양자내성암호(PQC) 시대 개막: CISA 권고문과 기업의 대응 전략

미국 사이버보안 및 인프라 보안국(CISA)이 양자내성암호(PQC) 표준 적용 현황에 따른 IT 제품 분류 권고문을 발표하며, 기업들의 양자 시대 대비를 촉구하고 있습니다. 더 이상 미래의 이야기가 아닌, 현실적인 보안 과제로 다가온 양자내성암호, 이번 CISA 권고문은 기업들에게 어떤 의미를 가지며, 어떻게 대응해야 할까요?

CISA 권고문, 양자내성암호 도입의 시작을 알리다

CISA의 이번 권고문은 양자컴퓨터의 공격으로부터 현재의 암호 시스템을 보호하기 위한 양자내성암호 기술 도입의 중요성을 강조합니다. 2025년 6월 6일 발표된 연방 사이버보안 강화 행정명령에 따른 조치로, NIST 표준을 준수하는 PQC 알고리즘 적용 현황을 기준으로 IT 제품을 분류하고 있습니다. 이는 기업들이 자체적인 양자 시대 대비 수준을 점검하고, 미래 보안 전략을 수립하는 데 중요한 지침이 될 것입니다.

기업에게 던지는 메시지: "더 이상 미룰 수 없다"

이번 권고문은 양자내성암호가 더 이상 연구 과제가 아닌, 실제 조달 판단에 반영해야 할 기술임을 분명히 합니다. CISA는 공개키 암호에 의존하는 시스템 점검 시, 공공기관이 조달 전략과 장기 전환 계획을 수립하는 데 이번 자료를 활용하도록 권장하고 있습니다. 즉, 기업은 지금부터 양자내성암호 기술 도입을 고려해야 하며, 장기적인 로드맵을 구축해야 합니다.

현황과 과제: 부분적인 적용과 기술적 공백

CISA는 권고문을 통해 양자내성암호 적용 현황을 명확히 제시하고 있습니다. 일부 제품 범주에서 키 설정과 같은 제한적인 기능에 PQC가 적용되고 있지만, 아직 전반적인 수준에서 완전한 양자 내성을 확보한 단계는 아니라는 점을 지적합니다. 이는 기업들이 단순히 PQC 기술을 도입하는 것을 넘어, 시스템 전반에 걸쳐 통합적인 보안 체계를 구축해야 함을 의미합니다.

도입 준비된 제품과 향후 도입 가능 영역

CISA는 PQC 호환 솔루션 제공 및 전환이 진행 중인 기술 범주를 제시하여 기업의 의사 결정을 돕고 있습니다. 클라우드 서비스, 협업 소프트웨어, 웹 소프트웨어, 엔드포인트 보안 등이 이미 PQC 표준을 적용하고 있거나 적용 준비가 된 영역으로 분류되었습니다. 네트워크 하드웨어, SaaS, 통신 장비 등은 향후 도입 가능성이 있는 영역으로 제시되었지만, 완전한 수준의 양자 내성을 갖춘 사례는 없다는 점을 강조합니다.

NIST 표준 기반의 기술 기준

CISA 권고문은 NIST의 PQC 표준화 프로젝트와 FIPS 문서를 기반으로 합니다. 특히 CRYSTALS-KYBER, CRYSTALS-Dilithium, SPHINCS+ 등 안전한 키 설정 및 디지털 서명을 위한 알고리즘을 명시하고 있습니다. CISA는 키 설정과 디지털 서명에 PQC 핵심 요소를 구현해야 양자내성암호 적용 준비가 완료된 제품으로 분류합니다. 기업은 이러한 기술 기준을 이해하고, 자사 시스템에 적합한 PQC 기술을 선택해야 합니다.

맺음말

CISA의 권고문은 양자 시대 보안 위협에 대한 경각심을 높이고, 기업의 선제적인 대응을 촉구하는 중요한 메시지입니다. 더 이상 양자내성암호는 먼 미래의 이야기가 아닙니다. 지금부터 CISA 권고문을 참고하여 자체적인 로드맵을 구축하고, 미래 보안 환경에 대비하는 것이 필수적입니다.