양자컴퓨터 기술이 빠르게 개발되고 있다. 그러면서 우리가 사용하고 있는 현대 암호화 기술들의 생명도 그 끝에 도달하는 중이다. 사이버전에 있어서도 이 강력한 기술이 활용될 가능성은 매우 높아 보인다.

[보안뉴스 문정후 기자] 양자컴퓨터 기술이 과연 우리에게 여러 가지 혜택만 가져다 줄까? 딜로이트(Deloitte)의 보안 분야 총괄이자 세계경제포럼 전문가 모임의 일원인 콜린 수타(Colin Soutar)는 “오히려 더 큰 위험을 초래할 가능성이 높다”고 보고 있다. 심지어 “이미 위협이 되고 있는 경우들도 있다”고 그는 말한다. “고도의 암호화 기술로 보호되어 있는 데이터들도 공격자들은 활발하게 훔치고 있거든요. 언젠가 양자컴퓨터가 상용화 될 때 해독한다면서 말이죠. 어떤 의미에서는 이미 현대 암호화 기술이 무용지물로 변하고 있는 겁니다.”


현대 공공 키 암호화 기술은 ‘일정 수준의 인수분해 문제를 풀려면 어마어마한 규모의 컴퓨팅 자원이 필요하다’는 것을 전제로 하고 있다. NTT리서치(NTT Research)의 CEO인 카즈히로 고미(Kzauhiro Gomi)는 “양자컴퓨터 기술이 이 전제를 처음부터 뒤집어 엎는다”고 설명한다. “양자컴퓨터의 강력함 덕분에 충분한 컴퓨팅 자원이 확보될 것이거든요. 현대 암호화는 양자컴퓨터로 쉽게 풀릴 것이고, 그러면 우리가 지금 보유하고 있는 모든 환경이 아예 밑바닥부터 바뀌어야 할 겁니다. 양자컴퓨터를 가진 공격자들이 자유자재로 비밀 키 암호화 알고리즘이든 공공 키 암호화 알고리즘이든 풀어버릴 테니까요. 국가 지원 공격자들이라면 양자컴퓨터가 상용화 되기도 전부터 이런 행위를 할 수 있을 가능성이 높습니다.”

그러므로 “암호화를 무력화하기에 충분한 양자컴퓨터가 언제 도래하느냐가 지금으로서는 관건”이라고 그는 짚는다. “양자컴퓨터의 개발과 향상은 지금 이 순간에도 빠르게 이뤄지고 있습니다. 세계의 수많은 기업과 기관들이 공개적으로 혹은 비공개적으로 각자 양자컴퓨터에 몰두하고 있지요. 어쩌면 누군가는 이미 양자컴퓨터를 손에 넣어 비밀리에 경쟁사나 적국의 암호화 보호 장치를 깨고 있을 수도 있습니다.” 그러나 그는 “양자컴퓨터가 상용화 될 때 진짜 위기가 시작될 것”이라고 보고 있고, “그런 시기에 이르기까지 꽤나 긴 시간이 남아 있다”고 보고 있다.

공격 탐지하기
양자컴퓨터를 활용한 공격은, 오늘날의 신원 도용 및 데이터 침해 사고와 비슷할 것으로 추정된다. “결국 악성 행위자들이 노리는 것은 미래에나 지금에나 비슷할 것이니까요. 어떤 기술을 쓰든 목적은 변하지 않는다는 겁니다. 다만 피해 규모가 훨씬 크고 깊을 것입니다. 같은 공격을 하더라도 양자컴퓨터 기술로 하면 훨씬 많은 피해자들을 한꺼번에 공격할 수 있게 되지요. 표적 공격이라는 게 지금은 ‘소수만 공격한다’로 정의되지만 그때가 되면 아니게 될 수도 있습니다.” 일리노이어바나샴페인대학의 부교수 에릭 치탐바(Eric Chitambar)의 설명이다.

