[기고] 양자보안 이후 시대의 신뢰PUF로 완성되는 퀀텀-세이프 시큐리티의 근간

양자 컴퓨팅의 진화는 기존 보안체계의 기본 가정을 근본적으로 흔들고 있다.

IBM을 비롯한 양자 컴퓨팅 선도기업들은 이미 1천큐비트 이상의 프로세서를 개발했으며, 최근에는 하이브리드 클라우드 연동이 가능한 QPU(Quantum Processing Unit)까지 선보이며 양자 연산의 실용화를 앞당기고 있다.

이처럼 양자 연산이 현실로 다가오면서, RSA와 ECC 같은 전통적 공개키 암호는 더 이상 “언젠가 뚫릴 수도 있는 기술”이 아니라 “언제 무너질 것이냐”만 남은 구조로 바뀌었다.

또한, 국제 해킹 조직과 국가 정보기관은 이미 암호 데이터를 대량으로 수집해 두고 미래의 양자 컴퓨팅 능력으로 해독하려는 'Harvest Now, Decrypt Later(HNDL)' 전략을 실행하고 있다. 이러한 환경 변화는 보안이 더 이상 과거의 방어구조로는 지속될 수 없음을 분명히 보여준다.

이 상황에서 전 세계는 PQC(양자내성암호)에 주목하고 있다. 미국 NIST는

ML-KEM(FIPS 203)과 ML-DSA(FIPS 204)를 중심으로 2024년 새로운 양자내성암호 표준을 확정하고, 2035년까지 연방 정부 전체 시스템을 PQC 기반으로 전환하겠다는 로드맵을 발표했다.

그러나 여기에는 한 가지 중요한 오해가 있다. PQC는 기존 PKE(Public Key Encryption) 방식이 양자 내성을 확보하도록 대체되는 구조이지만, 기존의 PKE가 노출되었던 ‘키 관리 취약성’이라는 근본적 한계를 그대로 계승한다. 즉, 알고리즘의 교체만으로는 보안 구조의 본질적 위험인 ‘키 노출’은 해결하지 못한다는 점이다. 결국, PQC는 양자 시대의 중요한 구성요소이지만, 완전한 신뢰를 보장하는 기반(Trust Anchor)은 아니다.

AI에 의해 자동화된 침투, 장기 잠복형 APT(Advanced Persistent Threat), 그리고 공급망(Supply Chain) 공격이 결합된 복합 위협 환경에서는 소프트웨어 기반 키 보호 방식의 신뢰성이 근본적으로 흔들리며 한계를 드러내고 있다. 결국 양자 시대의 보안이 던지는 질문은 “어떤 알고리즘을 쓰느냐”보다 “그 알고리즘이 어떤 신뢰 기반 위에서 작동하느냐”이다.

그 해답이 바로 물리적 복제 불가 기능인 PUF(Physically Unclonable Function)다. ICTK의 VIA PUF™은 ISO/IEC 20897 국제표준을 충족하며, 반도체 제조 공정에서 발생하는 미세한 편차를 활용해 칩마다 고유하고 예측 불가능한 물리적 ID를 생성한다. 이 ID는 AI가 학습이나 모델링으로 복제할 수 없으며, 물리적으로 동일한 값을 다시 만들 수도 없다. PUF의 고유한 비선형성은 디지털 데이터에서 관찰되는 규칙성을 제거하여, 어떤 공격자도 머신러닝 기반으로 이를 재현할 수 없게 만든다.

최근 중국은 차세대 반도체 보안 칩에 PUF를 기본 탑재하도록 표준화 작업을 추진하고 있으며, 서방권에서는 시놉시스가 PUF 전문 기업을 인수했고 램버스, 인피니언 등 주요 반도체 기업들이 이미 PUF 기반 HRoT(Hardware Root of Trust) 상용화를 확대하고 있다. 반면 국내 시장은 아직 PQC 중심의 논리적 암호 전환에 머물러 있어, 물리적 신뢰 기반을 병행하지 않는다면 양자 시대의 완전한 보안을 확보하기 어렵다.

이러한 물리적 고유성은 보안 아키텍처를 완전히 새롭게 설계할 수 있는 토대를 제공한다.PUF는 칩 내부에서 직접 키를 생성하며, 이 키는 외부 메모리에 저장되지 않은 채 필요할 때만 일시적으로 존재했다가 사라진다. 정적 키(static key)가 외부에 노출되는 구조 자체가 발생하지 않는다. 이 특성은 개인키와 내부 키를 PUF 기반으로 암호화된 보안 저장소(Secure Storage)에 보호된 형태로 유지할 수 있게 만들고, 결과적으로 하드웨어 차원의 진정한 Hardware Root of Trust(HRoT)를 형성한다.

여기에 PQC가 결합될 때 비로소 새로운 보안 구조가 완성된다. PUF가 제공하는 물리적 신뢰를 기반으로 양자내성 알고리즘(PQC)이 동작하면, 양자 시대에 필요한 두 축인 '논리적 강도(Logic Strength)'와 '물리적 신뢰(Physical Trust)'가 하나의 통합 구조로 결합된다. ICTK는 이 통합 구조를 'Quantum HRoT Architecture'라고 정의한다.

이 아키텍처는 부트로더–펌웨어–OS–네트워크–서비스까지 이어지는 전체 보안 생태계의 출발점에서 끊어지지 않는 신뢰 사슬(Chain of Trust)을 형성한다. PUF는 신뢰의 최초 엔트로피를 제공하고, PQC는 그 위에서 양자 시대의 통신·서명·인증을 수행한다. 그 결과, 시스템은 더 이상 외부 공격이나 내부 키 노출에 대해 단일 실패 지점(Single Point of Failure)을 갖지 않게 된다.

이 구조는 ICTK가 제시하는 PAZI(Post-Quantum + AI-Resilient + Zero-Trust + Identity-centric) 전략의 핵심이기도 하다. PUF 기반의 고유 ID는 AI 공격과 머신러닝 분석에도 흔들리지 않는 정체성을 제공하며, 제로-트러스트(Zero-Trust) 구조는 디바이스와 사용자, 세션의 모든 행동을 지속적으로 검증하고, PQC는 양자 시대의 암호 강도를 담당한다. 이 세 요소가 결합되면서, 보안은 단순한 암호 기술이 아니라 정체성·신뢰·검증이 하나의 구조로 통합된 시스템적 대응 구조로 진화한다.

양자 시대의 보안은 더 강한 알고리즘만으로 유지되지 않는다. 그 알고리즘이 어떤 신뢰의 근원 위에서 작동하느냐에 따라 안정성의 수준이 결정된다. PUF는 그 신뢰의 근간이며, PQC는 그 위에서 작동하는 방어의 논리다. 그리고 PAZI는 이 결합을 국가·산업·기업의 전략으로 승화시킨 미래형 '퀀텀-세이프 시큐리티(Quantum-Safe Security)' 패러다임이다.