조정할 수 있다. 그러나 Module-LWE 문제에서 SVP(Shortest Vector Problem)로의 reduction이 증명되었지만, KYBER 같은 알고리즘에 그대로 적용하기 어려운 문제가 있다. 최근에 Nonce를 재사용하는 경우에 대한 오류 주입 공격이 알려져 부채널 공격 이슈가 발생했으나, 이 문제는 모든 LWE 방식에 공통적으로 적용될 수 있는 것으로 KYBER만의 문제라고 할 수는 없다. 라운드가 바뀌면서 제안자들이 알고리즘을 수정할 기회를 주었으나 KYBER의 경우는 SHA3-256을 SHAKE256으로 교체한 것을 제외하면 변경된 것이 없을 정도로 매우 안정적인 알고리즘이라 할 수 있다.

    다. NTRU

    NTRU는 격자 기반 암호 중 가장 오래된 방식 중 하나로 1 라운드에서 NTRU-Encrypt

    와 NTRU-HRSS-KEM이라는 이름으로 각각 제안된 두 개의 알고리즘이 하나로 합쳐진

    알고리즘이다[8]. NTRU는 Ring 구조를 갖는 격자 기반 암호의 일종으로 NIST에서 상당

    히 주목하는 방식이라 할 수 있다. 초기의 NTRU 알고리즘은 수학적으로 어려운 문제로

    알려진 문제를 기반으로 설계되었으나, NP-hard 문제로의 reduction이 증명되지 않아

  • 주간기술동향 2020. 12. 9.

    20 www.iitp.kr

    알고리즘 안정성에 대한 문제 제기가 있었다. 그러나 처음 제안 이후 25년이 지난 지금까

    지 많은 공격 시도에도 불구하고 유효한 공격이 알려지지 않아 지금은 안정적인 알고리즘

    의 하나로 인정을 받고 있다. NTRU는 RLWE와 MLWE와 같은 알고리즘들과는 전혀 다

    른 문제에 기반을 두고 있기 때문에, 다양성을 통해서 표준화의 안전성을 도모하고자 하는

    NIST의 목적에 부합하는 알고리즘이라 할 수 있다.

    결국 NTRU의 가장 큰 장점은 가장 오래된 격자 기반 암호 중 하나로서 그만큼 공격에 대해서 저항한 경력을 갖고, 이에 따라 신뢰를 받는 알고리즘이라는 점이다. 이 알고리즘 역시 NIST의 요구대로 IND-CCA 변환을 제공하며 QROM기반의 기본적인 보안 증명을 제시하였다. 다만 어려운 문제에 대한 안전성은 여전히 증명되지 않았고, 적당한 크기의 파라미터 및 암호화/복호화 성능을 보여주고 있으나, 다른 경쟁 알고리즘 대비 아주 뛰어난 것은 아니었다. 특히 키 생성 알고리즘이 매우 느린 편에 속한다.

    라. SABER

    SABER 알고리즘은 격자 기반 암호에 해당하는 KEM 방식으로 Module-LWR(Learning With Rounding) 문제에 기반을 둔 방식이라 할 수 있다[9]. LWR 문제는 LWE와 유사한 구조에서 마지막 오류 주입 대신 연산 결과의 LSB 일부를 버리는 연산을 사용하는 방식이다. LWE에서 이산 Gaussian 오류를 생성하는 과정에서 많은 연산이 필요하고 보안 수준에 미치는 영향이 큰 문제가 있는데, LWR은 이 과정을 매우 단순한 연산으로 대체할 수 있으며 특정 조건하에서 일반적인 LWR 문제가 LWE 문제로 환원되는 것이 증명이 되었기 때문에 안전성에도 큰 문제가 없다고 평가된다.

    SABER은 최종까지 살아남은 유일한 LWR 방식으로, Fujisaki-Okamoto 변환을 응용

    한 방식으로 IND-CCA2를 달성할 수 있으며, Rounding 연산과 의 modulus를 사용하여 modular reduction 연산에 최적화할 수 있도록 설계되었다. 이를 통해 대부분의 인터넷 사용 및 IoT 환경에서 최적의 성능을 보여주는 장점을 갖고 있다. 특히, SABER에서는 NTT를 사용하지 않고 매우 빠른 곱셈 연산을 할 수 있다는 특징을 지니고 있다. SABER의 가장 큰 문제점은 앞서 말한 대로 Module LWE에서 Module LWR로의 reduction이 증명되었으나, 이 증명이 SABER의 경우 완벽히 적용되지 않는다는 문제를 지닌다. 그러나 2라운드에 들어서 SABER에 대한 보안 증명 부분이 더욱 강화되었다.

    결국, 3라운드에 포함된 PKE/KEM 영역에서의 격자기반 암호는 KYBER, SABER,

  • ICT 신기술

    정보통신기획평가원 21

    NTRU 세 가지로 최종 안에는 이 중 하나만 표준에 포함될 것으로 전망되고 있다.

