상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가 3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데 더케이호텔서울 가야금홀에서 성황리 개최됐다.
이날 “PQC(Post Quantum Cryptography) & AI-어떻게 준비할 것인가?”를 주제로 디지서트(한국지사장 나정주) 아베스타 호자티 부사장(DigiCert PH.D. Avesta Hojjati Vice President of Engineering)이 키노트 강연을 진행했다. 그는 7년간 PQC 암호 알고리즘을 연구해온 암호학자이며 디지서트 암호기술 엔지니어 부사장이다.
아베스타 부사장은 “양자컴퓨팅은 지금 우리가 60여 년 동안 사용해 온 암호체계를 수일 혹은 수초 내에 해독해 낼 수 있어 지금까지 구축해 온 암호기반 사이버 환경을 모두 무너트릴 수 있는 위협이 되고 있다”며 “양자컴퓨팅이 아직은 초기지만 계속 진화하고 있으며 수년 혹은 가까운 시점에 현실적인 위협이 될 수 있기 때문에 지금부터 준비해야 한다”고 강조했다.
그는 이어 “양자컴퓨팅 위협은 피할 수 없는 현실이며 그 위협은 인공지능과 결합되면서 더욱 가속화되고 있다. 현재 암호는 무용지물이 된다. 현재 악의적인 사이버 범죄 집단들 혹은 정부 후원 해킹 그룹들은 개인식별정보, 국가기밀, 금융정보, 기업 정보들을 수집하고 있다. 암호화된 정보들을 수집해 미래 양자컴퓨팅이 상용화되는 시기에 암호를 풀어 활용하고자 한다”며 “미국, 유럽, 한국 등 선진국들은 이런 위협에 대비해 PQC 알고리즘 개발에 박차를 가하고 있다. 관련 법들도 더욱 강화될 것”이라고 덧붙였다.
퀀텀과 인공지능이 결합되면서 보안 위협은 가속화되고 있으며 지금 대응을 위해 PQC 도입 전략을 수립해야 한다고 강조한 그는 여러 글로벌 기업들이 PQC 도입에 나서고 있다고 전했다.
애플은 얼마전 아이메시지에 PQC 알고리즘을 적용할 것이라고 발표했다. 또 미국의 표준기술연구소에서 다양한 PQC 알고리즘을 연구하고 있으며 올해와 내년에 걸쳐 많은 글로벌 기업들이 PQC 관련 전략을 수립하고 있는 상황이다.
그는 “지금 PQC 전략을 수립하기 위해서는 어떤 프로토콜들이 있고 PQC 관련 어떤 것들을 우선 순위로 해야 할지 생각해야 한다. PQC라고 하면 복잡하고 접근하기 어렵다고 생각할 수 있지만 굉장히 간단하다”며 “언젠가는 양자컴퓨팅에 의해 RSA/ECC 알고리즘이 깨질 것이며 이를 보호하기 위해 새로운 알고리즘으로 대체해야 한다는 점이다"라고 설명했다.
이어 아베스타 부사장은 “이 새로운 PQC 알고리즘은 애플리케이션이나 웹사이트에서 흔히 사용하는 디지털 서명 방식으로 NIST(미국표준기술연구소)가 포커싱하고 있으며 많은 밴더와 프로바이더들도 이 방식에 집중하고 있다”며 “현재 NIST가 ML-DSA, SLH-DSA, FN-DSA 등 3가지 서명 알고리즘을 승인하고 있고 올해 6월에 최종화될 것이다”라고 전했다.
이렇게 디지털 서명 방식의 PQC 알고리즘이 글로벌 표준으로 자리 잡고 있는 가운데 기관과 기업들은 PQC 전환을 위해 어떤 준비를 해야 할까.
시기 별로는 2025년까지 프로토콜 구현과 PQC 채택을 우선으로 하며 PQC에 적극 참여하고 표준 통합도 준비해야 한다. 이후에는 규정 준수를 유지하면서 장기적으로 PQC를 통한 데이터 및 기기 보안을 위해 암호화 민첩성을 유지해야 한다.
암호화 민첩성이란 주변 인프라를 수정하거나 교체할 필요 없이 향후 암호화 알고리즘 및 표준을 업데이트할 수 있는 체계를 갖춰야 한다는 것이다. 즉 VPN, PKI, IoT 디바이스, 차량, 앱 등의 제품을 비롯해, TLS, IPsec, SSH, S/MIME, 신호 등 프로토콜에 대한 PQC 전환 체계를 수립해야 한다는 것이다.
현재 사용되는 공개키 암호의 경우 Shor 알고리즘을 통해 깨질 수 있다. 따라서 PQC 알고리즘으로의 전환은 필수적이다. 즉, 양자컴퓨터로 인한 보안 위협에 대비하기 위해 현재 암호가 적용된 모든 곳을 찾아 PQC 표준 알고리즘을 적용하는 PQC 마이그레이션이 우선적으로 이루어 져야 할 시점이다.
