.jpg)
.gif)
[보안뉴스=오상근 한국퀀텀컴퓨팅(KQC) 부사장] 지난달 예스24에 이어 이달에는 SGI서울보증이 랜섬웨어 공격을 받아 심각한 시스템 장애가 발생했다. 이는 단순한 기술 사고를 넘어 기업과 조직의 생존에 직결된 경고라고 볼 수 있다.
많은 기업들이 보안 시스템에 막대한 예산을 쏟아붓고 있는 것도 같은 맥락이다. 그러나 현재 기업들이 구매하는 보안 장비는 과연 2030년에도 유효할 수 있을까?
해킹의 일상화, 보안의 패러다임 변화
올해 상반기 한국인터넷진흥원(KISA) 통계에 의하면, 하루 평균 5건 이상의 해킹 사고가 발생하는 것으로 나타났다. 그러나 국내 상장사들의 지난해 평균 보안 예산은 29억 원에 그쳐, 초연결 사회에서 ‘보험료’ 수준에 불과하다는 지적이 나오고 있다.
더 큰 문제는 미래 암호기술에 대한 대비가 부족하다는 점이다. 양자컴퓨터 상용화가 현실화되면서 현재 사용 중인 레거시 공개키 암호는 무력화될 가능성이 매우 높아지고 있다. 이는 단순한 기술적 변화가 아니라 보안 생태계 전반을 뒤흔드는 패러다임 전환의 필요성을 시사한다는 점에서 보안의 패러다임은 지금 바꾸어야 할 때이다
정부의 선제 대응과 산업 변화
정부는 이 같은 움직임에 이미 발빠르게 대응하고 있다. 국가정보원과 과학기술정보통신부는 2035년까지 국가·공공 인프라 전 구간을 양자내성암호(PQC) 기반으로 전환하겠다는 범국가 마스터플랜을 발표했다.
올해 초에는 한국형 PQC 알고리즘 4종이 최종 확정되어 국내 표준화 절차에 들어갔으며, 에너지·의료·행정 3개 분야 시범 전환 사업도 27억 원 규모로 추진되고 있다. 특히, 주목할 점은 공공 부문의 RFP(제안요청서)에 이미 ‘PQC 대응(PQC-ready) HSM’과 ‘FIDO2 기반 무비밀번호 인증’이 조건으로 포함되기 시작했다는 사실이다.
이는 공공기관 뿐 아니라 민간 기업들에게도 점차적으로 적용될 가능성이 높아진다는 것을 의미한다.
장비에 대한 전략적 판단
여기서 딜레마가 생길 수 있다. 얼마 전 구입한 HSM 장비에 PQC를 소프트웨어로 업데이트하여 그냥 사용할 것인지, 아니면 새로 구입할 것인지 고민이 될 수 있다. 하지만 PQC-ready 장비에 대한 투자는 단순한 기술적 진보를 넘어 장기적 비용 절감을 가져온다.
캐나다의 양자안전(quantum-safe) 하드웨어 보안 솔루션 기업 크립토포에이(Crypto4A)의 QxHSM과 같은 ‘PQC-ready’ 하드웨어는 기존 RSA·ECC 키에 더해 미국 NIST 선정 알고리즘과 국내 KpqC 4종을 가속화시키면서 펌웨어 업데이트만으로 새로운 표준을 추가할 수 있어 ‘10년 수명’을 보장한다.
PQC 기반으로 개발되지 않은 장비를 구매했다가 3, 4년 뒤 다시 교체하기보다는 처음부터 PQC-ready 장비를 도입하는 것이 총소유비용(TCO) 측면에서 30% 이상 비용을 절감할 수 있다. PQC-ready 프리미엄은 장비 가격의 10% 남짓이지만, 규제 및 기술 변화를 감안하면 ‘보험료’보다 저렴한 수준인 셈이다.
기업들을 위한 단계적 로드맵
보안 업계는 현실적인 방법을 모색하고 있다. 레거시 시스템과도 호환해야 하므로, 모든 것을PQC로 바꿔서 적용할 수는 없다. 그러므로 2026년까지는 QxHSM을 기존 HSM과 병렬로 운영하며 ‘레거시 암호 알고리즘 + PQC 암호 알고리즘’으로 구성된 하이브리드 인증서로 호환성을 확보한다.
