“양자 사이버공격에 대비해야”… EU, 양자 위협에 대응 계획 촉구

유럽 정책 센터(EPC)가 양자 사이버보안의 의제 개발을 촉구했다. 정보와 모범 사례를 공유하고 양자 전환에 대한 공통 접근 방식을 만들어야 한다는 의견이다.
 

유럽연합(EU)에서 양자 사이버공격에 대비해야 한다는 목소리가 나오고 있다. 양자 암호화 이후로 원활하게 이행하도록 보장하는 새 실행 계획을 채택해야 한다는 의견이다. 미래의 양자 사이버보안 위협에 대처하기 위해서다. 유럽 정책 센터의 수석 디지털 정책 분석가 안드레아 G. 로드리게즈는 새 논문을 통해 이를 촉구했다.

로드리게즈는 양자 컴퓨팅의 발전이 현재 암호화 시스템을 무방비 상태로 만들어 유럽의 사이버보안을 위협하고 새로운 문제를 창출할 것이라고 지적했다. 양자 컴퓨터가 기존 암호화 알고리즘을 깨는 시점을 ‘큐-데이(Q-Day)’라고 부르기도 한다. 전문가들은 이 시점이 향후 5~10년 내 도래할 것으로 보고 있다. 현재 암호화 프로토콜로는 모든 디지털 정보가 취약해질 수 있다. 로드리게즈는 유럽이 사이버보안을 진지하게 확보하려면 양자 사이버보안 의제를 개발해야 한다며, 회원국 간에 “정보와 모범 사례를 공유하고 양자 전환에 대한 공통 접근 방식을 만들어야 한다”라고 말했다. 

EU가 도외시해 온 양자 컴퓨팅 영향
로드리게즈는 양자 컴퓨팅이 암호 방식을 손상시키거나 디지털 신원에 대한 사이버 공격을 촉진함으로써 온라인 보안을 혼란에 빠뜨릴 것이라고 주장했다. “양자 컴퓨터를 이용한 사이버공격은 공격자가 암호화된 정보를 해독하고, 통신을 방해하고, 네트워크 및 정보 시스템에 무단으로 접근해 이전까지의 기밀 정보를 훔치고 공유할 수 있는 문을 열었다”라고 그녀는 경고했다.

또 로드리게즈는 “암호를 해독할 수 있는, 암호 방식에 있어 중요한 양자 컴퓨터의 등장은 ‘언제’가 아니라 ‘어떻게’가 문제다. 사이버 범죄자와 지리적 적대 세력은 양자 컴퓨터 보급 이후를 위해 현재로서는 읽을 수 없도록 암호화된 민감 정보를 서둘러 확보하고 있다”라고 말했다. ‘하베스트 공격’ 또는 ‘선다운로드 후해독’이라고 알려진 사이버공격 유형은 이미 유럽 보안에 위협이 되고 있다.

양자 컴퓨팅이 유럽의 사이버보안과 데이터 보호에 미치는 영향은 ‘2020년 EU 사이버보안 전략’이나 ‘2022년 연합 보안 연결 프로그램’ 등 일부 정책 문서에서 산발적으로 언급되긴 했지만, 논의에서는 제외돼 왔다고 로드리게즈는 언급했다.

양자 후 사이버보안을 선도하는 미국
로드리게즈에 따르면 미국은 PQC(양자내성암호, Post Quantum Cryptography)가 주축이 될 양자 후 사이버보안으로의 전환을 확실히 주도하고 있다. 미국 국립표준기술연구소(NIST)가 PQC 알고리즘의 표준화 프로세스를 시작했으며, 지난해에는 양자 사이버보안 대책을 제정해 정부 정보를 PQC로 마이그레이션하는 로드맵을 설정했다고 로드리게즈는 설명했다.

그녀는 “2023년 미국의 정부 사이버보안 전략은 양자 사이버 공격에 대한 보호를 핵심 목표로 설정했다. 우선순위에는 PQC의 사용, 취약한 하드웨어와 소프트웨어의 교체 필요성 등이 포함됐다”라고 말했다.

양자 후 사이버보안에 너무 좁은 EU의 시각
한편, 양자 사이버 공격으로부터 정보를 보호하려는 EU의 노력에는 단기적 위협에 대처하는 명확한 전략이 부족하다고 로드리게즈는 지적했다. 그녀에 따르면 단기적 양자 사이버보안 문제, 특히 하베스트 공격과 양자 암호화 공격을 완화하는 방법에 대한 EU의 좁은 시각으로 회원국이 양자 전환의 과제를 떠안고 있다. 그녀는 “2023년 현재 양자 사이버보안 위협에 대응할 공개 계획을 수립한 EU 국가는 소수에 불과하다. 독일처럼 완화 전략까지 마련한 국가는 더 적다”라고 말했다.

양자 컴퓨터 발전에 대응해 공격 벡터로 사용될 수 있는 사이버보안 허점을 방지하고, 모든 회원국이 양자 사이버 공격에 동등하게 대응할 수 있는 EU의 조치가 필요하다는 의견도 이어졌다. 로드리게즈는 “명확한 목표와 기간을 제시하고 PQC로 국가별 마이그레이션을 시행할 수 있도록 모니터링하는 양자 전환의 공동 실행 계획이 시급하다”라고 주장했다.

로드리게즈는 이러한 계획을 통해 장기적 목표와 당면 과제 사이의 간극을 메울 수 있다고 설명했다. 장기적 목표는 유럽 양자 통신 인프라(EuroQCI) 네트워크의 완전한 구축이고, 당면 과제는 유럽 사이버보안 환경이 단기적 양자 사이버보안 위협에 대응하는 것이다. 또한 그녀는 유럽 네트워크 및 정보 보안 기구(ENISA) 내에 새로운 전문가 그룹을 만들어 PQC 분야의 파견 전문가들로 하여금 모범 사례를 교환하고 마이그레이션 계획을 수립하도록 장려할 수 있다고 말했다. 이를 통해 정부 사이버보안 기관, 전문가, 민간 부문의 전문 지식을 활용할 수 있다는 의견이다. 

효과적인 양자 사이버보안 의제를 위한 6가지 단계
로드리게즈의 논문은 EU 양자 사이버보안 의제에 6가지 권장 사항을 제시했다.

1. 목표와 기간을 명시하고 PQC로 국가별 마이그레이션을 시행할 수 있도록 모니터링하는 양자 전환의 공동 실행 계획을 수립한다.

2. ENISA 내에 국가별 파견 전문가로 구성된 새로운 그룹을 만들어 모범 사례를 교환하고 PQC 전환의 장애물을 파악한다.

3. PQC 전환을 위해 우선순위 설정을 지원하고, PQC 시스템의 새로운 취약점에 대응하기 위해 암호 방식의 민첩화를 추진한다. 

4. EU 집행위원회, EU 회원국, 국가별 사이버보안 기관, ENISA 간에 정치적 조율을 통해 기술 우선순위를 결정하고 양자 안전 기술에 대한 관련 사용 사례를 파악한다.

5. 양자 키 분배를 위한 장거리 연결이 보장되는 양자노드 개발이 필요한 것처럼, 양자 안전 기술에 대한 연구 격차를 해소하기 위해 EU 차원의 기술 조정을 촉진한다.

6. 샌드박스를 사용해 양자 정보 기술의 단기 응용 사례 개발을 가속화할 방법에 대해 탐구한다. ciokr@idg.co.kr