결국은 난수를 만드는게 전통적인 씨드 테이블을 통한 예측 가능한 ‘유사’난수이냐, 노이즈나 양자의 불확실성을 이용한 ‘실제’난수이냐 차이인데요.
일단 제가 제일 불만이었던 부분을 먼저 짚자면…. 씨드기반 ‘예측 가능’ 이라고 표현은 하지만,
성능과 데이터처리 용량이 커진 현시점 시스템들에서는 그 씨드 자체가 또 엄청난 이런저런 값과 여러가지 조건으로 조합된 값을 가지기 때문에 애초에 그 난수가 예측되어서 해킹되었다는 사례는 아직까지 보고된 적이 없구요. 뭐 옛날 게임 정도(주사위를 굴리는등 랜덤성이 필요한 경우)나 몇몇 온라인 게임이(제가 예에에전에 듣기로는 던파가 그랬다고는 하는데 저도 풍문으로 들은거라…) 뭔가 랜덤뽑기 라고는 하는데 뭔가 유사하게 나오는 그런 경우가 존재한다고 하지만, 난수가 중요한 환경에서는 이미 그 문제를 옛날부터 알고 있기 떄문에 그렇게 단순하게 씨드를 가져가고 난수를 쓰지 않고 여러가지 처리를 추가로 거칩니다. 때문에 실제로 문제가 될 가능성은 희박합니다.
거기다가 양자 어쩌구를 제외하더라도 ‘실제’ 난수를 만드는 방법은 여러가지가 있고 실제로도 많이 쓰기 떄문에 충분히 보안에는 문제가 없습니다. 딱 모르는 사람 낚기 좋은 마케팅이라 참 불만이었지요…
다시 돌아와서 ‘실제’난수도 생성방식이 여러 종류가 있는데, SKT가 얘기했던 ‘양자 불확실성’을 기반으로한 난수 생성하는 것 처럼 현실의 ‘각종 노이즈’를 통해 난수를 생성하면 동일한 수준의 ‘실제’난수를 만들 수 있습니다.
그리고 그 ‘각종 노이즈’는 보통 센서를 통하거나 하는데, 보통은 미세한 전력 노이즈등의 값을 사용하여 불규칙한 난수를 만들어줍니다. 그리고 꽤 주변에서 쉽게 볼 수 있는데, 요즘 PC들은 필요하다면 ‘실제’ 난수를 뽑을 수 있고(TPM) 애플실리콘도 이미 ‘실제’ 난수를 만들어 사용하고 있습니다.(Secure Enclave) 뭐 더 나아간다면 예전에 기사를 보니 이미징 센서의 노이즈를 이용하거나, 가이거 계수기 (방사능측정하는…) 가 방사능에 맞는 그 랜덤성을 이용해 난수를 생성한다고도 하구요…
거기에 한발짝 더 나아가, 그렇게 만들어진 ‘실제’ 난수를 가지고 ‘유사’ 난수를 생성하는 식에 씨드로 사용하여 대입하여 더욱 더 난수를 만들어내는 하이브리드 생성방식 난수도 이미 사용중이구요.
이미 난수 생성에 대해서도 이렇게까지 필요한가 싶은 얘기가 나오는데,,,
정작 그걸 쓰는 경우가 자사 몇 서비스 앱 로그인할때 정도만 쓴다니.. 정작 같은 서비스를 PC나 다른 모바일 기기에서 로그인할때는 아무런 제제가 없으면 그게 무슨 필요성이 있냐는 거죠.. ㅎㅎ
처음부터 그렇게 생각하고 있었는데, 마침 유심 정보 털려서 삽질한게 증명되버렸고 인수한 기업은 다시 내놓았고… 저 같은 일개 시스템 운영 담당이나 인프라 담당자들은 개인정보보안, 암호화 로 죽을맛이고 ㅠㅠ
조회수: 1