배경을 준비하며: 왜 PQC가 중요한가요?
양자 컴퓨팅이 곧 현실이 되며, 우리의 데이터, 통신, 인프라를 보호하는 암호화 시스템을 근본적으로 뒤흔들 것입니다. 지금 바로 준비를 시작하세요. 이 여섯 편의 블로그 시리즈에서는 F5의 암호화 전문가들이 양자 이후 암호화(PQC)가 가져올 위험과 기회, 그리고 조직이 오늘부터 취할 수 있는 보안 강화 방법을 설명합니다. 미래는 생각보다 훨씬 가까이 와 있습니다. 함께 준비합시다.
2015년, 미국 국가안보국(NSA)은 널리 사용되던 Rivest–Shamir–Adleman(RSA) 암호 체계에서 타원 곡선 암호화(ECC)로의 산업 전환을 방해하며 “아직 Suite B 타원 곡선 알고리즘으로 전환하지 않은 파트너와 공급업체는 현재 큰 비용을 들이지 말고 다가오는 양자 내성 알고리즘 전환에 대비할 것을 권장합니다.”라고 발표했습니다.
그 이후로 RSA와 ECC를 깰 수 있는 양자 컴퓨터가 언제 나올지에 대한 많은 예측과 추측이 제기되었습니다. 2026년까지 널리 사용되는 암호 시스템이 7분의 1 확률로 뚫릴 수 있다고, 2031년까지는 쓸모없어질 확률이 50%에 달한다고도 합니다.
최근 마이크로소프트 CEO 사티아 나델라는 백만 큐비트 프로세서가 곧 현실이 될 것이라고 밝혔습니다. 마이크로소프트를 비롯해 IBM, 구글, AWS 같은 하이퍼스케일러들도 양자 연구를 선도하며, 각자의 클라우드 플랫폼에서 샌드박스를 열고 있습니다. F5 Labs는 2025년 사이버보안 전망에서 직접 암호를 깨는 양자 컴퓨팅이 곧 나타나지 않더라도 AI가 기존 암호방식을 해독하는 사례가 2025년에 나타날 것이라고 전망했습니다.
포스트 양자 암호화 기술이 전 산업과 전 세계에 영향을 미칩니다.
우리는 예측 곡선을 자신 있게 다루지 않습니다
“Q-Day”가 곧 다가옵니다. 정확한 시기는 아직 알 수 없습니다. 보안 업계가 예측을 내놓은 적은 여러 번 있었지만, 업계 리더와 규제 기관이 앞서 준비하려는 노력이 특히 주목받고 있습니다.
2000년에 Salesforce가 첫 번째 공개 API를 출시했습니다. 2019년에는 OWASP(Open Worldwide Application Security Project)가 첫 API 보안 프로젝트를 발표했습니다. 인공지능(AGI)이 실현될 시기에 대한 여러 전망이 있었지만(2040년에서 2070년 사이), 생성 AI의 급성장과 양자 컴퓨팅 기술의 발전은 이 예상이 그대로 맞지 않을 것임을 강하게 시사합니다. 즉, 훨씬 더 빠른 시기에 도달할 가능성이 큽니다.
이 시리즈의 첫 블로그에서 말씀드린 것처럼, 지금 데이터를 수집해 나중에 해독하는 위협은 실제로 존재하며, 미국 국립표준기술연구소(NIST)는 이미 양자 내성 알고리즘에 관한 지침을 제공하고 있습니다.
Q-Day는 웹 애플리케이션, API, 그리고 연결된 AI 생태계 전반에 걸쳐 보안에 직접적인 영향을 줍니다.
각 산업 분야는 어떻게 비교되고 있나요?
양자 컴퓨팅이 발전하면서 공격자들은 전력망, 금융 네트워크, 정부 시스템, 통신 네트워크를 더욱 정밀하게 겨냥할 수 있게 됩니다. 의료와 전자상거래를 포함한 여러 산업 분야에서는 민감한 고객 정보를 강력한 암호화로 보호하는 규정을 준수해야 합니다.
이 분야의 대규모 조직은 3천만 개가 넘는 자산을 보유하고 있으며, 이를 양자 이후 암호(PQC)를 지원하도록 업데이트해야 합니다. 현대 암호를 해독할 수 있는 양자 컴퓨터가 등장하면, 모든 기업이 위험에 노출됩니다. 특히 지적 재산권, 의료 기록, 금융 거래, 국가 안보 관련 정보를 다루는 기업이 그렇습니다.
