양자컴퓨터 시대 대비, 미국 정부 PQC 전환 행정명령 발표

행정명령(EO)은 양자내성 암호화(Post-Quantum Encryption)와 양자내성 인증(Post-Quantum Authentication)이라는 두 가지 주요 마이그레이션 경로를 제시함.

두 마이그레이션은 상호 보완적이며, 특히 인증 마이그레이션(Authentication Migration)은 더 긴 의존성 체인과 생태계 지원 필요성으로 인해 더 큰 도전 과제로 인식됨.

NIST 표준 알고리즘인 ML-KEM(FIPS 203)은 고전적 TLS 1.2 대비 성능 향상을 보이며, TLS 1.3에서의 적용이 활발함. 현재 클라우드플레어 트래픽의 2/3 이상이 PQC 암호화로 보호되고 있음.

반면, ML-DSA(FIPS 204) 및 SLH-DSA(FIPS 205)와 같은 양자내성 인증 알고리즘은 더 큰 서명 크기로 인해 일부 시스템, 특히 단기 연결에서 성능 저하 가능성이 있음.

인증 마이그레이션은 클라이언트, 서버, 인증 기관, 루트 저장소, 브라우저 등 광범위한 생태계의 동시 업그레이드가 필요하며, 현재 초기 단계에 머물러 있음. 2027년 이후에야 광범위한 지원이 예상됨.

행정명령(EO)은 연방 기관뿐만 아니라 연방 계약업체(Federal Contractors)에도 PQC 알고리즘을 포함한 NIST FIPS 준수를 요구함. 이는 2030년 12월 31일까지 적용될 예정임.

이 조항은 PQC 지원 제품의 공급망 전반의 채택을 가속화하는 데 핵심적인 역할을 할 것으로 기대됨. 연방 기관이 PQC 지원 제품을 우선 구매하도록 유도하고, 계약업체는 PQC 지원 제품 개발에 집중하게 될 것임.

결과적으로, 이러한 연방 요구사항은 병원, 은행, 대학 등 민간 부문에서도 PQC 지원 제품의 광범위한 가용성 증대에 기여할 것임.

행정명령(EO)은 방향성을 제시했지만, OMB(Office of Management and Budget)는 효과적인 PQC 마이그레이션을 위해 구체적인 운영 가이드라인을 제공해야 함.

미국 국무부는 동맹국과의 NIST 표준 PQC 알고리즘 채택 및 일정 조율을 위해 국제 협력을 강화해야 함. 이는 암호화 파편화(Cryptographic Fragmentation) 위험을 줄이고 인터넷 전체의 상호 운용성을 보장하는 데 필수적임.

또한, NIST의 CMVP(Cryptographic Module Validation Program) 프로세스를 가속화하여 PQC 모듈 검증 시간을 단축하고, FedRAMP와 유사한 업데이트 스트림을 통해 신속한 PQC 채택을 지원해야 함.

결론적으로, PQC 전환은 단일 국가의 노력을 넘어 글로벌 협력을 통해 이루어져야 하며, 이를 위한 정책적 지원과 기술적 기반 마련이 시급함.