보안

[인터뷰] "양자컴퓨팅 시대, 꿈 아닌 현실…PQC 갖춘 자가 버틴다"

김보민 기자
(왼쪽부터) 디지서트 톰 클라인 디지털 신뢰 담당 전무, 나정주 한국 지사장. [ⓒ디지서트]
(왼쪽부터) 디지서트 톰 클라인 디지털 신뢰 담당 전무, 나정주 한국 지사장. [ⓒ디지서트]

[디지털데일리 김보민기자] 정보기술(IT) 패러다임을 뒤집을 기술이 등장할 때마다 나오는 두 가지 말이 있다. 새로운 시대가 도래했다는 평가와, 이전에 보지 못한 보안 위협이 일어날 수 있다는 우려다. 인공지능(AI) 열풍이 분 지금도 기술 발전에 대한 기대감과 걱정이 공존하고 있다.

이러한 분위기 속 AI를 넘어 또다른 시대를 바라보는 기업이 있다. 디지털 신뢰 전문 디지서트(Digicert)가 그 주인공이다. 디지서트는 현 암호화 체계를 무너뜨릴 '양자컴퓨팅 시대'가 다가오고 있다며, 양자내성암호(PQC) 대응 전략을 구축해둔 곳이 생존할 수 있다고 보고 있다.

톰 클라인(Tom Klein) 디지서트 디지털 신뢰 담당 전무는 지난 8일 <디지털데일리>와 취재진을 만난 자리에서 "PQC는 이미 현실"이라며 "대부분 아직 유효하지 않다고 여기지만, 실제 일반화까지 최소 5년 정도의 시간이 걸릴 전망"이라고 밝혔다.

현재 보안업계에서는 양자컴퓨터가 상용화되면 기존 공개키 암호(RSA·ECC) 알고리즘이 무력화될 것으로 보고 있다. 이전에는 암호를 해독하기 위해 100개의 문제를 풀어야 했다면, 양자컴퓨터는 그 노력과 시간이 필요하지 않게 되는 셈이다.

이날 클라인 전무와 배석한 나정주 디지서트 한국 지사장은 "슈퍼컴퓨터로 암호화 알고리즘을 푸는 데 수백 년이 걸렸다면, 몇 년 혹은 몇 달 만에 체계를 깰 수 있게 된다는 의미"라고 부연했다.

그러나 양자컴퓨팅에 따른 보안 위협을 피부로 느끼는 기업은 많지 않다. 국가 차원에서 추진하고 있는 기술 개발이 어느 지점에 와있는지도 알 수 없는 부분이다.

클라인 전무는 "만일 국가에서 관련 기술을 보유하고 있더라도 공개하는 곳은 없을 것"이라며 "과거 밀레니엄 버그 문제를 해결했던 때처럼, 잠재적 문제에 대한 목록을 만들고 컴퓨터마다 엔드포인트를 확인하는 작업이 필요하다"고 설명했다.

양자컴퓨팅 시대가 가까워지고 있다면 대책은 없을까. 현재 미국 국립표준기술연구소(NIST)는 PQC 표준을 수립하는 데 주력하고 있다. PQC는 기존 공개키 암호 알고리즘과 달리 양자컴퓨터에 취약하지 않도록 설계된 것이 특징이다. 현재 승인 가능성이 높은 암호기술로는 '딜리시움(Dilithium), 팔콘(FALCON), 스피닉스(SPHINCS)가 있다. 디지서트는 NIST 등 산업 및 정부 기관과 관련 작업에 협력 중이다.

클라인 전무는 "이미 범죄자들은 문서 형태이든, 데이터스트림 방식이든 정보를 취합하는 활동을 하고 있다"며 "PQC를 실현할 수 있는 단계가 되면 모아둔 정보를 들여다보고 악용하려 할 것"이라고 말했다. 그만큼 PQC 기반 대응 체계가 중요해질 것이라는 전망이다. 클라인 전무는 "고객에게 지금부터 PQC 계획을 세워야 한다고 조언하고 있다"고 강조했다.

디지서트는 '퀀텀 레디(Quantum-ready)'라는 목표 아래 고객이 PQC 전환을 구현할 수 있도록 지원하고 있다. PQC 플레이그라운드가 대표적이다. PQC 플레이그라운드는 통합, 상호 운용성, 성능 테스트에 사용할 수 있는 무료 도구다. PQC 표준 기술로 채택될 가능성이 있는 딜리시움 등을 지원하는 것이 특징이다. 고객은 이곳에서 새로운 알고리즘을 적용해 보고 실험할 수 있다.

퀀텀 어드바이저리 프로그램에도 속도를 올린다. 해당 프로그램은 디지서트 PQC 전문가들이 고객에게 교육을 제공하고, 전략 수립을 돕는 프로그램이다. 이 밖에도 디지털 신뢰에 특화된 플랫폼 '디지서트 원'을 제공한다. 플랫폼 내에서 제공되는 통합관리 솔루션은 검색, 자동화, 중앙화 인증서 관리를 지원하고 인증서 인벤토리를 관리한다. 기업은 시스템 인프라를 중단하지 않고 암호화 자산을 교체할 수 있다.

PQC 플레이그라운드 활용 예시. [ⓒ디지서트]
PQC 플레이그라운드 활용 예시. [ⓒ디지서트]

디지서트는 한국 시장에서도 PQC 전략을 강화한다. 나 지사장은 "한국의 경우 은행을 시작으로 정부 기관, 10대 기업들도 (PQC 관련) 준비를 할 것"이라며 "국내에서도 PQC 어드바이저리 프로그램으로 도움을 받을 수 있는 곳이 많다고 생각한다"고 말했다.

한편, 디지서트는 올 9월 '세계 양자 컴퓨팅 대비의 날'을 시행할 예정이다. 양자컴퓨팅 시대에 발맞춰 현재 보안 인프라가 대비해야 할 요소를 환기하자는 취지다. NIST 등 주요 기관이 개발 중인 PQC 표준을 빠르게 채택해야 한다는 점도 강조할 전망이다.

클라인 전무는 "PQC는 기술적 문제보다 로지스틱스(실행·logistical) 차원의 문제를 해결하는 것이 더 어렵다는 특징이 있다"며 "양자 내성을 갖는 인증서를 기기(디바이스)에 둘 것인지, 소프트웨어에 둘 것인지 등의 문제가 더 중요해질 수 있다는 의미"라고 설명했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널