    2. PKE/KEM 3라운드 후보 알고리즘

    가. FrodoKEM

    FrodoKEM 알고리즘은 원래의 LWE 문제에 기반을 둔 방식으로 가장 많이 연구되고

    검증된 격자 기반 암호이다[10]. 경쟁 알고리즘들이 Ring이나 Module 등의 수학적 구조

    를 도입하여 효율성을 높이려고 시도했지만 FrodoKEM은 원래의 LWE 문제를 그대로

    사용했기 때문에 여러 효율화를 위한 방식이 도입되었음에도 격자 기반 암호 스킴 중에서

    상대적으로 매우 큰 파라미터 크기를 갖고 있다. 그러나 원래의 LWE 문제를 거의 그대로

    사용하고 있고, Ring이나 Module과 같은 구조를 사용하지 않기 때문에 대수적 공격에

    가장 안전한 방식이라 할 수 있다.

    FrodoKEM도 Fujisaki-kamoto 변환을 통해 IND-CCA2 보안을 달성함을 증명할 수

    있으며 QROM 기반의 보안 증명을 제공해 준다. 격자 기반 암호 중 파라미터의 크기가

    크기는 하지만 일반 응용을 위해서 공개키 파라미터가 사용 가능한 수준이라 볼 수 있으

    며, TLS 서버에서 실제 운용하기에는 무리가 따를 수 있을 것으로 전망된다. 키 생성 시간

    도 준수한 특성을 보여준다. 다만, 신뢰성은 높지만 LWE 문제를 그대로 사용했다는 점에

    서 성능 면에서 상대적으로 더 손해를 보고 있다.

    KYBER, NewHope, Frodo, DILITHIUM에 공통적으로 적용 가능한 오류 주입 공격의 경우 FrodoKEM의 경우 PRF(Pseudo Random Function)를 키 생성 쪽으로 옮겨서 해결할 수 있다. 결과적으로 보안이 성능보다 더 중요한 응용 분야에서는 FrodoKEM이 다른 격자 기반 알고리즘에 비해서 유리하다 할 수 있지만, 일반적인 응용 가능성이 표준화의 중요 지표 중 하나이기 때문에 본 알고리즘에 포함되지는 못하고 대체가능한 후보군에만 포함되어 있다. 만일 3라운드에서 Module을 사용한 격자 기반 알고리즘에 새로운 공격이 발견될 경우 보수적인 방식으로 설계된 FrodoKEM이 백업 알고리즘으로 활용될 수 있다.

    나. BIKE

    BIKE는 MDPC(Moderate Density Parity Check Code) 문제에 기반을 둔 매우 유

  • 주간기술동향 2020. 12. 9.

    22 www.iitp.kr

    력한 부호 기반 암호화 방식 중 하나로 일반적인 응용에 적합한 KEM 방식이라 할 수

    있다[11]. 특히, 2라운드가 진행되면서 디코더의 성능이 개량되었다. 하지만 격자 기반

    방식보다 유사하지만 좀 더 느린 복호화 및 키 생성 알고리즘 성능을 보유하고 있으며

    역시 격자 기반 암호 대비 상대적으로 좀 더 긴 공개키의 크기 및 암호문의 길이를 갖고

    있다. BIKE에 대해서는 ISD(Information Set Decoding)에 기반을 둔 passive key

    recovery와 message recover 공격이 존재하며, IND-CCA2 보안 제공을 위해서 복호

    화 실패 확률이 상대적으로 커지는 등의 상당한 수준의 성능이 열화되었고, 이 값도 실험

    적인 방식으로만 입증된 상황이다. 이런 이유로 BIKE는 PKE/KEM 분야의 본 알고리즘

    에는 포함되지 못하고 이를 대체할 수 있는 후보군에만 포함이 되었다.

    다. HQC

    HQC 역시 부호 기반의 KEM 방식으로 기존의 McEliece와는 전혀 다른 문제에 기반을

    둔 새로운 형태의 암호화 방식을 제공하고 있다[12]. 키 생성 알고리즘이나 복호화 알고리

    즘이 같은 부호 기반 암호인 BIKE보다 훨씬 더 빠르며, 복호화 실패 비율에 대한 엄밀한

    분석을 통해서 IND-CCA2 보안을 증명할 수 있다. 최근 오류 벡터 분포에 대한 새로운

    분석 과정에서 이전에 생각된 것보다 복호화 실패율이 더 낮다는 것이 드러나기도 하였다.

    2라운드 과정에서 Concatenated Reed-Muller와 Reed-Solomon 부호를 사용한 새로

    운 디코더가 제안되었으며, 이를 통해 공개키 크기를 더 줄일 수 있었다.

    성능은 우수하지만 공개키와 암호문의 크기가 같은 계열의 BIKE 대비 여전히 각각 1.6~2배, 4~5배 더 큰 문제가 있다. NIST에서는 HQC 제안 그룹에게 3라운드 과정에서 HQC가 기반을 두고 있는 QCSD(Quasi-Cyclic Syndrome Decoding) 문제에 대한 보다 엄밀한 분석 및 연구를 주문하기도 하였다[4]. 보안 증명의 경우 다른 알고리즘 대비 견실한 편이지만 성능이나 파라미터 크기가 BIKE나 기타 격자 기반 방식보다는 뒤떨어지기 때문에 본 후보에 포함되지 못하고 대체 가능한 후보군으로만 포함되었다.

