트럼프, 양자컴 개발·PQC 전환 행정명령 서명…연방 핵심 시스템 2031년까지 적용
미국 정부가 과학 연구용 양자컴퓨터 개발과 양자컴퓨터 시대에 대비한 암호체계 전환을 동시에 추진한다. 과학 분야의 난제를 해결할 수 있는 양자컴퓨터 개발에 정부 역량을 집중하는 한편, 연방정부 핵심 시스템은 2030년부터 단계적으로 양자내성암호(PQC)로 바꾼다.
백악관이 22일(현지시간) 공개한 문서에 따르면, 도널드 트럼프 미국 대통령은 양자 기술 개발을 촉진하는 행정명령 제14411호 ‘양자 혁신의 새로운 지평 개척(Ushering in the Next Frontier of Quantum Innovation)’과 암호체계를 강화하는 행정명령 제14409호 ‘첨단 암호 공격으로부터 국가 보호(Securing the Nation Against Advanced Cryptographic Attacks)’에 각각 서명했다.
두 행정명령은 양자컴퓨팅·센서·네트워크 분야의 기술 선점과 양자컴퓨터가 기존 암호체계에 미칠 위협에 대한 대응을 각각 다룬다. 양자 기술의 산업·안보적 활용을 확대하는 동시에 이에 따라 커질 수 있는 보안 위험에 대비한다는 계획이다.
과학 연구용 양자컴퓨터 개발 추진
양자 혁신 행정명령(EO 14411)에 따르면, 미국 정부는 ‘응용 개발·발견과학용 양자컴퓨터(QC-ADDS)’ 사업을 신설한다.
QC-ADDS는 기존 컴퓨터로 풀기 어려운 과학 문제를 처리할 수 있는 규모의 양자컴퓨터를 개발하는 국가 사업이다. 미국 정부는 최소 1대의 양자컴퓨터를 에너지부 시설에 설치하고, 가능한 범위에서 과학계가 이를 이용할 수 있도록 할 계획이다.
행정명령은 양자컴퓨터의 구체적인 개발 완료 시점은 명시하지 않았다. 로이터에 따르면, 마이클 크라치오스 백악관 과학기술정책실장은 행정명령 발표에 앞선 브리핑에서 2028년까지 과학 연구에 활용할 수 있는 양자컴퓨터를 확보할 수 있을 것으로 전망했다.
EO 14411은 에너지부가 행정명령 발효 후 90일 안에 QC-ADDS의 기술 규격을 정하도록 했다. 에너지부는 180일 안에 민간기업과의 협력 방식과 개발 비용, 사업 범위, 예상 공급 시점도 검토한다.
국방용 양자 센서, 2028년 배치
양자 혁신 행정명령(EO 14411)에 따르면, 미 국방 당국은 60일 안에 우선 추진할 차세대 양자 센서 사업을 최소 3개 선정하고 해당 센서를 2028년 9월 30일까지 실제 현장에 배치해야 한다.
로이터는 양자 센서가 위성항법시스템(GPS)이 방해받는 전장에서 항공기의 위치를 파악하거나, 위성에 탑재돼 터널과 미사일 격납고 같은 지하 활동을 탐지하는 데 활용될 수 있다고 설명했다.
EO 14411은 상무부와 에너지부, 국립과학재단(NSF), 미국항공우주국(NASA)에도 향후 5년 동안 추진할 양자 센서·네트워크 개발 계획을 마련하도록 했다.
상무부는 양자 센서의 상용화와 제조 기술을, 에너지부는 복잡한 물리 시스템을 측정하기 위한 양자 감지·영상 기술을 담당한다. NASA는 우주 분야에 적용할 민간 양자 센서와 네트워크 기술 개발 계획을 수립한다.
핵심 연방 시스템, PQC로 단계적 전환
PQC 관련 행정명령(EO 14409)에 따르면, 미국 정부는 연방 정보시스템에 적용된 기존 공개키 암호를 미국 국립표준기술연구소(NIST)가 승인한 PQC 표준으로 단계적으로 전환한다.
PQC는 양자컴퓨터와 기존 컴퓨터를 이용한 공격에 모두 견딜 수 있도록 설계된 암호다. 양자컴퓨터를 이용해 통신하는 양자암호통신과 달리, 기존 컴퓨터와 네트워크에서도 소프트웨어 형태로 적용할 수 있다.
EO 14409는 공격자가 암호화된 정보를 현재 탈취해 보관한 뒤, 대규모 양자컴퓨터가 등장하면 이를 해독하는 이른바 ‘지금 수집하고 나중에 해독하는 공격’을 주요 위험으로 지목했다.
이에 따라 각 연방기관은 행정명령 발효 후 30일 안에 기관 전체의 PQC 전환을 담당할 책임자를 지정해야 한다. 책임자는 기관이 사용하는 암호 기술을 목록화하고, 전환 우선순위와 이행계획을 마련한다.
암호키는 2030년, 전자서명은 2031년까지
EO 14409에 따르면, 국가안보 시스템을 제외한 연방정부의 고가치 정보자산과 고영향 시스템은 암호키 설정 기능에 2030년 12월 31일까지 PQC를 적용해야 한다.
데이터와 사용자의 진위를 확인하는 전자서명 기능은 2031년 12월 31일까지 PQC로 전환해야 한다.
따라서 미국 정부의 PQC 전환을 단순히 ‘2031년까지 완료한다’고 표현하면 두 단계로 나뉜 전환 시한이 충분히 드러나지 않는다. 암호키 설정은 2030년 말, 전자서명은 2031년 말이 각각 목표다.
또한 EO 14409는 NIST가 행정명령 발효 후 180일 안에 일부 정보시스템을 선정해 PQC 전환 시범사업에 착수하도록 했다. 시범사업은 2027년 12월 31일까지 마쳐야 한다.
NIST와 미국 국가안보국(NSA), 사이버보안 및 인프라보안국(CISA)은 연방기관이 실제 시스템에 PQC를 적용할 수 있도록 구현 방법과 위험관리 방안을 안내한다.
아울러 CISA와 NIST는 270일 안에 ‘암호 자재명세서(CBOM)’의 최소 구성요소를 담은 공개 지침을 마련해야 한다.
CBOM은 하드웨어와 소프트웨어가 어떤 암호 알고리즘과 인증서, 암호키를 사용하는지 목록화한 자료다. 기관이 PQC로 전환하려면 서버와 네트워크 장비, 애플리케이션, 클라우드 서비스에 적용된 암호 기술을 먼저 파악해야 한다.
정부 공급업체에도 PQC 적용 요구
PQC 전환 요구는 미국 정부에 제품과 서비스를 공급하는 계약업체로도 확대된다.
EO 14409에 따르면, 미 연방조달규정위원회는 180일 안에 연방조달규정 개정안을 내놓아야 한다. 개정안에는 적용 대상 계약업체가 2030년 12월 31일까지 PQC 알고리즘을 포함한 NIST 연방정보처리표준을 준수하도록 하는 내용이 담긴다.
계약업체의 취약점 공개 정책에도 암호 관련 취약점이 포함된다. 암호화되지 않은 데이터 전송이나 승인되지 않은 암호 알고리즘 사용 등을 취약점 신고·점검 대상에 넣는 방식이다.
NIST는 앞서 2024년 첫 PQC 표준 3종을 확정했다. FIPS 203은 암호키를 안전하게 설정하기 위한 ML-KEM을, FIPS 204와 FIPS 205는 전자서명에 사용하는 ML-DSA와 SLH-DSA를 각각 표준으로 정했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
