지난 12일 한국정보보호학회가 개최한 정보보호 콘퍼런스 ‘NetSec-KR 2026’에서 임명철 펜타시큐리티 IoT융합보안연구소장은 “양자내성암호 단독 전환은 기술적·운영적 리스크가 크다”며 “기존 암호와 PQC를 함께 적용하는 방식이 보안 연속성과 안정성을 동시에 확보할 수 있는 전략”이라고 밝혔다.
◇KCMVP, “보안의 기반이자 동시에 병목”
이날 발표에서는 국내 공공·금융·국방 분야에서 필수 요건인 국가암호모듈 검증체계(KCMVP)의 구조적 한계가 지적됐다.
가장 큰 문제는 인증 획득까지 오랜 시간이 걸린다는 점이다. 여기에 유지보수 과정에서 사소한 변경만 있어도 재검증을 받아야 하는 구조는 기업의 개발·운영 부담을 크게 키우는 요인으로 꼽힌다.
특히 사물인터넷(IoT)이나 운영기술(OT) 환경에서는 이러한 제약이 더욱 뚜렷하게 나타난다. 경량화와 실시간성이 중요한 환경에서 복잡한 인증 절차는 사실상 적용을 어렵게 만든다는 지적이다.
임 소장은 “현행 체계는 안정성을 확보하는 데 기여했지만, 빠르게 변화하는 기술 환경에서는 민첩성이 떨어지는 구조”라고 진단했다.
임명철 펜타시큐리티 IoT융합보안연구소장이 NetSec-KR 2026에서 발표하고 있다. 사진=펜타시큐리티
양자 컴퓨팅 발전으로 기존 암호 체계의 한계가 예고되면서, 미국 국립표준기술연구소(NIST)를 중심으로 PQC 표준화가 빠르게 진행되고 있다.
하지만 산업 현장에서는 전면 전환에 따른 부담이 적지 않다. 기술 성숙도, 성능 문제, 기존 시스템과의 호환성 등이 여전히 과제로 남아 있기 때문이다.
이 때문에 기존 암호와 PQC를 함께 사용하는 ‘하이브리드 크립토(Hybrid Crypto)’ 전략이 대안으로 제시된다.
초기에는 두 암호 체계를 병행 운영하고, 점진적으로 PQC 비중을 확대하는 방식이다. 이를 통해 보안 리스크를 분산하고 전환 충격을 줄일 수 있다는 설명이다.
임 소장은 “하이브리드 PQC가 PQC보다 빠를 수 밖에 없다”면서 “KCMVP 인증에는 1년 정도 소요되는데, 하이브리드 PQC는 3개월 정도 만에 할 수 있었다”고 설명했다.
◇“암호도 민첩성이 경쟁력”…모듈 분리 설계 주목
하이브리드 전략을 구현하기 위한 핵심 조건으로는 ‘암호 민첩성(Crypto-Agility)’이 꼽힌다.
암호 알고리즘을 상황에 따라 유연하게 교체하거나 병행 적용할 수 있는 구조가 필요하다는 의미다.
이를 위해 펜타시큐리티는 암호 기능을 독립된 모듈로 분리하는 설계를 제안했다. 특정 암호 기술이 변경되더라도 전체 시스템을 다시 검증하지 않고, 해당 모듈만 교체할 수 있도록 하자는 접근이다.
이 방식은 KCMVP 재검증 부담을 줄이면서도 글로벌 규제 변화에 동시에 대응할 수 있는 현실적인 해법으로 평가된다.
임명철 펜타시큐리티 IoT융합보안연구소장은 “AI 대전환 시대의 보안은 견고함과 유연성을 동시에 갖춘 암호 체계에 달려 있다”며 “하이브리드 전략이 차세대 보안의 현실적인 이정표가 될 것”이라고 강조했다.