    라. NTRU-Prime

    NTRU-Prime은 1라운드에 제안된 Streamlined NTRU Prime과 NTRU LPRime

    알고리즘이 결합된 알고리즘이다[13],[14]. 여기서 Streamlined NTRU는 NTRU와 유사

    한 KEM 방식으로 유사한 보안 문제에 기반을 두고 있다. 또한, NTRU LPRime의 경우

  • ICT 신기술

    정보통신기획평가원 23

    일종의 Ring-LWE와 유사한 KEM 방식으로 NTRU에 Ring LWE를 적용한 것으로 볼

    수 있다.

    NTRU Prime은 복호화 과정에서의 실패 경우가 없으며 따라서 관련된 공격으로부터 면역되어 있다. 또한, Fujisaki-Okamoto 형태의 변환을 통해 IND-CCA2 보안을 달성할 수 있다. 다른 구조를 갖는 격자 기반 KEM 방식과는 달리 cyclotomic ring 구조로

    을 사용한다. 기존의 다른 알고리즘과는 전혀 다른 cyclotomic ring

    구조를 갖는다는 점에서 기존 NTRU의 잠재적 보안 문제를 회피할 수 있으며 따라서 만약의 경우 기존 알고리즘을 대체할 수 있는 후보군에 포함되었다. 이 알고리즘은 처음에 보안 수준을 2, 3, 4만 만족시키는 것으로 제안되었지만 나중에 5까지 포함하는 것으로 확장되었다.

    마. SIKE

    SIKE는 표준화를 위해 제안된 모든 알고리즘 중에서 유일하게 타원 곡선 기반의 isogeny 문제에 기반을 둔 방식으로 해당 문제를 사용하는 유일한 알고리즘이기 때문에 최종 후보로 남았다. SIKE 알고리즘은 가장 작은 공개키 크기를 갖고 있으며 매우 작은 암호문 크기를 갖고 있다[15]. 1라운드 평가 기간 동안 여러 연구 결과를 통해 보안에 대한 신뢰성을 구축할 수 있었고 파라미터의 크기를 더 줄일 수 있었다. 그러나 SIKE

    알고리즘의 문제는 공격자가 비트보다 더 적은 메모리를 갖고 있다고 가정한다. 무엇보다 가장 큰 문제는 성능으로 다른 후보 알고리즘보다 차수에서 차이가 날 정도로 느리다. Isogeny 계산 과정에서의 부채널 문제도 더 연구가 필요한 것으로 평가되어 4개의 주요 알고리즘에 포함되지 못하고 대체가능한 후보 알고리즘에만 포함되었다[4].

    3. 전자서명 3라운드 알고리즘

    가. CRYSTALS-DILITHIUM

    CRYSTALS-DILITHIUM은 KYBER와 기본 특성 및 구조를 공유하는 Module LWE를

    사용하는 격자 기반의 전자서명 알고리즘이다[16]. 이 알고리즘은 Module LWE와

    Module SIS(Short Integer Solution) 문제의 어려움에 기반을 두고 있으며 Fiat-Shamir

    with abort 방식을 사용하고 있다. 모든 파라미터에서 동일한 Ring 구조와 Modulus를

  • 주간기술동향 2020. 12. 9.

    24 www.iitp.kr

    사용함으로써 경쟁 알고리즘 및 FALCON 대비 더 단순한 구현이 가능하다. 키의 길이와

    서명의 길이 그리고 키 생성 알고리즘, 서명 알고리즘, 검증 알고리즘에서 다른 경쟁 알고

    리즘 대비 우수한 특성을 보여주고 있다. 특히, 2라운드 과정에서 알고리즘을 더욱 효율적

    으로 구현할 수 있는 방법이 제시되었고, QROM에 대한 보안 분석이 DILITHIUM에 잘

    적용된다. 3라운드에서는 Category 5에 해당하는 파라미터 추가를 NIST 평가단으로부

    터 요구받았으며 보안 분석에 대한 더 엄밀한 분석이 요청되었다[4].

    나. FALCON

    FALCON은 Hash-and-Sign 기반의 격자 기반 전자서명 알고리즘으로 NTRU 격자 상에서의 SIS문제의 어려움에 기반을 두고 있다[17]. ROM(Random Oracle Mode)/ QROM 기반의 보안 증명을 제공하며 전자서명 알고리즘 후보 중에서 가장 작은 파라미터 크기를 갖고 있다는 장점이 있다. 효율적인 서명 알고리즘, 검증 알고리즘 성능을 보여주고 있기 때문에 실제 응용에서도 준수한 성능을 보여주고 있다. 2라운드에서 Category 3에 해당하는 파라미터가 새로 제공되었으며 알고리즘이 단순화되었다. 또한, 부채널 공격에 내성을 갖도록 상수 시간의 알고리즘이 2라운드 기간 동안 제시되었다. 그러나 알고리즘 내부의 트리 구조, 과도한 부동소수점 연산, 이산 Gaussian 분포로부터의 랜덤 샘플링을 사용하면서 경쟁 알고리즘인 CRYSTAL DILITHIUM보다는 좀 더 복잡한 알고리즘을 갖고 있으며, 또한 키 생성 알고리즘이 느린 편이다. NIST에서는 FALCON 팀에게 3라운드 과정 동안 구현 문제를 좀 더 연구할 것을 요청하였다. 특히, 부동소수점을 사용하면서 라운딩에 의한 오류가 추가로 도입될 수 있으며, 이 문제가 향후 부채널 취약점을 드러낼 가능성이 있음이 지적되었다.

