양자

DORA와 퀀텀 세이프 암호화 마이그레이션

컴퓨터에서 회사의 주가 데이터를 조사하는 금융 서비스, 주식 분석가

작성자

Dinesh Nagarajan

Global Partner - Cybersecurity

IBM Consulting

Joachim Schäfer

Managing Security Consultant

IBM

양자 컴퓨팅은 오늘날 기존 컴퓨터가 해결할 수 없는 문제를 해결할 수 있는 잠재력을 지닌 새로운 패러다임입니다. 안타깝게도 이는 디지털 경제, 특히 금융 부문에도 위협을 가하고 있습니다.

디지털 운영 복원력 법(DORA)은 금융 서비스 부문에서 "높은 수준의 운영 회복력"을 달성하기 위해 유럽연합(EU) 전역에 일관된 요건을 도입하는 규제 체계입니다. 신용 기관, 결제 기관, 보험 회사, 정보 통신 기술 (ICT) 서비스 제공업체 등 DORA가 적용되는 주체는 2025년 1월 17일까지 규정을 준수할 것으로 예상됩니다.

EU 내 금융 기관에 대한 새로운 요구 사항

DORA는 ICT 위험 관리, 사고 보고, 운영 복원력 테스트, 사이버 위협 및 취약성 정보 공유, 제3자 위험 관리 전반에 걸쳐 일련의 요구 사항을 제시합니다. 이러한 요건의 일부이자 데이터 보호 및 암호화와 관련하여 제9조("보호 및 예방")에서는 금융 기관이 "(a) 데이터 전송 수단의 보안을 보장"하거나 "(c) 진위성과 무결성의 손상, 기밀성 침해 및 데이터 손실을 방지"하는 ICT 솔루션 및 프로세스를 "사용"해야 한다고 명시하고 있습니다.

제9조와 관련하여 고려해야 할 추가 요소들은 제15조에 언급되어 있으며, ESA가 2024년 1월 17일에 발표한 관련 (초안) 규제 기술 표준에 명시되어 있습니다. 특히 JC 2023 86은 암호학적 지침에 대한 상세한 요구사항을 제공합니다. 또한 서문에는 다음과 같은 내용이 명시되어 있습니다.

"암호화 기술 분야의 급속한 기술 발전을 고려할 때 금융 기관은 [...] 암호화 분석의 관련 발전 상황을 파악하고 선도적인 관행과 표준을 고려해야 하며, 따라서 양자 발전을 포함한 암호화 위협의 역동적인 환경에 대처하기 위해 완화 및 모니터링을 기반으로 유연한 접근 방식을 따라야 합니다."

아래에서는 언급된 '암호화 위협'과 이들이 양자 컴퓨팅의 맥락에서 금융 기관에 미칠 수 있는 영향에 대해 더 자세히 설명합니다.

업계 뉴스레터

전문가의 인사이트를 바탕으로 한 최신 기술 뉴스

Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.

감사합니다! 구독이 완료되었습니다.

구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.

양자 위협 및 퀀텀 세이프 암호화

현재의 양자 컴퓨터는 여전히 노이즈로 인해 어려움을 겪고 있고 아직 '내결함성'이 없지만, 이미 그 유틸리티를 입증하는 인상적인 이정표에 도달했습니다. 민간 부문과 학계에서 많은 투자가 이루어지고 있다는 점을 고려할 때, 이 기술은 시간이 지남에 따라 확장되고 획기적으로 개선될 것으로 예상됩니다. 디지털 경제에 대한 잠재적 위협도 커질 것입니다.

1994년, 물리학자 Peter Shor는 대규모 양자 컴퓨터에서 실행되면 Rivest-Shamir-Adleman(RSA), Diffie-Hellman, Elliptic Curve Cryptography(ECC)와 같은 공개키 암호학 알고리즘을 해독할 수 있는 알고리즘을 소개했습니다. 금융 부문은 은행 거래의 기밀성과 무결성, 고객의 진위 여부, 디지털 서명 문서의 유효성, 고객 금융 데이터의 기밀성을 보장하기 위해 이러한 알고리즘에 의존하고 있습니다. 지원하는 암호화를 더 이상 신뢰할 수 없게 되면 금융 부문 전체가 위험에 처하게 됩니다.

