양자 위협의 대상이 된 앱, 네트워크, 그리고 기존 시스템: 한 CISO의 시각
양자 컴퓨팅이 곧 현실이 되며, 우리의 데이터, 통신, 인프라를 보호하는 암호화 시스템을 근본적으로 뒤흔들 것입니다. 지금 바로 준비를 시작하세요. 이 여섯 편의 블로그 시리즈에서는 F5의 암호화 전문가들이 양자 이후 암호화(PQC)가 가져올 위험과 기회, 그리고 조직이 오늘부터 취할 수 있는 보안 강화 방법을 설명합니다. 미래는 생각보다 훨씬 가까이 와 있습니다. 함께 준비합시다.
이 시리즈의 첫 블로그 게시물에서 다뤘듯이, 오늘날 표준 암호를 깨뜨릴 수 있는 양자 컴퓨팅, 즉 'Q-Day'는 언제 올지는 문제이지 피할 수 없는 현실입니다. 구체적인 시기는 불확실하지만, 특히 '지금 수집해 나중에 해독'하는 위험 때문에 그 영향은 곧바로 나타납니다. 적대 세력은 지금 암호화된 데이터를 모아두고 양자 기술이 가능해지면 해독할 수 있습니다.
많은 조직이 기존 위험 관리 기간을 훨씬 넘겨 민감한 데이터를 보호해야 합니다. 새로운 양자 내성 암호화 표준이 승인되고 일부 애플리케이션 전송 컨트롤러(ADC)와 콘텐츠 전송 네트워크(CDN)가 하이브리드 보호 기능을 제공하지만 해결해야 할 과제는 여전히 시급합니다. 유산 시스템에 쌓인 기술적 부채가 곧 대응을 요구할 것이며, 규제 기관과 이해관계자들의 압력도 더욱 커지고 있습니다.
CISO는 이제 시작할 때이며, 거버넌스, 리스크, 규정 준수(GRC) 부분을 반드시 챙기라고 권합니다. 2026년부터 감사와 강화된 검증, 양자 대비 생태계가 본격 도입될 것으로 예상하세요. 보안과 GRC 팀은 특히 구형이나 업그레이드 불가능한 장비를 평가하면서 이미 복잡한 상황에 직면해 있습니다. 명확한 메시지와 현황 보고가 향후 몇 년 동안 조직을 안정적으로 이끌 것입니다.
미래가 시작되었습니다
양자 위험을 먼 미래 우려로만 여기는 경향이 있지만, PQC 표준의 공식 승인으로 새로운 시대가 열렸습니다. 가트너는 널리 사용되는 비대칭 암호방식이 2029년경부터 취약해지기 시작해 2034년까지 완전히 무력화될 것으로 예측합니다.*
여러분, 이제 2020년이 아니라 2029년에 더 가까워졌습니다. 특히 아직 범위가 정해지지 않고 우선순위와 예산, 실행이 결정되지 않은 다년간 프로젝트에 남은 시간은 매우 적습니다. 앞으로 살펴보겠지만, 구식 기술과 업그레이드 불가능한 기기의 범위는 대부분 예상보다 훨씬 클 것입니다.
당신이 CISO, CTO, CIO라면 PQC를 미리 준비하지 않는 것이 심각한 비즈니스 복원력 위험으로 다가오고 있으며, 우리는 이미 10년 넘게 그 위험이 올 것을 예견해 왔습니다. 행동을 지체하면 조직은 예상 가능한 침해, GDPR 같은 규제 위반, 그리고 평판 피해에 직면할 수 있습니다.
당황할 필요는 없지만, 조직과 공급망 전반에 걸쳐 신속하고 체계적인 대응이 반드시 필요합니다. 2026년을 준비하면서, AI와 양자 시대에 걸맞은 책임 있는 보안 리더가 되려면 PQC에 대한 전략적 투자와 구체적 실행 계획이 필수적입니다.
NIST 표준 및 연방 규정 준수
미국 미국 국립표준기술연구소(NIST)는 ML-KEM(FIPS 203) 키 교환, ML-DSA(FIPS 204) 디지털 서명, SLH-DSA(FIPS 205) 대체 서명 등 PQC 알고리즘을 확정해 명확한 실행 방안을 제시했습니다. 이 검증된 표준은 PQC를 이론에서 실무로 전환할 안정적인 기술 기반을 제공합니다. NIST는 표준이 공식 승인되었으니 지금 바로 첫 번째 배치를 구현할 적기라고 명확히 밝혔습니다.
우리가 방어할 컴퓨터는 아직(우리가 아는 한) 만들어지지 않았으므로, 이번이 새 암호화 체계로의 첫 이행입니다. 목표는 단발성 업그레이드가 아니라 IT 부서와 공급망에 ‘암호 동적 대응력’을 핵심 역량으로 심어주는 것입니다. 새로운 양자 위협이 나타날 때마다 다시 대응해야 하기 때문입니다. 또 다시. 계속해서.
