‘양자 유럽 전략’ 채택으로 살펴본 차세대 양자 암호 전환을 위한 제언
“기술적 대응 넘어선 다차원적 전략 대비만이 디지털 신뢰 유지”
[보안뉴스=이효은 카스퍼스키 한국지사장] 양자는 지금 모두의 화두가 됐다. 지난 여름 유럽연합(EU) 집행위원회는 2030년까지 유럽을 양자(Quantum) 기술 분야 글로벌 리더로 자리매김하기 위한 ‘양자 유럽 전략’(Quantum Europe Strategy)을 채택했다.
이 야심찬 연구와 혁신 의제는 보다 집중적이고 성과 중심적 접근 방식을 강화하기 위해 마련됐다. 양자 유럽 전략은 △연구개발 추진 △양자 인프라 구축 △양자 생태계 투자 △우주 및 이중용도(dual-use) 기술 분야 응용 △전문 인재 양성 등 다섯 가지 전략적 우선 과제를 제시한다. 이를 통해 EU는 양자 컴퓨팅 기술에 선제적으로 대응하고 있다.
이와 함께 디지털 회복탄력성을 핵심 과제로 강조하며, 유럽 양자 시대의 사이버보안을 위해 대비하겠다는 의지를 재확인했다. 여기엔 EU 양자 통신 인프라(EuroQCI) 구축과 모든 양자 프로젝트 초기 단계부터 보안 요소를 통합하는 조치 등이 포함된다.
사이버보안을 다시 생각하다
양자 시대를 준비한다는 것은 우리가 정보를 보호하고, 시스템을 방어하며, 신뢰를 구축하는 방식을 근본적으로 다시 생각한다는 의미다. 최근 각국 정부와 표준화 기구는 단순한 호기심 단계를 넘어 실제 행동으로 전환점을 맞이했다.
미국 국립표준기술연구소(NIST)는 처음으로 양자내성암호(PQC) 알고리즘 세트에 대한 표준을 발표했고, 이는 중요 시스템을 양자 저항 프리미티브로 이전할 실질적 경로를 제시했다. 이는 양자 컴퓨터 공격에도 안전한 암호화의 기본 요소들인 알고리즘과 프로토콜의 집합들로, 기존 암호 시스템이 양자 컴퓨터에 의해 무력화될 위험에 대비하기 위한 것이다.
동시에 EU 집행위원회는 회원국들에 구체적 로드맵과 일정 수립을 강력히 촉구하고 있다. 지금 당장 전환을 시작해 특정 기간 내 핵심 인프라를 보호해야 한다는 것이다. 이는 깊이 내재된 암호를 대체하는 실질적 작업에 수년이 걸리기 때문이다.
이러한 모멘텀이 형성된 데는 분명한 이유가 있다. ‘지급 수집하고 나중에 해독하라’(harvest now, decrypt later)는 위협이 더 이상 가상의 시나리오가 아니기 때문이다. 정교한 공격자들은 지금도 암호화된 트래픽을 가로채 보관하고 있다. 언젠가 양자 컴퓨터로 데이터를 해독할 수 있으리라는 계산에서다. 따라서 양자 시대까지 기밀 유지 수명이 이어질 데이터는 지금 당장 보호해야 한다는 현실적인 요구가 생긴 것이다.
사이버보안을 다시 생각하다
이러한 현실에서 정책결정자와 업계 리더들이 실제로 해야 할 일은 무엇일까? 짧게 말하면, 양자 공격에 대한 대비를 수십 년에 걸친 현대화 프로그램으로 취급해야 한다는 것이다. 이 과정은 암호학과 공급망 보안, 조달 정책, 인력 개발, 국제 협력, 지속적 연구개발을 아우른다. 다음과 같은 실천적 조치가 필요하다.
1. 명확한 지침과 일정 수립
정부는 장기간에 걸친 현대화 작업을 반영한 명확한 위험 기반 지침과 일정을 설정해야 한다. 기술 표준 기구와 관련 기관은 먼저 마이그레이션할 대상을 우선순위에 따라 정리해야 한다. 예를 들어, 기밀 시스템 및 장기간 기밀 유지가 필요한 통신과 에너지, 통신, 금융, 의료 같은 핵심 인프라, 업데이트가 어려운 장치 등이다. 이미 일부 국가 기관들은 양자 대비 로드맵 수립을 권고하고 있다. 이는 암호 자산을 파악하고, 위혐 평가를 수행하며, 마이그레이션 우선순위를 설정하는 과정이다. 즉흥적이거나 예산 없는 전환은 실패할 수밖에 없다.
