김도균 기자
BIS(국제결제은행)가 최근 발표한 보고서에서 양자컴퓨터가 현재 금융시스템의 암호 기반 보안 체계를 붕괴시킬 수 있다는 점을 경고하면서, 한국 금융감독체계의 근본적 개편 필요성이 제기되고 있다. 특히 금융정책과 감독정책 간 기능 분화가 미흡한 현 체계로는 ‘Harvest Now, Decrypt Later’ 식의 양자 보안 위협에 제대로 대응하기 어렵다는 지적이다.
BIS는 2025년 7월 발표한 보고서 ‘Quantum-readiness for the financial system: a roadmap’에서 양자컴퓨터는 향후 10~15년 내 공개키 암호체계(RSA, ECC 등)를 실질적으로 무력화시킬 수 있으며, 지금도 데이터를 수집해 이후 해독하려는 공격(HNDL)이 진행 중일 수 있다고 밝혔다.
보고서는 단순한 알고리즘 교체가 아닌 암호정책 전반의 전환, 즉 암호학적 민첩성, 계층형 방어, 하이브리드 체계 도입, 그리고 기관별 전환 로드맵 수립이 필요하다고 제안했다.
이에 따라 한국 금융당국에도 구조적 변화가 요구되고 있다. 현재 금융위원회와 금융감독원 중심의 이원적 감독체계는 건전성, 소비자보호 등 전통적 리스크에 초점을 맞추고 있어 양자기반 기술 리스크에 대한 구조적 대응이 어렵다는 한계가 있다.
한 보안기술 전문가는 “양자시대에 대비하려면 단순한 정보보호팀 보강이 아니라 금융감독정책의 기초 체계를 재설계해야 한다”며 “금융감독기관은 기술 분석, 정책 기획, 인프라 관리, 국제 협업 기능을 갖춘 다기능 조직으로 개편되어야 한다”고 말했다.
BIS 보고서는 중앙은행과 감독기구의 역할로 양자 안전성 확보를 위한 로드맵 조율자이자 정책 설계자 역할을 제안한다. 실제 BIS는 프랑스 중앙은행과 독일 분데스방크와 함께 ‘Project Leap’을 통해 양자안전 VPN 통신 실험을 수행하고 성공한 바 있다.
한국 역시 금융보안원, 한국인터넷진흥원, 중앙은행 등 관련 기관 간 협업을 통해 민간 금융기관의 PQC(Post-Quantum Cryptography) 전환을 지원하고, 국제표준 연계 정책이 마련돼야 한다는 지적이 나온다.
BIS는 “기술 위협은 더 이상 IT 부서의 문제가 아니며, 금융기관 전반의 경영 전략과 리스크 거버넌스에 통합되어야 한다”며 “지금 준비하지 않으면 신뢰 기반 금융시스템이 급속히 붕괴될 수 있다”고 경고했다.
BIS(국제결제은행)가 경고한 것처럼 한국 금융정책과 감독정책 간 기능 분화가 미흡한 현 체계로는 ‘Harvest Now, Decrypt Later’ 식의 양자 보안 위협에 제대로 대응하기 어렵다는 점을 깊이 인식하여 대책마련에 만전을 기해야 할 것이다