[Quantum Tech Insight④] 양자보안은 기술이 아니라 규범이다

[KtN 박준식기자] 양자컴퓨팅의 발전이 보안체계 전반의 근간을 흔들고 있다. 공개키 암호 기반의 인터넷 보안 구조는 양자컴퓨터에 취약하며, 이른바 ‘양자암호 붕괴(Q-Day)’ 이후를 대비한 기술 전환이 각국에서 본격화되고 있다. 하지만 진정한 갈등은 기술 구현이 아닌 표준과 규범에서 발생하고 있다.

PQC는 기술이 아닌 국제제도 경쟁의 장

PQC(Post-Quantum Cryptography)는 양자컴퓨터가 등장한 이후 기존 암호체계를 대체하기 위한 대칭형 암호 기술이다. 미국 NIST는 2022년 이후 PQC 표준화 절차를 단계적으로 추진하고 있으며, Kyber, Dilithium 등 선별된 알고리즘이 2024년 기준 최종 표준안으로 지정됐다.

문제는 PQC가 기술적 채택만으로 끝나지 않는다는 데 있다. 알고리즘의 선택과 구현은 국가의 안전, 산업의 데이터 보호, 통신 인프라의 체제 재편과 직결되며, 이는 곧 규범 경쟁으로 연결된다. 미국, EU, 일본은 PQC 표준을 자국 내 산업과 통신망에 강제 적용하며, 국제 공급망에서의 영향력 확대를 추진하고 있다.

중국과 러시아는 독자노선… 다극화된 암호 체계

중국은 국가정보법을 바탕으로 양자암호 기술을 군·정보통신 분야에 직접 적용하고 있다. 2025년 기준, 중국은 자체 알고리즘 기반의 PQC 기술을 국가 보안 시스템에 도입 중이며, 국제표준화기구(ISO)와의 공식 채널과는 별개로 독자 체계를 확대하고 있다. 러시아 역시 BRICS 중심의 보안 협력체계를 기반으로 PQC 기술을 군사·산업에 통합하는 전략을 채택했다.

이러한 흐름은 글로벌 인터넷 거버넌스의 이중화로 이어지고 있다. PQC 기술은 표준 간 상호운용성이 낮아, 미국 주도의 글로벌 체계와 중국·러시아 중심의 폐쇄형 체계로 분리될 가능성이 높다. 이는 인터넷 보안 구조의 다극화, 디지털 주권의 충돌, 공급망 규범의 분열로 연결된다.

양자보안은 하드웨어가 아니라 제도와 구조의 문제다

양자보안 기술은 기술 자체보다 그 기술을 운영하는 사회적 인프라, 제도적 구조가 중요하다. PQC 알고리즘의 채택이 의미 있으려면, 이를 적용할 수 있는 인증 체계, 프로토콜 표준, 국가 간 합의가 수반되어야 한다.

미국은 2024년 ‘미연방 양자보안 이행계획’을 통해 정부기관, 군, 산업체에 PQC 전환 로드맵을 의무화했다. 유럽연합은 ENISA 중심의 양자보안 프레임워크를 구축하고 있으며, 일본은 MIC를 통해 통신사업자 대상 PQC 기반 프로토콜 전환을 진행하고 있다.

반면 한국은 2025년 기준 PQC에 대한 법제화가 미비하고, 적용 기관 역시 일부 금융기관이나 연구기관에 국한되어 있다. 양자암호 통신기술에 대한 투자는 늘어나고 있으나, 국제표준과 상호인증 가능한 구조 설계, 산업별 전환 전략은 명확히 수립되지 않았다.

양자보안은 기술이 아니라 체제다

양자보안의 핵심은 알고리즘이 아니다. 보안 구조를 설계하는 국가의 전략, 규범의 우위를 확보하는 제도, 그리고 이를 국제적 체제로 연결할 수 있는 협력 구조가 핵심이다. PQC는 단순한 기술이 아니라, 디지털 주권의 명확한 경계선이다.

한국은 이제 PQC 알고리즘 수용을 넘어, 국가 보안체계와 인증 표준을 국제 규범과 정렬하는 전략이 필요하다. 산업계와 공공부문의 병렬적 전환, 기술·법·표준이 결합된 통합 거버넌스 체계 수립 없이는, 양자보안은 기술적 쇼케이스에 불과하다.