미국의 차세대 사이버 보안 대처, 양자 컴퓨팅ㆍ인공지능 돛 달까
[IT동아 강형석 기자] 2025년 6월 6일(미국 현지 기준), 도널드 트럼프 미국 대통령은 국가 사이버 보안 강화를 위한 행정명령에 서명했다. 미국과 미국인을 표적으로 한 사이버 공격이 수십억 달러의 손실을 초래하고 국가 보안과 사생활까지 침해하고 있다는 게 이유다. 행정명령은 디지털 인프라(시설) 방어, 디지털 서비스 역량 확보, 위협 대처 역량 구축에 초점을 뒀다.
미국 상무부 장관은 2025년 8월 1일까지 미국 국립표준기술연구소(NIST) 국장을 통해 산업계 컨소시엄을 구성, 보안 소프트웨어 개발 프레임워크(SSDF – Secure Software Development Framework) 지침을 개발해야 된다. SSDF는 보안 소프트웨어 개발, 보안, 운영 등 입증 과정이 모두 포함된 작업 규칙이다. 개발 지침은 NIST 특별 간행물(800-218)에 적용된다.
이어 2025년 9월 2일까지 정보 시스템 및 조직을 위한 보안, 개인정보 보호 통제 항목을 갱신하는 과정을 거친다. 패치와 업데이트를 안전하게 배포하는 방법에 대한 지침이 포함된다. SSDF 운영 지침이 완성되면 2025년 12월 1일까지 예비 업데이트를 개발, 공표한다. SSDF 최종판은 예비 업데이트 공표 후 120일 이내에 공개된다.
미국의 사이버 보안 강화 지침은 암호관련 양자 컴퓨터(CRQC – Cryptographically Relevant Quantum Computer) 대응, 인공지능 보안(AI Security)과 연관이 있다. 행정명령에도 양자 후 암호화(PQC – Post Quantum Cryptography), 인공지능 기반 위협 탐지 기술 전환이 언급됐다. 양자 컴퓨팅, 인공지능 기술 발달에 따라 그에 알맞은 보안 기술 확보가 필요하다는 것을 고려한 조치로 풀이된다.
다가올 차세대 사이버 위협에 대응하는 미국 정부
시장조사기업 포춘 비즈니스 인사이트 자료에 따르면 2024년 글로벌 기관 보안 시장은 5834억 7000만 달러(약 801조 5916억 원)로 평가됐다. 2023년 3944억 달러(약 541조 9060억 원) 대비 큰 폭으로 상승했다. 일반 보안 시장도 성장 추세다. 시장조사기업 프리시던스 리서치 자료에 따르면 글로벌 사이버 보안 시장은 2024년 2681억 3000만 달러(약 368조 3033억 원)에서 2025년 3019억 1000만 달러(약 414조 7035억 원) 규모가 될 것으로 전망했다.
사이버 위협의 증가가 투자 확대의 이유다. 외부 사이버 공격이 급증하면서 기업과 공공 기관은 앞다퉈 보안 투자 확대에 나선 것이다. 인공지능, 양자 컴퓨팅 기술 발달로 공격이 점점 집요하고 정교해지는 추세인 점도 투자 확대에 영향을 줬다.
다양한 사이버 위협이 있지만, 미국은 가까운 미래에 등장할 CRQC에 주목했다. CRQC는 일반 양자 컴퓨터와 달리 암호 분석 공격에 특화된 장치다. 양자 컴퓨터는 현행 컴퓨터가 처리하는 0과 1을 순차 처리하는 게 아닌 동시에 처리 가능하다. 이를 큐비트(Qbit)라 부른다. 데이터를 동시에 처리하는 양자 컴퓨터 연산 구조 때문에 기존 컴퓨터로 불가능하다고 여겨졌던 암호 해독이 가능하다. CRQC 도입 시기가 앞당겨질 경우, 알고리즘으로 암호화된 데이터 기밀성은 침해될 수밖에 없다. 디지털 서명의 무결성 및 부인 방지 기능도 무력화된다.
인공지능을 활용한 사이버 공격도 유사하다. 다양한 데이터를 학습, 추론하는 기술적 특성 때문에 시간이 흐를수록 암호화 알고리즘의 빈틈을 찾아 공격할 수 있다.
미국 정부는 현재 운영 중인 비대칭 보안 알고리즘을 상대적으로 안전한 보안 알고리즘으로 대체하는 방향으로 대응할 가능성이 있다. 대표적으로 1977년 개발된 리베스트-샤미르-애들먼(RSA) 암호가 있다. RSA 암호는 공개 키와 개인 키를 사용해 암호화 및 복호화가 가능하다. 디지털 서명 생성ㆍ검증에 활용되는 기술로 대부분 온라인 서비스에 적용되어 있다. 서비스 운영사는 속도가 느려도 키 길이가 길수록 안전하기에 2048비트~4096비트 값을 쓰는 게 일반적이다.
하지만 인증 과정에서 생기는 찰나의 빈틈을 노리거나 서명 위조, 난수 생성 등 알고리즘 적용ㆍ실행 과정의 취약점을 CRQC로 빠르게 파고든다면 위협적이다.
