컨텐츠 바로가기

06.17 (월)

줌, 양자 컴퓨팅 발전에 선제적 대응…"PQC 도입으로 플랫폼 보안 강화"

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
줌이 자사 협업 플랫폼 줌 워크플레이스(Zoom Workplace)에 '양자 내성(post-quantum)' 엔드투엔드 암호화를 추가했다고 밝혔다. 양자 컴퓨터가 기존 암호화 기술을 무력화할 정도로 발전하더라도 앱 간 전송되는 데이터를 보호하기 위해서다.
ITWorld

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>



문자 메시지부터 온라인 뱅킹, 쇼핑에 이르기까지 오늘날 인터넷 통신을 보호하는 최신 암호화 알고리즘은 현재의 컴퓨팅 기술 혹은 '고전적인' 컴퓨터로 해독하기 어렵다. 그러나 많은 보안 전문가는 사이버 공격자가 암호화된 데이터를 미리 수집했다가 양자 컴퓨터 성능이 충분히 향상한 이후 수집해 둔 데이터를 해독하는 "수집은 지금, 해독은 나중에(harvest now, decrypt later)"라는 전략을 채택할 수 있다고 우려한다.

최근 줌이 양자내성암호(post-quantum cryptography, PQC)를 통해 줌 워크플레이스 앱에서 지원하는 기존 EE2E 기능을 강화할 것이라고 발표한 것도 이런 이유에서다. 줌은 블로그를 통해 이런 소식을 전하며 통합 커뮤니케이션 소프트웨어 제공업체 중 PQC를 도입하는 것은 최초라고 주장했다. 줌은 미국 국립표준기술연구소(NIST)에서 표준화하고 있는 키 캡슐화 메커니즘(key encapsulation mechanism, KEM)인 카이버 768(Kyber 768)을 사용한다.

IDC의 인프라 시스템, 플랫폼 및 기술 그룹 소속 양자 컴퓨팅 연구 매니저 헤더 웨스트에 따르면, 양자 컴퓨터는 복잡한 수학 방정식을 능숙하게 풀 수 있어 기존 암호화 알고리즘을 해독할 수 있지만, 기존 시스템은 규모가 작고 오류율이 높다.

결과적으로 현대의 고전적인 알고리즘은 아직 위험하지 않지만, 양자 컴퓨팅이 계속해서 발전하면 소인수 분해를 빠르게 처리할 수 있는 쇼어 알고리즘(Shor's algorithm)을 실행할 수 있는 시스템, 즉 "큰 복합수를 효율적으로 인수분해"할 수 있어 기존 암호화 기술을 해독하는 데 걸리는 시간을 줄일 가능성이 있다.

웨스트는 "이런 이점 때문에 일부 공격 집단, 특히 국가 후원 사이버 공격자가 미래의 양자 시스템을 이용해 데이터를 해독하고 나중에 사용할 목적으로 현재 보관 가치가 있는 데이터(금융, 정부, 국방부 등)를 침해하고 탈취한다는 우려가 있다"라고 지적했다.

기업이 양자 복원력을 갖추기 위해 배포할 수 있는 PQC 알고리즘을 식별/개발하기 위한 여러 이니셔티브가 현재 진행 중이다. 예를 들어 NIST는 2016년 글로벌 이니셔티브를 시작했으며, 올해 말 최종 권고안을 발표할 예정이다. 2022년 미국 대통령 조 바이든은 정부 기관에 포스트 양자 암호화를 구현하기 위한 지침과 일정을 제공하기 위해 2개의 보안 각서(NSM-8 및 NSM10)를 발표했다.

줌의 포스트 퀀텀 EE2E 기능에 대해 웨스트는 문자 메시지와 가상 회의에서 전송되는 정보의 양은 "포스트 퀀텀 암호화에 있어서는 다소 미개척 영역"이지만 "이런 기술을 사용해 유출된 정보는 국가 안보 침해, 회사 영업 기밀의 우발적인 노출 등으로 이어질 수 있다"라며 중요성을 강조했다. 이어 "줌은 이번 기회를 통해 현재 데이터 보안이 취약한 영역을 파악하고 업계에 파괴적인 PQC 솔루션을 개발했다"라고 평가했다.

다만 웨스트는 줌의 접근 방식에 "심각한 한계"가 있다고 지적했다. 예를 들어, 보안을 위해 모든 미팅 참가자는 줌 데스크톱 또는 모바일 앱 버전 6.0.10 이상을 사용해야 하는데, "모든 사람이 최신 버전을 사용한다는 보장이 없다"라는 것이다.

또한 줌의 포스트퀀텀 암호화를 사용하면 참가자는 클라우드 녹화 같은 일부 주요 기능을 사용할 수 없다. 웨스트는 "PQC가 효과적이려면 잠재적인 양자 사이버보안 침해에서 안전해야 할 뿐더러 사용하지 않을 때와 동일한 애플리케이션과 인프라의 성능과 유용성을 제공할 수 있어야 한다. 하지만 줌의 구현은 그렇지 않은 듯하다"라고 지적했다.

앞으로는 모든 기업이 암호화된 데이터를 안전하게 보관하는 방법을 고려해야 한다. 웨스트는 "기업은 이런 위험을 심각하게 받아들여야 한다. 양자 컴퓨팅에 투자하지 않는다면 포스트 양자 암호화에도 투자할 필요가 없다는 오해가 있는 것 같다"라고 언급했다.
editor@itworld.co.kr

Matthew Finnegan editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.