CISO Perspectives: 양자 컴퓨팅 시대, 현재 암호화된 데이터를 어떻게 보호할 것인가?

* 해당 블로그의 원문은 2024년 8월 16일 Google Cloud 블로그(영문)에 게재되었습니다.

"오늘은 조직 이사회의 관점에서 바라본 세 가지 사이버 보안 주제인 다중 인증(MFA), 디지털 주권, 양자 암호화를 집중적으로 다루는 보고서에 대해 알아보겠습니다. 모든 CISO 관점 뉴스레터는 구글 클라우드 블로그에도 게시됩니다. 구독하면 뉴스레터로 편히 받아 볼 수 있습니다."

- 펠 베너블스, 구글 클라우드 부사장 및 CISO

조직의 이사회는 양자 컴퓨팅을 활용한 보안을 어떻게 받아들여야 할까?

펠 베너블스, 구글 클라우드 부사장 및 CISO

요즘 IT 분야에서 뜨는 키워드 중 하나로 양자 컴퓨팅을 꼽습니다. 양자 컴퓨팅은 양자 역학을 사용해 현재 우리가 사용하는 컴퓨터가 해결할 수 없는 복잡한 수학 문제를 풀어냅니다. 새로운 차원의 성능은 양날의 검과도 같습니다. 보안 분야에서는 오늘날 우리가 사용하는 암호화를 쉽게 깰 수 있다고 우려하기도 합니다.

실제로 양자 컴퓨터는 온라인 통신과 민감한 데이터를 보호하는 코드 또는 암호를 해독할 수 있습니다. 이는 온라인 개인정보와 디지털 세계의 보안을 위험에 빠뜨릴 수 있는 심각한 결과를 초래할 수 있습니다. 이미 위협 행위자가 방대한 양의 암호화된 데이터를 훔치는 사이버 공격도 이루어지고 있습니다. 이런 움직임을 설명하는 시나리오 중 하나는 당장 암호를 풀지 못할지라도 나중에 양자 컴퓨팅 파워를 활용해 해독하려는 것입니다.

구글은 양자 컴퓨팅 관련 사이버 보안 위험을 심각하게 받아들이고 있으며 문제 해결을 위해 여러 측면에서 조치를 취하고 있습니다. 2016년에 크롬에서 PQC를 테스트하기 시작했고, 2022년부터 내부 통신을 보호하기 위해 PQC를 사용해왔으며, 크롬 데스크톱과 지메일, 구글 클라우드 콘솔 같은 구글 제품을 대상으로 추가적인 양자 컴퓨팅 보호 조치를 취했습니다.

또한, 구글 엔지니어들은 NIST, ISO 및 기타 표준 기관에서 발표한 공식적인 양자 컴퓨팅 표준 마련에 기여했으며, 파트너들과 협력하여 검증된 PQC 구현에 나서고 있습니다.

이사회 구성원은 PQC를 준비하지 않은 결과를 이해해야 합니다. 그리고 아직 양자 컴퓨팅이 발전 단계에 있지만 CISO, CIO 및 CTO를 포함한 조직의 리더에게 질문해야 합니다.

지금 PQC를 준비하고 행동해야 하는 이유는 다음과 같이 정리할 수 있습니다.

• 암호화 실패는 비즈니스에 영향을 끼칠 수 있습니다. 양자 컴퓨팅 기술을 사용해 기존 암호화 알고리즘을 깨트리는 공격은 기업의 중요 데이터 보안에 위협이 될 수 있습니다.
• 암호화 마이그레이션에는 오랜 시간이 걸립니다. 양자 안전 암호 알고리즘은 사용 가능할 수 있고, 현재 사용하는 컴퓨팅 장비에서 구현할 수 있습니다. 그러나 새로운 암호 알고리즘과 프로토콜로 업그레이드하는 데에는 상당한 시간과 노력이 필요합니다.
• 지금 수집하고 나중에 해독합니다. 미래의 기술인 양자 컴퓨팅은 사이버 범죄자가 오늘날 훔치고 있는 데이터에 숨겨진 비밀을 풀 수 있는 열쇠를 제공합니다. 지금을 풀 수 없어도 탈취한 암호화된 데이터에 담긴 지적 재산, 영업 비밀 및 민감한 통신 기록과 같은 정보를 손에 넣을 수 있습니다.
• NIST를 포함한 잘 알려진 표준 기관이 방금 양자 후 암호화 표준을 발표했습니다. 백악관도 연방 기관에 양자 컴퓨팅 발전을 준비하도록 촉구하는 지시를 전달하고 있습니다. 구글은 다양한 산업에 걸쳐 새로운 규제가 등장할 것이라고 예상합니다. 구글은 금융 서비스 정보 공유 및 분석 센터(FS-ISAC) 및 PQC 얼라이언스 같은 워킹 그룹에 적극적으로 참여하여 변화에 대응하기 위한 준비를 하고 있습니다.

