사이버 안보 지형이 변곡점을 맞이하고 있다. 인공지능(AI)이 급부상하고 현존하는 암호 체계를 무력화할 수 있는 양자 컴퓨터(Quantum Computer) 기술이 비약적으로 발전하면서다. 특히 보안 업계에서는 ‘Y2Q(양자 컴퓨터가 암호를 해독하는 시점)’에 주목하며 대비하고 있다.

대부분의 현대인들은 얼굴 인식으로 스마트폰 잠금을 해제하고, 편리하게 모바일 뱅킹으로 금융 업무를 보고, 온라인에서 신분을 증명하는 일상을 누리고 있다. 공기처럼 누리는 이 모든 편리함의 이면에는 ‘보안’이라는 거대한 보이지 않는 인프라가 존재한다. 그러나 이러한 보안 인프라를 위협하는 새로운 기술의 태동은 지금까지 디지털 신뢰의 근간을 뿌리째 흔들고 있는 모양새다.

해커들의 움직임도 주목할만하다. 이들은 훗날 등장할 초성능 양자 컴퓨터로 암호를 풀기 위해 지금 당장 해독할 수 없는 암호화된 데이터를 무차별적으로 쓸어 담는 이른바 ‘지금 수집하고 나중에 해독한다(Harvest Now, Decrypt Later)’ 전략을 실행에 옮기고 있다는 전언이다.

이에 맞서 글로벌 시장의 패러다임도 급변하고 있다. 비밀번호라는 낡은 유산은 생체 인식과 결합된 패스워드리스(Passwordless) 기술로 대체 중이다. 또한 아무것도 믿지 않고 모든 것을 검증하는 ‘제로 트러스트(Zero-Trust)’가 기업의 필수 DNA로 자리 잡고 있다.

필립 발레 수석부사장은 글로벌 방산·보안 기업 탈레스그룹(Thales)에서 디지털 보안 부문을 이끌고 있는 30년 넘게 기술의 최전선에서 디지털 보안의 진화를 이끌어온 세계적인 권위자다.

2019년 탈레스에 인수된 글로벌 디지털 보안 기업 ‘젬알토(Gemalto)’ 최고경영자(CEO)를 역임했다. 현재 탈레스의 사이버 및 디지털 부문을 총괄하는 그룹의 핵심 경영진이다.

그는 다가오는 양자 시대를 대비하기 위한 생존 전략으로 설계 단계부터의 보안과 ‘제로 트러스트(Zero Trust)’ 마인드셋을 강하게 주문했다. 그로부터 다가올 초연결 양자 시대의 생존 전략과 새로운 ‘신뢰(Trust)’의 미래에 대해 들어봤다.

다음은 일문일답.

‘Y2Q’의 공포, 언제 오나

-양자컴퓨터가 언제쯤 실제로 내 비밀번호를 풀 수 있을까 많은 이들이 궁금해합니다. ‘Y2Q’ 순간이 언제쯤 올 것으로 예측하고 있나요. 또 얼마나 시급한가요.

=양자 컴퓨터가 오늘날의 암호를 해독할 만큼 강력해지는 정확한 시기를 예측하는 것은 매우 어렵습니다. 10년이 될 수도 있고, 더 길어질 수도 있습니다. 중요한 것은 정확한 날짜가 아닙니다. 우리가 오늘 보호하고 있는 데이터의 수명입니다.

어떤 정보는 단 몇 분 동안만 기밀로 유지되면 됩니다. 하지만 신원 기록, 건강 정보, 정부 데이터, 지식재산권 같은 다른 데이터는 수십 년 동안 안전하게 유지돼야 합니다. 이것이 ‘지금 수집하고, 나중에 해독한다(Harvest Now, Decrypt Later)’는 실제 위험이 존재하는 이유입니다. 공격자는 오늘 암호화된 정보를 캡처하여 저장해 두고, 양자 컴퓨터가 이를 해독할 수 있을 만큼 강력해질 날을 기다리기만 하면 됩니다.

