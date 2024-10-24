양자 컴퓨터는 순수 연구 단계에서 벗어나 유용한 도구로 자리 잡고 있습니다. 이러한 기술은 의료 및 생명 과학, 고에너지 물리학, 재료 개발, 최적화 및 지속가능성 분야의 과제를 탐구하기 위해 산업 및 조직 전반에 걸쳐 사용됩니다. 그러나 양자 컴퓨터가 확장됨에 따라 오늘날의 공개 키 암호화가 의존하는 특정 어려운 수학적 문제도 해결할 수 있게 될 것입니다. 미래의 암호화 관련 양자 컴퓨터(CRQC)는 현재 데이터의 기밀성과 무결성, 시스템 액세스의 신뢰성을 보장하는 데 도움이 되는 전 세계적으로 사용되는 비대칭 암호화 알고리즘을 깨뜨릴 수 있습니다.
CRQC로 인한 위험은 데이터 유출 가능성, 디지털 인프라 중단, 심지어 광범위한 글로벌 조작 등 광범위합니다. 이러한 미래의 양자 컴퓨터는 디지털 경제에 가장 큰 위험 중 하나가 될 것이며 기업에 상당한 사이버 위험을 초래할 것입니다.
현재도 이미 활성 위험이 존재합니다. 오늘날 사이버 범죄자들은 CRQC를 사용할 수 있을 때 나중에 이 데이터를 해독하기 위해 암호화된 데이터를 수집하고 있으며, 이를 '지금 수집하고 나중에 암호 해독'하는 위협이라고 합니다. CRQC에 액세스할 수 있는 경우 데이터를 소급하여 암호를 해독하여 매우 민감한 정보에 무단으로 액세스할 수 있습니다.
다행히 오늘날의 시스템과 데이터를 보호할 수 있는 포스트 퀀텀 암호화(PQC) 알고리즘이 표준화되어 있습니다. 미국 국립표준기술연구소(NIST)는 최근 세 가지 표준 중 첫 번째 세트를 발표했습니다.
이 중 두 가지 표준(ML-KEM 및 ML-DSA)은 IBM이 외부 협력업체와 함께 개발했으며, 세 번째 표준 (SLH-DSA)은 IBM에 합류한 과학자가 공동 개발했습니다.
이러한 알고리즘은 전 세계 정부와 산업에서 '전송 계층 보안'(TLS) 등의 보안 프로토콜의 일부로 채택될 것입니다.
좋은 소식은 이러한 알고리즘을 사용하여 양자 위험으로부터 보호할 수 있다는 것입니다. 나쁜 소식은 기업이 이러한 새로운 PQC 표준을 채택하기 위해 자산을 마이그레이션해야 한다는 것입니다.
이전 암호화 알고리즘 마이그레이션 프로그램은 완료하는 데 수년이 걸렸습니다. 조직으로서 자문해 보세요. SHA1에서 SHA2로의 마이그레이션 프로그램은 얼마나 오래 걸렸나요? PKI(공개 키 인프라) 업그레이드 프로그램에서 1024비트에서 2048비트 키 또는 3072비트 또는 4096비트 키로 PKI 신뢰 체인 키 크기를 늘린 경우에는 어떻게 되나요? 이 모든 것을 복잡한 엔터프라이즈 환경에 배포하는 데 얼마나 걸렸나요? 몇 년인가요?
양자 컴퓨팅과 PQC 표준의 구현으로 인한 영향은 조직의 포괄적인 자산에 걸쳐 광범위합니다. 양자 컴퓨팅 위험은 더 많은 시스템, 보안 도구 및 서비스, 애플리케이션 및 네트워크 인프라에 영향을 미칩니다. 조직은 자산과 데이터를 보호하기 위해 즉시 PQC 표준으로 전환해야 합니다.
'지금 수집하고 나중에 해독하는' 위험으로부터 조직을 보호하려면 퀀텀 세이프 혁신 프로그램을 실행하는 것이 좋습니다. 최근 발표된 PQC 암호화 표준을 적용할 수 있는 도구를 도입하고 서비스를 이용하세요.
IBM은 포괄적인 퀀텀 세이프 프로그램 방법론을 개발했으며, 현재 수십 개의 고객사가 주요 산업과 국가 정부를 포함한 수십 개 국가에 걸쳐 실행되고 있습니다.
다음과 같은 주요 단계로 구성된 프로그램을 도입할 것을 권장합니다.