한편 PQC 마이그레이션을 위해 PQC 알고리즘을 적용할 수 있도록 전체 시스템의 개편이 필요하다. 또 기존 공개키 암호 사용 현황을 파악하기 위해 전체 암호화 기술 사용 현황을 포함한 전체 인프라에 대한 조사를 진행하고 데이터의 중요도, 유출 시 발생하는 위험 비용 및 관련 규제 등을 고려해서 PQC 알고리즘 적용이 시급한 정도에 따라 순차적으로 PQC 마이그레이션을 진행하는 것이 중요하다.
이를 위해 디지서트는 지난해 11월에 출시한 PQC 플레이그라운드(클릭)를 무료 제공하고 있다. 통합, PQC 마이그레이션을 위한 상호 운용성 및 성능 테스트를 지원하는 무료 도구다.
그는 “PQC 플레이그라운드를 무료 제공하는 이유는 디지서트가 지원하는 많은 PQC 서비스를 직접 사용해 볼 수 있도록 하기 위함이다. 이를 통해 PQC 알고리즘에 대해 더욱 잘 이해할 수 있는 계기가 될 것이다. 특히 디지서트가 PQC 시대를 하나의 플랫폼으로 모두 대응할 수 있다는 것을 알게 될 것”이라고 전했다.
특히 ‘디지서트 원(digicertONE)’은 인벤토리, 엔터프라이즈 PKI, 클라우드, IoT, 코드서명, 문서서명, TLS/웹PKI에 대한 통합 플랫폼과 암호화 민첩성, 퀀텀 레디, 표준 준수 등 PQC 마이그레이션을 위한 모든 것을 지원하는 솔루션이라고 강조했다.
아베스타 부사장은 “PQC 알고리즘은 미래를 대비하는 보안의 핵심이다. 이를 위한 디지서트 원 플랫폼은 하나의 플랫폼으로 엔터프라이즈 및 디바이스, 소프트웨어, 문서, DNS 신뢰를 보장할 수 있도록 지원해 준다”며 “디지서트는 PQC 전체 제품군과 워크플로우, 글로벌 규정 준수 및 글로벌 PQC 컨소시엄에서 업계를 선도하고 있다”고 밝혔다.
한편 2023년 10월 디지서트(DigiCert)는 미국에서 개최한 연례 행사 ‘트러스트 서밋(Trust Summit)’에서 기업이 어떻게 포스트 양자 컴퓨팅(Post Quantum Computing, 이하 PQC) 위협에 대처하고 있고, 안전한 포스트 양자 컴퓨팅의 미래를 준비하고 있는지 분석한 글로벌 연구 보고서를 발표했다.
조사결과, 아시아태평양 지역의 경우, 응답자의 39%가 소속 기업이 PQC의 보안 영향에 준비해야 하는 시간이 5년도 채 남지 않았다고 답했다. 응답자의 53%는 소속 기업이 양자 컴퓨팅의 보안 영향에 대한 대비 전략을 현재 수립했거나(19%), 향후 6개월 내 수립할 것(34%)이라고 답했다. 또한, 기업의 63%는 중앙화된 암호 관리 전략이 부재하거나(23%), 있더라도 특정 애플리케이션이나 사용 사례에만 적용 가능한 매우 제한적인 수준(37%)인 것으로 나타나 포스트 양자 컴퓨팅의 미래에 대한 대비 현황이 미흡한 것으로 나타났다.
보고서는 포스트 양자 컴퓨팅에 대비하기 위해 기업은 고위 경영진의 지원, 암호화 키와 자산에 대한 가시성, 책임감과 오너십을 가지고 기업 전체에 일관되게 적용되는 중앙화된 암호 관리 전략을 포함하는 전략을 갖춰야 한다고 조언했다.
디지서트는 개인과 기업들이 자신의 디지털 발자국이 안전하다는 확신을 가지고 온라인 활동을 할 수 있도록 돕는 디지털 신뢰 분야의 선도적인 글로벌 공급 업체다. 디지털 신뢰 강화를 위한 플랫폼인 ‘디지서트 원(DigiCert® ONETM)’은 웹사이트, 기업 접근 및 커뮤니케이션, 소프트웨어, 신원 확인, 콘텐츠 및 디바이스에 대한 보호를 수행하며 조직에게 광범위한 공공 및 민간의 신뢰 수요에 대한 중앙화된 가시성과 제어 기능을 제공하고 있다. 수상 경력이 있는 소프트웨어와 표준, 지원 및 운영 분야의 업계 선두를 결합하는 디지서트는 전 세계 주요 기업들이 선택한 디지털 신뢰 제공기업이다.
디지서트 아베스타 부사장 강연의 보다 상세한 내용은 아래 강연 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
