양자 보안 카운트다운…PQC ‘시급하다’

[애플경제 엄정원 기자] 포스트 양자 암호화(PQC)는 양자 시대를 앞둔 최대의 사이버보안 이슈가 되고 있다. 그럼에도 불구하고, 새로운 연구에 따르면 많은 기업들은 이를 충분히 인식하거나, 대비하지 않고 있는 것으로 알려졌다.

‘크립토 퀀터’, ‘퀀타매거진’ 등 전문 매체와 전문가들의 의견을 종합하면, 대체로 2031년까지는 양자 시대 보안을 위해 최우선으로 PQC 마이그레이션을 완료해야 한다. 또 “마이그레이션 완료를 위한 철저한 로드맵을 포함하도록 계획을 개선해야 한다”고 덧붙였다. 백보 양보해서 PQC로의 완전한 마이그레이션은 2035년까지는 완료되어야 한다는게 또 다른 전문가들의 의견이다.

양자컴퓨터, PKC 기반 수학적 문제, ‘Q-day’로 풀어

양자 컴퓨터는 언젠가 비대칭 공개 키 암호화(PKC)의 기반이 되는 수학적 문제를 'Q-day'라고 알려진 방식으로 해결할 수 있다는게 상식이 되고 있다. 이미 사이버 범죄자들은 ‘지금 수집한 후 나중에 복호화하는’ 식으로 양자 시대를 기다리고 있다. 업계 전문가들은 기업들에게 대비 태세를 갖추고 향후 사이버 위협에 굴복하지 않도록 해야 한다고 강조한다.

‘캡제미니’의 새로운 보고서에 따르면, 많은 기업들이 양자 안전 대책을 평가하거나 구축하고 있긴 하다. 그러나 정작 그에 대비한 성숙한 거버넌스나 기술 실행 능력을 갖춘 기업은 많지 않은 실정이다.

여전히 많은 기업들은 양자 위협의 시급성을 여전히 경시하고 있다. 향후 데이터 노출 및 규제 위반에 대한 위험을 감수하는 것으로 나타났다. 그럼에도 설문조사 대상자 10명 중 8명 이상(82%)은 양자 컴퓨팅이 활성화되면, PQC 도입에 대한 조직의 시급성이 높아질 것으로 보고 있다.

전 세계적으로 이런 위협은 이제 심각한 현안이 되고 있다. 영국 국가 사이버 보안 센터(NCSC)는 올해 3월 PQC의 성공적인 도입을 위한 타임라인을 발표했다. NCSC는 2028년까지 조직이 마이그레이션 목표를 정의하고, 완전한 탐색 활동을 수행하고, 마이그레이션 초기 계획을 수립해야 한다고 밝혔다.

그러나 PQC로의 마이그레이션은 복잡하고, 여러 부서가 관여하며, 시간이 많이 소요된다. 유감스럽게도 사람들은 실제로 실현되기 전까지는 PQC 도입을 믿지 않는다. 그럼에도 암호화를 무력화하는 최초의 공개 공격이 PQC 도입의 시급성을 높일 것으로 보인다. 일부 선도적인 기업은 클라우드 공급업체 및 전문 벤더와 협력, PQC 파일럿을 실행하고 있다. 그러나 대부분은 전사적 전환을 위한 명확한 로드맵이 부족한 경우가 많다.

일부 선도적 기업, PQC 파일럿 등 실행

특히 알려진 위협으로부터 안전하고, 향후 코드 침해에 대한 복원력을 갖춘 솔루션을 확보는게 쉽지 않다. 타임라인과 전체 생태계에 대한 합의를 이루는 것도 어렵다.

그럼에도 ‘캡제미니’는 “암호화 재고 관리, 공급망 참여, 하드웨어 준비 상태를 결합, PQC 전환을 가속화하고 있다”고 밝혔다.

이들 선도적인 기업은 양자 위험 평가를 실시하고 실시간 암호화 재고를 유지 관리하며, 전사적 교육을 추진하고, 양자 보안을 최고 경영진의 의제로 유지하는 거버넌스 구조를 구축하고 있다. 표준의 변화에 ​​따라 적응할 수 있는 암호화 민첩성을 설계하고 있다.

이미 2023년부터 이런 암호화 태세와 성숙도 평가를 통해 양자 안전을 위한 노력을 시작한 경우도 있다. 이는 “인프라와 애플리케이션 전반에 걸쳐 ‘위험 기반 접근법’을 사용, 암호화 자산의 전체 목록을 구축하는 것부터 시작하는 장기적인 로드맵”이란 설명이다.