양자컴퓨팅 상용화 시기가 앞당겨지면서, 보안업계에서는 양자내성암호(PQC)로의 전환이 본격화하고 있다. 인터넷 보안의 근간인 공개키 암호체계가 양자컴퓨터의 등장으로 무력화될 수 있다는 우려가 커졌기 때문이다. 특히 미국 정부가 PQC 전환을 당초 계획보다 4년 앞당기겠다고 밝히며, 국내 PQC 전환에도 속도가 붙고 있다.
◇ 美 PQC 전환 목표 시점 2031년으로 앞당겨
6일 보안업계에 따르면 최근 국내 보안업계에서는 PQC 전환 솔루션이 주요 과제로 부상하고 있다. 이는 미국의 양자 보안 전환 시계가 빨라졌기 때문이다. 도널드 트럼프 미국 대통령은 지난달 22일(현지시각) 양자 기술 혁신과 첨단 암호 공격 대응을 위한 행정명령 2건에 서명했다. 이에 미국은 2028년까지 고성능 양자컴퓨터 개발을 추진하는 한편, 연방정부 시스템의 PQC 전환 목표 시점을 기존 2035년에서 2031년으로 4년 앞당겼다.
미 정부와 별개로 구글은 2029년 말까지 자사 시스템과 제품, 서비스 전반에 걸쳐 PQC 전환을 완료하겠다는 목표를 공식화했다. 중국의 경우 '제15차 5개년 계획(2026~2030년)'에 따라 오리진 퀀텀을 중심으로 2030년까지 오류 내성 양자컴퓨터 확보를 추진하는 동시에 PQC 전환을 추진하고 있다.
PQC는 양자컴퓨팅 환경에서 안전성이 보장되게 설계된 차세대 공개키 암호 기술이다. 현재 널리 쓰이는 알에스에이(RSA), 타원곡선암호(ECC) 등 암호체계는 공개키와 비밀키가 한 쌍으로 작동한다. 공개키는 인증서 등에 담겨 통신 과정에서 공개되는 정보인 만큼 공격자가 확보할 수 있다. 다만 지금은 공개키만으로 비밀키를 알아내기 어렵지만, 향후 고성능 양자컴퓨터가 등장하면 '쇼어 알고리즘'을 통해 RSA, ECC 등 기존 공개키 암호를 빠르게 풀 수 있다.
특히 미국 등 주요국이 양자컴퓨터 상용화 이전부터 서둘러 PQC 전환에 나선 이유는 '선 수집 후 해독(HNDL)' 위협 때문이다. 현재 기술로는 양자컴퓨터가 기존 공개키 암호를 해독할 수준에 이르지 못했다. 그러나 공격자가 국가 기밀이나 금융 데이터 등 암호화된 정보를 미리 탈취해 저장한 뒤, 향후 성능이 충분한 양자컴퓨터를 확보하면 이를 한꺼번에 복호화할 수 있다는 우려가 커지고 있다.
◇ 과기부 올해 PQC 시범 전환 분야 5개 확대
국내에서도 PQC 전환 움직임이 본격화하고 있다. 과학기술정보통신부는 지난해 의료·에너지·행정 3개 분야에서 PQC 시범 전환을 추진했으며, 올해는 통신·금융·교통·국방·우주 등 5개 핵심 분야로 확대한다. 이와 함께 올해부터 2030년까지 5년간 범국가 PQC 전환 핵심기술 개발 사업도 추진한다고 밝혔다. 암호 자산 탐지부터 자동 전환·운영까지 지원하는 자율 전환 플랫폼과 PQC 최적화·검증 기술, 양자암호통신(QKD) 융합 기술 등을 개발할 계획이다.
국내 보안업체는 공공기관과 금융권을 중심으로 PQC 도입을 확대하고 있다. 라온시큐어는 KDB생명에 PQC 기반 암호모듈화 솔루션을 공급한 데 이어 현재 국내 금융사 10여 곳과 추가 계약을 추진 중이다. 아톤은 Sh수협은행 등 금융권에 PQC 기반 암호화 솔루션을 공급하고 있으며, 드림시큐리티는 올해 통신 분야 PQC 시범사업에 선정돼 한국과학기술정보연구원(KISTI)이 운영하는 국가과학기술연구망(KREONET)에 PQC를 적용한다.
기술 개발도 활발하다. 한컴위드는 데이터보안태세관리(DSPM)에 PQC를 접목한 보안 솔루션을, 지니언스는 PQC와 고성능 키관리시스템(KMS)을 결합한 차세대 암호체계를 개발하고 있다. 안랩과 파수는 정부의 PQC 표준화가 완료되는 대로 주요 보안 제품에 이를 적용할 계획이다. 아이티센글로벌은 미국 양자기술 기업 BTQ테크놀로지스와 협력해 PQC 기반 양자 안전 보안 인프라를 공동 개발하고 있다.