Q-데이 앞당겨지나…내 자산 지킬 '양자 보안' 생존 지표 4가지

미국 상무부가 양자컴퓨팅 산업에 20억 달러(약 2조 원)를 전격 투자하기로 결정한 가운데, 이 기술이 전 세계 디지털 금융 인프라의 기반을 흔들 수 있다는 경고가 나왔다.

국제 신용평가사 무디스(Moody's)는 최근 발표한 디지털 경제 보고서에서 양자컴퓨팅의 발전이 블록체인 플랫폼을 넘어 글로벌 은행 시스템 전체를 위협하는 금융권 최대 시스템 리스크 요인으로 부상했다고 진단했다. 배런스(Barron's)가 보도한 이 보고서에 따르면, 양자컴퓨터가 현대 금융 암호를 깨뜨릴 때 발생하는 간접적 경제 손실 규모는 글로벌 결제망 마비와 금융시장 신뢰 붕괴 시나리오를 가정한 추정치 기준 최대 3조 달러(약 4557조 원)에 이른다.

기술 업계 일각에서는 양자컴퓨터가 상용 금융망을 돌파하는 시점인 'Q-데이(Q-Day)' 위험 시계가 예상보다 앞당겨졌다는 경고를 내놓고 있다. 상용화 시점에 대한 불확실성 논쟁은 여전하나, 구글 양자연구팀이 올해 초 위험 예측 타임라인을 수정해 이르면 2029년 전후 가능성을 제시하는 등 긴장감이 고조되는 분위기다.

특히 해커들이 현재 암호화된 대규모 금융 데이터를 미리 가로채 저장한 뒤 향후 양자컴퓨터 완성후 해독하는 '선수집 후해독(Harvest now, decrypt later)' 위협은 이미 가시화됐다.
충분한 오류보정 큐비트와 안정적인 연산 시간을 갖춘 실용적 규모의 양자컴퓨터가 구현될 경우, 양자 시스템이 소인수분해를 고속으로 해결하는 '쇼어 알고리즘(Shor's algorithm)'을 실행해 현재 금융권이 사용하는 RSA·ECC 등 기존 공개키 암호 체계를 무력화할 가능성이 크다. RSA는 아주 큰 숫자를 소수(1과 자신으로만 나누어떨어지는 수)로 쪼개기 어렵다는 점을 이용한 암호이고, ECC는 타원 곡선이라는 복잡한 수학 그래프를 이용해 RSA보다 적은 노력으로 더 단단한 자물쇠를 만드는 암호다.


미국 행정부의 대규모 자금 투입은 자국 기술 패권 확보와 국가 안보를 동시에 달성하려는 조치로 풀이된다. 상무부 보조금 지급 대상에는 지분 인수 조건과 함께 리제티 컴퓨팅, 디웨이브 퀀텀, 인플렉션 등이 포함됐다. 발표 직후 뉴욕 증시에서 리제티 주가는 19.8% 급등했고 디웨이브 퀀텀도 14.2% 올랐다. 이 같은 자금 수혈은 기술 개발 속도를 한층 가속할 동력으로 작용한다. 미국의 이 같은 움직임은 오는 2030년까지 전국 단위 양자 통신망 구축을 마무리지으려는 중국의 5개년 경제개발 계획에 대응하는 성격을 띤다.

금융권은 위험 관리 청사진을 새로 짜기 시작했다. 주요 7개국(G7)과 국제결제은행(BIS)은 Q-데이에 대응해 공동 전환 전략 마련에 착수했다. 개별 금융기관 중에서는 미국 JP모건체이스가 기존 보안 인프라를 소프트웨어적으로 교체하는 '양자 내성 암호(Post-Quantum Cryptography)'를 결합하는 실험을 진행 중이다.

이들은 취약해진 암호 시스템을 실시간으로 교체하는 '암호 민첩성(Crypto-agile)' 체계 확보에 집중하고 있다. 영국 HSBC는 물리적인 하드웨어 인프라를 추가 구축해야 하는 '양자 키 분배(Quantum Key Distribution)' 기술을 내부 전산망에 도입하고 외환 거래 모의 테스트를 끝냈다.

한국 산업계도 Q-데이 가시화에 따른 공급망 보안 비상이 걸렸다. 삼성전자와 SK하이닉스가 차세대 차량용 반도체에 양자내성암호(PQC) 모듈을 탑재하기 시작했고, 과학기술정보통신부는 국가 암호모듈검증(KCMVP) 체계를 양자 내성 기준으로 개편하는 작업에 착수했다.

그러나 국내 금융권의 대응은 여전히 파일럿 테스트 단계에 머물러 있다. 금융감독원에 따르면 국내 4대 시중은행의 전체 IT 예산 중 양자 보안 인프라 관련 편성 비중은 0.5% 미만으로, JP모건 등 글로벌 은행이 총 IT 예산의 3% 이상을 선제 투입하는 것과 대조적이다.

특히 데이터 장기 보존이 필요한 인증서나 거래기록 등의 구조를 고려하면 대응 지연 자체가 위험을 누적시키는 구조다. 금융당국이 구체적 PQC 전환 로드맵과 가이드라인을 강제하지 않으면 고도화된 선수집 해킹 공격에 국내 자본 시장 전체가 노출될 수 있다는 지적이 나온다.


첫째, 미국 국립표준기술연구소(NIST)의 양자 내성 암호 가이드라인 확정 시기다. 글로벌 보안 표준이 확정되면 관련 보안 기술과 전환 기업의 주가 모멘텀이 본격화된다.

둘째, 글로벌 빅테크 기업들의 양자컴퓨팅 자본지출(CAPEX) 규모와 큐비트 증설 속도다. 기술 독점력을 가진 하이퍼스케일러의 투자 규모는 Q-데이 도래 시점을 앞당기는 지표다.

셋째, 국내 4대 시중은행의 차세대 양자 보안 인프라 구축 예산 편성 비율이다. 예산 집행이 미진한 은행은 향후 뱅킹 시스템 마비 등 대규모 시스템적 리스크에 직면한다.

넷째, 글로벌 대형 금융사들의 양자 보안 솔루션 실제 상용화 단계 진입 여부다. JP모건·HSBC 등 선두 기업의 실제 시스템 전면 도입 속도는 시장의 표준 전환 주기를 결정한다.

양자컴퓨팅은 디지털 금융의 대전환을 이끌 혁신 동력이지만 역설적으로 금융 자산 전체를 위협할 수 있는 리스크를 안고 있다. 결정적인 위험 임계점에 도달하기 전에 보안 유연성을 확보하는 금융기관만이 다가올 자본시장의 전환기 속에서 생존할 자격을 얻는다.


김주원 글로벌이코노믹 기자 park@g-enews.com