2. 공급망과 하드웨어 보안 강화
양자 시스템은 물리적 부품, 펌웨어, 전통적 제어 시스템에 의존한다. 이들은 변조, 사이드 채널 공격, 위조 부품에 취약하다. 정책은 안전한 공급망 요건을 확대하고, 독립적 시험 기관을 지원하며, 고위험 부품에 대해서는 국내 또는 우방국 제조를 장려해야 한다. 유럽 일부 관할 구역에서는 이러한 노력의 일환으로 사전 인증 환경이 만들어지고 있다.
3. 인력 개발 및 운영 준비
PQC 마이그레이션이나 양자 네트워크 통합은 단순한 소프트웨어 업데이트가 아니다. 이는 새로운 알고리즘과 프로토콜 변화, 위험 요소를 이해하는 암호학자·시스템 엔지니어·조달 담당자·사고 대응자를 필요로 한다. 따라서 정부와 대기업은 교육 프로그램을 지원하고 마이그레이션과 사고 대응에 관한 표준 운영 매뉴얼 제작, Q-데이 시나리오, ‘지금 수집-나중 해독’ 공격을 가정한 모의훈련을 진행해야 한다.
4. 연구개발 투자와 조정
공공 투자는 양자 컴퓨팅 및 네트워킹 발전뿐 아니라, 실용적 PQC 툴킷, 상호운용 가능한 마이그레이션 라이브러리, 안전한 구현 검증 도구 개발에도 필요하다. 연구개발 프로그램은 사용하기 쉽고 감사 가능한 암호 라이브러리를 우선 지원하고, 오픈 레퍼런스 구현을 후원하며, 보안 분석을 통해 취약점이 실제 시스템에 도달하기 전에 발견하도록 해야 한다.
5. 국제 협력과 규범 마련
양자 보안 과제는 세계적 문제다. 어느 한 지역이라도 뒤처지면 적대 세력이 이를 악용할 수 있다. 국제 협력은 표준 채택의 동기화, ‘지금 수집-나중 해독’ 활동에 대한 위협 인텔리전스 공유, 민감한 양자 하드웨어의 수출 통제 정렬, 국경 간 인프라에 영향을 미치는 사고 대응 상호 지원 체계 등을 가능하게 한다. EU의 권고와 NIST 표준에 대한 국제적 관심은 조화로운 접근이 보안을 가속화하고 비용이 많이 드는 파편화를 줄인다는 점을 보여준다.
6. 투명성과 책임성 확보
정책은 투명성과 책임성을 중심에 둬야 한다. 기관들은 마이그레이션 진행 상황 보고를 지침화하고, 연방 시스템이 언제 PQC에 완전히 대응할 것인지 일정표를 공개해야 하며, 아직 양자 취약 알고리즘에 의존하는 핵심 시스템의 공적 등록부를 유지해야 한다. 투명성은 시장과 하위 공급업체가 대비할 수 있도록 돕고, 시민사회가 공적 자금이 실제로 측정 가능한 보안 향상으로 이어지는지 감시할 수 있게 한다.
양자 보안 환경으로 전환하는 과정은 균형감 있게 추진되어야 한다. 수집된 데이터를 보호하고 장기간 유지되는 기밀 정보를 지키기 위해 신속하게 움직이는 동시에, 구현 오류나 공급망 단축으로 인한 새로운 위험이 발생하지 않도록 신중하기 진행해야 한다. 이러한 균형 자체가 바로 정책 과제이며, 이는 기한·예산·기술 표준·인센티브를 유기적으로 결합한 복합적 문제다.
궁극적으로 양자 시대의 사이버보안 준비는 단순히 기술적 대응을 넘어 정책·산업·국제 협력·인력 개발을 모두 아우른 다차원적 전략이어야 한다. 지금의 결단과 계획이 향후 수십 년간 디지털 신뢰를 유지하고, 혁신과 안전을 동시에 실현하는 핵심 열쇠가 될 것이다.