    다. Rainbow

    3라운드의 주요 알고리즘으로 선정된 Rainbow는 다변수 이차 방정식(multivariate

    quadratic equation) 기반의 전자서명 알고리즘으로 UOV(Unbalanced Oil-Vinegar)

    문제에 기반을 두고 있다[18]. 이 알고리즘의 장점으로는 빠른 서명 알고리즘 및 검증

    알고리즘이 있으며 상대적으로 짧은 서명 길이를 갖고 있다. 반면에 공개키 크기는 다른

    격자 기반 알고리즘 대비 매우 큰 문제를 갖고 있다. 매우 큰 공개키 크기로 인해 일반적인

    응용에는 적합하지 않으며, 공개키 인증서를 운용할 때 매우 큰 비효율이 발생할 수 있다.

  • ICT 신기술

    정보통신기획평가원 25

    그러나 키를 자주 공유하지 않는 응용에서는 적합할 수 있을 것으로 평가된다. 단점에도

    불구하고 알고리즘의 다양성을 통해 향후 공격에 표준 알고리즘이 무력화되는 것을 방지

    하는 목적으로 최종 후보에 포함되었다.

    4. 전자서명 3라운드 후보 알고리즘

    가. GeMSS

    GeMSS는 Rainbow와 마찬가지로 다변수 이차 방정식에 기반을 둔 전자서명 방식이다

    [19]. 그러나 정식 3라운드 알고리즘은 아니고 대체 가능한 후보 알고리즘으로 남아 있다.

    Rainbow처럼 다변수 이차 방정식 형태로 분류가 되지만 또 Rainbow가 기반하는 것과

    는 다른 수학 문제인 HFEv-에 기반을 두고 있다. 이 문제는 1990년대 후반에 나온 암호

    알고리즘 생성에 사용된 다변수 이차 방정식 관련 문제 중 가장 오래된 문제 중 하나이다.

    이 알고리즘은 Fiestel-Patarin 변환을 통해 EUF-CMA를 달성함을 증명할 수 있으며

    서명 값의 크기가 후보 알고리즘 중 가장 작은 특징을 갖는다. 또한, 준수한 수준의 검증

    속도를 보여주고 있으며, 잘 알려진 수학 문제에 기반을 두고 있어서 신뢰성도 확보하고

    있다. 그러나 가장 큰 문제는 매우 큰 공개키 크기로 같은 부류의 Rainbow보다도 더

    큰 크기를 갖고 있다. 따라서 저사양 장치에서는 구현이 어렵고 서명 시간은 매우 느린

    편이다. 큰 파라미터 크기로 인해 TLS와 SSH와 같은 인터넷 프로토콜 응용에는 어려울

    것으로 보인다. Rainbow와 경쟁할만한 특성을 가졌지만, 더 큰 파라미터 크기와 더 느린

    속도로 인해 Rainbow와는 달리 대체 가능한 후보군에만 포함되었다.

    나. Picnic

    Picnic은 NIST PQC 표준화에 제안된 모든 알고리즘 중에서 정수론적 혹은 대수적 수학 문제에 기반을 두지 않음에도 살아남은 유일한 알고리즘이라 할 수 있다[20]. 이 알고리즘은 Hash 함수에 대한 Random Oracle 가정에 의존하고 있으며 내부에서 사용되는 LowMC 블록 암호의 안전성에 기반을 두고 있고 서명 생성과정에서 NIZK(Non- Interactive Zero Knowledge) 증명 방식을 사용하고 있다. 이 방식 역시 현재까지 특별한 취약점은 알려지지 않았고, 따라서 다른 알고리즘 보안에 문제가 생겼을 경우를 대비한 대체 가능한 후보군의 다양성 확보 차원에서 3라운드 목록에 이름을 올리게 되었다.

  • 주간기술동향 2020. 12. 9.

    26 www.iitp.kr

    다. SPHINCS+

    SPHINCS+ 알고리즘은 Stateless Hash 기반의 전자서명 방식으로 해시 함수의 보안

    에 의존하는 방식으로, ROM 기반의 보안 증명을 제시하고 있다[21]. 해시 함수 기반의

    전자 서명도 타원 곡선 암호보다 더 이전에 소개된 서명 방식이라 그 이후로의 많은 공격

    에서 살아남았고 그에 따라 알고리즘 기반 문제는 이미 충분한 신뢰성을 확보하고 있다고

    할 수 있다. 그러나 이미 NIST에서는 다른 표준화 과정에서 해시 기반의 서명 방식의

    표준화를 NIST SP 800-208로 진행하는 상황에서 또 다른 표준에 주요 후보로 포함되지

    는 못하고 대체 가능한 후보군에만 포함된 것으로 보인다[22].

