베이스스톤 ‘Quardian’, 미토스 시대 N2SF 100여 건 대응

양자 엔트로피 + FIDO2 결합 Zero Trust 풀스택 지원
EYL QRNG 엔트로피→자체 특허 변환 IP→일회용 동적 양자키→Auth·Trust·SSO·KMS 풀스택
NIST SP 800-90B 충족, Forward Secrecy 지원, PQC 터널링으로 HNDL 사전 대응

[보안뉴스 원병철 기자] 양자 보안 전문기업 베이스스톤(대표 박유신)이 미토스로 시작된 AI 자율공격 위협 확산 속에서 ‘양자 엔트로피 기반 Zero Trust 풀스택’ Quardian의 기술 아키텍처를 상세 공개했다.

▲N2SF 통제 항목 매핑 — Quardian 대응 영역 100여 건(자체 분석 기준)[출처: 베이스스톤]

5계층 보안 아키텍처... 엔트로피 소스부터 응용까지
Quardian의 기술 구조는 5개 레이어로 구성된다. 첫째, 엔트로피 소스 계층은 EYL의 알파입자 기반 QRNG 칩으로, FIPS 140-2 인증된 양자 엔트로피를 공급한다. 둘째, 후처리·검증 계층은 NIST SP 800-90B 기준의 엔트로피 안전성 검증과 컨디셔닝을 수행한다. 셋째, 양자키 생성·관리 계층(Quardian KMS)은 특허 10-2486888(양자난수 암호화키 생성 방법) 기술로 일회용 동적 양자키를 생성하고 라이프사이클을 관리한다. 키 길이는 타 인증 제품 대비 30배 이상, 사용 즉시 폐기된다. 넷째, 인증·암호 응용 계층은 Quardian Auth(특허 10-2661863), Trust, SSO(특허 10-2791692)로 구성된다. 다섯째, 표준 통합·운용 계층이 OIDC, OAuth 2.0, SCIM, RADIUS, REST API, TypeScript SDK를 지원해 기존 IT 인프라와 비침투식으로 통합된다.

Zero Trust의 ‘Always Verify’ 원칙을 양자키로 구현
Quardian이 Zero Trust 아키텍처에 기여하는 지점은 명확하다. NIST SP 800-207에 정의된 Zero Trust의 7가지 원칙 중 ‘모든 리소스 접근에 대한 인증·인가’, ‘세션 단위 최소 권한’, ‘동적 정책 기반 접근’, ‘자산 무결성·보안 모니터링’이 결국 ‘매 요청을 어떤 강도로 검증하느냐’에 귀결되는데, 이 검증의 근거가 되는 자격 증명·세션 키가 정적이라면 Zero Trust는 유명무실해진다.

‘Quardian Auth+SSO’는 매 인증마다 새로운 양자키를 생성·검증·폐기하는 구조로 이 문제를 해결한다. ‘Quardian Trust’는 통신 세션 단위로 새 양자키를 적용하고 키 분배 채널을 NIST 표준 PQC(CRYSTALS-Kyber, Dilithium 등)로 보호한다. 이로써 Forward Secrecy가 자연 확보되고, HNDL 공격이 사전 차단된다.

Zero Trust 구현 방식 — 기존 솔루션 vs Quardian
베이스스톤의 자체 분석 결과 국정원 N2SF(국가망 보안프레임워크 1.0)의 285개 통제 항목 중 Quardian 제품 단위에서 단독 충족하는 항목은 51건, 외부 솔루션 보완 시 충족할 수 있는 부분 기여 항목은 64건으로, 대응 가능 영역은 합계 100여 건에 달한다.

단독 충족 51건은 권한(AC) 18건, 인증(IA) 20건, 통제(CM) 3건, 데이터(DT) 10건으로 분포한다. 특히 인증 영역(IA)에서는 FIDO2/WebAuthn 자체 라이브러리 구현(N2SF-IA-08·10), QRNG 엔트로피 기반 일회용 양자키 검증(N2SF-IA-07), OIDC/OAuth 2.0 네이티브 구현(N2SF-IA-13·19~22), 브루트포스·재전송 공격 방지(N2SF-IA-28·30) 등 핵심 통제를 망라한다. 데이터 영역(DT)에서는 양자 엔트로피 기반 키(N2SF-DT-07), Forward Secrecy(N2SF-DT-08), AES-256-GCM 저장 데이터 암호화(N2SF-DT-11·12), HMAC-SHA256 무결성(N2SF-DT-24), PII 마스킹(N2SF-DT-29) 등이 코드 단위로 충족된다.

베이스스톤은 동시에 Quardian이 자체적으로는 충족하기 어려운 갭 영역도 솔직하게 공개했다. PQC(양자 내성 암호) 알고리즘 직접 적용, HSM(하드웨어 보안 모듈) 연동, mTLS(상호 TLS) 강제 등은 외부 솔루션 또는 추가 모듈로 보강이 필요한 영역으로 분류되며, 베이스스톤은 해당 갭 영역을 내부 로드맵(Track B)으로 관리해 단계별로 자체 구현 범위를 확장하고 있다. 이는 “제품으로 다 된다”는 과장 마케팅 대신, 통제 항목별 충족 근거와 한계를 투명하게 공개해 공공기관·SI 파트너의 의사결정 위험을 낮추겠다는 베이스스톤의 원칙이다.

박유신 베이스스톤 대표는 “N2SF 285개 통제 항목 전부를 한 제품으로 메우는 것은 어떤 솔루션도 불가능하다”라며 “Quardian은 우리가 책임지는 인증·권한·암호·키 관리 영역에서 통제 항목과 소스코드를 1:1로 매핑해 감사·실태 점검에 즉시 증빙을 제출할 수 있는 수준으로 준비했으며, 이는 N2SF 시대의 ‘진짜로 동작하는 Zero Trust’를 실증하는 기반”이라고 말했다.

[원병철 기자(boanone@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다