[글_이효은 카스퍼스키 한국지사장]
“기술적 대응 넘어선 다차원적 전략 대비만이 디지털 신뢰 유지”
[보안뉴스=이효은 카스퍼스키 한국지사장] 양자는 지금 모두의 화두가 됐다. 지난 여름 유럽연합(EU) 집행위원회는 2030년까지 유럽을 양자(Quantum) 기술 분야 글로벌 리더로 자리매김하기 위한 ‘양자 유럽 전략’(Quantum Europe Strategy)을 채택했다.
이 야심찬 연구와 혁신 의제는 보다 집중적이고 성과 중심적 접근 방식을 강화하기 위해 마련됐다. 양자 유럽 전략은 △연구개발 추진 △양자 인프라 구축 △양자 생태계 투자 △우주 및 이중용도(dual-use) 기술 분야 응용 △전문 인재 양성 등 다섯 가지 전략적 우선 과제를 제시한다. 이를 통해 EU는 양자 컴퓨팅 기술에 선제적으로 대응하고 있다.
이와 함께 디지털 회복탄력성을 핵심 과제로 강조하며, 유럽 양자 시대의 사이버보안을 위해 대비하겠다는 의지를 재확인했다. 여기엔 EU 양자 통신 인프라(EuroQCI) 구축과 모든 양자 프로젝트 초기 단계부터 보안 요소를 통합하는 조치 등이 포함된다.
사이버보안을 다시 생각하다
양자 시대를 준비한다는 것은 우리가 정보를 보호하고, 시스템을 방어하며, 신뢰를 구축하는 방식을 근본적으로 다시 생각한다는 의미다. 최근 각국 정부와 표준화 기구는 단순한 호기심 단계를 넘어 실제 행동으로 전환점을 맞이했다.
미국 국립표준기술연구소(NIST)는 처음으로 양자내성암호(PQC) 알고리즘 세트에 대한 표준을 발표했고, 이는 중요 시스템을 양자 저항 프리미티브로 이전할 실질적 경로를 제시했다. 이는 양자 컴퓨터 공격에도 안전한 암호화의 기본 요소들인 알고리즘과 프로토콜의 집합들로, 기존 암호 시스템이 양자 컴퓨터에 의해 무력화될 위험에 대비하기 위한 것이다.
동시에 EU 집행위원회는 회원국들에 구체적 로드맵과 일정 수립을 강력히 촉구하고 있다. 지금 당장 전환을 시작해 특정 기간 내 핵심 인프라를 보호해야 한다는 것이다. 이는 깊이 내재된 암호를 대체하는 실질적 작업에 수년이 걸리기 때문이다.
이러한 모멘텀이 형성된 데는 분명한 이유가 있다. ‘지급 수집하고 나중에 해독하라’(harvest now, decrypt later)는 위협이 더 이상 가상의 시나리오가 아니기 때문이다. 정교한 공격자들은 지금도 암호화된 트래픽을 가로채 보관하고 있다. 언젠가 양자 컴퓨터로 데이터를 해독할 수 있으리라는 계산에서다. 따라서 양자 시대까지 기밀 유지 수명이 이어질 데이터는 지금 당장 보호해야 한다는 현실적인 요구가 생긴 것이다.
사이버보안을 다시 생각하다
이러한 현실에서 정책결정자와 업계 리더들이 실제로 해야 할 일은 무엇일까? 짧게 말하면, 양자 공격에 대한 대비를 수십 년에 걸친 현대화 프로그램으로 취급해야 한다는 것이다. 이 과정은 암호학과 공급망 보안, 조달 정책, 인력 개발, 국제 협력, 지속적 연구개발을 아우른다. 다음과 같은 실천적 조치가 필요하다.
1. 명확한 지침과 일정 수립
정부는 장기간에 걸친 현대화 작업을 반영한 명확한 위험 기반 지침과 일정을 설정해야 한다. 기술 표준 기구와 관련 기관은 먼저 마이그레이션할 대상을 우선순위에 따라 정리해야 한다. 예를 들어, 기밀 시스템 및 장기간 기밀 유지가 필요한 통신과 에너지, 통신, 금융, 의료 같은 핵심 인프라, 업데이트가 어려운 장치 등이다. 이미 일부 국가 기관들은 양자 대비 로드맵 수립을 권고하고 있다. 이는 암호 자산을 파악하고, 위혐 평가를 수행하며, 마이그레이션 우선순위를 설정하는 과정이다. 즉흥적이거나 예산 없는 전환은 실패할 수밖에 없다.
