본문으로 건너뛰기
J
피드

에버스핀, 웹 보안 게이트웨이에 양자내성암호 전송 보호 붙였다

security 약 6분
tags
#pqc#tls#web-security#ai-mtd#quantum
vote
0
댓글
북마크

에버스핀이 웹 보안 플랫폼 에버세이프 웹 클라우드 버전에 포스트 양자암호(PQC) 기반 전송구간 보호 기능을 넣었다. TLS 1.3 기반 하이브리드 키 교환 방식인 X25519MLKEM768을 활용해, 지금 훔쳐간 암호문을 나중에 양자컴퓨터로 푸는 수집 후 해독 위험까지 겨냥한다.

  • 1

    에버세이프 웹 클라우드 버전에 PQC 기반 전송구간 보호가 적용됨

  • 2

    지원 브라우저에서는 TLS 1.3 기반 X25519MLKEM768 하이브리드 키 교환을 사용함

  • 3

    기존 도메인이나 운영 구조를 크게 바꾸지 않고 게이트웨이 연동 방식으로 도입 가능함

  • 4

    AI 기반 무빙 타깃 디펜스까지 결합해 웹 해킹, 계정 탈취, 봇 공격 대응을 함께 노림

양자컴퓨터가 오기 전에 웹 전송구간부터 바꾸자는 흐름

  • 에버스핀이 자사 웹 보안 플랫폼 에버세이프 웹 클라우드 버전에 포스트 양자암호(PQC) 기반 전송구간 보호 기능을 적용함

    • 핵심은 지금 당장 보이는 웹 공격만 막는 게 아니라, 나중에 양자컴퓨터가 등장했을 때 기존 암호문이 풀릴 가능성까지 염두에 둔다는 점임
    • 특히 금융·공공처럼 개인정보와 거래 데이터를 오래 보관하는 쪽에서는 “나중에 풀릴 수 있는 데이터” 자체가 리스크가 됨

  • 적용된 방식은 TLS 1.3 기반 하이브리드 키 교환인 X25519MLKEM768

    • 지원 브라우저 환경에서 사용자와 에버세이프 웹 게이트웨이 사이 통신 구간을 이 방식으로 보호함
    • 기존 키 교환 방식에 양자내성 키 캡슐화 방식을 섞는 구조라, 한 번에 완전 전환하기 어려운 현실적인 마이그레이션 경로에 가까움

중요

> 이 뉴스의 핵심은 “양자컴퓨터가 곧 모든 HTTPS를 깨버린다”가 아니라, 지금 수집된 암호문이 몇 년 뒤 풀릴 수 있는 수집 후 해독 위험을 웹 보안 제품이 본격적으로 제품 기능으로 다루기 시작했다는 점임.

기존 웹 서비스를 갈아엎지 않는 게 포인트

  • 에버세이프 웹은 고객사가 기존 웹 서비스 도메인이나 운영 구조를 바꾸지 않고 붙일 수 있게 설계됐다고 함

    • 사용자 트래픽이 에버세이프 웹 게이트웨이를 통과하도록 연동하면 되는 방식
    • 별도 애플리케이션 개발이나 대규모 시스템 개편 없이 PQC 기반 전송구간 보호를 쓰는 그림임

  • 게이트웨이를 거치면서 암호화만 하는 게 아니라 웹 보안 기능도 같이 수행함

    • 보안 정책 적용, 요청 검증, 위협 탐지·차단, 로그 수집이 함께 들어감
    • 기업 입장에서는 “PQC 전환”과 “웹 위협 대응”을 별도 프로젝트로 쪼개지 않고 묶어서 볼 수 있음

AI 기반 무빙 타깃 디펜스까지 같이 밀고 있음

  • 에버스핀은 에버세이프 웹의 경쟁력으로 AI 기반 무빙 타깃 디펜스(AI-MTD)도 강조함

    • 공격자가 분석해야 하는 보안 요소를 계속 바꿔서 우회 난이도를 올리는 방식
    • 생성형 인공지능과 자동화 공격이 늘면서, 정적인 방어 규칙만으로는 한계가 있다는 문제의식이 깔려 있음

  • 실제 적용 대상은 꽤 넓음

    • 웹 해킹, 계정정보 탈취, 비인가 데이터 수집, 자동화 봇 공격 같은 웹 기반 위협을 막는 데 쓰인다고 함
    • 국내 금융기관, 공공기관, 대형 온라인 서비스 환경에서 이미 운영되고 있다는 점도 강조됨

국내 보안 시장에서는 꽤 현실적인 메시지

  • 에버스핀은 일본 에스비아이 홀딩스(SBI Holdings) 그룹과 통합 사업 계약도 맺고 해외 진출을 본격화하는 중임

    • 일본은 금융 보안 요구 수준이 높은 시장이라, 금융권 레퍼런스를 들고 가기 좋은 무대임
    • 국내에서는 국가정보원 보안기능확인서와 2025 대한민국 소프트웨어 대상 대통령상도 확보했다고 밝힘

