| 서울=한스경제 전시현 기자 | 핀테크 보안 기업 아톤이 KB국민은행과 손잡고 양자내성암호(PQC) 기반 인증체계의 기술 검증에 착수했다. 국내 최대 규모의 모바일뱅킹 플랫폼인 KB스타뱅킹에 차세대 보안 기술을 적용할 수 있는지를 점검하는 작업으로, 금융권의 양자내성 보안 전환이 본격화하는 신호탄이라는 평가가 나온다.
아톤은 지난 4일 KB국민은행과 ‘양자내성암호 기반 인증체계 기술검증’을 위한 업무협약을 맺었다고 5일 밝혔다. 이번 협약은 KB국민은행의 모바일뱅킹 서비스인 KB스타뱅킹 환경에서 양자내성 보안 기술의 적용 가능성과 기술적 유효성을 검토하는 데 초점이 맞춰져 있다. 월평균 이용자가 1000만명 이상인 대규모 플랫폼을 대상으로 한다는 점에서 업계의 관심이 쏠린다.
금융권이 양자내성암호 도입을 서두르는 배경에는 이른바 ‘HNDL(Harvest Now, Decrypt Later)’ 위협이 있다. 공격자가 지금은 해독하지 못하는 암호화 통신이나 인증 데이터를 미리 수집해 뒀다가, 향후 양자컴퓨터가 상용화되면 이를 한꺼번에 복호화하는 방식이다. 금융권 인증서는 한 번 발급되면 수년간 효력이 유지되는 경우가 많아, 업계에서는 양자컴퓨터가 실제 보급된 뒤 대응에 나서는 것으로는 늦을 수 있다는 우려가 적지 않다.
이번 검증은 단순히 인증서 한 부분만 바꾸는 수준에 그치지 않는다. 로그인과 전자서명, 거래 승인, 모바일 OTP, 보안 키패드, 종단간(E2E) 암호화 등 고객이 실제로 접하는 주요 거래 구간 전반이 점검 대상이다. 금융 거래 과정에서 어느 한 구간이라도 기존 암호체계에 머물러 있으면 그 지점이 새로운 공격 통로가 될 수 있다는 판단에서다.
아톤은 이를 위해 이른바 ‘풀스택 PQC’ 접근법을 내세우고 있다. 회사의 양자내성 보안 제품군은 화이트박스 암호화 기술을 적용한 보안 저장 매체 ‘퀀텀 세이프박스’를 중심으로, 전자서명 인증과 모바일 OTP, 입력 보안, 종단간 암호화, API 인증 기능을 필요에 따라 결합할 수 있도록 설계됐다. 적용 알고리즘은 미국 국립표준기술연구소(NIST)가 채택한 ML-DSA와 ML-KEM을 기반으로 한다. 회사 측은 향후 국내외 표준이 바뀌더라도 코드 수정 없이 알고리즘을 교체할 수 있도록 구조를 짰다고 설명했다.
이번 협력은 아톤이 그동안 쌓아온 양자내성 보안 레퍼런스를 국내 최대 모바일뱅킹 플랫폼으로 넓힌 사례라는 점에서도 의미가 있다. 아톤은 앞서 Sh수협은행 차세대 시스템을 비롯해 미래에셋증권, 메리츠증권, 디지털자산 거래 분야 등에서 PQC 기반 보안 솔루션 적용이나 협력을 추진해 왔다. 여기에 KB스타뱅킹까지 더해지면서, 은행·증권·디지털자산을 잇는 금융권 전반의 보안 전환 흐름에 한층 무게가 실리게 됐다는 분석이 나온다.
KB국민은행은 이번 기술 검증을 통해 대규모 이용자 환경에서도 서비스 중단이나 고객 불편 없이 양자내성 보안 체계를 단계적으로 도입할 수 있는 방안을 모색할 계획이다. 실무자 중심의 기술협의체를 별도로 꾸려 차세대 인증 기술에 대한 공동 연구도 병행한다. 은행권에서는 보안 체계 전환이 단순한 기술 교체를 넘어 이용자 경험과 거래 안정성을 동시에 만족시켜야 하는 과제인 만큼, 실제 적용에 앞선 검증 과정이 무엇보다 중요하다는 시각이 많다.
우길수 아톤 대표는 “국내 최대 규모의 금융 플랫폼을 대상으로 양자내성 보안 솔루션 검증에 나선 것은, 관련 기술이 일부 시범사업을 넘어 금융권 전반의 표준으로 자리 잡아가는 흐름을 보여주는 것”이라며 “축적된 레퍼런스와 기술력을 바탕으로 금융권의 PQC 전환을 뒷받침하겠다”고 말했다.
양자컴퓨터 상용화 시점은 여전히 불확실하지만, 금융권에서는 ‘상용화 이후 대응’보다 ‘상용화 이전 전환’이 필요하다는 인식이 빠르게 확산하고 있다. 특히 모바일뱅킹처럼 가입자 규모가 크고 거래 빈도가 높은 서비스일수록 인증과 암호화 체계의 선제적 점검이 중요하다는 점에서, 이번 협업은 향후 은행권 전반의 보안 투자 방향을 가늠할 시험대로 받아들여지고 있다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
