한국CISO협의회, 제147차 CISO 포럼 성료
오영석 삼성SDS 부사장, 양자 내성 암호 전환 전략 소개

[보안뉴스 조재호 기자] “양자내성암호(PQC) 전환은 광범위하고 장기간 진행될 프로젝트입니다. 이 때문에 거버넌스 수립 과정부터 전사적 협업을 통한 마스터플랜 수립이 필요합니다.”

오영석 삼성 SDS 부사장은 16일 서울 중구 더 플라자 호텔 서울에서 열린 ‘한국CISO협의회 제147차 CISO 포럼’에서 이같이 말했다. 다가올 양자 컴퓨팅 시대에 앞서 PQC 전환을 위한 현황 분석이 중요하다는 의미다.


이날 포럼에서 오 부사장은 양자 컴퓨팅 시대에 앞서 새로운 보안 위협에 대비하고자 하는 CISO 관점에서의 PQC 전환 전략을 소개했다.

오 부사장은 “양자 시대가 열리면 현 RSA 알고리즘이 무력화된다”며 “현재 암호화된 트래픽을 수집해, 미래의 양자컴퓨터로 복호화하는 등의 새로운 보안 위협에도 대응이 필요할 것”이라고 말했다.

오 부사장은 이날 한국과 미국의 PQC 추진 동향을 공유하며, 기업의 PQC 전환을 위한 거버넌스에 대해 탐색, 계획, 테스트·실행 단계로 나눠 설명했다.


탐색 단계에서는 암호화 기준을 수립함과 동시에 사내 모든 소프트웨어와 하드웨어 등 IT 서비스 분야에서의 암호를 식별하고 위험 평가를 진행한다.

계획 단계는 데이터 중요도와 서비스 구성에 따라 우선순위 대상을 선정하고, 각 암호 체계의 영향도를 분석해 제품별 마이그레이션 방식을 검토한다. 또, EOS 일정을 감안해 방식을 선정하고 새로운 솔루션 도입에서 PQC 적용 의무화 요건을 넣는 문제 등 고려할 사안이 있다.

테스트·실행 단계는 업무 영향도가 낮은 시스템을 대상으로 PQC 전환 테스트를 진행해 영향도를 분석하고 대비책을 마련하는 과정이다.

오 부사장은 “보안 부서의 암호화 기준 수립을 시작으로 IT기획과 개발, 운영, 구매 등 전사적인 대비가 필요한 부분”이라며 “PQC 전환은 광범위하고 긴 시간이 필요한 작업인 만큼 전사적 협업을 통한 마스터플랜 수립이 필요하다”고 강조했다.

이어 삼성SDS의 ‘S-CAPE’는 각 과정에서 양자컴퓨팅에 취약한 알고리즘 사용 현황을 식별하고 대칭키 길이 증가에 따른 성능 영향 및 인증서 교체 등의 마이그래이션 일정 수립을 지원한다고 덧붙였다.


이날 포럼에는 이상훈 버카다 이사도 발표자로 참여해 ‘경계 없는 보안을 향해: IT와 물리보안 융합이 여는 새로운 표준’을 주제로 물리보안과 사이버보안의 경계를 허문 융합보안 관련 인사이트를 공유했다.

이 이사는 “물리보안이 CISO의 영역으로 넘어오고 있다”며 “물리보안은 CCTV로 대표되는 시큐리티를 넘어 세이프티, 빌딩 등 관리의 영역까지 포함하는데, 기술 격차로 인한 사일로 현상으로 많은 문제를 겪고 있다”고 설명했다.

이에 버카다는 물리보안과 사이버보안의 기술 격차를 해소하고, 공격 표면 중 가장 취약한 고리가 된 물리보안 통합을 위해 인공지능(AI)을 활용한 통합 솔루션을 제시했다. 버카다는 클라우드 환경에 최적화된 AI 카메라를 통해 물리보안 환경의 전환을 이끌고 물리-사이버 보안의 일관된 운영을 지원한다.

한편, 이날 포럼에는 이기주 한국CISO협의회장과 최우혁 과학기술정보통신부 정보보호네트워크정책관, 이원태 국가인공지능전략위원회 민간위원 등이 참석해 CISO들의 적극적인 보안 강화 노력과 활발한 활동을 독려했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>