개인정보 보호위원회

KPMG, 양자 컴퓨팅의 발전에 따른 위험요소 식별 및 위험 관리 방안 제시

KPMG가 양자 컴퓨팅*으로 인한 사이버 보안 위험 요소를 설명하고, 새로운 사이버 보안 위협을 방지하기 위한 위험관리 방안을 제시

* 양자 컴퓨팅(quantum computing) : 양자 물리학을 컴퓨팅에 사용하도록 설계된 컴퓨팅 방식으로 신약 연구, 에너지 사용, 제조, 사이버보안, 통신, AI 애플리케이션, 자율 주행 차량 내비게이션, 금융 모델링 등 혁신에 기여

양자 컴퓨팅은 은행, 상거래, 기업 데이터, 문서, 디지털 서명 등 광범위하게 사용되는 암호화 방식을 무력화 할 수 있는 잠재력을 내재

- 특히, ‘선수집 후해독(HNDL)*’ 방식을 사용하는 양자 공격은 건강정보, 금융기록, 정부 문서 등 장기적으로 가치가 있는 데이터에 대한 위협 행위자의 관심을 촉발

  * 선수집 후해독(harvest-now, decrypt-later) : 공격자가 암호화된 파일을 탈취한 후 더 진화된 양자 컴퓨팅 방식이 등장할 때까지 해당 파일을 보관하고 있다가 복호화하여 내용을 탈취하는 공격방법

- 새로운 위협에 대한 노출을 제한하고 취약성을 완화하는데 있어, 양자 위험관리에 대한 조직의 준비 수준은 매우 중요해질 것으로 전망

조직은 양자 컴퓨팅이 비즈니스 운영 및 보안에 미칠 수 있는 위험요소를 신속히 식별하고, 데이터를 보유 및 처리하는 모든 조직은 데이터의 가치를 파악하며, 위협 행위자가 해당 데이터를 악용할 경우 기업에 미치는 영향 등을 고려해야 함

- (민감한 조직 데이터) 군대, 정보기관, 금융 및 정부 기관 등이 보유한 초고도 기밀 정보 등

- (핵심 인프라 제공업체) 의료, 교통, 전기, 수도, 통신 등 국가의 기능에 핵심적인 시스템을 운영하는 조직은 양자 컴퓨팅을 통한 전력망 공격 시 잠재적으로 발생 가능한 영향 등을 고려

- (수명이 긴 인프라 제공업체) 위성통신, 결제 단말기, 사물인터넷(IoT) 센서 네트워크 등 수익 창출을 목적으로 수명이 긴 시스템을 제공하는 조직으로, 데이터 유출 발생 시 특정 데이터 포함 여부와 상관없이 재정‧신뢰도‧법적 측면에서 막대한 손해를 야기

- (컨트롤러 의무사항) 정부, 의료기관, 금융기관 및 보험사 등 기밀 유지 기간이 긴 개인정보를 관리하는 조직은 법에 따라 해당 개인정보를 보호해야 할 의무가 있으므로 5년, 10년, 20년 이상 등 장기간에 걸쳐 개인정보를 보호

조직은 아래와 같은 위험관리 방안을 수립하고 이행함으로써 잠재적인 양자 위험을 완화하고 조직을 보호

- ▲ 고위 경영진에게 양자 위험에 대한 인식 제고, 교육 및 로드맵 제공 ▲ 현대 암호화 환경 구축을 위한 로드맵 및 솔루션 개발 ▲ 양자 내성 기술에 대한 투자 지침 제공 ▲ 양자 공격을 방지하기 위한 비상 대응계획 및 위험 관리방안 마련 ▲ 진화하는 양자 및 보안 환경에 대한 지속적인 모니터링

출처: What is the cyber security risk from quantum computing? (KPMG, 2024.4.23.)