양자산업 육성법 개정안 국회 통과
양자보안·AI·국방 적용 확대 및 공급망 확보 위한 규제특례 도입
요약
양자보안·AI·국방 분야 적용 확대와 공급망 확보를 위한 규제특례를 도입한 양자과학기술 육성법 개정안이 공포·확정되었으며, 공공기관의 양자보안체계 전환계획 수립 의무화 등 구체적 이행 조치가 요구됩니다.
상세 분석
1. 이슈 개요
「양자과학기술 및 양자산업 육성에 관한 법률」 일부개정법률안이 수정가결·공포됨에 따라, 양자기술 생태계 전반에 걸친 제도적 의무가 법적 구속력을 갖추게 되었습니다. 이번 개정의 핵심은 세 가지 축으로 요약됩니다. 첫째, 양자인공지능 및 양자보안을 국가 종합계획의 필수 구성요소로 격상하였습니다. 둘째, 공공기관의 양자보안체계 전환을 법적 의무로 명시하였습니다. 셋째, 기업의 규제특례 신청 경로를 제도화하여 산업 진입장벽 완화 기반을 마련하였습니다.
양자컴퓨팅 기술이 기존 암호체계를 위협할 수 있다는 국제적 우려가 커지는 상황에서, 법은 국가 안보·인프라 보호와 산업 육성을 동시에 추구하는 이중 목적의 정책 수단으로 기능합니다. 공공기관, 양자 관련 기업, 과학기술정보통신부 등 주무부처 모두 구체적인 이행 의무를 부담하게 됩니다.
2. 실행 우선순위별 의무 사항 정리
[즉시 착수 — 계획 수립 의무]
공공기관 등은 양자보안 위협에 대응하기 위한 양자보안체계 전환계획을 수립·시행해야 합니다. 현재 운용 중인 암호화 인프라가 양자컴퓨팅 공격에 취약할 수 있으므로, 기관별로 현황 진단 → 전환 로드맵 수립 → 단계적 시행의 순서로 접근해야 합니다. 계획 수립 시점과 제출 절차에 관한 하위 법령이 아직 명확하지 않으므로, 과학기술정보통신부의 시행령·고시 제정 동향을 긴밀히 모니터링할 필요가 있습니다.
[단기 — 종합계획 반영 및 영향평가 체계 구축]
양자종합계획에 양자인공지능 활용 촉진과 양자보안 확보 방안을 반드시 포함해야 합니다. 주무부처는 차기 종합계획 수립 시 두 항목을 독립 챕터 수준으로 구체화해야 하며, 관련 부처 간 협의 체계를 사전에 정비해야 합니다.
아울러 국가안보 또는 국민생활에 중대한 영향을 미치는 분야에서 양자과학기술을 활용하는 사업에 대해서는 영향평가를 실시해야 합니다. 어떤 사업이 '중대한 영향' 범주에 해당하는지에 대한 기준이 현재 법문상 포괄적으로만 규정되어 있어, 평가 대상 선정 기준과 절차를 담은 하위 규정 마련이 선행되어야 합니다.
[중기 — 공급망 안정화 및 우선구매 이행]
양자지원기술 공급망의 취약요소를 진단하고, 핵심 소재·부품·장비의 안정적 확보와 자립화를 추진해야 합니다. 이는 단순한 국산화 목표를 넘어 공급망 리스크 관리 체계 전반을 재설계하는 과제로, 관련 기관은 공급망 취약성 진단 방법론과 자립화 지표를 조기에 정립해야 합니다.
공공기관은 양자과학기술 제품을 우선 구매해야 합니다. 이는 초기 시장 형성에 기여하는 수요 창출 정책으로, 구매 대상 제품의 인증 기준 및 우선구매 비율 등 세부 기준이 후속 고시를 통해 구체화될 것으로 예상됩니다.
