양자 내성 암호화(PQC, Post-quantum cryptography)는 양자 컴퓨터가 제기할 수 있는 잠재적 위협에 대비한 안전한 알고리즘과 시스템 개발에 중점을 둔 컴퓨팅 분야를 가리킵니다. 양자역학의 원리를 사용하여 정보를 처리하는 양자 컴퓨터는 현재 디지털 통신, 데이터 저장, 거래를 보호하는 많은 암호화 시스템을 뚫을 수 있는 잠재력을 가지고 있습니다.

오늘날의 암호화 방법(RSA, ECC 등)의 대부분은 고전적인 컴퓨터가 특정 수학 문제를 해결하는 것이 극도로 어렵다는 사실에 의존합니다. 예를 들어, 큰 숫자를 인수 분해하거나 이산 대수를 푸는 것은 고전적인 컴퓨터에 비해 계산 비용이 많이 듭니다. 그러나 중첩된 정보를 처리하고 병렬로 연산을 수행할 수 있는 양자 컴퓨터는 쇼어의 알고리즘과 같은 알고리즘을 사용하여 이러한 문제를 훨씬 더 효율적으로 해결할 수 있습니다.

PQC는 양자 컴퓨터의 힘에 저항할 수 있는 암호화 시스템을 만드는 것을 목표로 합니다. 여기에는 양자 컴퓨터가 악용할 수 있는 취약점에 의존하지 않는 암호화, 키 교환, 디지털 서명을 위한 새로운 알고리즘 개발이 포함됩니다.

양자 컴퓨터가 오늘날의 암호화 체계를 뚫을 수 있는 미래에 데이터 보안을 보장하기 위해 양자 내성 암호화(post-quantum cryptography)로 전환하는 것은 적극적인 조치입니다. 이 분야는 빠르게 발전하고 있으며, 연구자들은 NIST(미국 국립표준기술연구소)의 양자 내성 암호화 프로젝트와 같은 이니셔티브를 통해 양자 저항 알고리즘(quantum-resistant algorithms)을 표준화하기 위해 노력하고 있습니다. 

☑️ 기업이 PQC에 대비하는 방법

클라우드 보안 연합은 향후 5-10년 내에 양자 암호 해독 공격이 시작될 것으로 예상하고 있습니다. 처음에는 대규모 국가 행위자(양자 컴퓨터를 구축할 수 있는 자원이 가장 많기 때문)가, 그 다음에는 일반 사이버 범죄자들이 양자 암호 해독 공격을 시작할 것으로 예상됩니다. PQC에 대비하는 것은 기업이 미래에 데이터, 시스템, 커뮤니케이션의 보안을 보장하기 위해 반드시 거쳐야 하는 중요한 단계입니다. 양자 컴퓨터는 유출된 데이터를 해독하기 위해 널리 사용되는 암호화 방법을 깨뜨릴 수 있는 잠재력을 가지고 있기 때문에, 기업은 지금부터 잠재적인 양자 위협에 대비하기 위한 사전 조치를 취해야 합니다. 

기업이 PQC에 대비하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다.

1. 위험의 이해

■ 현재의 위협

기업은 민감한 데이터를 장기간 보관하는 경우가 많습니다. 여기에는 재무 기록, 지적 재산, 개인 식별 정보(PII), 그리고 수십 년 동안 보호가 필요할 수 있는 기타 독점 또는 규제 데이터가 포함됩니다. 이러한 데이터가 현재의 방법으로 암호화된다면, 양자 컴퓨터가 개발된 이후에는 해독에 취약해질 수 있습니다. 공격자가 지금 암호화된 데이터를 확보하여 저장할 수 있다면, 나중에 양자 암호 해독 도구가 개발될 때 해독할 수 있습니다. 이로 인해 민감한 기업 데이터 유출, 지적 재산권 도난, GDPR이나 HIPAA와 같은 규정의 위반이 발생할 수 있으며, 이 모든 것은 심각한 법적, 재정적, 평판적 결과를 초래할 수 있습니다.