암호화에 대한 양자 위협

암호화에 대한 양자 위협

오늘날의 암호화를 깨기 위해서는 이른바 암호 관련 양자 컴퓨터(CRQC)가 실현되어야 합니다(일부 전문가들은 2030년대 초반에 실현될 수 있을 것으로 예상합니다). 그러나 그 영향은 미래에 있지만 우리는 이미 위험에 처해 있습니다. 공격자가 오늘 암호화된 기밀 데이터를 수집하여 나중에 암호를 해독하는 경우를 상상할 수 있습니다.

빠른 속도로 추적되는 양자 내성 암호화

다행히도 새로운 퀀텀 세이프 암호화가 표준화되고 있으며, 미국 국립표준기술연구소(NIST)에서 가장 주목할 만한 노력을 기울이고 있습니다. 2016년에 NIST는 일반 시스템(예: 노트북, 클라우드 등)에서 실행되지만 양자 컴퓨터로는 풀기 어려운 수학적 문제에 의존하기 때문에 양자 공격자에게 저항할 수 있는 새로운 암호화 형식을 표준화하기 위해 80개 이상의 제출물을 제출하는 경쟁을 시작했습니다.

표준화용 알고리즘 첫 4개는 2022년 7월에 NIST에서 선정되었습니다(이 중 3개는 IBM에서 공동 기여). 표준은 2024년에 발표될 예정이나 추가적인 대체 후보가 계속 검토되고 있습니다.

퀀텀 세이프(일명 '포스트 퀀텀 암호화')에 대한 NIST 표준화 타임라인

퀀텀 세이프(일명 '포스트 퀀텀 암호화')에 대한 NIST 표준화 타임라인

퀀텀 세이프 암호화 표준이 눈앞에 다가왔습니다. 안타깝게도 특히 금융 부문의 복잡성으로 인해 앞으로 긴 여정이 기다리고 있습니다. NIST는 "이러한 표준의 완전한 구현이 완료되기까지 [...] 5년에서 15년 이상의 시간이 경과할 것"이라고 가정합니다. 이를 CRQC의 개발 타임라인과 오버레이해 보면, 기업들은 이 여정을 지금 시작해야 한다는 것을 깨닫게 됩니다.

양자가 DORA에 영향을 미치는 이유

양자 위협이 구체화되면 금융 기관의 운영 탄력성에 큰 영향을 미칠 수 있으며 전 세계 경제를 혼란에 빠뜨릴 수 있습니다. 다행히도 이러한 위협을 완화하는 데 필요한 새로운 퀀텀 세이프 암호화 알고리즘(곧 표준이 발표될 예정)을 사용할 수 있습니다.

이를 DORA의 요구 사항과 연관시키면 몇 가지 직접적인 연결 고리를 그릴 수 있습니다. 제9조를 충족하기 위해 금융 기관은 퀀텀 세이프 데이터 전송 수단과 '진정성과 무결성의 손상, 기밀성 위반 및 데이터 손실을 방지'하는 퀀텀 세이프 메커니즘을 채택해야 합니다.

이는 곧 퀀텀 세이프 전송 계층 보안(TLS) 또는 퀀텀 세이프 가상 사설망(VPN)과 같은 향후 퀀텀 세이프 데이터 전송 프로토콜을 채택해야 한다는 것을 의미합니다, 법적 구속력이 있는 문서 또는 은행 거래에 서명하기 위한 퀀텀 세이프 메커니즘을 도입해야 합니다. 따라서 금융 기관은 퀀텀 세이프 공개 키 인프라(PKI) 및 키 관리 시스템과 같은 지원 인프라를 구현해야 합니다.

또한 오늘날의 구현은 종종 제3자 공급업체의 손에 달려 있습니다. 복잡성을 더하기 위해 많은 경우 '클라우드로의 이전' 또는 '제로 트러스트' 구현과 같은 기존 프로그램이 위에서 언급한 여러 요소에 영향을 미칩니다.

