신용석 토스페이먼츠 CISO, 민간 기업 PQC 전환 과정 경험 공유
[보안뉴스 한세희 기자] “언젠가 할 일이라면 지금!”
신용석 토스페이먼츠 최고정보보호책임자(CISO)는 26일 열린 제7차 양자보안포럼에서 ‘PQC 적용 사례와 금융 보안 이슈’를 주제로 발표하며 양자내성암호(PQC) 전환 작업을 “바로 시작해야 한다”고 말했다.
그는 “(양자 컴퓨팅 위협이 현실화되는) Q-데이가 언제일지는 불확실하지만, ‘지금 수집, 나중 해독’(HNDL) 공격은 진행 중”이라며 “PQC 전환엔 몇 년의 시간이 필요한만큼, 지금 바로 준비에 나서야 한다”고 설명했다.
▲양자보안포럼은 26일 서울 시청 인근에서 제7차 포럼을 개최했다. [출처: 보안뉴스]
토스 운영사 비바리퍼블리카의 전자지급결제대행(PG) 계열사 토스페이먼츠는 지난달 국내 금융 및 IT 업계에선 처음으로 PQC 보안 체계를 전면 도입했다고 밝힌 바 있다. 정부 로드맵에 비해 10년 빠른 PQC 전환이다.
미국 표준기술연구소(NIST)가 표준으로 선정한 ML-KEM 기반 하이브리드 키 교환 방식 알고리즘을 고객 서비스와 연결된 전체 웹과 API 서비스에 전면 적용했다. 단말과 통신 구간, 서버 등 서비스가 이뤄지는 전 구간이 대상이었다.
신 CISO는 “많은 기업 정보보호 책임자들이 양자 위협을 자기 재직 중엔 현실화되지 않을 일로 치부한다”며 “세계 주요 국가들이 2035년을 목표로 PQC 전환을 추진하고 있지만, 최근 구글이 Q-데이 예상 시점을 2029년으로 앞당긴 것에서 보듯 양자 기술 발전 속도가 빨라지고 있다”고 말했다.
양자 위협에 의한 HNDL 공격의 위험성이 예상보다 더 빨리 현실화될 수 있는 상황에서 조속한 PQC 전환을 통해 공격자의 의욕을 꺾어야 한다는 설명이다.
기존 보안 체계를 새로운 체계로 전환하는데 긴 시간이 걸린다는 것도 염두에 둬야 한다. 토스페이먼츠는 PQC 전환을 위해 통신 구간의 TLS 보안 프로토콜을 1.3으로 업데이트했지만, 시스템 교체 비용이나 고객 사용 환경 문제 등으로 아직 1.1 버전에 머물러 있는 기업이나 기관도 많은 것이 현실이다.
그는 “HNDL과 보안 체계 업그레이드에 걸리는 시간을 고려했을 때 빠르게 시작하는 것이 기업을 위해서 좋다”고 강조했다.
또 PQC 전환이 필요한 조직 내 암호 현황을 정확히 파악하고, 상황에 따라 언제든 다른 PQC 알고리즘으로 교체할 수 있는 ‘민첩한 구조’를 설계해야 한다고 말했다.
양자와 AI 기술의 만남에 주목해야 한다는 의견도 나왔다. 이원태 양자보안포럼 회장은 “최근 미토스 충격이 준 교훈 중 하나는 AI로 인한 보안 위협에 맞서기 위해 양자 보안의 중요성이 커졌다는 것”이라며 “지금은 국가적으로 양자 보안의 골든타임과 AI 골든타임을 함께 맞춰나가 야할 중요한 시기”라고 말했다.
양자보안포럼은 양자기술 시대 사이버안보 선도국가 실현을 위한 민관 협력 플랫폼 구축을 목표로 출범했다. 양자컴퓨팅 시대에 대응한 안전한 디지털 혁신을 뒷받침하고, 양자보안 기술과 산업을 육성해 국가 사이버안보 역량을 강화한다.
산학연관 참여로 정보 공유와 협력을 강화하는 한편, 양자보안 정책을 발굴하고 제도 개선에 기여한다. QKD나 PQC 등 핵심 양자보안 기술 개발을 촉진하고, 국제협력과 인재 양성을 통해 생태계 조성을 지원할 계획이다.