    IV. 결론

    본 고에서는 현재 NIST에서 진행 중인 양자 내성 암호 표준화의 3라운드 알고리즘들을

    소개하였다. 현재 남아 있는 각 알고리즘들은 오랜 기간 신뢰를 쌓아온 암호 생성 방식을

    최적화된 방식으로 구현한 것이라 할 수 있다. NIST는 최종 후보로 하나 이상의 알고리즘

    을 선정할 수 있다고 공개하였으며, 향후에 알고리즘 분석 과정에서 추가적인 표준화 작업

    을 계속 이어갈 것으로 발표하였다.

    현재 널리 사용되는 RSA와 타원곡선암호, DSA에 기반을 둔 알고리즘들은 양자 컴퓨터

    문제로 인해서 새로운 양자 내성 알고리즘으로 대체될 필요가 있으며 NIST PQC 표준은

    이런 변화의 중심에 놓여 있을 것으로 예상된다. 따라서 3라운드 이후의 NIST의 최종

    판단을 주목해야 하며, 대대적인 알고리즘 교체에 따른 산업적 충격을 완화할 수 있도록

    새로운 알고리즘 교체에 대해 차분히 준비할 필요가 있다.

    [ 참고문헌 ]

    [1] P.W. Shor, “Algorithms for quantum computation: discrete logarithms and factoring,” in Proc. 35th Annual Symposium on Foundations of Computer Science, 1994, pp.124-134.

    [2] F. Arute, K. Arya, R. Babbush, et al. “Quantum supremacy using a programmable superconducting processor,” Nature, 574, 2019, pp.505-510.

    [3] NIST PQC Round 3 Submissions. Available at, access Nov. 2020.[4] G. Alagic, et al., “Status Report on the Second Round of the NIST Post-Quantum

  • ICT 신기술

    정보통신기획평가원 27

    Cryptography Standardization Process,” NIST Internal Report(IR) 8309, July 2020.[5] R.J. McEliece, “A public-key cryptosystem based on algebraic coding theory,” Technical

    report, NASA, 1978.[6] M.R. Albrecht, et al., “Classic McEliece: conservative code-based cryptography,” NIST

    PQC Round 3 submission, Nov. 19, 2020.[7] R. Avanzi, et al., “CRYSTALS-Kyber: Algorithm Specifications And Supporting

    Documentation,” NIST PQC Round 3 submission, Oct. 1, 2020.[8] C. Chen, et al., “NTRU: Algorithm Specifications And Supporting Documentation,” NIST

    PQC Round 3 submission, Sep. 30, 2020.[9] A. Basso, et al., “SABER: Mod-LWR based KEM(Round 3 Submission),” NIST PQC Round

    3 submission, Oct. 21, 2020.[10] E. Alkim, et al., “FrodoKEM: Learning With Errors Key Encapsulation,” NIST PQC

    Round 3 submission, Sep. 30, 2020.[11] N. Aragon, et al., “BIKE: Bit Flipping Key Encapsulation,” NIST PQC Round 3

    submission, Oct. 22, 2020.[12] C.A. Melchor, et al., “Hamming Quasi-Cyclic(HQC): Third round version,” NIST PQC

    Round 3 submission, Oct. 1, 2020.[13] D.J. Bernstein, et al., “NTRU Prime: round 3,” NIST PQC Round 3 submission, Oct. 7,

    2020.[14] D. J. Bernstein, et al., “NTRU Prime: reducing attack surface at low cost,” in Proc.

    Selected Areas in Cryptography(SAC) 2017, pp.235-260, 2017.[15] D. Jao, et al, “Supersingular Isogeny Key Encapsulation,” NIST PQC Round 3

    submission, Oct. 1, 2020.[16] S. Bai, “CRYSTALS-Dilithium: Algorithm Specifications and Supporting Documentation,”

    NIST PQC Round 3 submission, Oct. 1, 2020.[17] P.-A. Fouque, et al., “Falcon: Fast-Fourier Lattice-based Compact Signatures over

    NTRU: Specification v1.2,” NIST PQC Round 3 submission, Oct. 1, 2020.[18] J. Ding, et al., “Rainbow,” NIST PQC Round 3 submission, Oct. 1, 2020.[19] A. Casanov, et al., “GeMSS: A Great Multivariate Short Signature,” NIST PQC Round 3

    submission, Oct. 1, 2020.[20] Greg. Zaverucha, et al., “The Picnic Signature Algorithm Specification,” NIST PQC

    Round 3 submission, Sep. 30, 2020.[21] J.-P. Aumasson, et al., “SPHINCS+: Submission to the NIST post-quantum project, v.3,”

    NIST PQC Round 3 submission, Oct. 1, 2020.[22] D. Cooper, D. Apon, Q, Dang, M, Davidson, M, Dworkin, and Carl Miller,

    “Recommendation for Stateful Hash-Based Signature Schemes,” Draft NIST Special Publication(SP) 800-208, Dec. 2019.

  • 주간기술동향 2020. 12. 9.

