도널드 트럼프 미국 대통령이 25일 연방정부의 포스트 양자암호(PQC) 전환을 가속화하고 미국의 양자 기술 투자를 확대하기 위한 두 건의 행정명령에 서명했다. 행정부는 이번 조치를 양자컴퓨팅이 가져올 기회와 위험에 동시에 대비하기 위한 범정부 차원의 종합 전략이라고 설명했다.
이번 조치는 ‘고도화된 암호 공격으로부터 국가 보호(Securing the Nation Against Advanced Cryptographic Attacks)’와 ‘양자 혁신의 새로운 시대 개척(Ushering in the Next Frontier of Quantum Innovation)’ 등 두 건의 행정명령으로 구성된다. 백악관은 관련 설명자료를 통해 이번 정책이 국가안보와 경제 경쟁력, 사이버보안을 강화하기 위한 행정부의 광범위한 전략의 일환이라고 밝혔다.
보안 책임자에게 가장 직접적인 영향을 미치는 것은 암호 관련 행정명령이다. 해당 명령은 연방기관의 양자내성 암호 전환 시한을 제시하고, 기관별 암호 자산 전수조사를 의무화했으며, 향후 정부 계약업체에 적용될 조달 요건의 방향도 제시했다.
포스트 양자암호 전문 기업 키팩터(Keyfactor)의 최고정보보호책임자(CISO) 크리스 힉먼은 CIO.com 자매지 CSO온라인과의 인터뷰에서 “매우 긍정적인 조치이며 세계 여러 국가가 추진해 온 방향과도 일치한다”라며 “이제는 실제 행동에 나설 수밖에 없는 단계”라고 평가했다.
힉먼은 이번 전환 일정이 연방기관을 넘어 정부 계약업체와 국가 핵심 인프라 운영기관에도 상당한 영향을 미칠 것으로 전망했다. 이들 조직이 포스트 양자암호 도입 준비를 입증해야 한다는 압박을 점점 더 크게 받게 될 것이라는 설명이다.
그는 “연방정부와의 거래를 유지하려는 공급업체가 많은 만큼 이제는 포스트 양자암호를 더 이상 미뤄서는 안 된다”라고 말했다.
미 행정부는 적대국이 현재의 공개키 암호체계를 무력화할 수 있는 양자컴퓨팅 기술의 발전에 대비해 이미 암호화된 통신과 민감한 데이터를 수집하고 있을 가능성이 있다고 보고 있다.
백악관은 이를 ‘선 수집 후 해독(Harvest Now, Decrypt Later, HNDL)’ 시나리오라고 설명했다. 현재 탈취한 정보를 장기간 보관했다가 충분한 성능의 양자컴퓨터가 등장하면 이를 해독할 수 있다는 의미다.
암호 해독이 가능한 수준의 양자컴퓨터가 언제 등장할지를 두고는 전문가들의 의견이 엇갈린다. 그러나 미국 정부는 해당 기술이 현실화될 때까지 기다렸다가 준비를 시작해서는 늦는다는 입장이다.
백악관은 이번 행정명령이 2025년 6월 발표한 사이버보안 행정명령과 올해 공개한 ‘미국 사이버 전략(Cyber Strategy for America)’을 잇는 정책이라고 밝혔다. 또한 이번 조치가 연방 시스템을 보호하는 데 그치지 않고, 국가 핵심 인프라와 디지털 생태계 전반에서 양자내성 보안기술 도입을 촉진하는 데 목적이 있다고 설명했다.
화이트하우스 예산관리국(OMB) 법률고문을 지낸 해커원(HackerOne)의 최고법률·정책책임자 일로나 코언은 성명을 통해 최근 행정부의 사이버보안 정책은 정부 사이버 위험에서 계약업체가 차지하는 역할에 대한 우려가 커지고 있음을 보여준다고 평가했다. 코언은 “연방 네트워크의 복원력은 이를 지원하는 계약업체의 보안 수준만큼 강하다”라고 말했다.
다음은 CIO Korea 기사 스타일에 맞춰 자연스럽게 다듬은 번역입니다.
