'해킹 불가능' 양자암호 통신 시대 열린다...10년 내 현행 보안체계 무력화 경고

■ 핵심 보기
해커들 암호화 데이터 수집해 양자컴퓨터 개발 때까지 보관, 현행 RSA 암호체계 수년 내 붕괴 전망

프랑스 오렌지, 물리법칙 기반 양자 키 분배 기술 상용화...중간 도청 시 자동으로 통신 상태 변화 감지

금융권 이미 도입, 유럽 양자 보안망 확산...100㎞ 연결에 시스템 구축비만 최대 3억8900만 원 투자
전 세계적으로 사이버 공격이 급증하면서 디지털 보안의 근간이 흔들리고 있다. 특히 해커들이 현재 암호화된 데이터를 수집해 향후 강력한 양자컴퓨터로 해독하는 '지금 저장, 나중에 해독' 공격이 확산하면서 기존 암호체계의 한계가 드러나고 있다. 이런 가운데 양자물리 법칙을 활용해 도청 자체가 불가능한 통신 기술이 상용화 단계에 진입하면서 사이버 보안의 새 지평을 열고 있다.

프랑스 통신사 오렌지(Orange)는 최근 양자 키 분배(QKD·Quantum Key Distribution) 기술을 활용한 상용 보안 시스템을 선보였다고 프랑스 기술 전문매체 크로닉(Chronik)이 지난달 30일(현지 시각) 보도했다. 산업 사이버 보안 전문매체 인더스트리얼사이버(IndustrialCyber)도 같은 날 사이버 보안 위험 평가의 핵심 요소를 분석한 보고서를 발표했다.


현재 인터넷 보안의 근간인 RSA 암호화는 큰 숫자의 소인수분해가 사실상 불가능하다는 점에 기반한다. 예를 들면 77이라는 숫자를 7과 11로 나누는 건 쉽지만, 수백 자릿수 숫자를 두 개의 소수로 나누는 건 일반 컴퓨터로 수천 년이 걸린다. 하지만 양자컴퓨터는 이를 수분 내 해독할 수 있다.

오렌지 혁신 책임자 티에리 가예는 크로닉과 한 인터뷰에서 "RSA 알고리즘, 디지털 서명, 모든 인증서 같은 현행 보안 시스템이 수년 내 완전히 무력화될 것"이라고 경고했다. 그는 "해커들이 이미 오늘 암호화된 교환 정보를 저장해 10~15년 뒤 복호화하고 있다"면서 "현재 보안은 5년, 10년 뒤 새 알고리즘이 모든 것을 무너뜨릴지 확신할 수 없다는 게 문제"라고 말했다.
IBM과 구글 같은 기업들이 개발 중인 논리 큐비트 기반 양자컴퓨터는 단일 논리 큐비트를 위해 약 1000개의 물리 큐비트가 필요하다. 가예는 "쇼어 알고리즘은 양자컴퓨터로 큰 숫자를 빠르게 소인수분해하는 방법인데, 다행히 아직 실제 양자컴퓨터에서 완벽하게 작동하지 않는다"며 "하지만 양자컴퓨터가 충분한 성능을 갖추는 날 RSA는 끝"이라고 진단했다.


양자 키 분배 기술은 수학 난이도 대신 양자물리 법칙을 보안의 기반으로 삼는다. 빛 입자인 광자를 하나씩 조작해 정보를 전송하는데, 누군가 중간에서 도청하려 하면 양자 상태가 자동으로 변한다. 양자역학 기본 원리상 관찰 행위 자체가 관찰 대상의 상태를 바꾸기 때문이다.

가예는 "빛 입자의 진동 방향이나 파동 위상을 이용해 암호를 보내는데, 놀라운 점은 누군가 중간에서 도청하려 하면 빛 입자의 상태가 자동으로 바뀐다는 것"이라며 "이는 복잡한 수학 공식이나 정보기술(IT) 장치가 아닌 우주 물리 법칙 그 자체"라고 설명했다.
이 기술을 통해 통신 당사자들은 누군가 자신들을 감시하려 했는지 즉시, 자동으로 알아차린다. 도청 시도가 감지되면 통신을 우회하거나 중단할 수 있어 기존 알고리즘으로는 보장할 수 없는 수준의 보안을 제공한다.