-그러면 어떤 대비를 해야할까요.

=올바른 접근 방식은 양자 모멘텀을 기다리는 것이 아니라 지금 당장 우리의 디지털 인프라를 준비하는 것입니다. 탈레스가 양자 내성 암호를 통합한 차세대 신분증 스마트카드를 개발한 이유이기도 합니다. 이 카드들은 양자 컴퓨팅이 가능하게 할 공격을 포함해 현재와 미래의 공격 모두로부터 신원과 민감한 데이터를 보호하도록 설계됐습니다. 폭풍이 닥치기 전에 건물을 개조하는 것과 같다고 생각하시면 됩니다.

-양자기술 발전에 많은 크립토 투자자들이 주목하고 있습니다. 양자 컴퓨터가 상용화하면 비트코인 지갑과 블록체인 기반 자산이 해킹당할 수 있는 가능성에 대해 어떻게 보십니까.

=블록체인 기술은 설계상 매우 강력하지만, 오늘날의 대부분 디지털 시스템과 마찬가지로 체인의 모든 블록에 서명하기 위해 암호화 알고리즘과 키 관리 솔루션에 의존하고 있죠. 이들은 애초에 양자 컴퓨터에 저항하도록 설계되지 않았습니다.

이론적으로 충분히 강력한 양자 기기는 개인 키를 추출하고 서명을 위조하여 소위 ‘지금 수집하고 나중에 위조한다(Harvest now forge later)’는 공격을 가능하게 할 수 있습니다. 암호화폐와 블록체인 시스템에 사용되는 일부 암호화 메커니즘이 결국 위협받을 수 있다는 것은 사실입니다.

-여기에 대응하는 방어 기술도 존재합니까.

=탈레스는 양자 컴퓨팅에 저항할 수 있도록 완전히 최적화된 차세대 하드웨어 보안 모듈(HSM)을 개발 중입니다. 중요한 점은 블록체인 기술이 시간에 멈춰 있는 것이 아니라 진화할 수 있다는 것입니다.

다른 생태계와 마찬가지로, 새로운 양자 내성 암호화 표준으로 전환할 수 있습니다. 결국 사람들이 블록체인에서 가치 있게 여기는 것은 중개자 없는 ‘신뢰’이며, 그 신뢰는 강력한 암호화에 기반합니다. 우리의 목표는 컴퓨팅 기술이 진화하더라도 이러한 신뢰가 굳건히 유지되도록 돕는 것입니다.

AI 시대의 보안, 창과 방패의 대결

-이미 해커들은 정교한 피싱과 악성 코드를 만드는데 AI를 적극 활용중입니다. AI 기반 해킹과 AI 기반 보안 간의 ‘창과 방패의 싸움’에서 현재 누가 이기고 있다고 보십니까.

=실제로 AI 기반 해킹은 증가하고 있습니다. 탈레스가 내부적으로 조사한 2026 데이터 위협 보고서에 따르면 조직의 61%가 AI를 최고의 데이터 보안 위험으로 꼽았습니다. 70%가 이를 주요 위협으로 봅니다. 거의 60%가 딥페이크 사고를 보고했고 48%가 AI 오정보로 평판 손상을 입었습니다.

그러나 조직의 3분의 1만이 AI 보안에 특정 예산을 할당하고 있으며, 많은 곳이 자율 시스템에 맞지 않는 기존 프레임워크에 의존하고 있습니다. 공격자보다 앞서려면 기업은 AI 보안 투자를 대폭 늘리고 강력한 거버넌스와 암호화를 구현해야 합니다. 올바른 예산과 전략이 있다면 방어자가 우위를 되찾을 수 있습니다.

-딥페이크가 보편화하면서 목소리나 얼굴조차 신뢰하기 어렵습니다. 사용자가 ‘진짜 사람’임을 어떻게 검증할 수 있을까요.

