안녕하세요, 카카오클라우드입니다. 오늘은 최근 딜로이트에서 발표한 "The new math: Solving cryptography in an age of quantum" 기사를 바탕으로 양자 컴퓨터가 현재의 암호화 체계에 미치는 영향과 이에 대비하기 위한 방안과 관련하여 예상되는 보안 기술 트렌드에 대해 살펴보겠습니다. 이 기사는 미래 양자 컴퓨팅 환경에서의 사이버 보안 과제를 심도 있게 다루고 있습니다.
당장의 위협에 집중하는 사이에 놓치는 미래의 위험
사이버 보안 전문가들은 이미 많은 고민을 안고 있습니다. 일상적인 소셜 엔지니어링 해킹부터 AI 생성 콘텐츠에서 발생하는 새로운 위협까지, 당장 신경 써야 할 문제가 산더미입니다. 그러나 급한 문제에 집중하는 동안, 중요한 위협 요소를 간과할 수 있습니다. 바로 암호학적으로 관련 있는 양자 컴퓨터(CRQC)가 언젠가 기업들이 의존하는 현재의 공개 키 암호화를 무력화할 수 있다는 점입니다. 이런 암호화가 깨지면 온라인 세션 설정, 거래 검증, 사용자 신원 확인 같은 핵심 프로세스가 위험에 처하게 됩니다.
이 위험을 Y2K 대응과 비교해 보면 차이점이 분명합니다. Y2K 당시 기업들은 명확한 위험을 보고 특정 시점을 기준으로 역으로 계획을 세워 대응했습니다. 하지만 CRQC의 위험은 정반대입니다. 영향은 더 광범위할 것으로 예상되지만, 그런 양자 컴퓨터가 언제 등장할지는 알 수 없습니다. CRQC 대비는 매우 중요하다고 인정받지만, 시간적 불확실성 때문에 긴급 사안으로는 여겨지지 않고 있습니다. 이로 인해 많은 조직들이 양자 컴퓨터 등장에 대비한 사이버 보안 준비를 미루는 경향이 있습니다.
사이버 보안 회사 Quantropi의 최고 기술 책임자 Mike Redding은 이렇게 말합니다. "실제로 양자 컴퓨터가 등장하기 전까지는 대부분의 사람들이 '나중에 하겠다' 또는 '벤더가 알아서 해주겠지'라는 태도를 보입니다. 해야 할 일은 많은데 예산은 부족하니까요. 양자 컴퓨팅이 역사상 가장 중요한 기술일 수 있지만, 대부분에게는 급한 문제로 느껴지지 않아 계속 미루고 있습니다."
이런 안일한 태도는 큰 문제를 초래할 수 있습니다. 양자 컴퓨터가 올 것인지 여부가 아니라 언제 올 것인지가 문제이기 때문입니다. 전문가들은 CRQC가 앞으로 5~10년 내에 등장할 가능성이 높다고 보고 있습니다. 그렇다면 조직들이 인프라와 외부 시스템을 업데이트하는 데는 얼마나 걸릴까요? 8년? 10년? 12년? 과거 SHA1에서 SHA2로의 암호화 알고리즘 전환이 얼마나 오래 걸렸는지 생각해보면, 지금 준비를 시작하는 것이 현명합니다.
미국 관리예산처(OMB)는 최근 보고서에서 "CRQC가 정부와 민간 부문에서 널리 사용되는 일부 암호화 방식을 무력화할 가능성이 높다"고 경고했습니다. "현재 CRQC는 존재하지 않지만, 양자 컴퓨팅 분야의 꾸준한 발전으로 앞으로 10년 내에 등장할 수 있습니다. 따라서 연방 기관들은 양자 저항성 공개 키 암호화 시스템으로 전환하여 기존 정보 시스템의 방어를 강화해야 합니다."
문제의 규모는 엄청나지만, 다행히 기업들이 이를 해결하는 데 도움이 될 도구와 전문 지식이 이미 존재합니다. 미국 국립표준기술연구소(NIST)에서 최근 발표한 포스트 퀀텀 암호화(PQC) 알고리즘 표준은 문제가 심각해지기 전에 대응하는 데 도움이 될 수 있으며, 전 세계 여러 정부도 이 문제에 대응하고 있습니다. 또한 새로운 사이버 보안 접근법을 도입하면 기업들이 더 나은 보안 체계를 구축하는 데 도움이 될 수 있습니다.