  • 이 방향은 앞으로 보안 제품들이 “현재 공격 차단”만으로는 부족하다고 말하는 신호에 가까움

    • AI로 공격 자동화가 쉬워지고, 양자컴퓨팅으로 암호 위협이 장기 리스크가 되는 상황이 동시에 오고 있음
    • 그래서 동적 방어와 포스트 양자암호를 같이 묶은 보안 체계가 차세대 경쟁 요소로 부상하는 흐름임

기술 맥락

  • 이번 선택의 핵심은 웹 애플리케이션 자체를 뜯어고치지 않고, 게이트웨이 레이어에서 전송구간 보호를 강화한다는 점이에요. 금융·공공 서비스는 운영 중인 도메인, 인증 흐름, 레거시 연동이 많아서 암호체계 전환을 앱 내부에서 바로 처리하기가 꽤 부담스럽거든요.

  • X25519MLKEM768 같은 하이브리드 키 교환을 쓰는 이유는 현재 호환성과 미래 보안을 동시에 잡기 위해서예요. 기존 방식만 쓰면 양자컴퓨터 이후가 불안하고, 양자내성 방식만 밀어붙이면 브라우저·표준·운영 호환성이 문제가 될 수 있어서 중간 단계가 필요해요.

  • 수집 후 해독 시나리오가 중요한 이유는 공격이 지금 끝나는 게 아니라는 데 있어요. 공격자가 오늘 암호화된 트래픽을 저장해두고, 몇 년 뒤 더 강한 컴퓨팅 자원으로 복호화를 시도할 수 있다면 장기 보관 가치가 큰 개인정보와 금융정보는 지금부터 보호 전략을 바꿔야 해요.

  • 무빙 타깃 디펜스가 같이 붙는 것도 의미가 있어요. 전송구간 암호화는 데이터 보호 쪽이고, AI-MTD는 자동화 공격자가 웹 구조를 분석하고 반복 공격하는 비용을 높이는 쪽이라 서로 다른 레이어의 리스크를 나눠 맡는 구조예요.

당장 양자컴퓨터가 내일 운영망을 뚫는다는 얘기보다는, 장기 보관되는 금융·개인정보를 지금부터 어떻게 보호할지가 포인트다. 웹 보안 게이트웨이에 PQC를 얹는 접근은 기존 서비스를 크게 갈아엎기 어려운 금융·공공 쪽에서 꽤 현실적인 선택지로 보인다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

엑스게이트, 양자보안·AI 방화벽으로 VPN 이후 먹거리 찾는다

국내 VPN 시장 1위 사업자인 엑스게이트가 기존 VPN·방화벽 사업을 기반으로 양자보안과 AI 차세대 방화벽을 성장축으로 삼겠다고 밝혔다. QRNG와 PQC를 결합한 AX-Quantum 플랫폼, 국방 시범사업, LLM 기반 자연어 보안장비 제어가 주요 포인트다.

security

에이씨앤티시스템·센스톤, 수처리 OT 보안에 단방향 동적 인증 붙인다

에이씨앤티시스템과 센스톤이 OT 보안 솔루션 공동 개발을 위한 업무협약을 맺었다. 센스톤의 OTAC 단방향 동적 인증 기술을 산업용 제어망 장비와 EtherFOS에 접목하고, 수처리 시설을 시작으로 반도체·에너지·플랜트 분야까지 확장하는 구상이다.

security

지캐시, 앤트로픽 AI 감사로 추가 중대 취약점은 못 찾았다고 발표

지캐시 창시자 주코 윌콕스가 앤트로픽 AI 모델을 활용한 추가 보안 감사 결과를 공개했다. 최근 오차드 풀에서 가짜 ZEC를 무한 생성할 수 있는 위조 취약점이 발견돼 수정된 뒤, 같은 맥락에서 추가 중대 취약점이 있는지 확인한 것이다.

security

티빙 개인정보 유출, 비밀번호보다 더 무서운 건 CI와 DI가 새었다는 점

티빙 개인정보 유출 사고를 두고 국내 플랫폼 보안의 취약함을 지적한 글이다. 특히 이름, 생년월일, 휴대전화번호, 비밀번호뿐 아니라 변경이 어려운 CI와 DI까지 유출됐다는 점에서 2차 피해 위험이 크다고 본다.

security

스패로우가 본 AI 코딩 시대의 공급망 보안, SBOM 범위가 더 넓어져야 함

스패로우가 연례 행사 SAI 2026에서 오픈소스와 AI 코딩이 섞인 개발 환경의 공급망 보안 전략을 제시했다. 핵심은 소스코드와 패키지뿐 아니라 AI 모델과 AI 생성 코드까지 추적 가능한 SBOM 체계로 확장해야 한다는 것이다.