=전적으로 동의합니다. 딥페이크와 합성 신원은 디지털 세계에서 ‘신뢰’의 의미를 재정의하고 있습니다. 그래서 우리는 단일 신호에 의존하는 대신 여러 계층의 검증을 결합하는 시도를 하고 있습니다. 우리의 기술은 단순히 눈을 깜박이는지 확인하는 것을 넘어, 진짜 사람의 얼굴과 프레젠테이션 공격(사진, 마스크, 실시간 딥페이크 등)을 구별하도록 훈련된 AI 모델에 의존합니다.

-이러한 탐지 기술은 구체적으로 어떻게 작동하나요.

=두 가지 방식이 있는데, 사용자의 행동 없이 분석하는 수동적 감지와 무작위 행동(고개 돌리기 등)을 지시하는 능동적 감지가 있습니다. 시스템은 움직임뿐만 아니라 위조하기 극히 어려운 자연스러움, 타이밍, 일관성을 실시간으로 검증합니다. 핵심적인 차별점은 이 생체 검사가 고립되어 있지 않다는 점입니다. 이는 보안 요소에 저장된 신뢰할 수 있는 신원 자격 증명과 결합돼 검증되는 신원이 공식 자격 증명과 암호화되어 연결됨을 보장합니다. 우리는 악의적으로 ‘주입(injected)’된 콘텐츠의 출처 진위 여부를 확인하고, ‘좋은 봇’과 ‘나쁜 봇’을 분류하는 기술에도 투자하고 있습니다. 이것이 탈레스의 핵심 노하우입니다.

-보안과 관련해 ‘이것만은 해야한다’는 원칙이 있을까요.

=제로 트러스트(Zero-trust) 사고방식을 채택해야 합니다. 단순한 기술이 아니라 우리 모두를 보호하는 인프라의 근본 원칙입니다. 디지털 세계에서 신뢰는 사람과 비즈니스를 연결하는 통화(currency)입니다. 이 시스템을 설계하고 보안하는 우리에게 제로 트러스트는 선택이 아닌 필수입니다.

인프라는 그 어떤 것도 지레짐작할 여유가 없으므로 모든 연결, 기기, 트랜잭션이 철저히 검증되어야 합니다. 개인은 강력한 인증을 사용하고 소프트웨어를 업데이트하며 항상 경계해야 합니다. 조직은 제로 트러스트를 디지털 생태계의 DNA에 새겨 넣어야 합니다.

삼성전자와 PQC 칩 개발협력

- 최근 삼성전자와의 양자내성 보안 협력이 눈에 띕니다. 탈레스가 삼성전자 시스템LSI 사업부와 협력해 만든 PQC 지원 보안 칩은 CES 2026 사이버보안 혁신상을 받기도 했습니다.

=탈레스는 삼성전자와 함께 최근까지 소형 칩에는 너무 복잡하거나 무겁다고 여겨졌던 차세대 암호화 기술을 일상적인 기기에 도입했습니다.

보안 운영 체제는 사실상 보안 요소(Secure Element)의 두뇌에 해당합니다. 하드웨어가 금고를 제공한다면, 운영 체제는 금고의 작동 방식, 무엇이 들어갈 수 있는지, 그리고 무엇이 보호되어야 하는지를 결정하죠. 우리가 만든 보안 OS는 칩 내부에서 신뢰할 수 있는 수호자 역할을 합니다. 암호화 키를 관리하고, 민감한 작업을 격리하며, 결제든 신원 확인이든 디지털 키든 모든 트랜잭션이 통제되고 신뢰할 수 있는 환경에서 이뤄지도록 보장합니다.

-개발에 있어 가장 큰 기술적 과제는 무엇이었나요.

=양자 내성 암호는 미래의 양자 컴퓨터 성능, 특히 매일 수십억 건의 트랜잭션에 서명하는 데 사용되는 공개 키 인프라(PKI) 기반 암호화를 무력화하려는 시도에 저항하도록 설계됐습니다.

