[ET시론] 양자 위협의 구명시간, 양자내성암호 전환 시급

휴대폰 잠금화면에서부터 PC의 비밀번호, 인터넷은행의 비밀번호까지 우리는 아침에 눈을 뜨는 순간부터 다시 잠드는 순간까지 암호에 둘러싸여 있다.

암호의 정의에 따라 달라지겠지만, 최초의 군사 목적이자 암호기기를 활용한 체계적 암호의 등장은 기원전 500년경 스파르타의 스키테일(Scytale) 암호에서 시작됐다. 암호(Cryptography)의 어원은 고대 그리스어로 '숨겨진'이라는 뜻의 크립토스(Kryptos)와 '기록하다'라는 뜻의 그라페인(Graphein)이 합쳐져 '비밀스럽게 쓰인 글'이라는 뜻을 갖게 됐다. 어원에서도 알 수 있듯 암호는 외부에 알려지지 않도록 비밀을 보호하고 유지하는 수단으로써 존재해 왔다.

기술의 발전과 비례해 암호체계 역시 진화와 발전을 거듭해 왔다. 특히 우리가 살고 있는 디지털 시대 신뢰의 근간은 현대 암호체계에 있다고 해도 과언이 아니다. 하지만 견고한 철옹성과 같던 현대 암호체계의 근간이 흔들리고 있다. 바로 양자컴퓨터의 등장 때문이다.

현대의 암호체계는 수학적 난제에 기반한 구조적 안정성에 의존하고 있다. 하지만 현재 개발 중인 양자컴퓨터는 현대 암호의 수학적 방어선을 근본적으로 우회할 수 있다고 전망하고 있다. 최근 구글과 캘리포니아공대(Caltech) 등 글로벌 연구진이 잇따라 발표한 양자컴퓨터 기반 암호 무력화 연구는 이러한 위협이 더 이상 가정이 아닌 현실임을 보여준다.

현재 우리가 사용하는 거의 모든 디지털 거래는 RSA·타원곡선 암호(ECC) 기반 공개키와 같은 공개키 암호 위에 구축돼 있다. 전문가들은 양자컴퓨터가 기존 컴퓨팅으로는 사실상 불가능했던 연산을 단시간 내 수행할 수 있는 잠재력을 지닌다고 전망하고 있다. 이는 우리가 신뢰해 온 공개키 암호체계의 수명이 다해가고 있음을 의미한다. 즉, 양자컴퓨터의 등장은 단순히 한 기술의 교체가 아니라, 디지털 사회 전반의 신뢰 기반으로 개편해야 한다는 의미다. 더불어 이러한 변화를 지체할 수 없는 심각한 문제는 '지금 수집하고 나중에 해독한다(Harvest Now, Decrypt Later:HNDL)'라는 공격 전략이 팽배해지고 있기 때문이다.

해당 전략은 냉동인간 콘셉트와 유사하다. 공격자는 지금 당장 해독할 수 없는 데이터를 미리 수집·저장해, 기술이 충분히 성장하길 기다렸다가 일순간 이를 해독할 계획이다. 현재는 보호되고 있는 국가 기밀과 개인정보가 머지않은 미래에는 한꺼번에 해독될 수 있는 것이다. 특히 국방 기밀, 외교 문서, 의료 기록, 금융 거래내역처럼 수십년 혹은 영구적으로 비밀성이 유지돼야 하는 정보일수록 HNDL 공격의 표적이 되기 쉽다. 지금 당장 암호 전환 조치를 취하지 않는다면, 미래의 우리가 오늘의 방관에 대한 대가를 치르게 될 것이다.