[상시 — 규제특례 신청 경로 활용]
양자과학기술 또는 양자산업 관련 기업은 과학기술정보통신부장관에게 규제개선을 신청할 수 있으며, 양자전략위원회 심의를 거쳐 규제특례를 부여받을 수 있습니다. 기업 입장에서는 기존 규제로 인해 사업화가 지연되는 영역을 사전에 식별하고, 신청 요건과 심의 일정을 파악하여 전략적으로 활용하는 것이 중요합니다.
3. 불확실성 및 주의사항
하위 법령 미비에 따른 이행 공백 위험
현재 법률 조문은 의무의 방향성을 제시하고 있으나, 영향평가 대상 기준, 양자보안체계 전환계획의 수립 시한·형식, 우선구매 비율 등 핵심 이행 기준이 시행령·고시 등 하위 규정에 위임된 상태입니다. 하위 규정이 확정되기 전까지는 의무 이행 범위에 대한 해석 차이가 발생할 수 있으므로, 주무부처의 유권해석 및 가이드라인 발표를 지속적으로 추적해야 합니다.
'중대한 영향' 판단 기준의 모호성
영향평가 의무가 적용되는 '국가안보 또는 국민생활에 중대한 영향을 미치는 분야'의 범위가 법문상 명확하지 않습니다. 기준이 지나치게 넓게 해석될 경우 사업 추진 지연이 우려되고, 반대로 좁게 해석될 경우 실질적 안전망 기능이 약화될 수 있습니다. 관련 고시 또는 지침 제정 과정에 이해관계자 의견이 충분히 반영될 수 있도록 입법 예고 단계에서의 적극적 참여가 권장됩니다.
양자보안 전환 비용 및 기술 성숙도 문제
양자내성암호(PQC) 등 대체 보안 기술은 국제 표준화가 진행 중이나 아직 완전히 확립된 단계가 아닙니다. 공공기관이 전환계획을 수립하더라도 적용 가능한 기술 솔루션의 가용성과 비용 부담이 기관별로 상이할 수 있으며, 이에 대한 정부 차원의 재정 지원 방안이 별도로 마련되어야 실효성 있는 이행이 가능합니다.
규제특례 심의 예측 가능성 한계
양자전략위원회의 심의 기준과 처리 기간이 구체화되지 않은 상태에서는, 기업이 규제특례 신청 결과를 예측하기 어렵습니다. 특히 스타트업이나 중소기업의 경우 심의 지연이 사업화 일정에 직접적인 영향을 미칠 수 있으므로, 위원회 운영 세칙의 조기 공개가 필요합니다.
참고: 본 분석은 공포된 법률 개정안 및 공개된 입법 정보를 기반으로 작성되었으며, 하위 법령 미확정 사항에 대해서는 불확실성을 명시하였습니다. 구체적 이행 의무 확인을 위해서는 과학기술정보통신부의 공식 시행령·고시를 반드시 확인하시기 바랍니다.
핵심 포인트
- 1양자종합계획 수립 시 양자인공지능 활용 촉진 및 양자보안 확보 방안을 반드시 포함해야 하므로, 관련 R&D 전략 및 예산 계획을 조기에 재검토할 필요가 있음
- 2국가안보·국민생활에 중대한 영향을 미치는 분야에서 양자과학기술 활용 사업을 추진할 경우 영향평가 절차가 의무화되므로, 사업 기획 단계부터 평가 일정과 비용을 반영해야 함
- 3공공기관 등은 양자보안체계 전환계획을 수립·시행해야 하므로, 현행 암호·보안 인프라의 양자내성암호(PQC) 전환 로드맵과 투자 규모를 조속히 검토해야 함
- 4양자과학기술·산업 관련 기업은 과기정통부 장관에게 규제개선을 신청하고 양자전략위원회 심의를 통해 규제특례를 받을 수 있으므로, 사업화 장벽이 되는 규제 항목을 선제적으로 발굴·신청하는 전략이 유효함
- 5양자지원기술 공급망 취약요소 진단 및 핵심 소재·부품·장비 자립화가 추진 의무로 설정되므로, 해외 의존도가 높은 부품·장비 현황을 파악하고 국내 대체 공급망 확보 계획을 수립해야 함
권고 사항
대표 권고
법률 시행에 따라 공공기관은 양자보안 위협 대응을 위한 양자보안체계 전환계획을 의무적으로 수립·시행해야 합니다. 즉시 기관 내 현행 암호화 인프라(PKI, TLS 등) 전수 조사를 실시하고, 양자내성암호(PQC) 전환 로드맵 초안을 작성하십시오. 과학기술정보통신부 및 국가정보원의 가이드라인 발행 일정을 모니터링하여 계획 수립 기준을 선제적으로 확보하는 것이 중요합니다. 담당 부서(정보보안팀·IT기획팀)는 외부 전문기관과의 컨설팅 계약을 30일 이내에 착수하여 계획 수립 지연에 따른 법적 리스크를 최소화해야 합니다.
