디지서트가 ‘포스트 양자컴퓨팅(PQC)’ 준비에 대해 분석한 연구보고서를 발표했다. 보고서에서는 기업의 IT리더들이 양자컴퓨팅 준비 역량에 대해 우려하면서도 명확한 오너십의 부재, 예산·경영진 지원 부족 등의 장애물로 어려움을 겪고 있다고 지목됐다.

양자컴퓨팅은 기존 컴퓨터로 해결이 어려운 고도로 복잡한 문제를 해결하기 위해 양자역학의 법칙을 이용하려는 컴퓨팅 기술이다. 양자컴퓨팅을 사용하면 복잡한 계산을 보다 빠르고 쉽게 해결할 수 있을 것으로 기대되지만, 암호 해독도 용이하게 돼 사용자 보안 등의 분야에서 양자컴퓨팅이 위협요소가 될 수 있다고 우려된다. 

디지서트의 조사에서는 글로벌 응답자의 61%는 자신의 기업이 PQC 보안 영향에 대처할 준비가 현재 되어 있지 않으며, 앞으로도 그럴 것이라고 생각한다고 답해 PQC 준비가 미흡함을 드러냈다.

또 응답자의 절반가량(49%)은 기업의 경영진이 양자컴퓨팅의 보안 영향에 대해 어느 정도만 인지하거나(26%), 인지하지 못하고 있다고(23%) 응답했다.

가장 큰 과제는 대비를 위한 시간과 비용, 전문지식이 충분하지 않다는 것이다. 응답자의 41%는 기업이 PQC에 대비해야 하는 시간이 5년도 채 남지 않았다고 답했으며, 응답자의 단 30%만이 기업에서 PQC 준비를 위한 예산을 배정받고 있음이 드러나는 등 PQC 위협 대처가 부족한 상황이다. 

기업 전반에 일관되게 적용되는 중앙화된 암호 관리 전략을 갖춘 기업은 거의 없다는 점도 확인됐다. 응답자의 61%는 기업이 특정 애플리케이션이나 사용사례에 적용되는 제한적인 암호 관리 전략만 수립(36%)했다고 답했으며, 중앙화된 암호 관리 전략이 없다는 응답도 25%에 달했다. 

이를 반영하듯 대부분의 응답자는 기업이 전사적인 모범사례와 정책 추진 인증서/키 오용 감지·대응, 알고리즘 복원과 위반 문제 해결, 계획하지 않은 인증서 방지 역량 등에 대한 역량 부족을 호소했다.

소속 기업이 현재 사용 중인 암호화 키의 유형과 특성에 대한 목록을 작성하고 있는 중이라는 응답도 절반 수준(52%)에 그쳤다. 

디지털 보안 역량 향상을 위해 응답자의 55%는 인재채용·유지를 가장 중요한 전략적 우선순위로 꼽았으며 암호화 민첩성 달성(51%)이 뒤를 이었다. 이는 양자컴퓨팅 인력, 새로운 프로토콜과 표준, 보안 위협에 더 잘 대응하기 위한 암호 알고리즘, 매개변수, 프로세스 등에 대한 역량 향상이 요구됨을 보여준다. 

아밋 신하 디지서트 CEO는 “PQC는 IT리더가 지금 준비를 시작해야 하는 암호화 분야의 중대사건”이라며, “암호화 민첩성에 투자한 미래 지향적인 기업은 내년 최종 표준이 출시되면 양자 보안 알고리즘으로 전환을 더 잘 할 수 있게 될 것”이라고 말했다.

디지서트는 보고서를 통해 고위 경영진의 지원, 암호화 키와 자산에 대한 가시성, 기업 전반에 일관되게 적용되는 중앙화된 암호 관리 전략 등을 PQC를 위한 전략으로 제시했다.