- 양자 보안 기술로 전환 위한 투자 시급… 명확한 오너십 부재, 예산 및 경영진 지원 부족이 장애물

- 글로벌 전체 기업 61%, 소속 기업이 PQC 보안 영향에 대처할 준비 미흡 우려

- 아태지역 기업 53%, 소속 기업이 양자 컴퓨팅 보안 영향에 대한 대비 전략을 수립했거나 향후 6개월 내 수립할 것

 

디지서트(DigiCert)는 미국에서 개최한 연례 행사 ‘트러스트 서밋(Trust Summit)’에서 기업이 어떻게 포스트 양자 컴퓨팅(Post Quantum Computing) 위협에 대처하고 있고, 안전한 포스트 양자 컴퓨팅의 미래를 준비하고 있는지 분석한 글로벌 연구 보고서를 발표했다.

 

보고서에 따르면, IT 리더는 필요한 시간 내에 준비할 수 있는 역량에 대해 우려하고 있지만 명확한 오너십의 부재, 예산 및 경영진 지원의 부족 등의 장애물로 어려움을 겪고 있는 것으로 나타났다.

 

양자 컴퓨팅은 양자역학의 법칙을 이용해 기존 컴퓨터로 해결이 어려운 고도로 복잡한 문제를 해결한다. 반면, 양자 컴퓨팅을 사용하면 암호를 해독하는 것은 훨씬 쉬워져 데이터와 사용자 보안에는 커다란 위협이 된다.

 

글로벌 지역 주요 조사 결과

설문 조사에 참여한 글로벌 전체 응답자의 61%는 자신의 기업이 PQC의 보안 영향에 대처할 준비가 현재 되어 있지 않으며 앞으로도 그럴 것이라고 생각하고 있다. 응답자의 절반가량(49%)은 기업의 경영진이 양자 컴퓨팅의 보안 영향에 대해 어느 정도만 인지하거나(26%), 인지하지 못하고 있다고(23%) 답했다.

 

또한 응답자의 단 30%만이 소속 기업이 PQC 준비를 위한 예산을 배정하고 있는 것으로 나타났으며, 응답자의 52%는 소속 기업이 현재 사용되는 암호화 키의 유형과 그 특징에 대한 목록을 작성 중이라고 답했다.

 

안전한 포스트 양자 컴퓨팅의 미래를 위한 과제

조사 결과, 보안 팀은 포스트 양자 컴퓨팅의 미래를 준비하는 동시에 기업을 겨냥한 사이버 공격에 대응해야 하는 부담을 안고 있는 것으로 나타났다. 응답자의 50%만이 소속 기업이 매우 효과적으로 전사적인 위험, 취약점 및 공격을 완화하고 있다고 답했다. 조사에 참여한 기업이 가장 많이 경험한 사이버 공격은 랜섬웨어와 크리덴셜 탈취인 것으로 나타났다.

기업에게 가장 큰 과제는 성공적으로 대비하기 위한 시간, 비용 및 전문 지식이 충분하지 않다는 것이다. 응답자의 41%는 기업이 PQC에 대비해야 하는 시간이 5년도 채 남지 않았다고 답했으며, 응답자의 단 30%만이 현재 소속 기업이 PQC 준비를 위한 예산을 배정하고 있다고 답했다.

 

많은 기업이 자사가 사용하는 암호화 키의 특성과 위치에 대해 아는 바가 전혀 없는 것으로 나타났다. 절반이 약간 넘는 응답자(52%)가 소속 기업이 현재 사용 중인 암호화 키의 유형과 특성에 대한 목록을 작성하고 있는 중이라고 답했다. 응답자의 39%만이 암호화 자산에 우선순위를 두고 있다고 답했으며, 36%는 데이터와 암호화 자산을 온프레미스(on-premises) 또는 클라우드에 둘 지 결정하고 있다고 답했다.

 

기업 전반에 일관되게 적용되는 중앙화된 암호 관리 전략을 갖춘 기업은 거의 없는 것으로 확인됐다. 응답자의 61%는 기업이 특정 애플리케이션이나 사용 사례에 적용되는 제한적인 암호 관리 전략만 있거나(36%), 중앙화된 암호 관리 전략이 없다(25%)고 답했다. 또한, 대부분의 응답자는 기업이 전사적인 모범 사례와 정책 추진 인증서/키 오용 감지 및 대응, 알고리즘 복원 및 위반 문제 해결, 계획하지 않은 인증서 방지 역량이 부족하다고 답했다. 정보 자산과 IT 인프라를 보호하기 위해 기업은 암호화 솔루션과 방법을 효과적으로 배포하는 역량을 강화해야 한다.

 

기업은 포스트 양자 시대의 요구 사항을 충족할 수 있는 전문 지식의 부족을 인식하고 있고, 이를 반영하듯 응답자의 55%가 인재 채용 및 유지를 디지털 보안의 가장 중요한 전략적 우선순위로 꼽았다. 암호화 민첩성 달성(51%)이 그 뒤를 이었는데, 이는 양자 컴퓨팅 방법을 이용하는 사람을 비롯해 새로운 프로토콜, 표준 및 보안 위협에 더 잘 대응하기 위한 암호 알고리즘, 매개변수, 프로세스 및 기술을 효율적으로 업데이트할 수 있는 능력을 의미한다.

 

 

아시아태평양 지역 주요 조사 결과

한편, 아시아태평양 지역의 경우, 응답자의 39%가 소속 기업이 PQC의 보안 영향에 준비해야 하는 시간이 5년도 채 남지 않았다고 답했다. 응답자의 53%는 소속 기업이 양자 컴퓨팅의 보안 영향에 대한 대비 전략을 현재 수립했거나(19%), 향후 6개월 내 수립할 것(34%)이라고 답했다. 또한, 기업의 63%는 중앙화된 암호 관리 전략이 부재하거나(23%), 있더라도 특정 애플리케이션이나 사용 사례에만 적용 가능한 매우 제한적인 수준(37%)인 것으로 나타나 포스트 양자 컴퓨팅의 미래에 대한 대비 현황이 미흡한 것으로 나타났다.

 

보고서는 포스트 양자 컴퓨팅에 대비하기 위해 기업은 고위 경영진의 지원, 암호화 키와 자산에 대한 가시성, 책임감과 오너십을 가지고 기업 전체에 일관되게 적용되는 중앙화된 암호 관리 전략을 포함하는 전략을 갖춰야 한다고 조언했다.

 

디지서트 아밋 신하(Amit Sinha) CEO는 “PQC는 IT 리더가 지금 준비를 시작해야 하는 암호화 분야의 중대 사건이다. 암호화 민첩성에 투자한 미래 지향적인 기업은 2024년 최종 표준이 출시되면 양자 보안 알고리즘으로 전환을 더 잘 할 수 있게 될 것”이라고 밝혔다.

 

디지서트 아시아태평양 및 일본 지역 그룹 알만도 다칼(Armando Dacal) 부사장은 “디지털 전환이 빠르게 이루어지고 있는 아태지역에서 양자 보안 암호는 매우 중요한 사안이다. 산업 단체와 정부가 주도적으로 추진하는 가운데, 점점 더 상호 연결되는 세상에서 기업들이 데이터를 보호하고 신뢰를 유지하기 위해서는 PQC 준비를 우선순위로 삼아야 할 것”이라고 덧붙였다.

 

#디지서트#양자컴퓨팅#PQC