PQC 전문지식 부족…일관된 암호관리 전략도 없어
[데이터넷] 양자컴퓨팅(PQC) 시대가 눈앞에 다가왔는데, 기업의 61%는 PQC 보안 영향에 대처할 준비가 현재 되어 있지 않으며 앞으로도 그럴 것이라고 생각하는 것으로 나타났다.
이는 디지서트가 포네몬 인스티튜트를 통해 세계 주요 국가 기업 IT·IT 보안 실무자 1426명을 대상으로 실시한 설문조사에 따른 것으로, 응답자의 절반가량(49%)은 기업의 경영진이 양자 컴퓨팅의 보안 영향에 대해 어느 정도만 인지하거나(26%), 인지하지 못하고 있다고(23%) 답했다.
PQC 예산 배정 30% 뿐
양자 컴퓨팅은 양자역학의 법칙을 이용해 기존 컴퓨터로 해결이 어려운 고도로 복잡한 문제를 해결한다. 반면, 양자 컴퓨팅을 사용하면 암호를 해독하는 것은 훨씬 쉬워져 데이터와 사용자 보안에는 커다란 위협이 된다.
그런데 기업은 이에 대한 대비가 거의 되지 않은 상황으로 보이며, 응답자의 단 30%만이 소속 기업이 PQC 준비를 위한 예산을 배정하고 있는 것으로 나타났으며, 응답자의 52%는 소속 기업이 현재 사용되는 암호화 키의 유형과 그 특징에 대한 목록을 작성 중이라고 답했다.
보안 팀은 포스트 양자 컴퓨팅의 미래를 준비하는 동시에 기업을 겨냥한 사이버 공격에 대응해야 하는 부담을 안고 있는 것으로 나타났다. 응답자의 50%만이 소속 기업이 매우 효과적으로 전사적인 위험, 취약점 및 공격을 완화하고 있다고 답했다. 조사에 참여한 기업이 가장 많이 경험한 사이버 공격은 랜섬웨어와 크리덴셜 탈취인 것으로 나타났다.
응답자 절반, 암호화 키 특성·위치 파악 못해
기업에게 가장 큰 과제는 성공적으로 대비하기 위한 시간, 비용 및 전문 지식이 충분하지 않다는 것이다. 응답자의 41%는 기업이 PQC에 대비해야 하는 시간이 5년도 채 남지 않았다고 답했으며, 응답자의 단 30%만이 현재 소속 기업이 PQC 준비를 위한 예산을 배정하고 있다고 답했다.
많은 기업이 자사가 사용하는 암호화 키의 특성과 위치에 대해 아는 바가 전혀 없는 것으로 나타났다. 절반이 약간 넘는 응답자(52%)가 소속 기업이 현재 사용 중인 암호화 키의 유형과 특성에 대한 목록을 작성하고 있는 중이라고 답했다. 응답자의 39%만이 암호화 자산에 우선순위를 두고 있다고 답했으며, 36%는 데이터와 암호화 자산을 온프레미스(on-premises) 또는 클라우드에 둘 지 결정하고 있다고 답했다.
기업 전반에 일관되게 적용되는 중앙화된 암호 관리 전략을 갖춘 기업은 거의 없는 것으로 확인됐다. 응답자의 61%는 기업이 특정 애플리케이션이나 사용 사례에 적용되는 제한적인 암호 관리 전략만 있거나(36%), 중앙화된 암호 관리 전략이 없다(25%)고 답했다. 또한, 대부분의 응답자는 기업이 전사적인 모범 사례와 정책 추진 인증서/키 오용 감지 및 대응, 알고리즘 복원 및 위반 문제 해결, 계획하지 않은 인증서 방지 역량이 부족하다고 답했다. 정보 자산과 IT 인프라를 보호하기 위해 기업은 암호화 솔루션과 방법을 효과적으로 배포하는 역량을 강화해야 한다.
인재채용이 가장 중요
기업은 포스트 양자 시대의 요구 사항을 충족할 수 있는 전문 지식의 부족을 인식하고 있고, 이를 반영하듯 응답자의 55%가 인재 채용 및 유지를 디지털 보안의 가장 중요한 전략적 우선순위로 꼽았다. 암호화 민첩성 달성(51%)이 그 뒤를 이었는데, 이는 양자 컴퓨팅 방법을 이용하는 사람을 비롯해 새로운 프로토콜, 표준 및 보안 위협에 더 잘 대응하기 위한 암호 알고리즘, 매개변수, 프로세스 및 기술을 효율적으로 업데이트할 수 있는 능력을 의미한다.
또한 보고서는 포스트 양자 컴퓨팅에 대비하기 위해 기업은 고위 경영진의 지원, 암호화 키와 자산에 대한 가시성, 책임감과 오너십을 가지고 기업 전체에 일관되게 적용되는 중앙화된 암호 관리 전략을 포함하는 전략을 갖춰야 한다고 조언했다.
아밋 신하(Amit Sinha) 디지서트 CEO는 “PQC는 IT 리더가 지금 준비를 시작해야 하는 암호화 분야의 중대 사건이다. 암호화 민첩성에 투자한 미래 지향적인 기업은 2024년 최종 표준이 출시되면 양자 보안 알고리즘으로 전환을 더 잘 할 수 있게 될 것”이라고 말했다.
아태지역 63% “암호관리 전략 제한적”
아시아태평양 지역의 경우, 응답자의 39%가 소속 기업이 PQC의 보안 영향에 준비해야 하는 시간이 5년도 채 남지 않았다고 답했다. 응답자의 53%는 소속 기업이 양자 컴퓨팅의 보안 영향에 대한 대비 전략을 현재 수립했거나(19%), 향후 6개월 내 수립할 것(34%)이라고 답했다.
또한 기업의 63%는 중앙화된 암호 관리 전략이 부재하거나(23%), 있더라도 특정 애플리케이션이나 사용 사례에만 적용 가능한 매우 제한적인 수준(37%)인 것으로 나타나 포스트 양자 컴퓨팅의 미래에 대한 대비 현황이 미흡한 것으로 나타났다.
만도 다칼(Armando Dacal) 디지서트 아시아태평양 및 일본 지역 그룹 부사장은 “디지털 전환이 빠르게 이루어지고 있는 아태지역에서 양자 보안 암호는 매우 중요한 사안이다. 산업 단체와 정부가 주도적으로 추진하는 가운데, 점점 더 상호 연결되는 세상에서 기업들이 데이터를 보호하고 신뢰를 유지하기 위해서는 PQC 준비를 우선순위로 삼아야 할 것”이라고 말했다.
