디지털 전환을 넘어 AI 트랜스포메이션 시대입니다. 디지털 인프라의 근간은 사이버 보안입니다. 급변하는 환경 속에서 언제나 변화해야만 살아남는 방패를 만드는 사람들. 창의적인 아이디어와 기술로 안전한 사이버 세상을 만들고 신뢰 기반을 쌓는 사람들. 사이버 보안 전문가들과 대화에서 최신 기술과 인사이트를 전달합니다. [편집자주]
인터넷으로 은행 업무부터 각종 문서를 교환하고 화상회의를 한다. 디지털 신뢰의 근간은 바로 '암호 알고리즘'. 인터넷에 오가는 모든 데이터가 암호화되고 복호화된다.
40여년 간 인터넷의 기반으로 자리잡았던 암호 알고리즘에 대변혁의 바람이 불고 있다.
양자컴퓨터의 발전으로 인터넷에서 데이터를 안전하게 전송하던 기존 알고리즘이 해독될 날이 얼마 남지 않았기 때문이다. 현재 기술로 2048비트 암호화를 해독하는 데는 수천조 년이 걸린다. 하지만 성능 좋은 양자컴퓨터 상용화가 가속화되면서 수개 월만에 해독이 가능해질 전망이다. 암호 업계는 이를 Y2Q(Year-2-Quantum)라 부른다.
우리는 인터넷에서 정보를 안전하게 유지하기 위해 인수분해에 의존하는 알고리즘을 사용했다. 양자컴퓨터는 기존 컴퓨터보다 훨씬 빨리 인수분해 문제를 해결한다.
양자컴퓨팅이 발전하면서 현재 사용 중인 RSA와 ECC 등 암호 알고리즘이 해독될 가능성이 크다. 암호 해독은 인터넷 네트워크와 데이터 보안에 심각한 위협이다.
미국과 유럽, 중국은 양자컴퓨터 기술 개발과 함께 기존 암호의 붕괴에 대비해 막대한 투자는 물론 포스트 양자 암호 표준을 만드는데 혈안이다.
■ P2Q은 현재 위협...대응책 마련해야
글로벌 보안 기업 디지서트(DigiCert)는 안전한 포스트 양자 보안 기술로 전환을 돕는 기업이다.
한국을 방문한 아베스타 호자티 디지서트 엔지니어링 부문 부사장은 "미국 국립표준기술연구소(NIST)가 6월 양자 내성 알고리즘 표준을 마무리할 예정"이라면서 "올해부터 포스트 양자 암호화(PQC) 적용이 시작될 것"이라고 설명했다.
양자컴퓨팅 발전에도 해독되지 않는 암호 알고리즘 적용을 말한다.
이미 미국 백악관은 2022년 양자 컴퓨팅 준비법(Quantum Computing Preparedness Act)에 서명했다. 이에 따라 연방기관은 양자 사이버 위협에 취약한 모든 기술 시스템 목록을 작성중이다. 관리예산국(OMB)은 행정기관의 양자 저항 암호화로 전환에 관한 지침을 개발하고 있다.
호자티 부사장은 "기업이나 기관 내 모든 시스템에 포스트 양자 암호를 적용하는데는 막대한 비용과 시간이 필요하다"면서 "현재 기업 환경에서 사용중인 모든 암호화 키와 인증서를 파악해야 한다"고 말했다.
미국이 포스트 양자 암호 표준을 만들고 행정명령을 내려 준비를 시작한 이유다. 인터넷 신뢰기반인 암호 알고리즘을 바꾸는 건 오랜 준비와 자동화, 관리가 필수다.
■ 양자컴퓨팅에 AI 결합으로 암호해독 속도는 더욱 빨라진다
호자티 부사장은 "양자컴퓨팅에 AI까지 결합되며 기존 암호 체계 붕괴 속도는 더욱 빨라지고 있다"고 강조했다.
디지서트는 웹사이트, 소프트웨어, 신원 확인, 콘텐츠, 디바이스 등에 디지털 신뢰를 제공하는 기업이다. 공개키기반구조(PKI) 인증서를 발행해 각 주체를 인증하는 사업을 한다.
디지서트는 기업이 포스트 양자 암호로 전환할 수 있는 PQC 레디 플랫폼 '디지서트 원(DigiCert ONE)'을 제공한다. 기업이 포스트 양자 암호를 적용하게 돕는 솔루션이다.
호자티 부사장은 "이미 미국 기업은 포스트 양자 암호 적용을 위한 준비 작업을 시작했다"면서 "100여곳이 넘는 기업이 포스트 양자 암호 도입에 대한 상호 운용성과 성능 테스트를 진행 중"이라고 말했다.
디지서트는 PQC 플레이그라운드 무료로 제공한다. 기업이 포스트 양자 암호 상호 운용성과 성능을 테스트할 수 있는 무료 도구다. 기업이 포스트 양자 암호 도입 전략을 수립하는데 도움을 준다.
■ 포스트 양자 암호 적용 지금 준비 안하면 늦다
호자티 부사장은 "기업이 포스트 양자 시대를 따라 잡기란 결코 만만한 일이 아니다"면서 "지금 포스트 양자 암호 준비를 하지 않는다면 결코 격차를 메울 수 없을지도 모른다"고 말했다.
포스트 양자 암호 표준이 나와도 기업은 이를 바로 적용하기 힘들다. 기업은 포스트 양자 암호 도입을 위한 교육, 평가, 계획, 배포, 추적의 5단계를 거쳐야 한다.
시스템 인프라를 중단하지 않고 오래된 암호 자산을 교체할 수 있는 철저한 준비가 선행돼야 한다.