인터뷰

Mark Medum Bundegaard, Partisia 최고 제품 책임자 – 인터뷰 시리즈

mm

Mark Medum Bundegaard, Partisia 최고 제품 책임자는 프라이버시 강화 기술, 블록체인 아키텍처 및 보안 머신러닝을 전문으로 하는 기술 및 제품 리더입니다. 그는 엔지니어링, 디자인, 비즈니스 팀을 아우르며 보안 다자 계산과 양자 보안 인프라를 기반으로 한 플랫폼을 제공하기 위해 Partisia의 제품 비전과 로드맵을 이끌고 있습니다. 그의 경력은 은행, 통신, 미디어 및 스타트업에서의 고위 직책을 포함하며, 클라우드 네이티브 시스템, 분산 아키텍처 및 적용 AI에 대한 깊은 전문성을 가지고 있으며, 덴마크의 Copenhell 음악 축제와 같은 대규모 운영 관리 경험도 보유하고 있습니다.

Partisia는 프라이버시를 보존하는 데이터 협업을 위한 인프라를 개발하는 암호화 중심 소프트웨어 회사입니다. 이 플랫폼은 보안 다자 계산과 블록체인 오케스트레이션을 결합하여 암호화된 데이터에 대해 연산을 수행하게 함으로써 민감한 정보를 노출하지 않고도 인사이트를 도출할 수 있게 합니다. 기밀 컴퓨팅, 분산 신원 및 프라이버시 우선 머신러닝을 지원함으로써 Partisia는 금융, 의료, 디지털 인프라 등 다양한 산업에서 규정 준수, 보안 및 데이터 주권을 유지하면서 기업이 데이터 가치를 활용하도록 돕습니다.

최근 공동 보고서에서 Europol은 포스트-양자 암호(PQC)—양자 컴퓨터가 현재 표준을 깨더라도 보안을 유지하도록 설계된 암호화—를 일회성 알고리즘 교체가 아니라 장기적인 위험 기반 전환으로 정의하고 있습니다. 금융 기관 전반에서 보았을 때, 양자 위험을 인식하는 것과 실제로 조치를 취할 수 있는 사이의 가장 큰 격차는 어디에 있습니까?

오늘 가장 큰 격차는 가시성입니다. 대부분의 금융 기관은 아직 완전한 “암호화 부품 목록”을 보유하고 있지 않으며, 이는 암호화가 사용되는 위치, 어떤 알고리즘이 어떤 자산을 보호하는지, 그리고 그 자산이 얼마나 오랫동안 안전해야 하는지에 대한 명확한 인벤토리를 의미합니다.

그 기반 없이는 마이그레이션을 우선순위화하기 어렵습니다. 가시성이 향상되더라도 규제된 레거시 시스템에서 암호화를 교체하는 것은 소프트웨어, 하드웨어, 인증 및 운영 변경을 포함하는 느린 과정입니다. 문제는 위험을 인식하는 것이 아니라 그 인식을 실행 가능한 마이그레이션 로드맵으로 전환하는 데 있습니다.

보고서는 많은 조직이 암호화에 대한 완전한 인벤토리가 부족하여 애플리케이션, 데이터 흐름 및 인프라 전반에서 암호화가 어디에 사용되는지 완전히 파악하지 못하고 있다고 지적합니다. 대형 금융 기관에서 이러한 가시성이 여전히 제한적인 이유는 무엇이며, 이를 해결하기 위한 가장 실용적인 방법은 무엇입니까?

현대 시스템은 독립적으로, 서로 다른 시기에, 다양한 주체에 의해 개발된 다수의 상호 연결된 소프트웨어와 하위 시스템으로 구성됩니다. 어떤 소프트웨어가 사용되는지 전체적인 개요를 파악하기는 어렵고, 어떤 알고리즘이 사용되는지는 더욱 그렇습니다. “모두에게 맞는” 해결책은 없을 가능성이 높습니다.

하지만 이미 소프트웨어에 대한 개요를 가지고 있는 기업은 상황이 더 나을 가능성이 높습니다. 하드웨어도 마찬가지이며, 대부분의 은행은 여전히 HSM을 통해 제공되는 암호화 키를 사용하고 있어 애플리케이션에서 실행 중인 하드웨어까지 의존성 체인을 형성합니다. 클라우드 붐이 금융 산업에 도입되면서 많은 것이 쉬워졌지만, 서비스에 대한 적절한 가시성을 확보하는 것은 더 어려워졌습니다. 따라서 현재 많은 기관이 PQC 표준으로의 마이그레이션의 일환으로 키에 대한 전체 개요를 만들기 위해 노력하고 있습니다.