[한세희 기자(hahn@boannews.com)]
[보안뉴스 한세희 기자] “언젠가 할 일이라면 지금!”
신용석 토스페이먼츠 최고정보보호책임자(CISO)는 26일 열린 제7차 양자보안포럼에서 ‘PQC 적용 사례와 금융 보안 이슈’를 주제로 발표하며 양자내성암호(PQC) 전환 작업을 “바로 시작해야 한다”고 말했다.
그는 “(양자 컴퓨팅 위협이 현실화되는) Q-데이가 언제일지는 불확실하지만, ‘지금 수집, 나중 해독’(HNDL) 공격은 진행 중”이라며 “PQC 전환엔 몇 년의 시간이 필요한만큼, 지금 바로 준비에 나서야 한다”고 설명했다.
▲양자보안포럼은 26일 서울 시청 인근에서 제7차 포럼을 개최했다. [출처: 보안뉴스]
토스 운영사 비바리퍼블리카의 전자지급결제대행(PG) 계열사 토스페이먼츠는 지난달 국내 금융 및 IT 업계에선 처음으로 PQC 보안 체계를 전면 도입했다고 밝힌 바 있다. 정부 로드맵에 비해 10년 빠른 PQC 전환이다.
미국 표준기술연구소(NIST)가 표준으로 선정한 ML-KEM 기반 하이브리드 키 교환 방식 알고리즘을 고객 서비스와 연결된 전체 웹과 API 서비스에 전면 적용했다. 단말과 통신 구간, 서버 등 서비스가 이뤄지는 전 구간이 대상이었다.
신 CISO는 “많은 기업 정보보호 책임자들이 양자 위협을 자기 재직 중엔 현실화되지 않을 일로 치부한다”며 “세계 주요 국가들이 2035년을 목표로 PQC 전환을 추진하고 있지만, 최근 구글이 Q-데이 예상 시점을 2029년으로 앞당긴 것에서 보듯 양자 기술 발전 속도가 빨라지고 있다”고 말했다.
양자 위협에 의한 HNDL 공격의 위험성이 예상보다 더 빨리 현실화될 수 있는 상황에서 조속한 PQC 전환을 통해 공격자의 의욕을 꺾어야 한다는 설명이다.
기존 보안 체계를 새로운 체계로 전환하는데 긴 시간이 걸린다는 것도 염두에 둬야 한다. 토스페이먼츠는 PQC 전환을 위해 통신 구간의 TLS 보안 프로토콜을 1.3으로 업데이트했지만, 시스템 교체 비용이나 고객 사용 환경 문제 등으로 아직 1.1 버전에 머물러 있는 기업이나 기관도 많은 것이 현실이다.
그는 “HNDL과 보안 체계 업그레이드에 걸리는 시간을 고려했을 때 빠르게 시작하는 것이 기업을 위해서 좋다”고 강조했다.
또 PQC 전환이 필요한 조직 내 암호 현황을 정확히 파악하고, 상황에 따라 언제든 다른 PQC 알고리즘으로 교체할 수 있는 ‘민첩한 구조’를 설계해야 한다고 말했다.
양자와 AI 기술의 만남에 주목해야 한다는 의견도 나왔다. 이원태 양자보안포럼 회장은 “최근 미토스 충격이 준 교훈 중 하나는 AI로 인한 보안 위협에 맞서기 위해 양자 보안의 중요성이 커졌다는 것”이라며 “지금은 국가적으로 양자 보안의 골든타임과 AI 골든타임을 함께 맞춰나가 야할 중요한 시기”라고 말했다.
양자보안포럼은 양자기술 시대 사이버안보 선도국가 실현을 위한 민관 협력 플랫폼 구축을 목표로 출범했다. 양자컴퓨팅 시대에 대응한 안전한 디지털 혁신을 뒷받침하고, 양자보안 기술과 산업을 육성해 국가 사이버안보 역량을 강화한다.
산학연관 참여로 정보 공유와 협력을 강화하는 한편, 양자보안 정책을 발굴하고 제도 개선에 기여한다. QKD나 PQC 등 핵심 양자보안 기술 개발을 촉진하고, 국제협력과 인재 양성을 통해 생태계 조성을 지원할 계획이다.
[한세희 기자(hahn@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