이후 2027년부터 레거시 알고리즘 사용 서비스를 단계적으로 종료하고, 관리자 혹은 ·특권 계정에는 PQC-FIDO 보안키를 의무화하여 ‘완전 PQC’ 체제로 전환하는 방안이다. 장비 자체는 그대로 두고 펌웨어만 업데이트하면 되며, 추가 하드웨어 투자가 불필요하다는 점에서 매력적이다.
보안의 필수 전략이 된 양자내성암호 대응
▲오상근 KQC 부사장 [자료: 오상근 부사장]
양자컴퓨터 상용화 시점이 앞당겨질수록 ‘수집 후 해독’(Harvest Now, Decrypt Later) 전략에 노출되는 데이터가 기하급수적으로 늘어날 것으로 보인다. 국내 한 시중은행 CISO는 “랜섬웨어 피해액도 크지만 계약 갱신 때마다 ‘PQC-ready’ 조건이 붙으면 교체 비용도 많이 든다”며 “올해 예산 재편 과정에서 ‘PQC-ready’ 장비 항목을 별도로 세웠다”고 언급했다. 결국 기업들은 당장 성능이 초과하는 장비를 도입하더라도 5년 뒤에도 버틸 수 있는 암호 플랫폼을 선택할 수밖에 없다.
해킹 사고가 일상화된 2025년, 보안 투자의 화두는 더 이상 ‘강화’가 아닌 ‘진화’이다. ‘PQC-ready’는 이제 선택이 아닌 필수가 되고 있다. 양자내성암호 대응형 인프라 구축은 단순한 기술 업그레이드를 넘어 기업 디지털 자산을 지키고, 고객 신뢰를 유지하며, 궁극적으로는 기업의 지속가능성을 보장하는 전략적 투자이다. 현재의 결정이 2030년의 안전을 좌우한다는 현실적인 인식과 혜안이 필요한 시점이다.
[글_ 오상근 KQC 부사장]
필자 소개_
- 2025 ~ 현재: KQC 부사장 (양자 보안 부문)
- 2019 ~ 2023: (주) 이더블유비엠 대표
- 2002 ~ 2006: 삼성전자 S.LSI 상무
- 미국 퍼듀대학 공학 박사 (전자공학)
- FIDO협회 한국지부 부회장 (2021~2022)
- IEEE 신호처리 분과장 (달라스 지역)
많은 기업들이 보안 시스템에 막대한 예산을 쏟아붓고 있는 것도 같은 맥락이다. 그러나 현재 기업들이 구매하는 보안 장비는 과연 2030년에도 유효할 수 있을까?
해킹의 일상화, 보안의 패러다임 변화
올해 상반기 한국인터넷진흥원(KISA) 통계에 의하면, 하루 평균 5건 이상의 해킹 사고가 발생하는 것으로 나타났다. 그러나 국내 상장사들의 지난해 평균 보안 예산은 29억 원에 그쳐, 초연결 사회에서 ‘보험료’ 수준에 불과하다는 지적이 나오고 있다.
더 큰 문제는 미래 암호기술에 대한 대비가 부족하다는 점이다. 양자컴퓨터 상용화가 현실화되면서 현재 사용 중인 레거시 공개키 암호는 무력화될 가능성이 매우 높아지고 있다. 이는 단순한 기술적 변화가 아니라 보안 생태계 전반을 뒤흔드는 패러다임 전환의 필요성을 시사한다는 점에서 보안의 패러다임은 지금 바꾸어야 할 때이다
정부의 선제 대응과 산업 변화
정부는 이 같은 움직임에 이미 발빠르게 대응하고 있다. 국가정보원과 과학기술정보통신부는 2035년까지 국가·공공 인프라 전 구간을 양자내성암호(PQC) 기반으로 전환하겠다는 범국가 마스터플랜을 발표했다.
올해 초에는 한국형 PQC 알고리즘 4종이 최종 확정되어 국내 표준화 절차에 들어갔으며, 에너지·의료·행정 3개 분야 시범 전환 사업도 27억 원 규모로 추진되고 있다. 특히, 주목할 점은 공공 부문의 RFP(제안요청서)에 이미 ‘PQC 대응(PQC-ready) HSM’과 ‘FIDO2 기반 무비밀번호 인증’이 조건으로 포함되기 시작했다는 사실이다.