이러한 위협에 대응할 수 있는 현실적인 해법은 양자내성암호(PQC)로의 전환이다. PQC(Post-Quantum Cryptography)는 양자컴퓨터 환경에서도 안전성을 유지하도록 설계된 차세대 암호 기술로, 미국 국립표준기술연구소(NIST)를 중심으로 표준화가 본격화되고 있다. NIST는 2016년부터 새로운 알고리즘 표준화를 위한 공모와 검증을 통해 2024년 양자시대에 대비한 첫 표준 알고리즘 3종(ML-KEM, ML-DSA, SLH-DSA)을 확정했다. 이는 앞으로 전 세계 디지털 서비스 전반에 적용될 새로운 암호체계가 정해졌다는 뜻이다. 이와 함께 알고리즘의 다양성과 장기적 안정성을 확보하기 위해 후속 표준화도 꾸준히 이어지고 있다.

이와 발맞춰 우리나라도 독자적인 한국형 양자내성암호(KPQC) 개발과 글로벌 표준화 노력을 병행하며, 2035년을 목표로 범국가적 암호체계 전환을 준비하고 있다. 계획이 실현되기 위해서는 실제 환경에서의 적용과 검증, 즉 '실행'이 핵심이다. 이를 위해 한국인터넷진흥원(KISA)은 PQC 시범 전환 사업을 진행하고 있다. 시범 전환은 단순한 기술 실증을 넘어, 국가 암호체계 전환을 위한 '실행 모델'을 구축하는 과정으로 성능 저하, 시스템 간 충돌, 인증 체계 변화 등 실제 환경에서 발생할 수 있는 다양한 문제를 사전에 검증한다. 이러한 시범 전환은 단순한 기술 실증을 넘어, 국가 암호체계 전환을 위한 '실행 모델'을 구축하는 과정이다.

지난해 에너지·의료·행정 3대 분야에 대한 시범 전환을 성공적으로 수행한 경험을 바탕으로 올해는 교통·국방·금융·우주·통신, 5개 분야 국가 핵심인프라로 적용 범위를 확대해 시범 전환을 진행하고 있다. 이러한 노력에도 불구하고 국가 암호체계의 패러다임을 전환하고 국가 전체의 보안 수준을 향상하기 위해서는 범국가 차원의 조직과 관리가 필요하다. 즉 'PQC 전환지원센터(가칭)' 구축이 급선무다.

전환지원센터는 전환 전략 수립부터 기술 검증, 컨설팅, 산업 확산까지 전 주기를 지원하며, 신속한 전환을 이끄는 국가 컨트롤타워가 되어야 한다. 산업별 특성에 맞는 PQC 적용 방안을 제시하고, 실제 도입 이전에 충분한 성능 검증이 가능한 테스트베드를 제공함으로써 민간의 시행착오를 줄여야 한다. 또한 국내 보안기업의 경쟁력을 강화하고, 글로벌 표준과의 정합성을 확보하는 기반이 되어야 한다.

양자컴퓨팅과 AI의 발전은 사이버보안의 패러다임을 근본적으로 변화시키고 있다. 암호 기술은 더 이상 보이지 않는 기술이 아니라 국가 경쟁력과 직결된 핵심인프라다. PQC 전환은 선택이 아니라 필수이며, 대응의 시점 또한 미래가 아니라 지금이다.

양자 위협은 이미 시작됐다. 지금 전환하지 않는다면 우리는 미래의 공격에 현재의 데이터를 그대로 노출시키는 결과를 피할 수 없다. 암호 전환은 더 이상 준비의 문제가 아니라 실행의 문제이다. 지금이 바로 PQC 전환을 실행해야 할 구명 시간이다. 더 늦기 전에 우리는 미래의 위협이 아닌 지금의 결단으로 대응해야 한다.

이상중 한국인터넷진흥원(KISA) 원장 entcom@kisa.or.kr

〈필자〉30여년 공직생활 중, 오랜 기간 검찰에서 사이버 범죄를 수사해온 사이버보안 분야 전문가다. 이후 롯데정보통신 전문위원과 구미대 사이버보안연구원 원장을 지냈고, 현재 KISA 제7대 원장으로서 안전하고 신뢰할 수 있는 디지털 미래 사회 선도를 위해 AI 사이버 위협에서 정보보호 산업 진흥에 이르기까지 다양한 분야의 사업과 정책 지원을 진행하고 있다.