이제 준비를 마치고 행동으로 옮겨야 할 때

PQC를 준비하는 것은 "빅뱅" 방식으로 할 필요가 없습니다. 이사회 구성원은 CISO, CIO 및 CTO와 양자 후 암호화 전략 개발에 대해 이야기해야 합니다. 대화 내용에는 효율성과 확장성을 보장하고 비용, 위험 및 사용성을 저울질하면서 기존 시스템에 새로운 양자 내성 알고리즘을 통합할 준비 내용이 담겨야 합니다.

• PQC 전략 구현: 양자 공학 관련 과장된 내용과, 마케팅 메시지 홍수 속에서 실제로 현재 어떤 발전이 이루어지고 있는지를 파악할 수 있는 전문성을 확보하십시오. 관련해 구글의 양자 연구를 포함한 학계 및 업계 연구 그리고 양자 후 암호화 블로그를 참조 바랍니다.
• 비즈니스 위험 평가: 양자 공격에 가장 취약한 중요한 데이터를 식별하기 위해 위험 평가를 수행합니다. 암호화가 사용되는 위치를 식별합니다. 이는 시스템 전체에 만연할 가능성이 높습니다. 정지, 이동 중 및 사용 중인 데이터를 보호하기 위해 암호화를 사용하는 모든 시스템의 인벤토리를 만듭니다. 데이터를 분류하고 위협 분석을 수행합니다. 무엇을 먼저 해야 하는지에 대한 기준은 구글의 양자 위협 분석을 참조해 마련할 수 있습니다.
• 광범위한 위험 분석: 변경이 필요할 수 있는 다른 시스템에 대한 광범위한 영향을 평가합니다. 이는 데이터베이스 및 애플리케이션에서 데이터의 형식(예: 더 큰 디지털 서명)이 암호화 이상으로 상당한 소프트웨어 변경이 필요할 수 있는 Y2K 문제와 유사할 수 있습니다.
• 과거에서 배우기: 과거에 조직이 주요 암호화 관련 문제를 성공적으로 처리한 방법을 반영하십시오. 이를 통해 효과적인 전략과 개선 영역을 식별할 수 있습니다. 조직 내에서 위기 대응 계획이나 절차를 점검하기 위해 실시하는 훈련을 하십시오. 조직의 이사회 구성원이 참여하는 워크숍 형식의 훈련을 통해 암호화 시스템 마이그레이션이 얼마나 복잡한 일인지 그리고 미래를 위해 어떤 준비를 해야 하는지에 대한 공감대를 형성할 수 있는 자리를 마련하십시오. 구글의 PQC 채택을 참조해 워크숍을 진행하는 것도 좋은 선택이 될 것입니다.

오늘날의 보안을 깨뜨릴 수 있을 만큼 강력한 양자 컴퓨터를 언제 볼 수 있을지 확실하지 않습니다. 5년, 10년 또는 15년 후에 발생하든 양자 후 암호화를 채택하는 작업은 상당합니다. 또한, NIST의 새로운 PQC 표준으로 규제 기관, 정부, 고객 및 감사관은 조직에 대해 PQC 계획을 질문할 가능성이 높습니다. 따라서 조직이 즉시 전환을 시작하는 것이 중요합니다.

구글 클라우드 전문가들의 더 많은 리더십 지침을 보려면, CISO 인사이트 허브를 참조하거나 CISO 오피스로 문의 바랍니다.