우리 일상에 스며든 암호화
사이버 보안 팀의 가장 큰 두 가지 고민은 기술 무결성과 운영 중단입니다. 데이터 암호화를 가능하게 하는 디지털 서명과 암호화 키 교환이 무력화되면 이 두 가지 모두가 위험에 처합니다. 디지털 서명의 신뢰성이 훼손되면 통신과 거래의 무결성에 심각한 타격을 줄 수 있습니다. 또한 정보를 안전하게 전송하는 능력이 약화되면 조직의 대부분 업무 프로세스가 위험에 처할 수 있습니다.
기업들은 양자 컴퓨팅이 사이버 보안에 미치는 위험을 인식하기 시작했습니다. 딜로이트의 글로벌 사이버 미래 조사에 따르면, 52%의 조직이 현재 자사의 취약점을 평가하고 양자 관련 위험 전략을 개발하고 있습니다. 다른 30%는 이미 이러한 위험에 대응하기 위한 솔루션을 적극적으로 구현하고 있다고 답했습니다.
대형 산업 제품 회사의 인도 부문 보안 기술 그룹 부사장인 Gomeet Pant는 이렇게 말합니다. "이 문제의 규모는 상당히 크고, 미래에 미칠 영향도 심각합니다. 실제로 문제가 발생했을 때 대응할 시간이 있을 수도 있지만, 지금 선제적으로 대응하면 나중에 위기를 피할 수 있습니다. 이것이 우리가 가야 할 방향입니다."
암호화는 이제 너무 널리 퍼져 있어 많은 조직이 암호화가 사용되는 모든 영역을 파악하기 어려워합니다. 자체 관리하는 애플리케이션뿐 아니라 파트너와 공급업체 시스템에도 암호화가 적용되어 있습니다. CRQC가 암호화에 미칠 조직적 위험의 전체 범위를 이해하려면 광범위한 인프라, 공급망, 애플리케이션에 걸친 종합적인 대응이 필요합니다. 이메일, 매크로, 전자 문서, 사용자 인증에 사용되는 데이터 암호화와 디지털 서명이 모두 위협받게 되며, 이는 디지털 통신의 무결성과 신뢰성을 크게 약화시킬 것입니다.
더 심각한 문제는 CRQC가 아직 존재하지 않더라도 기업 데이터가 이미 위험에 노출되어 있을 수 있다는 점입니다. 악의적 행위자들이 "지금 수집, 나중에 해독(harvest now, decrypt later)" 공격을 시도하고 있다는 징후가 있습니다. 이는 양자 컴퓨터가 등장할 때 해독할 목적으로 암호화된 데이터를 미리 훔치는 방식입니다. 조직의 데이터는 양자 저항성 암호화 시스템으로 업그레이드할 때까지 계속해서 위협받을 가능성이 높습니다.
JP 모건의 신기술 보안 조직 이사인 Yassir Nawaz는 이렇게 말했습니다: "우리는 고객 데이터와 금융 부문에 대한 잠재적 위협을 일찍 인식했고, 이것이 양자 컴퓨팅 대비를 위한 선구적인 작업의 원동력이 되었습니다. 우리의 계획은 포괄적인 암호화 자산 파악부터 시작해 암호 민첩성 프로세스를 통한 보안 현대화를 위한 PQC 솔루션 개발까지 확장되고 있습니다."
문제의 규모를 고려하면 양자 안전 암호화로 전환하는 데 몇 년, 심지어 10년 이상이 걸릴 수 있으며, 그 기간 내에 암호학적으로 관련 있는 양자 컴퓨터가 등장할 가능성이 높습니다. 암호화에 대한 양자 컴퓨팅의 위협이 먼 미래의 일처럼 느껴질 수 있지만, 지금이 바로 대응을 시작할 때입니다.
NIST의 컴퓨터 보안 부문 책임자인 Matt Scholl은 이렇게 강조합니다. "조직들이 양자 컴퓨팅이 가져올 잠재적 위협에 지금부터 준비하는 것이 중요합니다. 새로운 포스트 퀀텀 암호화 표준으로의 전환은 오랜 시간이 걸리고 전 세계적인 협력이 필요합니다. NIST는 계속해서 새로운 포스트 퀀텀 암호화 표준을 개발하고 산업계 및 정부와 협력하여 이의 도입을 장려할 것입니다."
