금융권 인증서 유효기간과 양자컴퓨터 등장 시기의 충돌
원제: 빨라진 양자컴퓨팅 시계…“韓 금융권 PQC 전환 서둘러야”
올해 발급된 국내 금융거래 인증서의 유효기간이 2029년까지 이어지는 가운데, 고성능 양자컴퓨터 등장 시점이 2028년 전후로 앞당겨지면서 현행 암호 체계의 보안 공백이 현실적인 위협으로 부상하고 있다. 양자내성암호(PQC)로의 전환 목표 시점이 2035년으로 설정된 국내 일정이 미국·중국 등 주요국의 속도와 비교해 크게 뒤처진다는 지적이 나온다.
저자: www.etnews.com

인증서 유효기간과 양자 위협의 시간적 충돌
현재 금융거래에 사용되는 인증서는 RSA와 타원곡선암호(ECC) 방식을 기반으로 한다. 이 구조에서 공개키는 거래 상대방에게 공개적으로 전달되며, 해커도 비교적 손쉽게 수집할 수 있다. 현재로서는 공개키만으로 비밀키를 역산하는 것이 사실상 불가능하지만, 충분한 연산 능력을 갖춘 양자컴퓨터가 등장하면 상황이 달라진다.
이른바 '선수집·후해독(HNDL·Harvest Now, Decrypt Later)' 공격은 지금 당장 암호를 풀지 않더라도, 현재 암호화된 데이터를 미리 수집해 두었다가 향후 양자컴퓨터로 해독하는 방식이다. 올해 발급된 인증서가 2029년까지 유효하고, 고성능 양자컴퓨터 등장이 2028년 전후로 예상된다는 점에서 이 공격 시나리오는 허구가 아니라 실제 일정 문제가 된다. 금융 분야에서 이 같은 공격이 성공하면 허위 결제·송금·자금 탈취 등 대규모 금전 피해로 직결될 수 있다.
미국·중국의 일정 가속과 국내 현황의 간극
양자컴퓨터 오류 내성 시스템의 실용화는 2030년대 중반 이후에나 가능할 것으로 기존에는 전망됐다. 그러나 미국 정부는 지난달 2028년까지 수백 개 수준의 논리 큐비트를 갖춘 오류 내성 양자 시스템을 실증·배치하겠다는 목표를 발표했다. 이에 맞춰 주요 분야 PQC 전환 시점도 기존 2035년에서 20302031년으로 45년 앞당겼다.
중국 역시 제15차 5개년 계획(2026~2030년)에 따라 Origin Quantum을 중심으로 2030년까지 오류 내성 양자컴퓨터 확보를 추진하는 동시에 PQC 전환을 병행하고 있다.
반면 국내 금융 분야에서는 올해 처음으로 국가 차원의 PQC 실증사업이 시작됐으며, 본격 도입 완료 시점은 2035년으로 제시된 상태다. 주요국이 전환 일정을 수년씩 당기는 추세와 비교할 때 상당한 시간적 격차가 존재한다.
정부 당국의 현재 입장과 과제
과학기술정보통신부는 해외 동향을 모니터링하며 필요한 대책을 검토 중이라는 입장을 밝혔다. 국가정보원은 2035년 PQC 전환 완료 목표를 유지하면서도, 국가기밀·기반시설 등 민감도가 높은 분야에 대해서는 전환 시기를 앞당기는 방안을 검토하고 있다고 밝혔다.
금융 분야는 국방을 제외한 민간 영역에서 양자 공격에 대한 우선 대응 영역으로 꼽힌다. HNDL 위협이 현재 진행형이라는 점을 고려하면, 인증서 발급 주기와 PQC 전환 일정 간의 정합성을 확보하는 것이 실질적인 과제로 남는다.
기술적 맥락: PQC란 무엇인가
PQC는 양자컴퓨터의 연산 방식으로도 풀기 어려운 수학 문제에 기반한 암호 알고리즘이다. RSA나 ECC는 소인수분해나 이산로그 문제의 어려움에 의존하는데, 이는 양자 알고리즘(쇼어 알고리즘 등)에 취약하다. PQC는 기존 인터넷 인프라 위에서 작동할 수 있어, 별도의 물리적 양자 네트워크 없이도 적용 가능하다는 현실적 이점이 있다. 미국 국립표준기술원(NIST)은 이미 표준 PQC 알고리즘을 확정한 바 있으며, 국내에서도 이에 상응하는 표준화 작업이 진행 중이다.