영국 국가사이버보안센터(NCSC)가 미래의 양자 컴퓨터로 인해 현재 암호화 기술이 무력화될 수 있다고 경고하면서, 기업과 정부 기관이 양자 후 시대에 대비해 준비를 서둘러야 한다고 밝혔다.
최근 발표한 지침에서 NCSC는 기업이 2028년까지 취약한 시스템을 식별하고 2031년까지 중요한 업그레이드를 우선적으로 진행할 것을 권고했다. 또한 2035년까지 PQC로 완전히 전환해야 한다고 제안했다.
NCSC는 공격 그룹이 향후 암호 해독을 위해 이미 암호화된 데이터를 수집하고 있을 수 있기에 조기 대응이 매우 중요하다고 설명했다. 특히 금융 서비스와 국가 기반 시설과 같이 장기적으로 민감한 데이터를 다루는 산업은 위험도가 더 높을 수 있다. NCSC는 양자 기술의 발전에 따라 노출되지 않도록 지금부터 전환 계획을 세워야 한다고 조언했다.
NCSC는 지침을 통해 “PQC로의 전환은 IT 및 운영 기술(OT) 시스템에 전 세계적 규모의 변화를 가져오는 일이며, 대부분의 대기업에서는 여러 경영진이 바뀌는 긴 기간에 걸쳐 진행될 것이다. 다른 주요 IT나 OT 업그레이드와 마찬가지로 PQC 전환에 드는 총 비용이 상당할 수 있으므로, 조직들은 준비 단계부터 실제 전환까지 모든 과정에 대해 적절한 예산 계획을 세워야 한다”라고 설명했다.
양자 컴퓨팅의 위협
양자 컴퓨팅의 출현은 사이버 보안 환경을 재편할 것으로 예상되고 있다. 특히 사이버 전쟁과 스파이 활동에 악용될 수 있다는 우려가 제기됐다.
보안 전문가들은 양자 컴퓨팅 기술이 아직 초기 단계에 있지만, 사이버 보안에 미칠 영향을 간과해서는 안 된다고 경고했다.
테카크(Techarc)의 설립자이자 수석 분석가인 파이살 카우사는 “사이버 전쟁이나 적대국이 후원하는 사이버 테러 등 국경을 초월하는 위협을 만들어낼 수 있다. 다만 사이버 범죄에 양자 컴퓨팅 사용은 복잡하고 비용이 많이 든다. 따라서 현 단계에서는 정부의 지원을 받는 공격에만 사용될 가능성이 높다. 현재의 국제 관계 상황을 고려하면 위험성이 높아 보인다”라고 분석했다.
이는 공격자가 대규모 취약점을 악용할 수 있는 수단을 개발하기 전에 PQC로 전환해야 할 필요성을 강조한다. 전환을 늦추는 조직은 예상보다 빨리 양자 기반 공격에 노출될 수 있다.
기업의 과제
NCSC의 로드맵은 PQC로의 전환 시급성을 강조하고 있지만, 기업들은 일정을 맞추는 데 상당한 어려움을 겪을 수 있다.
우선 전환 과정은 복잡하고 비용이 많이 들며 혼란을 야기할 수 있다. 조직은 중요 인프라, 금융 시스템, 클라우드 서비스에 내장된 암호화 프로토콜을 재정비해야 한다.
카우사는 대부분의 기업이 기본적인 사이버 보안 조치를 취하고 있지만, 은행 및 금융 서비스와 같은 특정 산업에서만 고급 보안에 투자하고 있다고 지적했다. 그는 “일반적으로 사이버 보안은 무언가 발생했을 때만 심각하게 주목받는다”라고 말했다.
그에 따르면 사후 대응적인 접근 방식은 양자 위협이 임박했을 때 여러 리스크를 초래할 수 있다. 전환을 시작하기까지 너무 오래 지체하면 중요 시스템이 새로운 위협에 취약해질 수 있다는 설명이다.
하지만 낙관적으로 보면 양자 컴퓨팅과 PQC은 아직 개발 초기 단계에 있다. 카우사는 “실제 양자 컴퓨팅은 아직 초기 단계에 있다고 생각한다. PQC도 마찬가지다. NIST가 2024년에야 표준을 수립했으므로 실제 솔루션 개발 작업은 이제 막 시작되고 있다는 점을 염두에 두어야 한다”라고 조언했다.
[email protected]
Read More from This Article: 영국 사이버기관 “2035년까지 양자 후 암호화로의 전환 필요”
Source: News