미(美) NIST가 지난주 미국의 차세대 보안 해싱 표준을 위한 51개 서브미션의 리스트를 발표했다.

지난주 미(美) 국립기술표준(National Institute of Standards and Technology, 이하 NIST)의 51개 서브미션 리스트 발표로 미국의 차세대 보안 해싱 표준을 위한 경쟁의 첫 장이 열렸다. NIST가 주관하고 참가 자격에 제한이 없는 이번 콘테스트는 암호화가 애초의 예상보다 훨씬 취약한 것으로 나타난 일련의 현 해시 기능을 대체할 강력한 수단을 찾는 것을 목적으로 하고 있다.

특히 대표적인 초기 알고리즘 중 하나인 MD4와 SHA-0 등 기존의 해시 기능에 대한 실질적인 공격이 발견되기도 했다. 일례로 동일한 해시 결과를 가져오는 두 개의 데이터 파일을 생성하는 방식으로 충돌을 야기하는 공격이 알려져 있다. 또한 일부 취약점들은 SHA-1과 같은 좀 더 최근의 해싱 알고리즘에서 발견되기도 했다. 한편, 아직 SHA-2와 같은 현재의 보안 표준에 대한 실질적인 공격은 발견되지 않았음에도 불구, NIST는 서둘러 이를 대체할 방법을 찾고 있으며, 그것이 바로 이번 해싱 콘테스트라 할 수 있다.

이 콘테스트에 등록한 팀들은 이미 지난 10월말 미 정부에 서브미션을 제출 했으며 장기간의 심사 과정을 거쳐 지난주 발표된 리스트는 이들 서브미션 중 정부의 기본 기준을 충족시킨 서브미션들의 결과를 보여주고 있다. 서브미션 제출에 이은 다음 단계는 다른 알고리즘을 ‘크래킹’하는 것으로, 각각의 참가 팀들은 다른 팀의 서브미션들의 취약점을 찾게 된다. NIST 홈페이지에 따르면 이미 51개 팀 중 세 팀이 자신들의 제안 내의 취약성을 인정한 것으로 알려졌다.

이른바 SHA-3 (secure hashing algorithms) 콘테스트라고 불리는 이번 콘테스트는 미국 정부에 의해 의무화되고 전 세계의 많은 나라들과 기업들이 사용하는 고급 암호화 표준(AES : Advanced Encryption Standard)을 결정했던 콘테스트와도 필적하는 것으로 그 결과가 주목된다. NIST는 2010년까지 참가자들을 십여 팀으로 간추릴 예정이며 두 번째 콘테스트를 개최할 계획인 것으로 알려졌다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>