문제는 ‘어떻게 하면 기기 속도를 늦추거나 배터리를 소모하지 않으면서 이 미래 지향적인 알고리즘을 통합할 것인가?’였습니다. 돌파구는 알고리즘을 신중하게 최적화하고 이를 보안 운영 체제에 깊숙이 통합하는 데서 마련됐습니다. 이를 통해 수십억 대의 소비자 기기에 적용할 수 있을 만큼 작은 공간에 양자 내성 보안을 구현할 수 있었습니다.

-PQC는 일반적으로 무거운 연산을 필요로 합니다. 어떻게 높은 성능과 낮은 전력 소비를 유지할 수 있었나요.

=여기서 최적화가 중요해집니다. PQC의 핵심인 차세대 수학적 객체들을 처리하기 위해 대기 시간을 줄이고 병렬 처리 기능을 더 많이 통합하도록 칩 설계를 다르게 조정했습니다.

도시 설계에 비유하면 나중에 도로를 추가하면 교통이 혼잡해집니다. 하지만 처음부터 도로를 함께 설계하면 모든 것이 원활하게 흐릅니다. 삼성과 처음부터 소프트웨어와 하드웨어를 함께 설계함으로써, 이처럼 고도화된 알고리즘을 사용하더라도 암호화 작업이 빠르고 효율적이며 에너지 소모를 최소화할 수 있었습니다.

-시장에는 다른 보안 솔루션들도 있습니다. 삼성과 탈레스의 PQC 솔루션의 경쟁력은 무엇인가요.

=실제 배포 준비가 완료됐고, 이 분야에서 명백한 ‘세계 최초’입니다. 가장 중요한 점은 글로벌 규모로 배포할 수 있는 초소형 칩에 미래 지향적인 보안을 도입했다는 것입니다.

많은 솔루션들이 양자 내성 보안을 미래의 개념으로만 이야기합니다. 우리는 함께 이를 실용적이고, 배포 가능하며, 사람들이 매일 사용하는 기기에 즉시 적용할 수 있는 형태로 만들어 냈습니다.

밀봉된 편지를 훔치는 해커들

-‘지금 수집하고, 나중에 해독한다(Harvest Now, Decrypt Later)’는 위협을 계속해서 강조하고 있습니다. 이유가 궁금합니다.

=‘지금 수집하고, 나중에 해독한다’는 것은 매우 현실적인 우려입니다. 공격자들은 아직 읽을 수 없는 암호화된 데이터를 지금 수집해 두고, 양자 컴퓨터가 현재의 암호화를 깰 수 있을 만큼 강력해질 때까지 기다리기만 하면 됩니다. 이는 언젠가 봉투를 열 방법을 발명할 것이라고 믿고 지금 밀봉된 편지를 훔치는 것과 같습니다.

PQC 칩은 양자 내성 암호를 통합함으로써, 오늘 보호되는 데이터가 내일의 양자 공격에도 이미 저항력을 갖추도록 보장합니다. 즉, 현재의 위협으로부터 기기를 보호할 뿐만 아니라, 그 기기들이 생성하는 정보를 미래의 오랜 시간 동안 보호하고 있는 것입니다.

-PQC 칩이 탑재된 스마트폰은 위협으로부터 상대적으로 안전할 수 있을까요.

=인터넷에 연결된 기기 중 위협으로부터 100% 면역이라고 간주될 수 있는 것은 없습니다. 사이버 보안은 항상 공격자와 방어자 간의 지속적인 경주입니다. 다만 PQC 칩은 휴대전화의 가장 민감한 프로세스에 대한 보호 수준을 극적으로 높입니다.

-스마트폰 뿐 아니라 다양한 기기들에도 활용될 수 있나요.

