카스퍼스키, 양자컴퓨팅 보안 위협 경고

카스퍼스키(지사장 이효은)는 오늘, 아시아태평양 지역에서 급성장 중인 양자컴퓨팅이 사이버 보안 환경에 가져올 새로운 위협과 도전에 대해 경고하며, 조직들이 선제적인 대비에 나서야 한다고 밝혔다.

아시아태평양 지역은 잠재적으로 혁신적인 기술인 양자컴퓨팅의 비옥한 토양으로 오랫동안 주목받아 왔다. 중국, 일본, 인도, 호주, 한국, 싱가포르, 대만 등은 이 분야에서 정부의 강력한 지원과 빠른 기술 수용을 바탕으로 글로벌 선도국으로 자리매김하고 있으며, 특히 금융, 제약, 스타트업 분야에서의 도입이 활발하다.

이 기술 변화의 중심에는 양날의 검이 있다. 양자컴퓨터는 향후 기존의 암호화 방식 대부분을 무력화할 수 있는 능력을 지녀 사이버보안에 대한 우려를 낳고 있다. 동시에, 양자컴퓨팅은 미래의 디지털 정보를 보호할 수 있는 ‘양자 내성’ 암호화 기술을 가능하게 할 잠재력도 갖추고 있다. 다만 현재까지는 대부분의 기술이 연구실 수준이나 개념 검증 단계에 머물러 있어 위협과 기회 모두의 도래 시점은 불확실한 상황이다. 그럼에도 이에 대비해야 한다는 점에는 이견이 없다.

카스퍼스키의 META 및 아시아태평양 지역 글로벌 연구분석팀을 이끄는 세르게이 로즈킨은 “아시아태평양 지역의 양자컴퓨팅 시장은 현재 가파른 성장 곡선을 그리고 있다. 지난해 3억9,210만 달러에서 2032년까지 17억8,000만 달러 규모로 성장할 것으로 예상되며, 연평균 성장률은 24.2%에 달할 것”이라며, “이는 매우 고무적인 동시에 우려스러운 부분이다. 이 지역의 기업들은 양자컴퓨팅이 차세대 사이버 영역임을 명심해야 한다. 이는 혁신의 문을 열 수 있지만, 동시에 새로운 사이버 위협의 시대를 앞당길 수 있다”고 말했다.

로즈킨은 진화하는 위협의 범위를 보다 정확하게 진단하는 차원에서 사이버 보안 커뮤니티의 관심과 조치가 필요한 가장 시급한 양자 관련 위험 세 가지를 발표했다.

양자컴퓨터는 현재 수많은 디지털 시스템의 데이터를 보호하고 있는 기존 암호화 방식을 무력화할 수 있는 잠재력을 지닌다. 이는 글로벌 사이버보안 인프라 전반에 직접적인 위협이 될 수 있다. 구체적으로는 외교, 군사, 금융 등의 민감한 통신 내용을 가로채고 해독하는 것은 물론, 민간 협상의 실시간 복호화까지 가능해질 수 있다. 양자 시스템은 기존 컴퓨터보다 훨씬 빠르게 이러한 작업을 처리할 수 있어, 지금까지 안전하다고 여겨졌던 대화들이 모두 노출될 수 있는 위험이 있다.

가장 우려되는 시나리오 중 하나는 이른바 ‘지금 저장하고, 나중에 해독(Store Now, Decrypt Later)’ 전략이다. 공격자들은 이미 현재 암호화된 데이터를 수집하고 있으며, 양자컴퓨팅 기술이 충분히 발전했을 때 이를 해독하려는 계획을 세우고 있다. 이로 인해 수년 전의 외교 문서, 금융 거래, 민간 통신 등 민감한 정보가 훗날 무방비로 드러날 수 있다는 점에서 심각한 보안 위협으로 평가된다.

양자 위협은 블록체인 네트워크도 예외 없이 겨냥하고 있다. 특히 비트코인이 사용하는 타원곡선 디지털 서명 알고리즘(ECDSA)은 양자컴퓨팅에 취약한 것으로 알려져 있다.

양자공격으로 인해 발생할 수 있는 리스크는 비트코인과 이더리움 등 주요 암호화폐의 디지털 서명 위조, 암호화폐 지갑의 보안을 책임지는 ECDSA에 대한 공격, 블록체인 거래 기록 조작 등을 포함하며, 이는 블록체인 시스템 전반의 신뢰성과 무결성을 훼손할 수 있다.

앞으로는 고도화된 랜섬웨어 개발자들이 포스트 양자 암호(Post-Quantum Cryptography)를 자사 악성코드에 적용하는 사례도 등장할 것으로 전망된다. 이른바 ‘양자 내성 랜섬웨어’는 기존 컴퓨터는 물론 양자컴퓨터로도 해독이 어려운 구조로 설계되어, 피해자가 몸값을 지불하지 않고는 복구가 사실상 불가능해질 수 있다. 이는 향후 사이버범죄의 양상을 더욱 복잡하고 위협적으로 만들 수 있다.

오늘날의 양자 컴퓨팅은 현재 랜섬웨어에 의해 잠긴 파일을 해독할 수 있는 방법을 제공하지 않는다. 데이터 보호 및 복구는 여전히 전통적인 보안 솔루션과 법 집행 기관, 양자 연구자 및 국제 기관 간의 협력에 의존하고 있다.

양자컴퓨터는 아직 실질적인 위협으로 등장하지 않았지만, 그 위협이 현실이 될 무렵에는 이미 대응이 늦을 수 있다. 양자 환경에 대비한 ‘포스트 양자 암호)’로의 전환은 단기간에 이뤄질 수 있는 작업이 아니기 때문이다. 수년의 준비 기간이 필요한 만큼, 지금 당장 시작해야 한다는 것이 보안 전문가들의 공통된 견해다.

사이버보안 업계, IT 기업, 정부 등 관련 주체들이 긴밀히 협력해 다가올 양자 위협에 선제적으로 대응해야 한다. 정책 입안자들은 포스트 양자 알고리즘으로의 전환을 위한 명확한 로드맵을 수립해야 하며, 기업과 연구기관은 새로운 보안 표준을 조속히 도입하는 데 착수해야 한다.

카스퍼스키의 세르게이 로즈킨 글로벌 연구분석팀장은 “가장 큰 위험은 미래가 아닌 현재에 있다”며 “장기적인 가치를 지닌 암호화 데이터는 이미 미래의 해독 가능성에 노출되어 있다”고 경고했다.

그는 “현재의 암호 체계를 해독할 수 있는 실용적인 양자컴퓨터는 아직 존재하지 않지만, 악의적 행위자들은 이미 데이터를 수집해 기술이 성숙되면 이를 해독하려는 전략을 구사하고 있다”며 “오늘날의 보안 결정이 앞으로 수십 년간 디지털 인프라의 회복력을 좌우할 것”이라고 강조했다.

이어 “정부, 기업, 인프라 제공자들이 지금부터 체계적인 전환에 나서지 않는다면, 사후 복구가 불가능한 구조적 취약성을 남기게 될 수 있다”고 덧붙여 말했다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업