Google Cloud의 보안 관련 최신 소식

• Security Summit 2024: 현대화된 클라우드 보안에 대한 마스터 클래스: 8월 20일 개최되는 보안 서밋에 참여하여 비즈니스와 고객을 신흥 위협으로부터 보호하는 데 도움이 되는 최신 혁신과 전략에 대해 알아보세요. 더 알아보기
• mWISE Conference 2024 - 사이버 보안의 미래를 위한 최전선: 맨디언트, 구글 클라우드 및 광범위한 사이버 보안 커뮤니티의 전문가들이 9월 18일부터 19일까지 콜로라도 주 덴버에서 열리는 mWISE에 모입니다. 이는 최신 위협 인텔리전스, 최첨단 도구에 몰두하고 사이버 보안의 미래를 형성하는 전략적인 마음과 교류할 수 있는 기회입니다. 더 알아보기
• 클라우드 거버넌스를 효율적으로 활용하는 실용적인 팁: 얽히는 것을 방지하기 위해 비즈니스 리더는 견고한 거버넌스와 3LoD를 활용하여 주요 조직 기능과 역할을 명확하게 구분하고 할당하는 데 도움을 받습니다. 관련 팁을 소개합니다. 더 알아보기
• Gemini 1.5 Pro 및 취약점 감지 실험: 코드 스캔 및 코드 생성 기능을 갖춘 Gemini Pro 1.5가 복잡한 코드를 분석하고 취약점을 식별하는 데 어떻게 도움이 될 수 있는지 알아보세요. 더 알아보기
• CIS GKE 벤치마크로 Kubernetes 보안 업그레이드: Kubernetes 기반 컴플라이언스 관리를 더 쉽게 하기 위해 CIS Google Kubernetes Engine 벤치마크를 업데이트했습니다. 새로운 기능을 알아봅니다. 더 알아보기
• 맞춤형 Org 정책과 정책 컨트롤러로 강력한 Kubernetes 보안 듀오 생성: 맞춤형 Org 정책과 정책 컨트롤러는 GKE 클러스터를 보호하고 규모에 맞는 거버넌스 및 컴플라이언스를 달성하는 데 도움이 될 수 있습니다. 방법은 다음과 같습니다. 더 알아보기
• 구글과 알파벳 취약점 사냥 보상이 최대 5배 증가: 2010년 Google 취약점 보상 프로그램이 만들어진 이후로 우리는 시스템과 애플리케이션에서 발견된 버그에 대해 보상해 왔습니다. 보상 금액을 업데이트하고 있습니다. 이제 최대 $151,515를 벌 수 있습니다. 더 알아보기
• Android 기기를 문자 메시지 사기로부터 안전하게 보호: Android 전용 보안 기능 중 일부는 SMS Blaster 사기를 상당히 완화하거나 어떤 경우에는 완전히 차단할 수 있습니다. 더 알아보기
• 재설계된 Chrome 다운로드 환경에 보안 구축: 재설계된 Chrome 다운로드 환경은 Chrome이 잠재적으로 악성 파일로부터 사용자를 보호할 때 더 많은 컨텍스트를 제공할 수 있는 기회를 제공합니다. 더 알아보기
• Windows에서 Chrome 쿠키의 보안 향상: 쿠키 도용 정보 스틸러 악성 코드를 사용하는 사이버 범죄자는 여전히 사용자의 안전과 보안에 위협이 됩니다. 우리는 이미 이 분야에서 여러 가지 이니셔티브를 가지고 있으며, Windows 사용자가 이러한 유형의 악성 코드로부터 더 안전하게 만들기 위해 새로운 보호 계층을 추가하고 있습니다. 더 알아보기
• 새로운 Google Distributed Cloud 이니셔티브로 Sovereign Cloud 솔루션 제공: Managed GDC Provider 이니셔티브를 통해 선택된 파트너는 Google Distributed Cloud 서비스를 완전히 관리되는 제품으로 배포, 운영 및 관리할 수 있습니다. 더 알아보기

위협 인텔리전스 소식

• 이란 지원 그룹, 이스라엘, 미국에 대한 피싱 캠페인 강화: 구글의 위협 분석 그룹(TAG)은 이란 정부가 지원하는 위협 행위자인 APT42와 이스라엘 및 이스라엘 대상을 겨냥한 표적 피싱 캠페인에 대한 새로운 통찰력을 가지고 있습니다. TAG는 또한 APT42가 미국 대선과 관련된 계정을 표적으로 삼았다는 최근 보고서를 확인하고 있습니다. 더 알아보기
• UNC4393, SILENTNIGHT로 조용히 들어가다: 맨디언트는 QAKBOT 봇넷 철거 이후의 기간에 중점을 두고 UNC4393의 운영 전술과 악성 코드 사용의 진화를 자세히 설명합니다. 더 알아보기

최신 팟캐스트

• 다시 들어보세요: 양자 문제를 뛰어넘다: 양자 컴퓨터가 제기하는 실제 위협은 무엇이며, 양자 후 암호화가 방어자를 어떻게 도울 수 있을까요? Google의 수석 선임 보안 엔지니어인 Jennifer Fernick이 클라우드 보안 팟캐스트 호스트 Anton Chuvakin과 Tim Peacock과 함께 모든 것을 양자에 대해 공유합니다. 팟캐스트 듣기
• SIEMingly for real? 단 한 주 만에 전체 SIEM 마이그레이션을 수행하는 방법: 한 주 만에 SIEM 플랫폼 마이그레이션을 완료할 수 있을까요? Etsy의 수석 보안 엔지니어인 Manan Doshi가 Anton과 Tim에게 Etsy의 최근 Google 보안 운영으로의 이전 경험에 대해 모두 이야기합니다. 팟캐스트 듣기
• 개선에서 변혁까지의 클라우드 보안 여정: 구글 보안 전문가 Jaffa Edwards와 Lyka Segura가 Anton과 Tim에게 단순한 개선이 완전한 변형으로 변형될 수 있는 고객 사례를 들려줍니다. 팟캐스트 듣기

이상으로 2024년 8월 클라우드 CISO 관점 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 다시 찾아뵙겠습니다.