    28 www.iitp.kr

    *

    I. 결과물 개요

    II. 기술의 개념 및 내용

    1. 다중 임무 환경에서 최적의 행동 결정

    기존의 환경은 단일 임무의 수행만을 요구하였으나 실세계에서는 여러 임무를 동시에

    * 본 내용은 장병탁 교수(☎ 02-880-1847, [email protected])에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.*** 정보통신기획평가원은 현재 개발 진행 및 완료 예정인 ICT R&D 성과 결과물을 과제 종료 이전에 공개하는 “ICT

    R&D 사업화를 위한 기술예고”를 2014년부터 실시하고 있는 바, 본 칼럼에서는 이를 통해 공개한 결과물의 기술이전, 사업화 등 기술 활용도 제고를 위해 매주 1~2건의 관련 기술을 소개함

    개발목표시기 2021. 12. 기술성숙도(TRL)개발 전 개발 후

    3 6

    결과물 형태 SW-System 검증방법 자체검증

    Keywords 심층 학습, 강화 학습, 다중 임무 환경, 메타 학습, Deep Learning, Reinforcement Learning, Multi-task Environment, Meta-Learning

    외부기술요소Open Source 및

    자체 개발 기술 사용 권리성 특허, SW

    chapter 3-1

    다중 임무 환경의 해결을 위한 메타 학습 기술

    •••장병탁 ‖ 서울대학교 교수

    ICT R&D 동향

  • ICT R&D 동향

    정보통신기획평가원 29

    요구받을 수 있어 이를 조건화하여 학습하는 기술이 필요

    동일한 환경 내에서 한 시도 내에 서로 다른 여러 목표들을 해결

    - 제시된 환경은 동일한 스킬로 해결이 불가능한 여러 가지 목표들을 내재함

    - 주어진 상황에 따라 해결해야 하는 임무의 종류를 달리하여 각 목표의 해법을 단순히

    암기하는 것으로는 해결이 불가능하도록 설정

    - 보조 목표 생성: 전체 목표를 효과적으로 해결하는 데에 활용될 수 있는 메타 정보를

    생성하는 기술

    예시) 서랍 속의 물체를 꺼내기 = 서랍 열기 + 물체 꺼내기 + 서랍 닫기

    - 정책 조건화: 생성된 메타 정보를 전체 정책에 조건화하여 현재의 보조 목표를 해결

    할 수 있는 지역적 정책을 추론하는 기술

    [그림 1] 기술개념도

  • 주간기술동향 2020. 12. 9.

    30 www.iitp.kr

    III. 국내외 기술 동향 및 경쟁력

    1. 기술의 특성 및 성능

    복잡한 전체 임무를 여러 개의 보조 임무로 나누어 문제를 단순화함

    현재 해결해야 하는 보조 임무를 잘 표상하는 메타 정보를 생성함

    생성된 메타 정보를 활용하여 별도의 가중치 업데이트 없이도 현재의 보조 임무를 잘

    해결하는 정책을 도출

    2. 경쟁기술/대체기술 동향 및 현황

    OpenAI 연구그룹의 다중 목표 강화학습 기술

    - 기초적인 물체 조작 환경에서 물체 및 목표의 위치를 임의의 값으로 주고 강화학습을

    수행함

    - HER 및 DDPG 알고리즘을 사용하여 목표 기반 데이터의 효율성을 높임

    UC Berkeley 대학의 목표 생성 기술

    - 대립적 생성 네트워크로 목표를 생성 후 이를 자체적으로 달성함

    - 달성 가능한 목표를 집중적으로 생성하여 모델의 적절한 교육 과정을 수립

    3. 우수성 및 차별성

    경쟁기술 본 기술의 우수성/차별성

    - OpenAI 연구그룹의 다중 목표 강화학습 기술- UC Berkeley 대학의 목표 생성 기술

    - 서로 성격이 다른 임무들도 동일 모델 하에 해결이 가능하여, 보다 현실세계와 가까운 환경에서도 적용이 가능함

    - 실시간으로 사용되는 스킬을 변경할 수 있으므로 다양한 스킬을 필요로 하는 목적을 달성 가능함

    - 다중 임무가 필요한 시스템을 일체형으로 학습할 수 있어 시스템마다 별도의 개발인력이 필요하지 않음

  • ICT R&D 동향

    정보통신기획평가원 31

    4. 표준화 동향

    다중 임무 학습은 최근 연구가 시작된 분야로 ICT 표준화전략을 포함한 표준화 동향에

    포함되어 있지 않음

    IV. 국내외 시장 동향 및 전망

    1. 국내외 시장 동향 및 전망

    인공 일반 지능에 대한 관심이 높아지면서 보다 일반적인 환경에서 로봇을 학습하는

    기술이 개발되고 있으며, 또한 단일 임무에서의 수행 성공률이 증가함에 따라 향후

    연구 방향은 더 다중적이고 어려운 임무를 타깃으로 할 가능성이 큼

    사람과 상호작용하는 로봇의 경우 사용자가 목적을 지시하는 경우가 많아 목적 기반의

    강화학습 기법의 필요성이 증가할 것으로 예상되고 있음

    2. 제품화 및 활용 분야

    V. 기대효과

    1. 기술도입으로 인한 경제적 효과

    수행해야 하는 임무별로 모듈을 개발할 필요 없이 하나의 통합 학습 시스템에서 모든

    임무를 처리하므로 개발에 필요한 비용을 절감할 수 있으며 보다 다양한 임무에 적용

    할 수 있음

    활용 분야(제품/서비스) 제품 및 활용 분야 세부내용

    가정용 서비스 로봇 사용자가 지시하는 목적을 달성하여 편의성과 생산성을 증대함

  • 주간기술동향 2020. 12. 9.