이는 공공기관 뿐 아니라 민간 기업들에게도 점차적으로 적용될 가능성이 높아진다는 것을 의미한다.
장비에 대한 전략적 판단
여기서 딜레마가 생길 수 있다. 얼마 전 구입한 HSM 장비에 PQC를 소프트웨어로 업데이트하여 그냥 사용할 것인지, 아니면 새로 구입할 것인지 고민이 될 수 있다. 하지만 PQC-ready 장비에 대한 투자는 단순한 기술적 진보를 넘어 장기적 비용 절감을 가져온다.
캐나다의 양자안전(quantum-safe) 하드웨어 보안 솔루션 기업 크립토포에이(Crypto4A)의 QxHSM과 같은 ‘PQC-ready’ 하드웨어는 기존 RSA·ECC 키에 더해 미국 NIST 선정 알고리즘과 국내 KpqC 4종을 가속화시키면서 펌웨어 업데이트만으로 새로운 표준을 추가할 수 있어 ‘10년 수명’을 보장한다.
PQC 기반으로 개발되지 않은 장비를 구매했다가 3, 4년 뒤 다시 교체하기보다는 처음부터 PQC-ready 장비를 도입하는 것이 총소유비용(TCO) 측면에서 30% 이상 비용을 절감할 수 있다. PQC-ready 프리미엄은 장비 가격의 10% 남짓이지만, 규제 및 기술 변화를 감안하면 ‘보험료’보다 저렴한 수준인 셈이다.
기업들을 위한 단계적 로드맵
보안 업계는 현실적인 방법을 모색하고 있다. 레거시 시스템과도 호환해야 하므로, 모든 것을PQC로 바꿔서 적용할 수는 없다. 그러므로 2026년까지는 QxHSM을 기존 HSM과 병렬로 운영하며 ‘레거시 암호 알고리즘 + PQC 암호 알고리즘’으로 구성된 하이브리드 인증서로 호환성을 확보한다.
이후 2027년부터 레거시 알고리즘 사용 서비스를 단계적으로 종료하고, 관리자 혹은 ·특권 계정에는 PQC-FIDO 보안키를 의무화하여 ‘완전 PQC’ 체제로 전환하는 방안이다. 장비 자체는 그대로 두고 펌웨어만 업데이트하면 되며, 추가 하드웨어 투자가 불필요하다는 점에서 매력적이다.
보안의 필수 전략이 된 양자내성암호 대응
▲오상근 KQC 부사장 [자료: 오상근 부사장]
양자컴퓨터 상용화 시점이 앞당겨질수록 ‘수집 후 해독’(Harvest Now, Decrypt Later) 전략에 노출되는 데이터가 기하급수적으로 늘어날 것으로 보인다. 국내 한 시중은행 CISO는 “랜섬웨어 피해액도 크지만 계약 갱신 때마다 ‘PQC-ready’ 조건이 붙으면 교체 비용도 많이 든다”며 “올해 예산 재편 과정에서 ‘PQC-ready’ 장비 항목을 별도로 세웠다”고 언급했다. 결국 기업들은 당장 성능이 초과하는 장비를 도입하더라도 5년 뒤에도 버틸 수 있는 암호 플랫폼을 선택할 수밖에 없다.
해킹 사고가 일상화된 2025년, 보안 투자의 화두는 더 이상 ‘강화’가 아닌 ‘진화’이다. ‘PQC-ready’는 이제 선택이 아닌 필수가 되고 있다. 양자내성암호 대응형 인프라 구축은 단순한 기술 업그레이드를 넘어 기업 디지털 자산을 지키고, 고객 신뢰를 유지하며, 궁극적으로는 기업의 지속가능성을 보장하는 전략적 투자이다. 현재의 결정이 2030년의 안전을 좌우한다는 현실적인 인식과 혜안이 필요한 시점이다.
[글_ 오상근 KQC 부사장]
필자 소개_
- 2025 ~ 현재: KQC 부사장 (양자 보안 부문)
- 2019 ~ 2023: (주) 이더블유비엠 대표
- 2002 ~ 2006: 삼성전자 S.LSI 상무
- 미국 퍼듀대학 공학 박사 (전자공학)
- FIDO협회 한국지부 부회장 (2021~2022)
- IEEE 신호처리 분과장 (달라스 지역)
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)