[기고] 양자컴퓨터 상용화 시기가 언제든 위협 대비는 지금부터

[아이뉴스24 정진성 기자] 양자컴퓨터 상용화는 20년 후에 될 것이라는 젠슨 황 엔비디아 CEO의 한마디에 관련 주식 시장이 출렁거렸다. 역설적으로 양자컴퓨터 시대에 대한 기대감이 컸다는 반증이다. 이어 빌 게이츠 마이크로소프트 창업자가 5년 내 상용화가 가능하다고 발언하는 등 업계에 논쟁이 오가고 있지만, 우리가 통찰해야 할 핵심은 변하지 않는다. 양자컴퓨터 상용화 시기가 언제든 양자컴퓨터의 보안 위협에 만반의 준비를 시작해야 한다는 점이다.

기술의 발전과 보안 위협은 늘 동전의 양면처럼 동시에 존재해왔으며, 기술이 사회를 혁신할수록 더 고도화된 보안 기술이 요구되고 있다. 클라우드의 확산은 제로 트러스트 환경의 중요성을 부각시켰고 생성형 AI의 도래는 AI 공격보다 더 강력한 AI 기반 보안 기술의 수요를 높였다. 그리고 다음 차례는 양자컴퓨터다. 슈퍼컴퓨터로 수만년이 소요될 문제를 단 몇 시간 만에 해결할 수 있는 양자컴퓨터는 신약이나 신소재 개발의 획기적 단축, 금융 위기나 경제 흐름 예측, 물류나 교통 시스템 혁신 등 무궁무진한 분야에서 인류 삶을 혁신할 것으로 기대된다. 하지만 동시에 사이버 공격의 도구가 될 수도 있다. 

가장 잘 알려져 있는 RSA 암호체계는 소인수분해의 어려움에 기반하고 있다. 기존 컴퓨터에서 이 암호 체계를 해독하기 위해서는 지수기반 시간(문제의 크기에 따라 기하급수적으로 늘어나는 시간)이 소요된다. 하지만 양자컴퓨터에서는 중첩과 얽힘의 원리로 다항시간(문제 크기에 비례하여 증가하는 시간)내에 풀 수 있다. 현 암호 체계를 무력하기 위해서는 많은 수의 큐비트를 가진 양자컴퓨터가 필요하다. 현재의 양자컴퓨터는 수백개 정도의 큐비트를 보유한 수준이기 때문에, 당장 암호가 풀릴 위험은 없다. 하지만 큐비트 수가 늘어나고 있으며, 오류를 줄이는 연구와 그 성과들이 나오고 있기 때문에 양자컴퓨터 대한 발전 상황을 예의주시 해야한다.

양자컴퓨터 상용화 이전에도 위협은 존재한다. 공격자들은 ‘선 수집, 후 해독(HNDL, Harvest Now, Decrypt Later)’ 방식으로 국가, 기업, 개인의 귀중한 정보를 수집할 수 있다. 지금 바로 암호가 풀리지 않는다 해도, 양자컴퓨터로 단숨에 해독할 수 있는 수준이 되면 공격자들이 오랜 시간 걸쳐 수집한 거대한 양의 데이터는 순식간에 해독될 수 있다. 이 때문에 암호화 영역에서의 PQC 전환이 인증이나 서명 영역에 비해 시급하다. 10년후에도 복호화되지 않아야 할 데이터를 보유한 시스템에는 지금부터 '양자내성암호(PQC)'의 적용을 준비해야한다. 현재 업계에서는 기존 암호 체계와 PQC의 하이브리드 방식을 통해 위협에 대비하고 있으며, 구글도 역시 크롬브라우저에 하이브리드 방식의 PQC를 탑재하여 HNDL공격에 미리 대비하고 있다.

현재의 주요 암호 체계는 ‘공개키’ 알고리즘으로, 쓰이지 않는 곳이 없다고 해도 과언이 아니다. 전자서명, 데이터 및 통신 암호화 등의 기반 기술인 공개키 암호는 전자정부 로그인, 인터넷 뱅킹 등 국가와 산업의 다양한 IT 시스템에서 전반적으로 사용된다. 이는 곧 PQC로의 전환 대상이 되는 시스템이 매우 광범위함을 의미하고, 전환 완료까지는 많은 시간이 소요될 예정이다.

이렇게 방대한 규모의 암호 체계를 PQC로 전환하기 위해서는 우선순위부터 순차적으로 준비해 나가야 한다. 먼저 PQC 알고리즘이 있어야한다. 다행히 미국 국립표준기술연구소(NIST)가 PQC 국제 표준을 선정한 데 이어 한국의 국정원도 K-PQC 알고리즘 개발과 선정을 완료했다.

두번째로 PQC알고리즘을 통신 규약에 자세히 담아야 한다. 이에 관련 표준기구들은 X.509, TLS, CMS, IPsec 등 PQC 적용에 대한 여러 표준안들을 내놓고 있다.

그 다음은 구현과 확산이다. PQC 알고리즘이 암호화 솔루션에 적용돼야 한다. 필자가 재직하는 라온시큐어도 가장 시급한 ‘구간암호화’부터 PQC를 적용해 서버간 전송되는 데이터의 암호화가 PQC 기반으로 이뤄지는 솔루션을 출시했으며 고도화를 지속하고 있다.

PQC전환은 단기간 완료하기 어렵기 때문에 미리 계획을 수립하고 대응해야 한다. 현재 암호 시스템을 정확히 식별하고, 적용 대상 시스템을 선정하고, 사전 테스트 환경을 구축하고, PQC를 시범 적용한 후 확산해 나가며 실패 리스크를 방지해야 한다.

우리 정부에서도 양자컴퓨터 산업 육성에 2천억원의 예산을 편성했다. 또한 국내 PQC 알고리즘을 선정하고 PQC 전환 시범사업 및 표준화 작업을 진행하고 있다. 산업 육성과 동시에 위협 대응에도 나서고 있다는 얘기다. 국가들간 앞다퉈 양자컴퓨터 역량 확보 경쟁이 시작됐으며, 글로벌 빅테크 기업들도 속도를 내고 있는 만큼 양자컴퓨터 시대는 이미 시작됐다고 해도 과언이 아니다.

전문가들 사이에서는 양자컴퓨터 상용화 시기는 10년 후가 될 것이라는 전망이 많은 공감을 얻고 있다. 하지만 군사 정보 등 국가 기밀, 장기간의 연구개발 데이터, 민감한 개인정보 등 10년 후에도, 20년 후에도 해독되어서는 안될 중요한 데이터들은 국가와 산업 전반에 대규모로 존재한다. 

이 데이터들을 지키기 위해서는 양자컴퓨터 상용화 시기가 언제가 되든 지금부터 현재의 암호 체계를 PQC로 전환해 나가는 게 바람직하다. 기술 발전에 늘 동반하는 사이버위협에 대한 방패막이 탄탄하게 세워져야 양자컴퓨터를 통한 무궁무진한 인류의 혁신도 마음껏 누릴 수 있다.