    32 www.iitp.kr

    2. 기술사업화로 인한 파급효과

    주어지는 임무를 사람의 음성 혹은 시각적 지시에서 추론함으로써 긴밀한 사람-로봇

    간의 상호작용이 가능

  • ICT R&D 동향

    정보통신기획평가원 33

    *

    I. 결과물 개요

    II. 기술의 개념 및 내용

    1. 기술의 개념

    변화하는 환경에서 자율주행 배달 로봇의 적응 성능을 검증하기 위한 플랫폼

    * 본 내용은 김시호 교수(☎ 032-749-5836, [email protected])에게 문의하시기 바랍니다.** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.*** 정보통신기획평가원은 현재 개발 진행 및 완료 예정인 ICT R&D 성과 결과물을 과제 종료 이전에 공개하는 “ICT

    R&D 사업화를 위한 기술예고”를 2014년부터 실시하고 있는 바, 본 칼럼에서는 이를 통해 공개한 결과물의 기술이전, 사업화 등 기술 활용도 제고를 위해 매주 1~2건의 관련 기술을 소개함

    개발목표시기 2023. 12. 기술성숙도(TRL)개발 전 개발 후

    3 6

    결과물 형태 SW-Platform 검증방법 자체검증, 3자 검증

    Keywords 메타 강화 학습, 시뮬레이션 플랫폼, 자율주행 배달 로봇, 사이버 물리 시스템, Simulation platform, Meta Reinforcement Learning, cyber physical system, autonomous delivery robots

    외부기술요소 Open Source 사용, License 이용 권리성 SW, SW-IP

    chapter 3-2

    자율주행 배달로봇 Cyber Physical System 플랫폼

    •••김시호 ‖ 연세대학교 교수

    ICT R&D 동향

  • 주간기술동향 2020. 12. 9.

    34 www.iitp.kr

    - 배달 로봇의 사이버 모델 및 시뮬레이션 환경과 이에 동기화된 실제 배달 로봇으로

    구성

    - 사이버 환경에서 시뮬레이션 및 실제 환경에서 동작 검증 가능

    III. 국내외 기술 동향 및 경쟁력

    1. 기술의 특성 및 성능

    Actor의 변화, 환경의 변화, 규칙/임무의 변화를 인지하여 변화하는 환경에서 초기

    조건부터 학습을 하지 않고 용이하게 새로운 상황에 적응하는, 배우는 방법을 배우는

    (Learning to How to Learn) 메타학습 기법을 개발하고, 제안하는 메타학습 시스템

    의 개념을 검증(PoC)함

    자율주행 배달 로봇을 가상공간(Cyber Space)에 구현하고, 이 가상 모델과 동일한

    [그림 1] 기술개념도

  • ICT R&D 동향

    정보통신기획평가원 35

    센서 구성/인공지능 브레인/구동장치 및 운동역학(Kinematic) 구조를 갖는 실제 배달

    로봇을 제작하여 상호 동기화된 디지털 트윈을 구성

    Actor/환경/규칙/임무의 메타학습 시스템을 OODA 결정 루프에 적용하고, 배달 로봇

    의 AI가 자신이 처한 상황에서 수행할 수 있는 태스크에 대해 스스로 파악하는 능력을

    학습하고 변화하는 실제 상황에 따라 능동적으로 적응할 수 있는 동작을 사이버 물리

    트윈 시스템을 이용하여 실증함

    2. 경쟁기술/대체기술 동향 및 현황

    OODA 루프를 적용한 강화 학습 환경은 국제적으로 공개된 바가 없음

    미국의 DARPA에서 유사 기술 개발이 진행 중임

    3. 우수성 및 차별성

    IV. 국내외 시장 동향 및 전망

    1. 국내외 시장 동향 및 전망

    본 연구 기술과 관련한 직접적인 시장은 아직 불명확하여 파악하기 어려우며, 본 기술

    과 관련성이 있는 국내 및 세계 로봇시장 규모는 다음과 같음

    - 시장조사기관 Statista에 의하면 세계 로봇시장 규모는 2017년 398억 달러 수준에

    서 연평균 43.3%씩 증가하여 2022년에는 2,690억 달러에 도달할 전망임

    - 세계 로봇시장 규모는 노동비용의 대체, 고령화에 대한 대응, 자국 산업 경쟁력 제고,

    국방력 강화 등을 위한 각국의 적극적 활용정책으로 높은 성장세를 유지할 전망임

    경쟁기술 본 기술의 우수성/차별성

    - 메타 강화학습 기반 딥 러닝 기술- 딥 러닝 기반 자율 주행 기술

    - AI 시스템이 동적으로 변경하는 환경에 적응하도록 학습하는 방법을 학습시킴

  • 주간기술동향 2020. 12. 9.

