CISA, 양자 후 암호화 제품 카테고리 발표로 마이그레이션 가속화

CISA, 양자 후 암호화 제품 카테고리 발표로 연방 기관 마이그레이션 지원

미국 사이버보안 및 인프라 보안국(CISA)은 양자 후 암호화(Post-Quantum Cryptography, PQC) 표준을 활용하는 하드웨어 및 소프트웨어 제품 카테고리의 포괄적인 목록을 발표했으며, 이를 정기적으로 업데이트할 예정입니다. 이 조치는 2025년 6월 6일 발효된 행정명령(EO) 14306 *"국가의 사이버보안 강화를 위한 지속적 노력 및 행정명령 13694 및 행정명령 14144 개정"*에 따른 것입니다.

주요 내용

CISA의 이 자료는 연방 기관에서 신흥 암호화 표준을 충족하는 기술을 식별하기 위한 구조화된 프레임워크를 제공함으로써 PQC 도입을 가속화하는 것을 목표로 합니다. 이 목록은 제품을 하드웨어 및 소프트웨어 부문으로 분류하고, 조달 및 구현 노력을 안내하기 위한 예시 유형을 제공합니다. 전체 세부 사항은 CISA 공식 자료 페이지에서 확인할 수 있지만, 이 카테고리는 조직이 RSA 및 ECC와 같은 양자 취약 암호화 알고리즘에서 전환하는 데 도움을 주기 위해 설계되었습니다.

기술적 배경

양자 후 암호화는 고전 및 양자 컴퓨터의 공격에 저항할 수 있다고 여겨지는 암호화 알고리즘을 의미합니다. **미국 국립표준기술연구소(NIST)**가 2024년 PQC 표준화 프로세스를 완료함에 따라, 연방 기관은 이제 PQC 호환 솔루션을 우선시해야 합니다. CISA의 제품 카테고리는 NIST가 승인한 알고리즘과 일치하며, 다음을 포함합니다:

• CRYSTALS-Kyber (키 캡슐화)
• CRYSTALS-Dilithium (디지털 서명)
• SPHINCS+ (해시 기반 서명)

영향 및 다음 단계

이 제품 카테고리 발표는 연방 기관 및 중요 인프라 제공업체에 대한 PQC 마이그레이션의 긴급성을 강조합니다. 조직은 다음을 수행할 것을 권장합니다:

1. 현재 암호화 종속성 평가 및 양자 취약 알고리즘에 의존하는 시스템 식별.
2. CISA의 제품 카테고리 검토를 통해 하드웨어 및 소프트웨어의 PQC 호환 대체품 평가.
3. NIST 지침 및 연방 명령에 따른 단계적 마이그레이션 계획 수립.
4. CISA의 제품 목록 업데이트 모니터링 – CISA는 진화하는 표준 및 시장 가용성에 따라 카테고리를 개선할 예정입니다.

CISA의 자료는 기관이 양자 내성 암호화로의 복잡한 전환을 탐색하는 데 중요한 도구로 작용하며, EO 14306 준수와 장기적인 사이버보안 위험 완화에 기여합니다.