■ 중요한 자산

기업에 가장 중요한 데이터와 시스템을 파악합니다. 여기에는 지적 재산, 고객 정보, 금융 거래, 내부 커뮤니케이션이 포함됩니다. 이러한 자산은 양자 공격으로부터 보호해야 합니다.

2. 현재의 암호화 시스템 평가

■ 암호화 방법 감사 

기존의 암호화 프로토콜을 검토하고 양자 컴퓨팅에 취약할 수 있는 프로토콜을 식별합니다. RSA, DSA, ECDSA와 같은 많은 현재 시스템은 양자 컴퓨터가 쇼어의 알고리즘을 사용하여 효율적으로 해결할 수 있는 문제에 기반을 두고 있습니다.

■ 하이브리드 암호화 구현 

고전적 알고리즘과 양자 저항 알고리즘을 결합한 하이브리드 암호화 방법을 사용하는 것을 고려해 보십시오. 이렇게 하면 양자 안전 솔루션을 점진적으로 출시하는 동안 보안을 손상시키지 않고 전환 경로를 확보할 수 있습니다.

3. 양자 저항 암호화 채택 시작

지금부터 양자 저항 암호화 관행을 구축하기 위해 취할 수 있는 단계는 다음과 같습니다.

■ PQC 표준 

NIST(미국 국립표준기술원)와 같은 기관에서 개발 중인 양자 내성 암호화 표준으로의 전환을 모니터링하고 이에 대한 준비를 시작하십시오. NIST는 양자 저항 알고리즘과 프로토콜의 표준화를 위해 노력하고 있습니다. 기업은 이러한 노력의 진행 상황을 추적하고, 권장 알고리즘이 출시되면 테스트를 시작하고 이를 채택해야 합니다.

■ 시험적 구현 

Vault Enterprise 1.19에는 Vault 트랜짓 시크릿 엔진을 위한 ML-DSA(모듈 격자 기반 디지털 서명 알고리즘) PQC에 대한 지원이 포함되었습니다. 트랜짓 시크릿 엔진은 전송 중인 데이터에 대한 암호화 작업을 관리합니다. 이것은 암호화 또는 암호화 “서비스”로 생각할 수 있습니다. 트랜짓 시크릿 엔진의 주요 사용 사례는 애플리케이션의 데이터를 암호화하여 암호화된 데이터를 데이터 저장소에 저장할 수 있도록 하는 것입니다. 이 기능은 애플리케이션 개발자의 적절한 암호화 및 복호화 책임을 볼트 운영자에게 넘깁니다. Vault Enterprise 1.19의 ML-DSA 지원은 조직이 실험을 위해 PQC 알고리즘을 테스트 환경에 통합하고 중요한 생산 환경에서 PQC의 가능한 영향을 더 잘 이해할 수 있도록 해줍니다. Vault의 다음 PQC 업데이트를 통해 시험 구현을 위한 추가적인 기회가 제공될 것입니다. 다음 PQC 업데이트에는 전송 비밀 엔진에 대한 SHA-DSA(Secure Hash Digital Signature Algorithm) 지원이 포함될 것입니다.

■ 소프트웨어 및 하드웨어 호환성 

공급업체와 협력하여 소프트웨어와 하드웨어가 양쪽 모두 양자 내성 암호화 알고리즘을 지원할 수 있도록 최종 확정될 때 이를 지원하도록 하십시오. 여기에는 기존 암호화 라이브러리를 업데이트하거나 양자 저항 알고리즘을 지원할 수 있는 새로운 하드웨어 보안 모듈(HSM)로 마이그레이션하는 것이 포함될 수 있습니다.

4. 장기적인 데이터 보안 계획

■ 데이터 보존 전략 

일부 조직은 암호화된 데이터를 장기간(예: 20년 이상) 보존해야 합니다. 오늘날 양자 컴퓨터가 실용적이지 않더라도, 양자 컴퓨터가 완전히 작동하게 되면 이러한 아카이브는 취약해질 수 있습니다. 기업은 민감한 데이터를 양자 저항 알고리즘을 사용하여 지금 암호화하여 미래에도 오랫동안 안전하게 유지할 수 있도록 해야 합니다.