양자 안전 미래를 위한 새로운 전환
다행히도 희소식이 있습니다. 양자 컴퓨터의 위협으로부터 보호하기 위한 암호화 업그레이드는 광범위한 노력이 필요하지만, 충분한 시간이 주어진다면 비교적 체계적으로 진행할 수 있습니다.
초기 단계에서는 거버넌스와 정책을 수립하고, 현재의 암호화 취약점을 파악하며, 인프라와 공급망 전반에 걸친 개선 작업의 우선순위를 정하고, 내부 업데이트와 외부 공급업체 관리를 위한 포괄적인 로드맵을 구축해야 합니다.
사이버 보안 그룹 SandboxAQ의 총괄 매니저인 Marc Manzano는 이렇게 조언합니다. "IT 전반에 걸쳐 확산된 암호화 상황을 다시 통제하기 위한 첫 번째 단계는 현대적인 암호화 관리 솔루션을 활용하는 것입니다. 이를 통해 조직은 중요한 가시성과 보고 기능을 확보할 수 있습니다."
이러한 초기 단계가 완료되면 조직은 암호화 알고리즘 업데이트를 시작할 수 있습니다. 2024년 8월, NIST는 조직이 구현할 수 있는 암호화 알고리즘이 포함된 새로운 표준을 발표했습니다. 이 기관은 이러한 암호화 방식이 데이터 암호화와 복호화 방법을 변경함으로써 양자 컴퓨터의 공격에도 견딜 수 있다고 설명합니다.
현재의 암호화 방식은 오늘날 가장 강력한 슈퍼컴퓨터조차 빠르게 풀 수 없는 복잡한 수학 문제를 사용해 데이터를 암호화합니다. 하지만 양자 컴퓨터는 이러한 문제를 빠르게 해결할 가능성이 높습니다. 업데이트된 NIST 표준은 기존의 큰 숫자 인수분해 문제에서 벗어나 격자와 해시 문제를 활용하는데, 이는 양자 컴퓨터조차도 쉽게 해결할 수 없을 만큼 복잡합니다.
대형 기술 기업들은 이미 이러한 전환을 시작했습니다. NIST의 업데이트된 표준 발표 이후, 애플은 아이메시지 애플리케이션을 양자 안전 암호화 방식으로 업데이트했습니다. 구글은 자사의 암호화 라이브러리에 새로운 표준을 구현했으며 크롬 웹 브라우저에서도 이를 사용할 예정이라고 발표했습니다. 양자 컴퓨팅 기술 개발에 많은 투자를 해온 IBM은 여러 플랫폼에 포스트 퀀텀 암호화를 통합했으며, 마이크로소프트도 암호화 라이브러리에 양자 안전 알고리즘을 추가할 계획이라고 밝혔습니다.
2021년, NIST의 국가 사이버 보안 우수 센터(NCCoE)는 PQC로의 전환 프로젝트를 시작했습니다. 이 프로젝트는 40개 이상의 협력 기관으로 확대되었으며, 이 중 많은 기관이 다양한 기능을 갖춘 암호화 검색 및 자산 관리 도구를 보유하고 있습니다. 이 프로젝트는 조직이 이러한 도구를 효과적으로 활용할 수 있는 방법을 보여줍니다. 다른 협력 기관들은 제품에 PQC를 구현하기 위한 준비 과정에서 프로토콜에서의 PQC 알고리즘 테스트에 중점을 두고 있으며, 상호 운용성과 성능을 평가하고 있습니다.
NCCoE의 PQC 전환 프로젝트 공동 책임자인 Bill Newhouse는 이렇게 말합니다. "조직이 양자 컴퓨팅에 대비하기 위해서는 먼저 암호화 제품, 알고리즘, 프로토콜을 어디서 어떻게 사용하고 있는지 파악해야 합니다. 우리 프로젝트는 이러한 도구의 활용 방법과 그 결과물이 조직의 위험 분석을 어떻게 지원하여 PQC로의 전환 우선순위를 결정하는 데 도움이 되는지 보여줄 것입니다."