근본적인 아키텍처 전환, 그리고 GRC 역시 반드시 고려하세요
PQC 표준의 첫 구현은 주로 소프트웨어 업그레이드 형태로 이루어집니다. 그러나 표준 변화에 맞춰 암호 기술을 신속히 업데이트하는 암호 민첩성을 확보하려면 자산 관리, 거버넌스 및 IT 운영 전반에 걸쳐 근본적인 변화가 필요합니다. GRC 팀은 자산 목록 관리, 버전 통제, 호환성 테스트 및 위험 기록 관리를 포함한 포괄적인 준비를 해야 합니다.
전환을 제대로 관리하지 않으면 하이브리드, 멀티클라우드, 레거시 환경에서 중단, 운영 장애, 규정 준수 실패 위험이 커집니다.
양자 전환은 적절한 인재와 레거시 문서를 확보할 수 있다면, 오랫동안 미뤄왔던 디지털 혁신과 메인프레임 교체를 가속하는 촉매제가 될 수 있습니다.
특히 기존 시스템의 중요한 IT 기능을 아웃소싱한 기업은 지금 당장 해당 시스템의 작동 원리를 문서화하고 정확히 파악해야 합니다. 작업량을 과소평가하면 수많은 프로젝트가 비용과 일정이 크게 초과하게 됩니다.
프로젝트 관리의 철삼각이 여기서 중요합니다. 특히 인수로 성장한 복잡한 기업에서는 여러 비즈니스 사례와 개선 경로를 만나게 될 것입니다.
양자 관점에서 본 애플리케이션
PQC는 인프라뿐만 아니라 애플리케이션에 직접적으로 영향을 줍니다. 양자 안전 암호화를 채택한다는 것은 단순히 라이브러리를 바꾸는 것이 아니라, 깊게 통합된 암호화 구성 요소 내에서 광범위한 코드 수정을 요구할 수 있습니다. 수년에 걸친 작업이라는 점을 감안해 CISO와 GRC 리더는 반발, 자원 부족에 대한 불만, 고도로 전문화된 기술이 필요한 곳에서의 높은 컨설팅 비용, 내부 저항, 끊임없이 변하는 비즈니스 요구 등 여러 도전에 직면할 것을 예상해야 하며, 이는 종종 레거시 시스템 문서가 부족해 더 복잡해집니다.
조기 대응은 미래 위기를 줄이고 더욱 신중하며 덜 혼란스러운 변화를 가능하게 합니다. 대부분 기업은 아직 모르는 부분이 무엇인지 인지하지 못하며, 이 주제에 대한 이해관계자 관리는 성공과 실행에 결정적인 역할을 합니다.
실제 현장에서의 영향
PQC 알고리즘은 키 크기와 계산 필요량이 커서, 특히 시간에 민감한 작업에서 앱 지연과 처리 속도에 영향을 줄 수 있습니다.
PQC 지원을 위해 시스템을 현대화하면 숨겨진 기술 부채가 드러나 예산 초과가 발생하기 쉽지만, 궁극적으로 미래의 복원력과 성능 향상이라는 가치를 제공합니다.
모든 시스템을 업그레이드할 수 없으며, 이것이 한 번 설정하면 끝나는 과정이 아니라는 점을 분명히 해야 합니다. 이해관계자와의 소통에서 지속적으로 새로운 문제를 발견하고 대응하는 것이 표준이 되었으며, 이런 변화 과정에서 시간이 지날수록 새로운 과제들이 나타날 것임을 분명히 알려야 합니다.
인프라 혁신: 네트워크, 클라우드, 엣지
PQC가 TLS 종료와 암호화를 관리하는 네트워크 장치, 서버, 클라우드 서비스를 혁신할 것입니다. 대부분 브라우저와 서버는 적응하겠지만, 많은 구형 시스템은 증가한 대역폭과 처리 요구를 맞추기 위해 업그레이드하거나 교체해야 합니다.
보안 계획을 세울 때 TLS 같은 프로토콜에서 PQC가 키 교환 메커니즘(KEM)과 디지털 서명에 미치는 영향을 명확히 구분하는 것이 중요합니다. 가장 시급한 과제는 "지금 수집해 나중에 해독"하는 위협에 대응하기 위해 PQC KEM(예: ML-KEM)을 적용하는 것입니다. 이렇게 하면 적들이 현재 모으고 있는 장기 데이터를 보호할 수 있습니다.
위조가 활성 세션 중에만 가능하므로 디지털 서명 도입은 보다 신중하고 위험 기반의 일정에 맞춰 진행할 수 있습니다.