Mixture of Experts | 12월 12일, 에피소드 85

AI 디코딩: 주간 뉴스 요약

세계적인 수준의 엔지니어, 연구원, 제품 리더 등으로 구성된 패널과 함께 불필요한 AI 잡음을 차단하고 실질적인 AI 최신 소식과 인사이트를 확인해 보세요.
Mixture of Experts의 모든 에피소드 보기

양자 위협은 심각한 결과를 초래할 수 있습니다

최악의 시나리오에서는 금융 서비스 조직이 디지털 에코시스템에서 양자 위협을 해결하지 않으면 다음과 같은 방식으로 비즈니스의 복원력에 영향을 미칠 수 있습니다.

  • 네트워크에서 인증된 사용자를 확인할 수 없으면 혼란이 초래되고 디지털 에코시스템에 대한 신뢰가 완전히 떨어집니다.
  • 데이터 보호에 사용되는 메커니즘(예: 암호화)에 대한 신뢰 부족으로 인해 데이터 개인정보 보호 규정을 이행할 수 없습니다.
  • B2B 및 공급망 네트워크에 취약한 암호화 프로토콜 및 알고리즘이 존재함으로써 외부 위협에 노출될 위험이 증가했습니다.
  • 디지털 서비스 및 애플리케이션을 개선하려면 다운타임으로 인한 일상 업무 중단이 필요합니다.

JC 2023 86에 따른 현재 초안 요구 사항을 고려할 때, 퀀텀 세이프 암호화가 표준화된 직후, 이는 주요 관행으로 간주될 것으로 예상할 수 있습니다. 따라서 양자 위협이 언제 실현될 수 있는지에 관계없이 DORA와 같은 규제 요구 사항은 곧 금융 산업에서 퀀텀 세이프 암호화의 채택을 암묵적으로 의무화할 것입니다.

동시에 조직은 현재 암호화가 구현되는 방식을 현대화하고 향후 변경을 훨씬 더 시기적절하고 비용 효율적으로 수행하여 전반적인 암호화 민첩성을 개선할 수 있는 기회를 포착해야 합니다.

퀀텀 세이프 마이그레이션 구현

퀀텀 세이프 암호화를 구현하는 것이 쉬운 일이 아니라는 것은 분명합니다. 이러한 마이그레이션 프로그램에는 민첩성이 필요하며, 또한 조기 이동자의 이점을 활용할 가능성도 있습니다. 이를 위해서는 하향식 비즈니스 우선 순위와 상향식 기술 기능을 포함한 다각적인 접근 방식이 필요합니다.

DORA의 영향을 받는 조직이 최소한으로 취해야 할 단계는 다음과 같습니다.

  • 기업의 암호화 상태를 평가 및 검토하고 양자 위협의 영향을 받을 수 있는 요소(애플리케이션, 네트워크, 전략 프로젝트 등)를 식별합니다.
  • 비즈니스 우선순위에 따라 계획을 개발하고 기존 혁신 프로그램과의 시너지 효과를 고려하여 영향을 받는 디지털 서비스 및 해당 시스템에 대한 문제 해결 접근 방식을 마련합니다.
  • 암호화 검색 및 인벤토리 기능을 도입하여 암호화 상태를 개선합니다. 암호화 관측 가능성을 도입하여 암호화 규정 준수를 지속적으로 검증합니다. 여기에는 "암호화 재료 명세서(BOM)" 활용이 포함됩니다. 이러한 요소는 조직의 암호화 민첩성을 향상시킵니다.
  • 현재 변경 프로세스와 전략적 프로젝트가 암호화의 영향을 고려하고, 운영 중단을 최소화하는 방식으로 문제 해결을 구현하기 위한 조항을 마련합니다.
  • 위의 단계를 지속적으로 이어갈 수 있도록 프로그램을 후원합니다.

무엇보다도, 지체하지 말고 이 단계를 시작합니다. 조직에서는 지금 바로 퀀텀 세이프 마이그레이션 프로그램을 정의할 것을 강력히 권장합니다.