포스트 퀀텀 암호화로 미래 위협에 대비하기
기업이 암호화 방식을 업그레이드하는 과정에서 추가적인 개선 사항도 고려해야 합니다. 이는 오래된 창고를 정리하는 것과 비슷합니다. 수년간 누구도 살펴보지 않았던 구석구석까지 점검하는 기회가 될 수 있습니다. 이 과정에서 조직은 오랫동안 평가되지 않았던 핵심 시스템의 기술적인 기능을 세밀하게 검토하게 됩니다. 암호화 업그레이드와 함께 다른 문제들도 해결할 수 있습니다. 예를 들어 거버넌스 강화, 키 관리 프로세스 개선, 제로 트러스트 전략 도입, 레거시 시스템 현대화, 또는 오랫동안 사용하지 않은 도구 폐기 등의 작업을 함께 진행할 수 있습니다.
적절한 사이버 보안 관리 체계를 갖춘 조직은 전반적인 사이버 및 개인정보 보호 관행도 강화하게 됩니다. 이들은 꼭 필요한 데이터 외에는 수집하고 공유하는 것에 더 신중해지고, 더 강력하고 책임 있는 거버넌스 체계를 구축하며, 디지털 구성 요소 간의 신뢰를 지속적으로 평가하게 됩니다. 이러한 관행은 미래의 양자 컴퓨팅 공격에 대비하는 것뿐만 아니라, 일상적인 업무에 보안 습관을 내재화함으로써 현재의 보안 체계도 강화합니다.
기업은 다양한 유형의 공격과 장애로부터 암호화 시스템을 보호하기 위한 반복 가능한 절차를 마련해야 합니다. 이를 '암호화 복원력'이라고 합니다. 오늘날에는 양자 위협에 대비해야 하지만, 내일은 또 다른 새로운 위험이 등장할 것입니다. 보안 팀은 새로운 위협이 발생할 때마다 모든 과정을 처음부터 다시 시작하는 대신, 암호화 기능을 빠르고 원활하게 추가하거나 교체할 수 있는 역량을 키워야 합니다.
우리의 디지털 생활과 실제 생활이 더욱 밀접하게 연결됨에 따라, 우리의 인간관계, 평판, 자산도 디지털 변환을 겪고 있습니다. 이러한 영역은 디지털 방식으로 중재되고 암호화 기술로 보호됩니다. 앞으로 메시지, 거래, 그리고 인간 생활의 점점 더 많은 부분이 디지털 신뢰를 기반으로 구축될 것입니다. 암호화를 보호하는 것은 단순히 기업 데이터를 보호하는 차원을 넘어, 우리 삶의 점점 더 민감한 영역을 지키는 일입니다.
evolutionQ의 창립자이자 CEO인 Michele Mosca는 이렇게 강조합니다. "디지털 경제에서 암호화에 대한 의존도가 높아지는 만큼, 조직들은 고객 및 파트너와 쌓은 신뢰를 지키기 위해 체계적인 전환 준비를 서둘러야 합니다. 양자 안전 로드맵을 개발하고 공급업체와 협력하여 이 중요한 변화를 시작하는 것이 필수적입니다. 가장 민감한 정보의 보안을 우선시하는 것은 단순한 신중함을 넘어 필수적인 요소입니다."
양자 컴퓨터는 신약 개발, 금융 모델링 등 다양한 분야에서 우리 삶을 개선할 수 있는 상당한 이점을 가져올 것으로 기대됩니다. 이러한 잠재적 이점이 보안 과제에 가려져서는 안 됩니다. 이것이 기업들이 지금부터 보안 체계를 강화해야 하는 이유입니다. 그래야만 양자 컴퓨팅의 위험으로부터 큰 혼란 없이 그 잠재적 이점을 충분히 누릴 준비가 될 것입니다.
카카오클라우드는 다가올 양자 컴퓨팅 시대를 바라오며 보안 솔루션을 지속적으로 지원하고 준비하고 있습니다. 클라우드 환경의 암호화 프로토콜 업데이트, 그리고 고객 데이터를 위한 다층적 보안 전략을 구현하고 있습니다. 디지털 전환이 가속화되고 양자 컴퓨팅이 현실화되는 시점에서, 카카오클라우드는 고객들이 미래의 보안 위협에 선제적으로 대응할 수 있도록 함께하겠습니다.
[ 출처 : Deloitte - The new math: Solving cryptography in an age of quantum ]
댓글