■ 순방향 기밀성 

이메일이나 보안 웹 브라우징에 사용되는 것과 같은 오늘날 사용되는 암호화 프로토콜이 순방향 비밀성을 제공하도록 하십시오. 순방향 비밀성은 암호화 키가 나중에 유출되더라도 과거의 통신 내용을 해독할 수 없도록 합니다.

5. 정기적인 보안 감사 및 침투 테스트 실시

■ 양자 컴퓨터에 대한 안전한 테스트 

양자 컴퓨터에 안전한 알고리즘이 개발되면, 양자 컴퓨터가 야기할 수 있는 잠재적 취약점에 초점을 맞춘 정기적인 보안 감사와 침투 테스트를 실시하기 시작하십시오. 이렇게 하면 취약점을 파악하고 새로운 보안 조치가 효과적인지 검증하는 데 도움이 됩니다.

■ 양자 컴퓨터 공격 시뮬레이션 

일부 사이버 보안 회사와 학술 기관은 암호화 시스템에 대한 양자 컴퓨터 공격을 시뮬레이션하는 방법을 개발하고 있습니다. 기업은 이러한 조직과 협력하여 양자 컴퓨터 위협에 대한 시스템의 복원력을 테스트할 수 있습니다.

☑️ 하시코프와 함께 PQC에 대비하는 방법

양자 내성 암호화(PQC, Post-quantum cryptography)는 먼 미래의 문제가 아니라 기업들이 해결해야 할 중요한 과제입니다. HashiCorp Vault는 조직 전체의 민감한 데이터를 관리하고 보호할 수 있는 유연한 중앙 집중식 플랫폼을 제공함으로써 기업이 양자 내성 암호화에 대비할 수 있도록 돕습니다. 

Vault는 다양한 암호화 방법을 지원하며, 표준화되면 양자 내성 암호화 알고리즘과 통합할 수 있는 기능도 포함합니다. 이로써 조직은 새로운 알고리즘이 출시되면 기존의 암호화 방식에서 양자 저항 암호화(quantum-resistant cryptography) 방식으로 원활하게 전환할 수 있습니다. 또한, Vault의 동적 비밀번호 관리, 키 순환, 접근 제어 기능은 암호화 키가 보호되고 정기적으로 업데이트되도록 보장하여 향후 양자 기반 공격의 위험을 최소화합니다. Vault는 안전한 키 관리를 위한 도구를 제공하고 미래에 대비한 전략을 지원함으로써 기업이 진화하는 암호화 위협에 대비하고 양자 기술이 적용된 미래에 장기적인 데이터 보호를 보장할 수 있도록 합니다.

핵심은 미리 계획하고, 양자 보안 시스템을 점진적으로 구현하며, 기업이 사용할 수 있는 새로운 암호화 표준이 등장할 때마다 적응력을 유지하는 것입니다.

▶ 하시코프 볼트(HashiCorp Vault) : 자세히보기

HashiCorp Vault는 인증과 인가를 기반으로 민감한 정보를 안전하게 관리하는 ID 기반의 시크릿 및 암호화 관리 시스템입니다. 토큰, API 키, 비밀번호, 암호화 키, 인증서 등 민감 정보를 통합된 인터페이스에서 일관되게 관리할 수 있으며, 접근 제어와 감사 로그 기능을 통해 보안을 강화합니다. 시크릿은 플랫폼별로 분산되어 관리되기 쉬우며, 누가 어떤 정보에 접근하는지 파악하기 어렵고, 키 순환이나 안전한 저장, 상세한 로깅 등의 기능을 자체적으로 구현하기는 쉽지 않습니다. Vault는 이러한 문제를 해결하기 위해 사용자, 애플리케이션, 시스템 등의 클라이언트를 검증하고 인가한 후에만 민감한 데이터에 접근할 수 있도록 지원합니다.

클라우드네트웍스는 전담팀을 통해 볼트, 테라폼을 포함한 하시코프 제품군의 구축 및 기술지원 서비스를 제공합니다. 하시코프에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다.