수타 역시 “양자컴퓨터로 인한 공격이 마냥 미스터리인 것만은 아니”라고 보고 있다. “결국 공격자들은 네트워크에 침투해 가장 핵심이 되는 데이터를 찾아 암호화 하든, 외부로 빼돌리든, 조작하든, 삭제하든 할 겁니다. 그것 외에 해킹 공격을 하는 데에 큰 목적을 두기 힘들지요. 더 많은 기업들이 한꺼번에 공격을 당하고, 같은 시간 범위 내에 더 많은 데이터가 사라지긴 하겠지만 큰 맥락에서 오늘 날 우리가 당하는 해킹 사건과 궤를 완전히 달리하지는 않을 거라고 봅니다. 오히려 달라지는 건 가치 높은 기업들과 지정학적 관계 정도겠죠.”

어떻게 대응해야 하나
양자컴퓨터를 동원한 공격을 효과적으로 막기 위해서는 그에 맞는 전략을 수립해야 한다고 치탐바는 말한다. 특히 암호화라는 부분에서부터 각별한 노력이 필요하다는 게 그의 주장이다. “양자컴퓨터 기술로도 복호화 할 수 없는 암호화 알고리즘이 개발되어야 하겠지요. 당연하지만 기존의 컴퓨터로도 풀 수 없는 것이어야 하겠습니다. 많은 연구와, 어쩌면 우리에게 지금 없는 새로운 생각이 필요할지도 모르겠습니다.”

만약 양자컴퓨터가 본격적으로 시장에 모습을 드러내기 전까지 새로운 암호화 알고리즘이 개발되지 않는 일이 벌어진다면 어떻게 될까? 치탐바는 “오히려 양자컴퓨터 기술을 이용해 데이터를 보호하고 암호화 알고리즘을 강력히 해야 할 방법을 찾아야 한다”고 말한다. “양자컴퓨터 기술을 응용해 보안을 강화하는 방법들은 이미 몇 가지가 나와 있습니다. 이런 방향으로의 연구도 활발히 이어져야 하겠습니다. 양자를 양자로 대처하는 것이죠.”

양자컴퓨터 시대가 도래할 때는 언제일까? 아직 이 질문에 대한 답은 전문가마다 다양하지만 대체적으로 ‘최소 5~10년’이라고 보는 편이다. “몇 년이 됐든 보안 전문가들, 특히 암호학 전문가들이 예상하는 것보다 훨씬 빠르게 체감될 것이 분명합니다. 지금 우리가 ‘양자컴퓨터’를 언급하면 공상 과학 이야기를 하는 기분이겠지만, 현실은 그렇지 않습니다. 당장 양자컴퓨터를 대비한 보안 기술을 연구하기 시작해도 늦을 수 있습니다. 인정하든 안 하든 그것이 현실입니다. 양자 보안 전략을 서둘러 마련해야 합니다.” 보안 업체 레이시온(Raytheon)의 CIO인 토스텐 스타브(Torsten Staab)의 설명이다.

계속해서 스타브는 “양자컴퓨터 기술을 활용한 공격이 발생했을 때 ‘우리 조직은 어떤 부분에서 가장 취약해질 수 있는가’를 평가하는 작업을 시작해야 한다”고 조언한다. “조직 전체에 양자 난수 생성기(Quantum Random Number Generator, QRNG) 기술을 알아보고 도입하여 양자컴퓨터에 저항할 수 있는 암호화 키를 생성할 수 있도록 준비하는 것도 지금부터 고려해야 합니다. 무엇보다 ‘언제나 확인하고 신뢰한다’는 제로트러스트 개념을 양자컴퓨터가 완성되기 전에 구축해 놓는 것이 중요합니다. 권한을 최소화 한다거나, 중요한 망을 분리한다는 각종 보안 개념 역시 충실히 구현해 두면 크게 도움이 될 겁니다. 기술이 달라지긴 하겠지만 사이버 공격과 보안의 큰 개념은 많이 변하지 않을 겁니다.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>