미국 국방부(Department of War)가 양자컴퓨터가 국가 안보에 초래할 위협을 공식적으로 인정하고, 연방 정부의 양자내성암호(Post-Quantum Cryptography, PQC) 전환 정책을 한층 강화했다. 국방부는 중앙집중형 감독 체계를 구축하고 취약 시스템을 점검하는 한편, 전환 로드맵을 조율하고 국방 분야에 필요한 PQC 기술을 개발할 계획이라고 밝혔다.
국방부는 이와 함께 사이버보안 성숙도 인증(CMMC, Cybersecurity Maturity Model Certification)에 PQC 요건을 포함하도록 기준을 개정하겠다는 전략 문서를 공개했다. 이에 따라 오는 11월부터 연방 정부 계약업체는 CMMC 준수 여부를 제3자 인증을 통해 입증해야 한다. 기존에는 자체 확인(Self-attestation)만으로도 가능했지만 앞으로는 보다 엄격한 인증 절차를 거쳐야 한다.
이번 발표는 하루 전 발표된 대통령 행정명령의 연장선에 있다. 해당 행정명령은 모든 연방 정부 계약업체가 2030년 말까지 미국 국립표준기술연구소(NIST)의 양자내성암호 표준을 준수하도록 규정했다. 또한 대통령은 상무부 장관에게 180일 이내 PQC 전환 시범사업을 시작하고, 이를 2027년 말까지 완료하도록 지시했다.
국방·공공 전문 컨설팅 기업 부즈앨런해밀턴(Booz Allen Hamilton)의 수석 양자 과학자 조던 케년(Jordan Kenyon)은 “PQC 도입은 국가 안보뿐 아니라 경제 안보를 위해서도 필수적”이라며 “미국 정부가 매우 공격적인 일정표를 제시했다”고 말했다.
행정명령은 중요 시스템과 자산에 대해 키 교환(Key Establishment)은 2030년 12월까지, 디지털 서명(Digital Signatures)은 2031년 12월까지 PQC를 적용하도록 요구하고 있다.
가트너 “정부 규제 확대와 규제 충돌에 대비해야”
가트너는 지난 화요일 발표한 보고서에서 기업들이 앞으로 더욱 강화될 정부 개입과 그에 따른 혼란 및 복잡성에 대비해야 한다고 경고했다.
가트너는 “미국 정부의 행정명령은 주요 국가와 지역 블록의 규제 개입을 더욱 가속화할 가능성이 높다”며 “CISO는 국가별 규제가 서로 충돌하거나 데이터 주권(Sovereignty) 관련 요구사항을 포함하는 상황에 대비해야 하며, 이는 규제 준수를 더욱 어렵게 만들 수 있다”고 분석했다.
가트너는 기업에 다음과 같은 단계별 로드맵을 제시했다.
- 2026년: PQC 자산 인벤토리 및 대응 프로그램 구축, 공급업체와 PQC 전환 일정 협의
- 2027년: 암호화 자산 목록(Cryptographic Bill of Materials) 자동화
- 2028년: TLS 1.3으로 전환
- 2030년: 모든 핵심·고가치 시스템을 PQC로 전환 완료
가트너에 따르면 현재 고가치 데이터와 핵심 시스템에 양자내성암호(PQC)를 적용한 조직은 10% 미만에 불과하지만, 이 비율은 2030년까지 80%로 증가할 것으로 전망된다. 또한 가트너는 “2027년까지 PQC 파일럿 프로젝트를 시작하지 않은 기업은 전체 PQC 전환 비용이 최소 200% 이상 증가할 수 있다”고 내다봤다.
사이버보안 업체 큐시큐어(QuSecure)의 연구·기술전략 담당 수석부사장 가필드 존스는 “더 이상 10년의 준비 기간이 남아 있는 것이 아니다”라며 “실질적으로는 앞으로 2년 반 안에 움직여야 한다”고 말했다.
존스는 PQC 전환 과정에서 가장 큰 난관은 레거시 시스템이라고 지적했다.
그는 “클라우드 사업자들은 이미 관련 알고리즘과 TLS 구현을 지원하기 시작했다”면서도 “문제는 온프레미스 시스템과 운영기술(OT), 클라우드로 이전할 수 없는 레거시 IT, 그리고 엣지 환경”이라고 설명했다.
또한 많은 OT 시스템은 20~30년에 이르는 긴 수명주기를 갖고 있어 기업들이 이를 즉시 교체하기는 쉽지 않다고 덧붙였다.
특히 일부 레거시 시스템은 사람의 생명과 직결되기도 한다.
존스는 “의료기기는 매우 중요한 정보를 다룬다”며 “의사가 환자에 대한 잘못된 정보를 전달받게 되면 심각한 문제가 발생할 수 있다”고 말했다.
그는 현실적인 대안으로 레거시 시스템 외부에 보안 계층을 추가하는 ‘보안 래퍼(Security Wrapper)’ 방식을 제시했다.
그는 “이렇게 하면 모든 OT 시스템을 한꺼번에 교체하지 않고도 기존 장비의 교체 주기에 맞춰 자연스럽게 전환할 수 있다”고 설명했다.
다만 미 국방부는 이러한 접근법에 부정적인 입장이다.
국방부는 양자내성암호 전략 문서에서 “프록시 기반 PQC 솔루션은 지양해야 하며, 대신 실제 네트워크 자체를 PQC 기반으로 업그레이드하는 데 집중해야 한다”고 밝혔다.
dl-ciokorea@foundryco.com
Read More from This Article: 미 국방부, 양자내성암호 전환 속도전…가트너 “기업도 지금 준비 시작해야”
Source: News