당신은 PQC 준비가 암호화 선택 자체보다는 소유권 및 거버넌스 문제 때문에 종종 지연된다고 지적했습니다. 보안, IT 및 제품 팀 간의 책임이 불분명해지는 것이 어떻게 실제 장기 보안 및 규정 준수 위험으로 이어집니까?

암호화는 보안, 인프라 및 애플리케이션 개발의 교차점에 위치합니다. 소유권이 불분명하면 마이그레이션 작업이 지연되는데, 이는 알고리즘이 알려지지 않아서가 아니라 전환을 주도할 권한이나 가시성을 가진 팀이 없기 때문입니다.

시간이 지나면서 이는 시스템적 위험을 초래합니다. 시스템이 의도보다 오래 레거시 암호화에 의존하게 되어 노출이 증가하고 최종 마이그레이션이 더 복잡하고 비용이 많이 들며 파괴적이게 됩니다.

암호화 민첩성—전체 시스템을 재구축하지 않고도 암호화 알고리즘을 교체하거나 업그레이드할 수 있는 능력—은 PQC 준비에 필수적이라고 자주 언급됩니다. 암호화 민첩성 부족이 금융 기관의 락인, 기술 부채 및 향후 업그레이드 비용을 어떻게 증가시키나요?

암호화 민첩성은 암호화 구성 요소를 전체 시스템을 재설계하지 않고 교체할 수 있는지를 결정합니다. 암호화가 애플리케이션 로직이나 인프라에 깊이 내재되어 있는 경우, 이를 교체하는 데 비용이 많이 들고 운영 위험이 커집니다.

지금 민첩성을 구축하는 기관은 점진적으로 전환할 수 있지만, 그렇지 않은 경우 표준 및 규제 기대가 변화함에 따라 나중에 대규모 파괴적 마이그레이션에 직면할 수 있습니다.

Partisia에서 규제 시스템의 암호화 및 인프라 계층을 운영하는 입장에서, PQC 준비에 가장 어려움을 겪는 레거시 플랫폼이나 아키텍처 패턴은 무엇이며 그 이유는 무엇입니까?

고도로 규제된 시스템은 종종 업데이트가 가장 어렵습니다. 이는 의도된 것으로, 이러한 시스템은 빠른 변화를 위한 것이 아니라 안정성과 보증을 위해 설계되었습니다.

이들을 PQC로 전환하려면 알고리즘 업데이트 이상의 작업이 필요합니다. 소프트웨어 업데이트, 하드웨어 지원, 재인증 및 운영 검증이 포함됩니다. 이러한 제약으로 인해 마이그레이션 일정이 수개월이 아닌 수년으로 측정되므로 조기 계획이 필수적입니다.

보고서의 핵심 권고사항 중 하나는 조직이 다양한 데이터 자산이 얼마나 오랫동안 안전하게 유지되어야 하는지를 평가하는 것입니다—예를 들어, 민감한 금융 또는 개인 데이터가 수년 또는 수십 년 동안 비밀로 유지되어야 하는지 여부. 기관은 PQC 마이그레이션을 계획할 때 암호화 “수명”을 현실적으로 어떻게 평가해야 합니까?

기관은 특정 데이터가 얼마나 오랫동안 비밀로 유지되어야 하는지와 향후 노출될 경우의 영향을 평가해야 합니다.

거래 기록이나 개인 금융 정보와 같은 일부 데이터는 수십 년 동안 보호가 필요할 수 있습니다. 이는 오늘 수집된 암호화 데이터를 양자 기술이 성숙했을 때 해독하는 “지금 수집, 나중에 해독” 시나리오에 취약하게 만듭니다. 이러한 일정 파악은 마이그레이션 우선순위 설정에 필수적입니다.

많은 팀이 최종 표준이 완전히 확정된 후에야 PQC 작업을 시작한다고 가정하지만, 보고서는 준비가 더 일찍 이루어져야 한다고 제안합니다. 향후 12~24개월 동안, 대규모 마이그레이션이 시작되기 전이라도 보안 및 아키텍처 팀이 우선시해야 할 구체적인 조치는 무엇입니까?