연방기관 포스트 양자암호 전환 일정 확정
행정명령은 미국 국립표준기술연구소(NIST)가 마련한 포스트 양자암호(PQC) 표준으로 연방기관의 암호 체계를 신속히 전환하도록 지시했다.
NIST는 2024년 첫 번째 포스트 양자암호 표준을 확정했으며, 미래 양자 공격에 취약한 기존 암호체계를 대체할 추가 알고리즘도 계속 평가하고 있다.
행정명령에 따르면 연방기관은 2030년 12월 31일까지 키 교환(Key Establishment) 메커니즘의 전환을 완료해야 한다. 디지털 서명 시스템은 2031년 12월 31일까지 전환을 마쳐야 한다. 또한 모든 기관은 30일 이내에 포스트 양자암호 전환을 총괄할 고위 책임자를 지정해야 한다.
미국 예산관리국(OMB)은 90일 안에 세부 이행 지침을 마련해야 하며, 각 기관은 이에 맞춰 연방 시스템 전반에서 취약한 암호체계를 교체하기 위한 실행 계획을 수립해야 한다.
이번 일정은 연방정부의 포스트 양자암호 도입 시점을 가장 명확하게 제시한 정책 가운데 하나로 평가된다.
암호 구성요소 명세서(CBOM) 도입
행정명령에는 정부 시스템과 소프트웨어 공급망 전반의 암호 구성요소를 보다 체계적으로 파악하기 위한 조치도 포함됐다.
핵심 내용은 NIST와 사이버보안·인프라보호국(CISA)이 270일 이내에 암호 구성요소 명세서(Cryptographic Bill of Materials, CBOM)의 최소 구성요건을 마련하도록 한 것이다.
CBOM은 소프트웨어 구성요소 명세서(SBOM)와 유사한 개념이지만, 제품과 시스템에 포함된 암호 알고리즘과 암호 라이브러리, 관련 의존성을 식별하는 데 초점을 맞춘다.
보안 전문가들은 조직이 자체 환경에서 어떤 암호 기술이 어디에 사용되고 있는지 먼저 파악하지 못하면 포스트 양자암호로의 전환도 효과적으로 추진할 수 없다고 지속적으로 지적해 왔다.
행정부는 또한 NIST에 2027년 말까지 연방 포스트 양자암호 전환 시범 프로그램을 구축하도록 지시했다. 이를 통해 실제 구축 과정에서 발생하는 문제를 파악하고, 전환을 위한 모범 사례를 마련한다는 계획이다.
정부 계약업체, 새로운 규정 준수 의무 직면
이번 행정명령은 연방정부 계약업체에도 상당한 영향을 미칠 것으로 보인다.
행정명령은 연방조달규정위원회(Federal Acquisition Regulatory Council)에 2030년 말까지 해당 계약업체가 NIST의 포스트 양자암호(PQC) 표준을 준수하도록 하는 조달 기준을 마련할 것을 지시했다.
세부 내용은 아직 확정되지 않았지만, 연방정부의 조달 요건이 기술 업계 전반에서 포스트 양자암호 도입을 촉진하는 핵심 동력이 될 가능성이 크다.
연방기관과 거래하는 보안업체와 클라우드 서비스 제공업체, 소프트웨어 개발사, 관리형 서비스 제공업체(MSP)는 앞으로 새롭게 마련될 포스트 양자암호 요구사항을 충족한다는 점을 입증해야 할 가능성이 높다.
행정명령이 암호 자산 관리와 전환 계획, 표준 준수를 강조한 점을 고려하면 연방기관은 앞으로 공급업체에 제품에 포함된 암호 구성요소를 정확히 파악하고 문서화할 것을 요구할 것으로 예상된다.
양자 기술 혁신 정책도 본격 추진
트럼프 대통령은 사이버보안 행정명령과 함께 양자컴퓨팅과 관련 기술 개발을 가속화하기 위한 별도의 행정명령에도 서명했다.
행정부는 양자 기술이 장기적으로 제약과 제조, 물류, 에너지, 국방 등 다양한 산업을 혁신하는 동시에 과학 연구와 국가안보 분야에서도 전략적 우위를 제공할 것으로 기대하고 있다.
