트럼프 행정명령, 연방 정부의 양자 공격에 견디는 암호화 전환 기한 설정

연방 기관들, 기밀 연방 시스템에 대한 2030년 및 2031년 이행 기한 직면

도널드 트럼프 대통령은 연방 기관들에 고가치 자산과 영향력이 큰 시스템을 양자 내성 암호화 방식으로 전환할 것을 지시하며, 키 설정의 경우 2030년 12월 31일, 디지털 서명의 경우 2031년 12월 31일을 마감 기한으로 정했다. 6월 22일 발령된 이 행정 명령은 민감한 연방 시스템, 조달 규정, 그리고 핵심 인프라 부문 전반에 걸친 계획 수립에 적용된다.

이 명령은 양자 컴퓨팅이 초래하는 위험에 초점을 맞추고 있다. 이 명령은 적대 세력이 현재 암호화된 미국 데이터를 수집해 두었다가, 향후 양자 기술이 발전하면 이를 복호화할 수 있다고 경고한다. 양자 이후 암호화란 양자 컴퓨터와 고전 컴퓨터 모두의 공격을 견딜 수 있도록 설계된 암호화 알고리즘 또는 방법을 의미한다. 이 행정 명령은 다음과 같이 명시하고 있다:

“미국은 국가의 민감한 데이터, 핵심 인프라 및 디지털 경제에 대한 암호화 보호 조치를 강화하기 위한 조치를 취해야 한다.”

각 기관장은 30일 이내에 양자 이후 암호화 전환 담당자를 지정해야 한다. 이 담당자들은 기관의 최고정보책임자(CIO)에게 보고하며, 암호화 자산 목록을 관리하고, 전환 계획을 수립하며, 부처 간 이행 과정을 조정할 것이다.

90일 이내에 행정관리예산국(OMB)은 사이버보안·인프라보안국(CISA) 및 국가 사이버 담당관과 협력하여 지침을 발표해야 합니다. 각 기관은 국가안보 시스템을 제외한 고가치 자산 및 영향력이 큰 시스템을 검토하고, 새로운 표준으로의 전환을 위한 세부 계획을 제출해야 합니다.

NIST, CISA 및 계약업체에 명확한 이행 역할 부여

이 명령에 따라 여러 연방 기관이 구체적인 책임을 부여받았습니다. 미국 국립표준기술연구소(NIST)는 180일 이내에 자사가 관리하는 선별된 시스템에 대해 시범 전환 프로젝트를 시작해야 하며, 2027년 12월 31일까지 완료해야 합니다. 이 시범 사업은 2030년 및 2031년 마감 기한 이전에 더 광범위한 도입을 이끄는 데 도움이 될 것입니다. 이 행정 명령은 또한 장기적인 데이터 위험을 강조하고 있습니다. 명령문에는 다음과 같이 명시되어 있습니다:

“우리 국가를 대상으로 한 지속적인 사이버 활동은 적대 세력이 현재 미국의 정보를 수집한 뒤, 향후 대규모 양자 컴퓨터가 가동되면 이를 복호화할 위험을 내포하고 있습니다.”

조달 관련 변경 사항은 규칙 제정 절차를 통해 진행될 예정이다. 연방조달규제위원회(FAR Council)는 180일 이내에, 해당 계약업체들이 2030년 12월 31일까지 양자 저항 알고리즘을 포함한 NIST 표준을 충족하도록 요구하는 규칙안을 공고해야 한다. 핵심 인프라도 포함되며, 부문별 위험 관리 기관(Sector Risk Management Agencies)은 CISA와 협력하여 운영자가 마이그레이션 계획을 수립할 수 있도록 지원해야 하며, CISA와 NIST는 암호화 부품 명세서(cryptographic bill of materials)의 최소 구성 요소에 대한 지침을 270일 이내에 공고해야 한다.

이 명령은 국내 시스템에 그치지 않고, 국무장관에게 연방 기관 및 정보 당국과 협력하여 해외에서 NIST 양자 저항 표준의 채택을 촉진하도록 지시하고 있다. 국가안보시스템(NSS)은 별도의 절차를 따르며, 국가안보국(NSA) 국장은 180일 이내에 대통령에게 진행 상황을 보고하고, 그 이후에는 매년 보고해야 한다.