양자 컴퓨터가 기존 암호체계 머잖아 푼다... NCSC, 전면 업그레이드 촉구

차세대 '게임 체인저'로 불리는 대규모 오류 보정 양자 컴퓨터가 암호화 시스템에 가하는 잠재적 위협이 현실로 다가오면서, 각국 정부와 관련 기관들이 발 빠르게 대응에 나서고 있다.

현재 금융, 통신 등 사회 기반 시설 전반을 보호하는 데 사용되는 암호화 방식은 일반 PC로는 해독하기 어려운 고도의 수학적 알고리즘에 기반하고 있다. 하지만, 믿을 수 없을 정도로 빠른 연산 능력을 자랑하는 양자 컴퓨터의 등장은 이러한 암호 체계의 근간을 뒤흔들 수 있다는 우려가 커지고 있다.

23일(현지시각) 사이버 보안 뉴스를 주로 다루는 인포메이션 시큐리티 버즈(Information Security Buzz)에 따르면 영국 국가 사이버 보안 센터(NCSC)는 최근 '양자 내성 암호(PQC)'로의 전환을 촉구하는 새로운 지침을 발표하며, 기업들이 2035년까지 양자 저항 암호화 방식으로 전환해야 한다고 경고했다. PQC는 양자 컴퓨터의 공격에 취약한 현재의 암호 알고리즘을 대체하기 위해 개발된 새로운 암호화 기술이다.


현재 사용되는 RSA, 디피-헬먼(Diffie-Hellman), 엘립틱 커브(Elliptic Curve) 등의 공개 키 암호 알고리즘은 통신 당사자들이 암호화 키를 설정하거나 디지털 서명을 생성 및 검증하는 데 사용된다. 하지만, 전문가들은 완전한 기능을 갖춘 양자 컴퓨터가 등장하면 이러한 강력한 암호 체계조차 무력화될 수 있다고 경고한다. 이는 우리가 알고 있는 인터넷의 근간을 뒤흔들고, 국가 안보 및 경제 시스템에 심각한 위협을 초래할 수 있다.
이러한 우려 속에 등장한 PQC는 양자 컴퓨터로도 쉽게 해독할 수 없는 새로운 구조의 알고리즘을 개발하는 것을 목표로 한다. NCSC는 기업들이 잠재적 공격자들이 취약점을 악용하기 전에 PQC를 도입함으로써 '양자 위협'에 선제적으로 대응해야 한다고 강조한다.


인포메이션 시큐리티 버즈에 따르면 시장 조사 기관 포레스터는 기존의 비대칭 암호화를 해독할 수 있는 양자 컴퓨터가 상용화되기까지 5~10년이 남았다고 전망한다. 하지만, 보안 전문가들은 지금 당장 '양자 위협'에 대한 평가와 대비를 시작해야 한다고 입을 모은다.

포레스터는 양자 보안이 단순히 PQC 도입에만 국한되어서는 안 된다고 지적한다. 양자 내성 키 교환, 디지털 서명, 키 생성 및 관리, 암호 알고리즘 관리, 인증서 관리, 암호 알고리즘 변경 관리(cryptoagility), 양자 키 분배 등 다양한 기술을 포괄하는 종합적인 접근 방식이 필요하다고 강조한다.


보안 전문 기업 버그크라우드(Bugcrowd)의 설립자 케이시 엘리스는 포레스터의 5~10년 전망이 보수적이라고 지적하며, 마이크로소프트의 확장 가능한 큐비트 혁신 등 최근의 기술 발전 속도를 고려할 때 양자 컴퓨터 상용화 시점이 앞당겨질 수 있다고 경고한다. 또한, 각국 정부의 공격적인 투자 역시 양자 기술 발전을 가속화하는 요인으로 작용할 수 있다고 분석한다.

엘리스는 '양자 위협'이 현실화되었을 때 '전부 아니면 전무'의 결과를 초래할 수 있다는 점을 강조하며, 지금 당장 선제적으로 대응해야 한다고 주장한다. 그는 "적대 세력은 이미 암호화된 데이터를 축적하고 있으며, 양자 해독이 가능해지는 시점을 기다리고 있다"며, "국가 기밀, 지적 재산, 장기적인 재무 데이터 등 민감한 정보는 10년 이상 가치를 유지하므로, 안일하게 대처하는 것은 잠재적으로 치명적인 결과를 초래할 수 있는 도박"이라고 경고한다.


엘리스는 기업들이 '양자 위협'에 대응하기 위해 '암호 민첩성(cryptoagility)'을 확보해야 한다고 강조한다. 이는 암호 알고리즘을 신속하고 효율적으로 교체할 수 있는 능력을 의미한다. 그는 "30년 전에는 해독 불가능하다고 여겨졌던 암호 알고리즘도 시간이 지나면서 결함이 발견된 경우가 많다"며, "PQC 알고리즘 역시 미래에 결함이 발견될 수 있다는 점을 염두에 두고 유연하고 자동화된 암호 관리 시스템을 구축해야 한다"고 조언한다.

또한, 엘리스는 '양자 위협'에 대한 인식 부족, 비용 부담, 시스템 복잡성 등이 PQC 도입의 가장 큰 장애물이라고 지적하며, NIST와 같은 표준 기관들이 PQC 알고리즘 개발에 박차를 가하고 있지만, 기업들의 적극적인 투자와 협력이 뒷받침되어야 한다고 강조한다.

암호화 자산 목록 확보... '양자 위협' 대응의 첫걸음

보안 전문 기업 섹티고(Sectigo)의 수석 연구원 제이슨 소로코는 '양자 위협'에 대응하기 위한 첫걸음으로 암호화 자산 목록 확보를 제시한다. 그는 "자신이 보유한 자산조차 모르는 상태에서는 아무것도 관리할 수 없다"며, "RSA 또는 ECC 암호화 알고리즘으로 암호화된 세션을 통해 전송되는 핵심 기밀을 파악하고, 이에 대한 완화 전략 우선순위를 설정해야 한다"고 조언한다.

또한, 소프트웨어 공급망 위험 관리 전문 기업 블랙덕(Black Duck)의 팀 맥키는 양자 내성 암호화 전략 수립을 위해서는 데이터 보유자가 수집하거나 위탁받은 데이터에 대한 접근, 저장, 관리 및 수정 방법을 정확히 파악해야 한다고 강조한다. 그는 "데이터와 상호 작용하는 시스템 목록과 해당 시스템이 수행하는 암호화 작업을 파악하는 것이 시작점"이라며, "조직 내부 소프트웨어, 조달된 시스템, 오픈 소스 및 AI 생성 코드 등 다양한 경로를 통해 발생하는 암호화 작업의 주체를 명확히 하고, 각 암호화 사용 사례에 대한 책임자를 지정하여 체계적으로 대응해야 한다"고 조언한다.


이태준 글로벌이코노믹 기자 tjlee@g-enews.com