|

디지서트 “‘양자내성암호(PQC)’는 현실…양자컴퓨팅 보안위협 대비, 지금 시작해야”

[무료 웨비나] 개발자를 위한 클라우드플레어를 소개합니다

◎ 일시 : 2025년 2월 6일 (목) 14:00 ~ 15:00


[무료 웨비나] 중동의 ICT 및 테크 기업 생태계 – 사우디 아라비아, UAE를 중심으로

◎ 일시 : 2025년 1월 23일 (목) 14:00 ~ 15:10

– 디지서트 PQC레디 플랫폼 제공, PQC 도입 지원 위한 컨설팅과 무료 테스트 도구 제공

디지털 신뢰(Digital trust) 분야 글로벌 선두기업인 디지서트가 오는 9월 26일을 ‘세계 양자컴퓨팅 대비의 날(World Quantum Readiness Day)’로 선포했다. 디지서트가 이같은 양자컴퓨팅 대비의 날 이니셔티브를 시행하는 것은 올해가 처음으로, 다가오는 양자컴퓨팅 시대를 앞두고 현재의 보안 인프라를 점검해 새롭게 대두되는 보안위협에 선제적으로 대비해야 할 필요성을 적극 알린다는 계획이다.

실제로 디지서트는 양자컴퓨팅 보안위협에 대비하기 위해 세계 주요국가 기관, 업체들과 오랜 기간 협력해왔다. 더불어 현재 미국국립표준기술원(NIST) 등의 기관이 추진하는 포스트양자암호(Post-Quantum Cryptography) 표준 기술 채택을 강조하면서 양자내성(Quantum-Resilient)이 적용된 디지털 환경으로 전환하는 데 앞장서고 있다.

디지털컴퓨팅과는 전혀 다른 역학을 사용해 연산 기능을 획기적으로 높인 양자컴퓨팅이 등장하면서 오는 2030년 안에 그동안 널리 사용돼온 RSA, ECC 등과 같은 공개키 암호 기술이 쉽게 해독될 것이란 전망이 전문가들 사이에서 나온 지 꽤 오래됐다. 양자컴퓨팅 시대가 도래하면서 그동안 “해독에 수백 년이 걸린다”거나 “누구도 깰 수 없다”던 암호화 기술의 안전성과 신뢰성이 점차 무너지고 있다. 이같은 보안위협에 대응하기 위해 양자컴퓨팅 기술로도 암호 해독이 불가능한 수준으로 설계돼 높은 안전성을 가진 PQC 기술 연구 개발이 활발히 진행되고 있다.

미국국가표준기술연구소(NIST), 국가안보국(NSA) 등 미국 정부기관은 올해 PQC 기술 표준화와 검증작업을 완료한다는 목표로 기존 공개키 암호기술 전환 작업을 준비하고 있다.

디지서트는 오는 6~7월 PQC 표준 기술로 빠르게 채택될 것으로 예상되고 있는 세 가지 기술 가운데 ‘딜리시움(Dilithium)’을 이미 지원하고 있다. ‘팔콘(FALCON)’, ‘스피닉스(SPHINCS+)’도 빠르게 지원할 예정이다.

최근 방한한 톰 클라인(Tom Klein) 디지서트 디지털 신뢰 담당 전무는 8일 기자와 만나 “양자내성암호(PQC)는 이미 현실화 돼 있다. 그러나 대부분이 아직은 PQC가 유효하지 않다고 여긴다”고 지적하며 “양자내성을 가진 서명(Quantum-Resilient Signature)은 현재 분명히 존재한다”고 강조했다.

클라인 전무는 또한 “안전한 양자내성 인프라로 이전하는 것은 매우 복잡하고 오랜 시간이 걸릴 것이다. 최소 2년은 소요될 것으로 예상되기 때문에 지금부터 계획을 수립해야 한다”고 말했다.

PQC는 양자 컴퓨터를 이용해도 해독하기 어려운 안전성을 가졌으나 키 길이가 매우 크고 복잡해 디지털·정보통신기술(ICT) 인프라와 전자거래 서비스에 대체 적용하기 위해서는 사전에 많은 준비와 테스트가 필요하다는 게 전문가들의 얘기다. 더욱이 디지털 인프라가 비즈니스와 소비자 생활 전반으로 확산돼 있는 상황에서는 매우 방대하고 오랜 기간이 걸릴 수밖에 없다.

하지만 사실 PQC 기술에 대한 안전성 검증이 돼 있지 않은 것 뿐만 아니라 양자컴퓨팅 보안위협 자체가 아직은 현실적으로 와닿지 않는 상황이다. 실제 알려진 침해 사례가 없기 때문이다. 양자컴퓨팅 기술 자체도 마찬가지다.