F5 Labs의 조사에 따르면 상위 100만 개 웹사이트 중 대부분은 TLS 1.3을 선호하는데, 이는 PQC를 지원할 수 있는 잠재력을 제공하지만, 인기도가 낮은 웹사이트의 경우 지원이 급격히 줄어듭니다. Safari는 아직 PQC를 지원하지 않아 클라이언트 측 준비성 분석이 크게 왜곡됩니다. 그 영향은 웹 트래픽에만 국한되지 않지만, 이는 업계의 준비 상태를 보여주는 중요한 지표입니다.
산업계는 PQC에서 진전을 이루었지만 아직 충분히 앞서지 못했습니다.
사실 업계를 선도하는 기업들조차도 PQC 지원의 초입만 뚜렷이 살펴본 수준에 불과해, 온라인 전반이 매우 취약한 상태에 놓여 있습니다. 특히 금융 기관, 의료 단체, 통신사, 정부 기관 등 중요 인프라와 가장 기밀한 데이터를 다루는 산업 분야에서 PQC 지원 사이트 비율이 낮은 실정입니다.
은행업계는 145개 중 4개 은행(2.9%)만이 포스트 양자 암호를 지원하는 등 PQC 도입이 현저히 낮습니다. 상위 100만 사이트 중 의료 기관은 약 8.5%, 정부 기관은 약 7.1%가 PQC를 적용하고 있습니다.
기술 분야는 거의 12%의 사이트가 PQC를 지원해 전반적으로 더 나은 상태입니다. 소규모 조직일수록 웹 호스팅이나 SaaS 플랫폼을 채택해 PQC 지원을 포함한 해당 플랫폼의 모든 보안 통제를 누릴 가능성이 높습니다.
인식이 가장 중요합니다(말장난은 아닙니다…)
API 확산과 생성형 AI의 등장이 보안 현안을 장악하고 있지만, PQC 준비 문제는 경영진 회의에서 최우선 과제로 다뤄야 합니다. 변화하는 지정학적 환경 속에서 고립된 위험 관리는 실패로 이어집니다. PQC는 단지 보안 중심 업무가 아니기에, 리더십이 명확해야 합니다. 애플리케이션, 인프라, 보안 및 리스크 팀 모두 PQC 개념과 마이그레이션 전략에 대해 정확히 이해하고 교육 받아야 합니다. 주요 이해관계자와 연구팀은 PQC 표준, 공격 유형, 성능 개선 사항을 지속적으로 파악하며, 모범 사례와 테스트 랩을 적극 활용해야 합니다.
업계가 중심 역할을 하며 대학과 벤더와 협력해야 합니다. 중앙 집중식 인프라와 내부 인증 기관을 가진 서비스 제공업체는 벤더와도 긴밀히 협력하며, 더 큰 PQC 키와 서명의 부담을 효과적으로 관리할 수 있는 최적의 위치에 있습니다. 이들 네트워크는 신속하게 새로운 PQC 알고리즘을 도입하고, 느린 기업에 기준을 제시할 것입니다.
준비성과 민첩성의 조화
재고 파악은 필수적이며, 위험을 평가하고 우선순위를 정하려면 수동과 자동 방식을 모두 활용해야 합니다. 재무, 평판, 고객 데이터와 관련된 기술 요소에 주력해야 합니다.
우리는 PQC가 올바른 거버넌스 확립, 새로운 알고리즘 평가, 공급업체 검토, 규제 체계와의 조율, 보안 프로그램 준비 상태를 지속적으로 관리해야 한다는 점을 인지하고 있습니다.
F5 애플리케이션 전송 및 보안 플랫폼(ADSP)은 PQC를 완벽히 지원합니다.
고전 알고리즘과 포스트 양자 알고리즘을 결합한 하이브리드 암호화 방식이 고전적 위협과 양자 위협 모두에 대응하는 보안을 제공합니다. 최신 암호화 기준과 표준을 유지하는 CDN, SaaS 또는 애플리케이션 전송 컨트롤러(ADC) 플랫폼을 통해 애플리케이션을 제공하고 보호한다면 Q-Day에 대비해 유리한 위치를 확보할 수 있습니다. 그 외 조직은 노출 위험을 신속히 평가하고 대비 방안을 구체화해야 합니다.
PQC 도입은 단순한 선택이 아니라, 각 산업별 기술, 성능, 상호 운용성, 그리고 요구 사항에 따라 점진적으로 이루어지는 과정입니다.
컨버지드 플랫폼은 강력한 PQC 지원과 XOps 기능으로 AI, 자동화, 분석, 프로그래밍을 활용하여 운영 부담을 줄이며 어떤 환경에서도 앱, API 및 AI 워크로드를 안전하게 제공합니다.
더 자세한 내용은 F5의 PQC 준비 솔루션을 확인해 보세요.
다음 블로그 게시물에서 PQC 표준과 일정에 대해 자세히 설명해드리니 꼭 확인하세요.