• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

암호화 분야에서 ‘포스트 양자 컴퓨팅’ 미래, 안전하게 준비하려면? 2023.10.31

글로벌 기업 ‘디지서트’, 포스트 양자 컴퓨팅의 위협·미래 분석한 연구 보고서 발표
기업 겨냥한 사이버 공격...랜섬웨어·크리덴셜 탈취가 가장 많아
도래하는 PQC 시대 대비책은 ‘경영진 의식 제고 및 인재·예산 확보’, ‘관련 전문지식 강화’

[보안뉴스 이소미 기자] 보안은 창과 방패의 관계다. 문제를 해결할 수 있는 편의성이 더해지는 만큼 보안 위협 역시 증가한다. 떠오르고 있는 양자 컴퓨팅(Quantum Computing)은 양자역학의 법칙을 통해 기존 컴퓨터로 해결하기 어려웠던 고도의 복잡한 문제를 해결할 수 있다. 다만, 암호 해독 역시 훨씬 수월해져 데이터 및 사용자 보안에는 커다란 위협이 될 수 있다. 이처럼 기업들을 겨냥한 사이버 공격은 점점 고도화되고 증가하고 있는 반면, PQC 보안에 대비해야 하는 시간은 5년도 채 남지 않았다며 보안팀 관계자들은 우려를 나타내고 있다.

[이미지=gettyimagesbank]


이와 관련해 디지털 신뢰(digital trust) 분야의 글로벌 기업 디지서트(DigiCert)는 연례 행사인 ‘트러스트 서밋(Trust Summit)’에서 기업들이 포스트 양자 컴퓨팅(Post Quantum Computing, 이하 PQC) 위협에 따른 대처 방안과 미래에 대한 보안 정책 마련을 어떻게 준비하고 있는지를 분석한 연구 보고서를 발표했다. 해당 보고서는 미국을 포함한 유럽·중동·아프리카와 아태지역의 IT 및 보안 실무자들을 대상으로 진행된 조사를 바탕으로 했다.

분석결과에 따르면, 글로벌 응답자의 61%가 PQC 보안 영향에 대한 준비가 미흡하다고 답했으며, 이는 기업 내 경영진들의 관심 및 인지가 부족한 것으로 나타났다. 현재 많은 기업들이 기업 내에서 사용하는 암호화 키와 특성·위치에 대해 아는 바가 전혀 없는 것으로 나타나 보안 관계자들은 심각한 우려감을 표했다. 이는 아태지역도 마찬가지다. 아태지역 응답자의 63%가 기업 내 중앙화된 암호 관리 전략 부재(23%) 또는 제한적으로 특정 애플리케이션과 사용 사례에만 적용(37%)하고 있다고 답했다. 보안팀 관계자들은 PQC의 미래를 준비하는 동시에 기업 대상으로 집중적으로 가해지는 랜섬웨어·크리덴셜 탈취와 같은 사이버 공격에 대응해야 하는 부담감을 안고 있다고 말했다.

반면, PQC 도입 준비를 진행하고 있는 기업들(30%)의 경우 이미 현재 사용되는 암호화 키의 유형·특징에 대한 목록을 작성 중이며 이에 대한 예산을 배정하고 있다고 응답했다. 또한, 보호해야 할 우선순위로 ‘암호화 자산’을 꼽았으며(39%), 이러한 데이터 및 암호화 자산을 온프레미스(on-premises)나 클라우드에 저장하는 방향도 추진하고 있는 것으로 나타났다.

현재 PQC 시대를 성공적으로 맞이하기 위해 기업이 해결해야 하는 큰 과제로, 시간·비용·전문지식이 부족한 점이 지적됐다. 응답자의 55%가 기업이 PQC 요구사항과 디지털 보안 요소를 충족할 수 있는 ‘전문 지식 확보’와 ‘인재 채용 및 유지’를 우선순위라고 답했다. 응답자들이 선정한 기업 내 부족한 역량들로 △전사적인 모범 사례 △정책 추진 인증서 △키 오용 감지 및 대응 △알고리즘 복원 및 위반 문제 해결 △계획되지 않은 인증서 방지 역량 등이 언급됐다. 따라서 정보 자산 및 IT 인프라 보호를 위해서는 암호화 솔루션과 그 방법을 효과적으로 배포하는 역량이 강화되어야 한다고 관계자들은 의견을 모았다.

이어 ‘암호화 민첩성 달성’이 중요하다는 의견이 51%로 높았는데, 이는 양자 컴퓨팅 방법을 이용하는 사람을 비롯해 △새로운 프로토콜 △표준·보안 위협 대응을 위한 암호 알고리즘 △매개변수 △프로세스 및 기술 등을 효율적으로 업데이트할 수 있는 능력을 의미한다.

보고서는 도래하는 PQC 시대에 효과적인 대비를 하기 위해 기업은 먼저 △고위 경영진의 지원 △경영진의 책임감·오너십 △암호화 키와 자산에 대한 가시성 확보 △기업 전체에 일관되게 적용되는 중앙화된 암호 관리 전략 수립 등이 필요하다는 점을 제시했다.

아밋 신하(Amit Sinha) 디지서트 CEO는 “PQC는 IT 리더가 지금 준비를 시작해야 하는 암호화 분야의 중대 사건”이라면서, “미리부터 암호화 민첩성에 투자한 미래 지향적인 기업은 2024년 최종 표준이 출시되면 양자 보안 알고리즘 전환을 더 잘 할 수 있게 될 것”이라고 말했다.

이어 알만도 다칼(Armando Dacal) 디지서트 아태 및 일본 지역 그룹 부사장은 “디지털 전환이 빠르게 이루어지고 있는 아태지역에서 양자 보안 암호는 매우 중요한 사안”이라며, “산업 단체와 정부의 주도적인 추진 흐름과 밀접하게 상호 연결되는 세상에서 기업들이 데이터 보호와 신뢰를 유지하기 위해서는 PQC 준비를 우선순위로 삼아야 할 것”이라고 강조했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>