이에 대해 클라인 전무는 “만일 국가 차원에서 양자컴퓨팅을 개발하고 있고 이미 기술을 보유하고 있다고 하더라도 공개하지 않을 것”이라고 전제하며 “양자컴퓨팅 문제는 과거 Y2K(Year-2-Kilo, 2000년대) 밀레니엄 버그 문제를 해결했던 것과 비슷하다. 잠재적으로 문제가 될 수 있는 것들은 모두 다 파악해 목록을 만들고 문제가 일어나지 않도록 확인해 해결하는 과정까지 모두 이행해야 하기 때문에 복잡하다”고 설명했다.

디지서트는 PQC 표준 기술로 채택될 것으로 예상되고 있는 ‘딜리시움(Dilithium)’을 지원하고 있다. ‘팔콘(FALCON)’, ‘스피닉스(SPHINCS+)’도 빠르게 지원할 예정이다. <출처: 디지서트>

클라인 전무는 “지금은 인공지능(AI) 기술이 발전하면서 양자컴퓨팅의 도래가 더 빨라질 것인지, 우리가 현재 사용할 수 있는 툴이 양자컴퓨팅이나 인공지능(AI) 발전을 더욱 가속화할 지 묻는다면 그 질문에 대한 확답을 할 수는 없는 상황”이라며 “하지만 실제로 범죄자들은 이미 문서 형태든, 데이터 스트림이나 네트워크 스트림 방식이든 정보를 취합하는 활동을 하고 있다. PQC 실현 단계가 되면 그간 모아온 정보들을 악의적으로 사용할 것이다. 때문에 디지서트는 양자대비(Quantum-ready) 제품을 만들고 있는 것이다. 퀀텀세이프(Quantum-safe) 플레이그라운드도 무료로 제공한다”고 강조했다.

PQC를 어디서부터 어떻게 적용할 지 잘 모르는 기업들을 위해 클라인 전무는 “우선 계획을 세워야 한다”며 “기업이 먼저 해야하는 것은 인벤토리(목록)를 만드는 것이다. 양자컴퓨팅이 현실화됐을 때 자사 환경에서 암호화 체계가 어느정도로 위험에 노출돼 있는지 파악해야 한다”고 조언했다. 조직에서 사용 중인 모든 암호화 키(key)와 인증서를 파악해 중앙화된 관리를 수행해 오래 사용했거나 취약한 인증서와 암호화 자산을 양자내성 기술로 교체할 수 있는 방법과 전략을 강구해야 한다는 이야기다.

디지서트는 디지털 신뢰 강화를 위한 통합 플랫폼인 ‘디지서트 원(DigiCert ONE)’에서 제공하는 통합 관리 솔루션 ‘디지서트 트러스트 라이프사이클 매니저(DigiCert Trust Lifecycle Manager, 디지서트 TLM)’에서 검색, 자동화, 중앙화된 관리 기능으로 조직의 인증서 인벤토리를 효과적으로 관리할 수 있도록 지원한다. 이 플랫폼은 현재 PQC레디(PQC-ready)를 지원하는 동시에, 앞으로 표준화가 마무리되는대로 빠르게 적용, 확산할 계획이다.

아울러 디지서트는 국내 기업과 기관의 PQC 도입을 지원하기 위한 ‘퀀텀 어드바이저리 프로그램(Quantum Advisory Program)’과 무료 테스트 도구인 ‘PQC 플레이그라운드(PQC Playground)’를 제공한다. 이 가운데 퀀텀 어드바이저리 프로그램은 디지서트의 PQC 전문가들이 고객에게 PQC에 대한 교육을 제공하고 보안을 강화하기 위한 전략 수립을 돕는 프로그램으로 교육과 평가, 계획, 배포, 추적 다섯 단계로 비즈니스 환경을 평가한다.

한편, PQC 관련기술을 적용한 실제 사례가 있냐는 질문에 클라인 전무는 “많은 기업들이 대비에 나서고 있다. 금융업종이나 의료, 제약 등 사람의 생명과 연관된 분야에서 문제를 심각하게 인식해 계획을 수립하고 있는 경우를 볼 수 있다”고 했다.

나정주 디지서트코리아 지사장은 ”한국 시장에서는 은행권에서 가장 우려가 많다. 정부기관, 10대 대기업들도 준비할 것”이라며 ”양자컴퓨팅 위협은 현재 우리가 사용하고 있는 인터넷뱅킹 시스템이 공격자에 의해 어느 날 갑자기 뚫릴 수 있다는 것이다. 슈퍼컴퓨팅으로 암호화 알고리즘을 푸는 데 수백 년 걸리던 것이 단 몇 달, 몇 년 만에 암호체계를 깰 수 있다. 이 점에서 대비가 필요한 기업을 위해 국내에서도 퀀텀 어드바이저리 프로그램을 발표한다“고 밝혔다.

디지서트는 9일 국내 고객과 파트너를 초청해 ‘디지서트 트러스트 워크숍 코리아’를 개최한다. 이 자리에서 양자컴퓨터와 AI 발전으로 위협 받는 디지털 신뢰 문제와 최신 트렌드를 살펴보는 동시에 보안 인프라 개선 방안과 사물인터넷(IoT) 보안, 소프트웨어 공급망 보안 강화 등을 지원하는 디지서트 솔루션을 소개할 예정이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다