정책의 핵심은 ‘과학 발전을 위한 양자컴퓨팅(QC-ADDS, Quantum Computing for Accelerated Discovery and Development for Science)’ 프로그램이다. 행정부는 이 사업을 통해 ‘양자 기반 과학적 발견(Quantum-enabled Scientific Discovery)’을 가능하게 하는 양자컴퓨터를 최소 한 대 이상 개발한다는 목표를 제시했다.
에너지부와 상무부, 국방부, 미국국립과학재단(NSF), 미국 항공우주국(NASA), 국가안보국(NSA), 정보기관 등은 이 프로그램 아래에서 연구개발을 공동 추진하게 된다.
각 기관은 90일 안에 기술 요구사항을 마련하고, 180일 안에 구체적인 실행계획을 제출해야 한다.
업계에서는 이번 행정명령이 양자컴퓨팅 주도권 확보를 위해 기술 스택 전반에 걸친 전략적 투자가 필요하다는 인식이 확산되고 있음을 보여준다고 평가했다.
AI·양자 기술 기업 샌드박스AQ(SandboxAQ)의 엔지니어링 부사장 스테판 라이헤나우어는 성명을 통해 “미국에는 이 분야를 선도할 기회가 남아 있다”라며 “암호기술과 컴퓨팅 인프라, 데이터 생성, 애플리케이션 개발 등 기술 스택 전반에 대한 체계적인 투자가 필요하다. 또한 정부와 산업계, 학계 간 긴밀한 협력도 필수적”이라고 말했다.
행정명령에는 양자 네트워킹과 양자 센싱 기술에 대한 지원 확대와 함께 양자컴퓨팅 시스템의 성능을 평가하고 벤치마킹할 수 있는 국가 차원의 역량을 구축하는 내용도 담겼다.
상용화·인재 양성도 핵심 과제
이번 양자 기술 육성 정책은 연구 성과를 실제 산업 현장으로 이전하는 데도 초점을 맞추고 있다.
백악관은 미국이 자국 내 양자 공급망을 강화하고 기술 이전을 지원하는 한편, 정부 지원 연구성과가 상용 제품과 경제 성장으로 이어질 수 있도록 해야 한다고 밝혔다.
TDK벤처스(TDK Ventures)의 투자 책임자 안쿠르 삭세나는 “양자 기술은 이제 순수 과학의 영역을 넘어 엔지니어링과 산업 경쟁의 단계로 접어들고 있다”라며 “미국의 경쟁력은 혁신적인 하드웨어뿐 아니라 안정적인 공급망과 양자 기술의 대규모 상용화를 가능하게 하는 기반 인프라 구축에 달려 있다”라고 말했다.
행정부는 국가양자이니셔티브 자문위원회를 재구성하고, 양자 방첩 보호팀(Quantum Counterintelligence Protection Team)의 활동도 확대해 민감한 연구성과와 지식재산을 보호할 계획이다.
또한 양자 분야 교육과 자격 인증, 견습 프로그램을 지원하고 국가 양자정보과학·기술 인력개발 연구소도 설립할 예정이다.
양자 기술 전략의 두 축
이번 두 건의 행정명령은 양자 기술 개발을 가속화하는 동시에, 장기적으로 발생할 보안 위험에도 선제적으로 대응하겠다는 미국 정부의 전략을 보여준다.
사이버보안 분야에서는 포스트 양자암호 관련 조치가 가장 큰 영향을 미칠 것으로 예상된다. 연방기관은 전환 일정과 암호 자산 관리, 시범사업, 향후 조달 규정 등을 통해 포스트 양자암호를 검토하는 단계를 넘어 실제 구축 단계로 전환하고 있음을 시사한다.
기술 업계 전반에도 양자컴퓨팅이 더 이상 장기 연구 과제가 아니라 투자와 거버넌스, 위험 관리가 동시에 요구되는 국가 전략 기술이라는 공감대가 미국 정책 당국을 중심으로 빠르게 형성되고 있음을 보여주는 조치로 평가된다.
dl-ciokorea@foundryco.com
Read More from This Article: 양자컴퓨터 시대 대비 나선 미국…PQC 의무화와 양자 기술 육성 병행
Source: News