오렌지는 양자 기술과 포스트 양자 암호학(PQC)을 결합한 이중보안 계층을 구축했다. 가예는 "일반 수학 기반 암호에 양자 키 교환을 더한 뒤 두 키를 섞어 최상의 보호를 제공한다"면서 "이 조합이 오늘과 내일의 안전을 동시에 보장한다"고 강조했다.

금융권 주요 기업이 이미 이 방식으로 여러 사이트를 연결해 가장 민감한 데이터를 보호하고 있다. 오렌지의 상업용 광섬유 네트워크 전반에 걸쳐 설치가 진행 중이며, 마이크로소프트와 협력하고 아마존 같은 대형 클라우드 기업과도 연결을 확보하고 있다.

다만 비용은 여전히 장애물이다. 토머스 리베라가 파리지역 양자통신인프라(ParisRegionQCI) 프로젝트에 대해 밝힌 내용에 따르면, 전용 광섬유로 100㎞ 미만 거리를 연결하려면 양자 키 분배 시스템만 19만~26만5000달러(약 2억7900만~3억8900만 원)가 든다.

오렌지는 프랑스와 독일 간 연계를 만들었으며, 유럽 전역에 국가별 양자 네트워크를 구축하는 유럽양자통신인프라(EuroQCI) 이니셔티브를 주도하고 있다. 파리지역 양자통신인프라 프로젝트는 양자 키 분배 기술이 기존 광섬유 인프라를 통해 새클레이에서 파리 중심부까지 약 80㎞에 걸쳐 연결될 수 있음을 입증했다.


사이버 보안 전문가들은 양자 기술 도입과 함께 체계적인 위험 평가가 필수라고 지적한다. 인더스트리얼사이버 보고서는 좋은 사이버 보안 위험 평가의 5대 요소를 제시했다.

먼저 사이버 공격이 실제 세계에 미칠 영향을 평가하고, 보호 대상 시스템의 구조와 기능을 충분히 이해해야 한다. 이를 바탕으로 구체적인 위협 시나리오를 모델링하고, 이에 대응하는 보안 요구사항을 도출한 뒤, 각 이해관계자에게 맞는 보고체계를 갖춰야 한다는 것이다.

보고서는 "위험 평가는 제품에 필요한 사이버 보안 조치에 대해 정보에 입각한 결정을 내리는 유일한 방법"이라며 "어떤 보안 조치가 중요한지, 어떤 것이 중요하지 않은지 결정하는 기초를 제공한다"고 설명했다.

특히 실제 세계 영향 평가가 중요하다고 강조했다. 보고서는 "사이버 시스템은 그 자체를 위해 존재하지 않는다"면서 "서버 다운은 성가시지만, 조직의 핵심 프로세스와 연결해 위험을 평가해야 한다"고 지적했다.


가예는 앞으로 양자 네트워크가 단순한 키 분배를 넘어 발전할 것으로 내다봤다. 그는 "10년 뒤면 진짜 완전한 양자 네트워크가 생길 것"이라며 "컴퓨터 간 양자 상태를 유지할 수 있어 먼 장소 간 양자 순간이동이 가능해질 것"이라고 전망했다.

이는 양자컴퓨터를 장거리로 연결해 전례 없는 분산 컴퓨팅 능력의 길을 연다. 다만 현재는 양자 중계기가 없어 일반 광학 중계기로는 양자 상태가 파괴된다는 한계가 있다. 연구팀들이 특히 양자 메모리 분야에서 이 문제를 해결하려 노력하고 있다.

업계에서는 양자 기술 확보가 국가 주권과 직결된다는 인식이 확산하고 있다. 가예는 "양자 컴퓨팅을 강화하려고 많은 자금을 투자하는 이유는 주권이 걸려 있기 때문"이라며 "이 기술을 숙달하는 국가들은 통신을 보호하는 동시에 적의 약점을 노출시키는 전략 이점을 가질 것"이라고 말했다.


박정한 글로벌이코노믹 기자 park@g-enews.com