가장 중요한 단계는 암호화 사용에 대한 완전한 인벤토리를 구축하는 것입니다—암호화가 어디에 사용되는지, 어떻게 구현되는지, 그리고 어떤 시스템이 이를 의존하는지 파악합니다.

이 가시성을 통해 기관은 고위험 시스템을 식별하고 대규모 중단 없이 향후 알고리즘 전환을 지원하는 암호화 민첩 아키텍처 설계를 시작할 수 있습니다.

양자 위협이 더 즉각적으로 다가올 때까지 PQC 계획을 미루면 비용을 절감할 수 있다는 믿음이 여전히 있습니다. 실제 현장에서 본 바에 따르면, 연기가 어떻게 미래 비용, 운영 복잡성 및 위험 노출을 증가시키나요?

좋은 질문입니다. 준비를 미루는 것이 마이그레이션 작업을 없애는 것이 아니라 짧은 기간에 압축시키는 것입니다. 오늘 배포된 시스템은 수십 년 동안 운영될 수 있어, 현재 내린 결정이 미래 위험 노출을 결정합니다.

조기 준비를 통해 기관은 일반적인 업그레이드 주기에 암호화 민첩성을 통합할 수 있습니다. 너무 오래 기다리면 규제 또는 위협 압박 하에 비용이 많이 드는 긴급 마이그레이션이 필요할 수 있습니다.

당신은 클라우드 네이티브 시스템, 블록체인 인프라 및 데이터가 노출되지 않고 처리될 수 있는 보안 다자 계산과 같은 프라이버시 보존 기술을 다뤄왔습니다. 이러한 분산형 또는 프라이버시 중심 환경에서 PQC 계획은 전통적인 중앙 집중식 금융 시스템과 어떻게 다릅니까?

근본적으로 도전 과제는 동일합니다: 암호화가 사용되는 위치를 식별하고 안전하게 교체될 수 있도록 보장하는 것입니다. 시스템이 중앙 집중식이든 분산식이든 보안은 궁극적으로 암호화 기본 요소의 강도와 수명 주기에 달려 있습니다.

주요 차이점은 아키텍처 가시성입니다. 분산형 및 암호화 중심 시스템은 키 사용 및 검증에 대한 경계가 더 명확한 경우가 많아 의존성을 파악하기가 쉽습니다. 그러나 핵심 작업인 가시성 확보, 마이그레이션 계획 수립 및 암호화 민첩성 보장은 두 환경 모두에서 동일합니다.

앞으로 PQC 준비가 규제 준수 기준이 될 것으로 예상하십니까, 아니면 금융 기관의 경쟁력 및 신뢰 기반 차별화 요소로 발전할 수 있을까요—그리고 투자자와 기술 리더가 주목해야 할 초기 신호는 무엇입니까?

단기적으로는 PQC가 독립적인 규제 요구사항이라기보다 진화하는 보안 및 규제 기대의 일부로 등장할 가능성이 높습니다.

시간이 지나면서 강력한 암호화 회복력과 장기 데이터 보호를 보여주는 기관은 신뢰 측면에서 우위를 가질 것입니다. 투자자와 규제 기관은 인프라 위험에 점점 더 주목하고 있으며, 암호화 준비는 그보다 넓은 회복력 논의의 일부가 되고 있습니다.

훌륭한 인터뷰에 감사드립니다. 더 알고 싶으신 독자분들은 Partisia를 방문하시기 바랍니다.

Antoine은 비전 있는 미래학자이며, 파괴적인 기술에 투자하는 최첨단 핀테크 플랫폼인 Securities.io의 핵심 동력입니다. 금융 시장과 신흥 기술에 대한 깊은 이해를 바탕으로, 혁신이 세계 경제를 어떻게 재정의할지에 대해 열정을 가지고 있습니다. Securities.io를 설립한 것 외에도, Antoine은 AI와 로봇공학 분야의 혁신을 다루는 최고의 뉴스 매체인 Unite.AI를 시작했습니다. 앞선 사고방식으로 알려진 Antoine은 혁신이 금융의 미래를 어떻게 형성할지 탐구하는 데 전념하는 인정받는 사상가입니다.