메타(Meta), 양자 컴퓨터 시대 대비: PQC 마이그레이션 전략 공개

메타(Meta)는 양자 컴퓨터의 등장으로 인한 기존 암호화 방식의 취약성을 인지하고, 양자 내성 암호(Post-Quantum Cryptography, PQC)로의 전환을 강조한다. 특히, '저장 후 해독(Store Now, Decrypt Later, SNDL)' 공격에 대한 대비를 강조하며, NIST(미국 국립표준기술연구소) 및 NCSC(영국 국가 사이버 보안 센터)의 가이드라인을 준수하여 2030년까지 PQC 보호를 우선 적용할 것을 권고한다. 이는 데이터 유출(Data Breach) 위험을 최소화하기 위한 선제적 조치이다.

메타(Meta)는 PQC 마이그레이션의 복잡성을 관리하기 위해 PQC 성숙도 레벨을 제안한다. PQ-Unaware부터 PQ-Enabled까지 5단계로 구분하여 조직의 현재 상태를 진단하고, 목표 수준 설정을 돕는다. 구체적으로, 위험 평가(Risk Assessment), 암호화 인벤토리 구축(Crypto Inventorying), 외부 의존성 해결(Address External Dependencies), PQC 구성 요소 구현(Implement PQC Components), PQC 가드레일 구현(Implement PQC Guardrails), PQC 구성 요소 통합(Integrate PQC Components)의 6단계 전략을 제시한다.

메타(Meta)는 PQC 구현을 위해 NIST에서 권장하는 알고리즘을 채택할 것을 권고한다. 구체적으로, 키 교환/캡슐화에는 ML-KEM(NIST FIPS 203)을, 디지털 서명에는 ML-DSA(NIST FIPS 204)를 권장한다. 또한, HQC(Hash-based Quantum Cryptography)와 같은 대체 알고리즘을 고려하여, ML-KEM 또는 ML-DSA의 취약점에 대비한다. 알고리즘 선택(Algorithm Selection) 시에는 보안 수준과 성능 간의 균형을 고려해야 한다.

댓글에서는 메타(Meta)의 PQC 마이그레이션 전략과 별개로, 데이터 판매와 관련된 개인 정보 보호(Privacy) 문제에 대한 근본적인 의문을 제기한다. 사용자 데이터가 암호화되어 저장되더라도, 데이터 판매 과정에서 평문(Plain Text)으로 노출될 수 있다는 점을 지적한다. 이는 PQC와 같은 기술적 보안 조치와는 별개로, 데이터 미저장 정책(Zero-Retention Policy)과 같은 근본적인 해결책이 필요함을 시사한다.