    36 www.iitp.kr

    - 국내 시장 규모는 2016년 4조 5,972억 원에서 연평균 10.5%씩 증가하여 2021년

    7조 5,618억 원 규모에 이를 전망임(출처: “한국로봇산업진흥원, 2016년, 2017년

    로봇산업 실태조사”의 매출액과 성장률을 기준으로 2018년 이후 추정

    2. 제품화 및 활용 분야

    V. 기대효과

    1. 기술도입으로 인한 경제적 효과

    새로운 상황이 발생하더라도 이상 동작을 하거나 동작 불능 상태에 빠지지 않고 적절한

    대응을 할 수 있는 인공지능 기술로 현실 세계에서 항상 일어나는 다양한 환경 변화에

    강건한 기능 개발이 가능함

    본 과제를 통해 개발되는 자가 개선 인공지능 기술을 통해 상황 변화에 능동적으로

    적응하고 자가 개선할 수 있는 원천 기술 확보가 기대됨

    메타 비전 학습과 메타 강화학습을 위한 시뮬레이터를 개발하고 이를 실제 배달 로봇에

    탑재할 수 있는 인공지능 시스템 개발이 가능

    2. 기술사업화로 인한 파급효과

    배달 로봇시장은 앞으로 급격히 성장할 것으로 기대되는 가운데, 본 과제를 통해 확보

    한 자가 개선 인공지능 기술 및 플랫폼 기술은 배달 로봇 시장에서 수요기업에게 높은

    점유율을 확보할 수 있는 계기를 제공할 것으로 기대

    새로운 태스크의 해결을 위해 다량의 새로운 데이터셋을 구축하거나, 만들어진 모델을

    업데이트하기 위해 많은 비용과 인력 및 시간이 소요되는 문제의 해결이 가능

    활용 분야(제품/서비스) 제품 및 활용 분야 세부내용

    자율주행 배달 로봇 택배 등 배달을 수행하는 자율주행 로봇

  • ICT R&D 동향

    정보통신기획평가원 37

    자가 개선 인공지능 기술은 자율주행 이외에도 CCTV, 게임 등의 다양한 분야에 적용

    될 수 있으므로 본 과제를 통해 개발되는 기술은 높은 경제적 부가가치를 창출할 수

    있음

  • 정보통신기획평가원은 주간기술동향의 ICT 기획시리즈에 게재할 “SW·AI” 분야 원고를

    모집하고 있습니다.

    관심 있는 전문가 분들의 많은 참여를 바랍니다.

    원고 주제 : SW·AI 관련 기술·시장·정책 동향

    (※ 제목과 목차는 저자가 자율적으로 결정)

    제출 자격 : 대학, 연구기관, 산업체 재직자

    접수 기간 : 2020년 11월 16일~2021년 1월 15일 기간 내 수시접수

    제 출 처 : 주간기술동향 원고접수메일([email protected])로 제출

    원고 양식: 파일참조(원고양식)

    원고 분량: 13페이지 내외

    기타

    - 게재 원고에 대하여 소정의 원고료 지급(200자 원고지 10,000원/1매, 최고 40만 원)

    - 기획시리즈 칼럼은 매주 1편씩 발간 예정

    - 원고제출 시 반드시 원고심의의뢰서(첨부파일참조)를 함께 제출하여 주시기 바랍니다.

    - 게재된 원고로 인해 지적재산권 침해문제가 발생할 경우, 원고저자는 원고료 반환, 게시물 삭제 및

    정보통신기획평가원이 입게 될 손실·비용에 대한 배상 등의 불이익을 받을 수 있습니다.

    제출 및 문의처

    - (34054) 대전광역시 유성구 유성대로 1548 정보통신기획평가원

    기술정책단 융합정책팀 주간기술동향 담당

    - Tel : 042-612-8296, 8210 / Fax : 042-612-8209 / E-mail : [email protected]

    주간기술동향 원고 공모

  • 사업책임자: 문형돈(기술정책단장)

    과제책임자: 이성용(융합정책팀장)

    참여연구원: 이재환, 이효은, 권요안, 김용균, 박주혁, 김우진, 전영미(위촉)

    통권 1976호(2020-48)

    발 행 년 월 일 : 2020년 12월 9일발 행 소 : 편집인겸 발행인 : 석제범등 록 번 호 : 대전 다-01003등 록 년 월 일 : 1985년 11월 4일인 쇄 인 : ㈜승일미디어그룹

    (34054) 대전광역시 유성구 유성대로 1548(화암동 58-4번지)전화 : (042) 612-8296, 8210 팩스 : (042) 612-8209

  • 6

    http://www.iitp.kr

    표지판권목차의료기기 시판 후 사이버 보안 동향I. 서론II. 국외 의료기기 시판 후 사이버 보안 동향III. 결론

    NIST 양자 내성 암호 표준화3라운드 알고리즘 특성 비교I. 서론II. NIST 표준화 과정 소개III. 3라운드 진출 알고리즘 특성 분석IV. 결론

    다중 임무 환경의 해결을 위한메타 학습 기술I. 결과물 개요II. 기술의 개념 및 내용III. 국내외 기술 동향 및 경쟁력IV. 국내외 시장 동향 및 전망V. 기대효과

    자율주행 배달로봇 Cyber PhysicalSystem 플랫폼I. 결과물 개요II. 기술의 개념 및 내용III. 국내외 기술 동향 및 경쟁력IV. 국내외 시장 동향 및 전망V. 기대효과

    주간기술동향 원고 공모EG위원뒷표지