2. 공급망과 하드웨어 보안 강화
양자 시스템은 물리적 부품, 펌웨어, 전통적 제어 시스템에 의존한다. 이들은 변조, 사이드 채널 공격, 위조 부품에 취약하다. 정책은 안전한 공급망 요건을 확대하고, 독립적 시험 기관을 지원하며, 고위험 부품에 대해서는 국내 또는 우방국 제조를 장려해야 한다. 유럽 일부 관할 구역에서는 이러한 노력의 일환으로 사전 인증 환경이 만들어지고 있다.
3. 인력 개발 및 운영 준비
PQC 마이그레이션이나 양자 네트워크 통합은 단순한 소프트웨어 업데이트가 아니다. 이는 새로운 알고리즘과 프로토콜 변화, 위험 요소를 이해하는 암호학자·시스템 엔지니어·조달 담당자·사고 대응자를 필요로 한다. 따라서 정부와 대기업은 교육 프로그램을 지원하고 마이그레이션과 사고 대응에 관한 표준 운영 매뉴얼 제작, Q-데이 시나리오, ‘지금 수집-나중 해독’ 공격을 가정한 모의훈련을 진행해야 한다.
4. 연구개발 투자와 조정
공공 투자는 양자 컴퓨팅 및 네트워킹 발전뿐 아니라, 실용적 PQC 툴킷, 상호운용 가능한 마이그레이션 라이브러리, 안전한 구현 검증 도구 개발에도 필요하다. 연구개발 프로그램은 사용하기 쉽고 감사 가능한 암호 라이브러리를 우선 지원하고, 오픈 레퍼런스 구현을 후원하며, 보안 분석을 통해 취약점이 실제 시스템에 도달하기 전에 발견하도록 해야 한다.
5. 국제 협력과 규범 마련
양자 보안 과제는 세계적 문제다. 어느 한 지역이라도 뒤처지면 적대 세력이 이를 악용할 수 있다. 국제 협력은 표준 채택의 동기화, ‘지금 수집-나중 해독’ 활동에 대한 위협 인텔리전스 공유, 민감한 양자 하드웨어의 수출 통제 정렬, 국경 간 인프라에 영향을 미치는 사고 대응 상호 지원 체계 등을 가능하게 한다. EU의 권고와 NIST 표준에 대한 국제적 관심은 조화로운 접근이 보안을 가속화하고 비용이 많이 드는 파편화를 줄인다는 점을 보여준다.
6. 투명성과 책임성 확보
정책은 투명성과 책임성을 중심에 둬야 한다. 기관들은 마이그레이션 진행 상황 보고를 지침화하고, 연방 시스템이 언제 PQC에 완전히 대응할 것인지 일정표를 공개해야 하며, 아직 양자 취약 알고리즘에 의존하는 핵심 시스템의 공적 등록부를 유지해야 한다. 투명성은 시장과 하위 공급업체가 대비할 수 있도록 돕고, 시민사회가 공적 자금이 실제로 측정 가능한 보안 향상으로 이어지는지 감시할 수 있게 한다.
양자 보안 환경으로 전환하는 과정은 균형감 있게 추진되어야 한다. 수집된 데이터를 보호하고 장기간 유지되는 기밀 정보를 지키기 위해 신속하게 움직이는 동시에, 구현 오류나 공급망 단축으로 인한 새로운 위험이 발생하지 않도록 신중하기 진행해야 한다. 이러한 균형 자체가 바로 정책 과제이며, 이는 기한·예산·기술 표준·인센티브를 유기적으로 결합한 복합적 문제다.
궁극적으로 양자 시대의 사이버보안 준비는 단순히 기술적 대응을 넘어 정책·산업·국제 협력·인력 개발을 모두 아우른 다차원적 전략이어야 한다. 지금의 결단과 계획이 향후 수십 년간 디지털 신뢰를 유지하고, 혁신과 안전을 동시에 실현하는 핵심 열쇠가 될 것이다.
[글_이효은 카스퍼스키 한국지사장]
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)