양자컴퓨팅 시대 개인정보 보호 위협, KT가 제시한 양자내성암호(PQC) 보안 전략

핵심 요약

- 양자컴퓨터 시대 도래로 RSA 등 기존 공개키 암호 체계의 안전성이 위협받으며 개인정보 보호 위기 직면 - KT 정제민 상무가 2026년 6월 19일 특별세션에서 양자내성암호(PQC) 기반 보안 전략 발표 - AI와 양자기술 결합 시대를 대비한 선제적 암호 체계 전환의 필요성 강조

주요 내용

양자컴퓨터의 상용화가 임박하면서 개인정보 보호 분야에 중대한 위협이 제기되고 있다. 현재 금융, 의료, 통신 등 모든 산업에서 사용되는 RSA, ECC 등 공개키 암호 방식은 양자컴퓨터의 쇼어(Shor) 알고리즘에 의해 수 분 내에 해독될 수 있다는 것이 학계의 일관된 전망이다. 이는 현재 암호화되어 보관 중인 개인정보가 미래에 소급 해독될 수 있는 'Harvest Now, Decrypt Later' 공격 위험을 의미한다.

KT 네트워크AI연구담당 정제민 상무는 2026년 6월 19일 진행된 KT 특별세션에서 이러한 위협에 대응하기 위한 양자내성암호(Post-Quantum Cryptography, PQC) 전략을 발표했다. 양자내성암호는 양자컴퓨터로도 해독이 어려운 수학적 난제에 기반한 차세대 암호 기술로, 미국 NIST가 2024년 표준을 확정한 바 있다.

정 상무는 AI 기술 발전과 양자컴퓨팅이 결합될 경우 개인정보 침해 위협이 기하급수적으로 증가할 것이라고 경고하면서, 통신 인프라부터 클라우드 서비스까지 전 영역에 걸친 암호 체계 전환이 시급하다고 강조했다. 특히 개인정보를 대량으로 보유한 통신사업자의 선제적 대응이 산업 전반의 보안 수준을 좌우할 것이라는 점을 지적했다.

국내에서도 과학기술정보통신부와 국가정보원이 2025년부터 양자내성암호 전환 로드맵을 추진하고 있으며, 금융권과 공공기관을 중심으로 시범 적용이 진행 중이다. 2026년 현재 글로벌 IT 기업들은 하이브리드 암호 방식(기존 암호+PQC)을 우선 도입하며 점진적 전환을 모색하고 있다.

전문가 시각

ISMS-P 인증 심사 실무 관점에서 양자내성암호 전환은 단순한 기술 업그레이드가 아닌 전사적 정보보호 거버넌스 재설계를 요구한다. 암호키 관리 체계(3.4.2), 암호화 적용(3.4.3) 인증기준이 양자내성 알고리즘을 수용하도록 정책과 절차를 전면 개정해야 하며, 레거시 시스템과의 호환성 검토, 성능 영향 평가, 암호 민첩성(Crypto-Agility) 확보가 필수적이다. 특히 개인정보 생명주기 전반에 걸친 암호화 적용 현황을 재점검하고, PQC 전환 일정을 정보보호 중장기 로드맵에 반영해야 한다.

기업 실무 대응 측면에서는 2026년 하반기부터 2027년까지를 준비 골든타임으로 보고, ①현행 암호 자산 인벤토리 구축 ②PQC 알고리즘별 성능·보안성 PoC ③하이브리드 암호 모드 우선 적용 ④공급망 전반의 암호 호환성 협의 등 4단계 접근을 권고한다. 특히 개인정보 처리 시스템의 암호 모듈을 모듈화·추상화하여 알고리즘 교체가 용이한 구조로 사전 개선하는 것이 향후 전환 비용을 크게 절감할 수 있다.

CPPG·ISMS-P 연계 포인트

암호키 관리 및 암호화 적용(ISMS-P 3.4 영역): 양자내성암호 전환은 암호키 생성·보관·폐기 전 과정의 재설계를 요구한다. 기존 2048비트 RSA 키가 PQC에서는 수 KB 크기로 증가하므로 키 저장소 용량, 전송 프로토콜, HSM 호환성 등을 사전 검토해야 하며, 암호 정책에 PQC 알고리즘 목록과 전환 일정을 명시해야 한다.

개인정보 암호화 의무(개인정보보호법 시행령 제21조): 고유식별정보, 비밀번호 등 법정 암호화 대상 개인정보에 대해 양자컴퓨터 위협을 고려한 암호 강도 재평가가 필요하다. 현행 법령이 구체적 알고리즘을 명시하지 않으므로, 보호위원회 고시 개정 전이라도 내부 보안성 검토를 통해 양자내성 수준의 암호화를 선제 적용하는 것이 개인정보 처리자의 안전성 확보 의무 이행에 부합한다.