=스마트폰은 이러한 보안 진화의 시작일 뿐입니다. 민감한 데이터를 다루거나 안전한 트랜잭션을 수행하는 모든 연결된 객체는 궁극적으로 이 수준의 보호를 필요로 하게 됩니다.

디지털 키와 소프트웨어 업데이트를 신뢰해야 하는 커넥티드 카, 기기들이 집으로의 접근을 제어하는 스마트 홈, 건강 기기, 디지털 ID, 또는 연결된 인프라를 떠올려 보십시오. 연결된 기기의 수가 수백억 대로 증가함에 따라 보안은 더 이상 선택 사항이 될 수 없습니다. 첫날부터 기기 자체에 내장되어야 합니다.

-PQC가 향후 10년, 그 이후의 장기적인 신뢰를 보장할 수 있을까요.

=보안은 목적지가 아니라 항상 진행되는 여정입니다. 하지만 양자 내성 암호에 사용되는 알고리즘은 수년간의 전 세계적인 연구와 평가의 산물입니다. 이들은 미래 양자 컴퓨터의 성능에 저항하도록 특별히 설계됐습니다. PQC는 역사상 가장 중요한 사이버 보안 전환 중 하나를 의미합니다. 글로벌 규모의 디지털 신뢰 기반에 영향을 미치죠.

가장 중요한 것은 이 전환을 일찍 시작하는 것입니다. 현재 배포된 많은 기기와 인프라가 앞으로 10년, 15년, 심지어 20년 동안 계속 사용될 것이기 때문입니다.

-앞으로 비밀번호는 완전히 사라지게 될까요?

=우리의 비전에 따르면 전통적인 비밀번호는 패스워드리스 인증을 위해 점진적으로 사라질 것으로 예상하고 있습니다. 이는 FIDO(Fast IDentity Online)와 같은 개방형 표준에 의해 가능해진 진화입니다. FIDO 표준은 도난당하거나 잊어버릴 수 있는 비밀번호에 의존하는 대신, 기기 기반 생체 인증 및 암호화 키를 활용합니다.

생체 인증은 자격 증명이 항상 켜져 있고 사용 가능하기 때문에 특히 강력합니다. 얼굴이나 지문은 고유하며 잊어버릴 수 없으므로 사람을 식별하는 가장 신뢰할 수 있는 방법입니다.

-사이버보안기업 젬알토의 CEO를 역임했고, 지금은 탈레스의 사이버와 디지털 부문을 총괄하고 있습니다. 30년간 기술의 최전선에 계셨지요. ‘AI와 양자 시대’에 생존하기 위해 개인적으로 가장 가치 있게 여기는 단 하나의 핵심 키워드는 무엇이며, 그 이유는 무엇입니까.

=단 한 단어만 골라야 한다면, 저는 ‘신뢰(Trust)’를 선택하겠습니다. 지난 30년 동안 첫 모바일 네트워크에서 AI와 양자 컴퓨팅의 세계로 기술은 극적으로 변했지만 기술은 사람들이 그것을 신뢰할 때만 가치를 창출한다는 사실은 변하지 않았습니다. 사람들은 온라인에서 행동할 때 그 뒤의 보이지 않는 인프라를 생각하지 않지만, 이 모든 것은 신뢰에 달려 있습니다.

디지털 세계는 도로, 은행, 전력망이 시스템에 대한 신뢰로 기능하는 사회와 매우 비슷하게 작동합니다. 신뢰가 사라지면 혁신과 경제 성장 등 모든 것이 둔화됩니다. 제게 AI와 양자 시대의 진정한 과제는 단순한 기술적 진보가 아닙니다. 기술이 발전하는 속도만큼 신뢰 역시 진화하도록 보장하는 것입니다. 그것이 탈레스와 같은 기업의 책임이며, 내일의 디지털 세계를 구축하는 우리 모두의 책임이라고 믿습니다.

#지식토스트 #지식토스트_모닝브리핑