CRQC에 의한 사이버 공격에 대한 방어 수단으로 거론되는 기술은 PQC다. PQC는 양자 내성 암호화 또는 양자 안전 암호화 기술로 알려져 있다. 양자 기술 기반의 새 수학적 알고리즘을 적용, 외부 침입을 방어하는 구조다. 우선 대칭형 블록 암호화 알고리즘인 고급 암호화 표준(AES), 암호학 기반 해시 함수 알고리즘인 보안 해시 알고리즘(SHA) 등의 채택 가능성이 있다. 모듈 격자 기반 키 캡슐화 구조(ML-KEM, 맥엘리스(McEliece), HQC(Hamming Quasi-Cyclic) 등 양자 내성을 갖춘 알고리즘으로 전환할 가능성도 있다.
모듈 격자 기반 키 캡슐화 구조(ML-KEM – Module Lattice Based Key Encapsulation Machanism)는 공개 키와 개인 키 한 쌍을 생성해 암호화ㆍ복호화에 쓴다. 각각의 키를 교차 적용, 안전하게 데이터를 암호화하고 공유하는 데 쓴다. 하지만 키 교환 과정에서 오류가 발생할 수 있다. 이에 NIST는 2025년 3월, ML-KEM을 보완하는 알고리즘으로 HQC를 채택했다. HQC는 오류정정코드(ECC)를 활용해 보안과 안정성을 확보했는데, NIST는 2026년 내에 표준 초안을 마련하고 2027년까지 표준화를 완료할 계획이다.
맥엘리스 암호화 알고리즘도 HQC와 마찬가지로 오류정정코드를 활용하지만 데이터 내 오류를 감지하고 수정하는 데 초점을 뒀다. 장기적인 데이터 보호, 정부 및 군사 통신과 같은 고신뢰 애플리케이션에 적합하다는 평가다.
성장하는 사이버 보안 시장에서 주목해야 될 산업은?
미국 정부가 사이버 보안에 대응하려는 움직임을 보이면서 관련 산업도 함께 대응할 가능성이 높다. 어떤 기업이 미국 상무부, NIST와 컨소시엄을 구성하는지에 따라 변동성도 유입될 것으로 예상된다. 미국 정부는 PQC와 AI를 언급했기 때문에 관련 기술 개발 혹은 보유한 기업의 동향을 파악하는 게 중요해졌다.
네트워크 보안 분야에서는 팔로알토 네트웍스(Palo Alto Networks)가 있다. 네트워크ㆍ클라우드 보안, 보안 운영(SecOps) 등 사이버 보안 설루션을 제공한다. AI 기반 위협 차단, 제로 트러스트 보안 기술도 갖췄다. 양자 난수 생성기(QRNG) 오픈 API를 출시하면서 양자 안전 암호화 기술을 기존 보안 시스템에 통합하려고 시도 중이다. 팔로알토 네트웍스는 2025년 5월 20일 발표한 2025년 2분기 실적에서 총매출 22억 9000만 달러(약 3조 1460억 원)를 기록하며 시장의 기대치를 충족시켰다. 매출은 전년 동기 대비 15% 상승한 수치다. 니케시 아로라(Nikesh Arora) 팔로알토 최고경영자는 “차세대 보안 전환의 변곡점에 도달했다고 생각한다. 인공지능이 빠르게 적용됨에 따라 단편적인 보안 환경에서 통합 환경으로 나아가야 할 것”이라고 말했다.
네트워크 기업 시스코(Cisco)도 양자 키 분배(QKD), 양자 내성 암호(PQC) 기술을 네트워크 보안 설루션에 통합하고 있다. 시스코는 2025년 5월 15일에 발표한 2025년 1분기 실적 발표에서 총매출 141억 달러(약 19조 6342억 원)를 기록했다. 이 중 보안 부문 매출이 20억 1300만 달러(약 2조 8117억 원)로 전년 동기 대비 54% 상승했다.
아이온큐(IonQ), 리게티 컴퓨팅(Rigetti Computing) 등 양자 컴퓨터 개발 기업의 행보에도 관심이 집중된다. 아이온큐는 2025년 6월 10일, 영국 양자 컴퓨팅 스타트업, 옥스퍼드 아이오닉스(Oxford Ionics)를 인수했다. 옥스퍼드 아이오닉스는 원자(이온)를 자석과 전기장으로 공중에 띄우는 기술을 보유했다. 공중에 뜬 원자를 조종해 데이터를 처리함으로써 연산 속도와 정확도를 높였다. 아이온큐는 옥스퍼드 아이오닉스 인수를 통해 2030년까지 200만 개의 물리 큐비트, 8만 개의 논리 큐비트 처리 가능한 양자컴퓨터를 완성할 계획이다.
[투자를 유도하는 게 아니며 모든 자료는 참고용으로 작성됐습니다. 모든 매매에 대한 선택과 결과에 따른 책임은 투자자 본인에게 있습니다.]
IT동아 강형석 기자 (redbk@itdonga.com)
