조지훈 삼성SDS 상무 "PQC 기술 성숙도 높여야"

"미국과 영국 등 해외 주요국과 한국은 오는 2035년까지 양자내성암호체계로 단계적 전환을 추진하고 있습니다."

조지훈 삼성SDS 보안연구팀장(상무, 마스터)은 3일 국민대학교에서 류제명 과학기술정보통신부(과기정통부) 제2차관 주재로 열린 양자내성암호(PQC), 양자암호통신(QKD) 등 양자보안 분야 산·학·연 전문가 간담회에서 글로벌 암호체계 전환 동향에 대해 이 같이 밝혔다.

조 상무에 따르면, 미국은 지난 2022년 5월 국가안보메모 10호를 발간, 연방기관에 2035년까지 암호전환 완료를 지시했다. 이어 같은해 12월 양자컴퓨팅 사이버보안 준비법(H.R.7535) 법안을 통과, 양자내성암호 전환을 위한 명확한 입법 근거를 마련했다. 또 2024년 7월에는 행정관리예산국(OMB)이 2035년까지 연방정부 암호전환 비용을 약 10조로 추정하기도 했다.

영국은 올 3월 PQC 마이그레이션에 대한 구체적인 타임라인을 발표한데 이어 2028년까지 암호사용현황 파악 및 위험평가를 수행할 예정이다. 또 2035년까지 모든 시스템과 서비스, 제품에 대해 양자내성암호 전환을 완료할 계획이다.

우리나라의 경우 삼성SDS가 미국 국립표준기술연구소(NIST) 주관 양자내성암호 프로젝트 참여 기업에 속해 있다. 삼성SDS 외에 IT기업으로는 구글, AWS, IBM, 델, 시스코가 참여하고 있고, 칩벤더에선 ARM, NXP, 인피니온이, 보안기업으론 탈레스, 팔로알토, 클라우드플레어가 참여하고 있다.NIST는 암호전환을 위해 두 프로젝트(PQC 표준화와 암호자동전환)를 수행중이다.

이미 제품 및 서비스에 적용됐는데 조 상무는 "2024년 애플 아이메시지(iMessage)에, 올해는 마이크로소프트 윈도11과 애저, 마이크로소프트365에 적용됐다"고 설명했다. 그는 양자내성암호로 전환하기 위한 두 핵심기술로 ▲양자내성암호기술(PQC 설계 및 구현 기술) ▲암호자동전환기술(기존 암호방식에서 양자내성암호로의 자동 전환 기술)을 꼽았다.

PQC기술 표준화와 관련해 조 상무는 "미국과 한국 모두 진행중"이라면서 "미국은 2016년부터 표준화를 시작, 3종에 대해 표준문서를 2024년 8월 발간했고 추가 표준화도 추진하고 있다"고 들려줬다. 우리나라는 올 1월 국가공모전을 통해 최종 4종 알고리즘을 선정, KS표준화를 진행중이다. 4종 중 'AIMer'를 삼성SDS가 개발했다.

또 암호자동전환과 관련, 조 상무는 NIST 암호자동전환 프로젝트를 소개했다. 이 프로젝트에는 삼성SDS(아시아에서 유일)를 비롯해 미국 사이버보안·인프라 보안국(CISA) 등 50곳이 참여하고 있으며, 2022년부터 2026년까지 NIST 주관으로 'PQC로의 마이그레이션' 프로젝트가 가동되고 있다.

조 상무는 암호전환의 첫 단계로 사용실태 식별이 필요하다면서 "특히 IT시스템에서 암호의 광범위한 사용으로 식별 자동화가 필수"라고 전했다. 양자컴퓨팅 기반 공격 특수성도 짚었다.'Record Now& Decrypt Later'다. 공격자가 네트워크상의 암호화된 데이터를 지금 백업해 놓고, 이후에 양자컴퓨터로 해킹해 정보를 탈취하는 걸 말한다. 하지만 이는 일종의 '미래 공격'이라 조직 특성상 현 조직 책임자의 관심도가 높지 않다고 진단했다.