하드웨어 보안 모듈(HSM)
HSM은 암호화 키 관리에 필수적이지만 PQC 환경에서는 여러 도전에 직면합니다. 양자 안전 알고리즘이 요구하는 더 큰 키와 높은 처리량은 기존의 자원 제한 하드웨어 성능을 넘어설 수 있습니다. 시드 기반 키 생성 기술이 저장 문제를 해결할 수 있지만, 계산 부담을 새로 늘리기도 합니다. PQC 대응형 HSM으로 업그레이드하는 데 비용과 복잡성, 시간이 소요되지만, 우리는 이 과정을 통해 암호화의 지속적 무결성을 보장할 수 있습니다.
가장 까다로운 문제: 구형 및 자원이 제한된 장치
가장 어려운 PQC 과제는 암호화 민첩성에 맞지 않은 운영기술(OT), IoT, 기타 임베디드 시스템까지 확장된다는 점입니다. 이 장치들은 대개 더 큰 PQC 키 크기와 향상된 처리 능력을 감당할 메모리, 저장 공간, 연산 성능이 부족합니다. 우리는 점점 촉박한 일정 속에서 사이버보안, 인프라, 데이터 관리 부서 간 긴밀한 협업이 필요합니다. 교체나 업그레이드가 가능할 때까지 시간을 벌기 위해 이 장치들은 네트워크 분할을 해야 할 수도 있습니다.
F5: 신뢰하는 전략 파트너
F5는 애플리케이션 전송과 보안 분야의 풍부한 경험을 바탕으로 조직이 전환 과정을 원활히 진행할 수 있도록 돕습니다. F5 애플리케이션 전송 및 보안 플랫폼(ADSP)은 PQC 준비 솔루션을 매끄럽게 통합하여 하이브리드, 멀티클라우드, 레거시 환경 전반의 애플리케이션 전송과 보안을 간소화합니다.
업계 선두 분석 기관 EMA가 최근 발표한 Vendor Vision 2025에서 언급한 바와 같이: 블랙햇 에디션: “F5 애플리케이션 전송 및 보안 플랫폼(ADSP)은 단순한 애플리케이션 보안 도구가 아닙니다. 양자 컴퓨팅을 포함한 새로운 위협에 대응해 핵심 자산을 보호하도록 설계된 앞서가는 솔루션입니다... F5는 포스트 양자 암호(PQC) 준비를 조기에 과감히 통합하며, 아직 실험 단계인 경쟁사들과 분명한 차별점을 보이고 있습니다.”
F5의 통합 가시성, 관리, 위협 평가 도구는 양자 안전 전환을 보다 실용적으로 조율하면서 비즈니스 민첩성을 저해하는 부담을 줄여줍니다. 프록시 기업으로서 우리는 조직이 네트워크 엣지와 애플리케이션 출입구에서 암호 전환을 중앙 집중화하고 자동화하는 것을 돕고, 지속적인 위협 관리를 위해 원격 측정 데이터와 AI 기반 인사이트를 제공합니다. 이 방식은 ‘비행 중 엔진 교체’라는 문제를 핵심 애플리케이션 개발 주기와 PQC 전환을 분리함으로써 바로 해결하며, 운영 부담과 서비스 중단 위험을 크게 줄여줍니다.
지금 바로 시작하세요: CISO를 위한 양자 회복력 전략
PQC 여정은 수년에 걸친 변화 과정입니다. 보안 책임자는 문제를 분명히 하고 기대치를 설정하며, 새로운 위협이나 기존 복잡한 문제로 일정이 변동할 때마다 계획을 조정해야 합니다. 선제적으로 준비하면 PQC의 필요성과 의무를 전략적 기회로 활용해 오랫동안 쌓인 기술 부채를 해결할 수 있습니다. 왜냐하면 우리는 앞으로도 이런 과정을 반복해야 하기 때문입니다. 엔드 투 엔드 전체 가시성을 확보하고, 운영을 현대화하며, 디지털 회복력 분야에서 확고한 리더십을 보여줄 기회를 잡으세요.
성공하는 조직은 PQC를 일회성 업그레이드가 아닌 전사 차원의 지속적인 진화로 인식하고 실행하는 곳입니다. 전사적 관점에서 접근해 메시지를 조직과 공급망 전반에 체계적으로 전달하며 지금 바로 기반 작업에 투자해야 합니다. 더 안전하고 민첩하며 탄력적인 미래를 위한 조직 강화의 중요한 기회입니다. 이 시기의 리더십이 앞으로 조직의 연속성, 규제 준수, 그리고 평판을 결정합니다. F5가 전 과정에서 함께 지원하겠습니다.
더 알아보시려면 다가오는 웨비나 "미래를 대비하는 사이버보안: PQC 탐색하기”에 꼭 등록하세요.
이 시리즈의 이전 블로그 글도 꼭 살펴보세요.
* Gartner, "지금 바로 포스트 양자 암호 기술로 전환을 시작하십시오," Mark Horvath, 2024년 9월 30일