공공기관 양자보안체계 전환계획 수립 착수
0-30d법률 시행에 따라 공공기관은 양자보안 위협 대응을 위한 양자보안체계 전환계획을 의무적으로 수립·시행해야 합니다. 즉시 기관 내 현행 암호화 인프라(PKI, TLS 등) 전수 조사를 실시하고, 양자내성암호(PQC) 전환 로드맵 초안을 작성하십시오. 과학기술정보통신부 및 국가정보원의 가이드라인 발행 일정을 모니터링하여 계획 수립 기준을 선제적으로 확보하는 것이 중요합니다. 담당 부서(정보보안팀·IT기획팀)는 외부 전문기관과의 컨설팅 계약을 30일 이내에 착수하여 계획 수립 지연에 따른 법적 리스크를 최소화해야 합니다.
국가안보·국민생활 영향 사업 대상 여부 자체 진단 및 영향평가 준비
0-30d국가안보 또는 국민생활에 중대한 영향을 미치는 분야에서 양자과학기술을 활용하는 사업은 영향평가 의무 대상이 됩니다. 정보통신업(J), 공공행정(O), 제조업(C) 분야 사업자는 현재 추진 중이거나 기획 중인 양자기술 활용 사업 목록을 즉시 작성하고, 영향평가 대상 해당 여부를 자체 점검해야 합니다. 영향평가 세부 기준 및 절차는 하위법령에서 구체화될 예정이므로, 시행령·시행규칙 입법예고 단계부터 의견 제출에 참여하여 평가 기준 형성에 관여하는 것이 유리합니다.
양자종합계획 반영을 위한 양자AI·양자보안 전략 과제 발굴 및 제안
30-60d개정법에 따라 양자종합계획에 양자인공지능 활용 촉진 및 양자보안 확보 방안이 포함되어야 합니다. 정보통신업·전문과학기술서비스업 기업 및 연구기관은 자사 기술 역량과 연계된 구체적 정책 과제(예: 양자AI 알고리즘 실증 플랫폼 구축, 양자보안 인증체계 마련 등)를 30~60일 내에 문서화하여 과학기술정보통신부 양자전략위원회 의견 수렴 채널에 제출하십시오. 이는 향후 R&D 예산 배분 및 규제특례 심의에서 유리한 포지션을 확보하는 데 직결됩니다.
양자지원기술 공급망 취약요소 진단 및 핵심 소부장 자립화 계획 수립
30-60d법률은 양자지원기술 공급망의 취약요소 진단과 핵심 소재·부품·장비의 안정적 확보 및 자립화를 요구합니다. 제조업(C) 및 전문과학기술서비스업(M) 기업은 60일 이내에 양자기술 관련 핵심 부품(희귀금속, 극저온 장비, 광학 부품 등)의 수입 의존도 및 단일 공급처 리스크를 분석한 공급망 리스크 맵을 작성하십시오. 이를 기반으로 국내 대체 공급처 발굴, 전략적 재고 확보, 국산화 R&D 투자 계획을 수립하고, 정부의 공급망 안정화 지원사업 공모에 선제적으로 대응하십시오.