프로그램 여정의 1단계에서는 조직 전체에 걸쳐 인식 캠페인을 만들어 이해관계자와 보안 주제 전문가(SME)를 양자 위험에 대해 교육하는 등 핵심 영역에 중점을 둡니다. 퀀텀 세이프 '앰버서더' 또는 '챔피언'을 구축하여 양자 위험과 퀀텀 세이프 진화를 파악하고 프로그램의 중앙 담당자 역할을 하고 기업 전략을 수립하는 데 도움을 줍니다.
다음으로 조직의 암호화 관련 비즈니스 자산(일반적으로 암호화를 사용하거나 의존하는 모든 자산)에 대한 양자 위험에 대한 위험 평가를 수행합니다*. 예를 들어, 위험 및 영향 평가에서는 다른 평가 영역 중에서도 자산의 비즈니스 관련성, 환경 복잡성 및 마이그레이션 난이도를 평가해야 합니다. 긴급 조치를 포함하여 비즈니스 자산 내의 취약성을 식별하고, 그 결과를 강조하는 보고서를 작성하여 주요 이해관계자에게 제공하여 조직의 양자 위험 태세를 이해할 수 있도록 지원합니다. 이는 기업의 암호화 재고를 개발하기 위한 기준이 될 수도 있습니다.
2단계에서는 파악된 우선순위 영역과 잠재적인 암호화 약점 및 양자 위험을 해결하는 방법을 이해관계자에게 안내합니다. 그런 다음 PQC 알고리즘을 지원하지 못할 수 있는 시스템을 강조 표시하는 등의 세부적인 개선 작업을 수행합니다. 마지막으로 마이그레이션 프로그램의 목표를 표현합니다.
이 단계에서 IBM은 고객의 조직이 목표를 달성하기 위해 필요한 퀀텀 세이프 이니셔티브를 상세히 설명하는 퀀텀 세이프 마이그레이션 로드맵을 개요화합니다.
고객에게 암호화를 위한 거버넌스 프레임워크 개발, PQC 마이그레이션을 위한 시스템 및 데이터의 우선순위 지정과 같은 중요한 이니셔티브를 로드맵에서 고려하라고 조언합니다. 설계상 PQC를 사용하고 암호화 재료 명세서(CBOM)를 생성하도록 보안 소프트웨어 개발 관행 및 지침을 업데이트합니다. 공급업체와 협력하여 제3자 의존성과 암호화 산출물을 이해하세요. 새로운 암호화 부채 또는 새로운 레거시 생성을 방지하기 위해 PQC를 지원하는 솔루션과 서비스에 집중하도록 조달 프로세스를 업데이트합니다.
주요 필수 기능 중 하나는 이해관계자가 퀀텀 세이프 여정 전반에 걸쳐 PQC 채택 진행 상황을 모니터링할 수 있는 암호화 재고인 '암호화 관측 가능성'입니다. 재고는 자동 데이터 수집, 데이터 분석, 위험 및 규정 준수 상태 관리를 통해 지원되어야 합니다.
3단계에서는 우선순위 시스템/위험/비용, 전략적 목표, 제공 용량 등을 기반으로 이니셔티브를 구현하여 퀀텀 세이프 마이그레이션 프로그램을 실행합니다. 조직의 정보 보안 표준 및 정책을 통해 시행되는 퀀텀 세이프 전략을 개발합니다.
표준화되고 테스트를 거친 검증된 참조 아키텍처와 마이그레이션 패턴, 여정 및 청사진을 사용하여 기술 마이그레이션을 실행합니다.
개발 및 마이그레이션 솔루션 내에 암호화 민첩성 지원을 포함하고, 로컬 암호화 처리를 중앙 집중화되고 관리되며 쉽게 적용할 수 있는 플랫폼 서비스로 추상화하여 암호화 디커플링을 구현합니다.
학습한 교훈이 담긴 피드백 루프를 프로그램에 포함하세요. 향후 몇 년 동안 마이그레이션 프로그램을 지원하기 위해 새로운 접근 방식과 솔루션을 혁신하고 신속하게 테스트할 수 있습니다.
마이그레이션하기 어려운 요소가 많습니다. 예를 들어, 광역 네트워크(WAN), 근거리 통신망(LAN), VPN 집중 장치 및 Site-2-Site 링크와 같은 인터넷 인프라의 기본 구성 요소는 마이그레이션하기가 더 복잡해질 것입니다. 따라서 이러한 요소는 조직 내에서 사용이 제한적인 요소보다 더 많은 주의가 필요합니다. PKI, 키 관리 시스템, 보안 결제 시스템, 암호화 애플리케이션 또는 백엔드(예: HSM), 링크 암호화기 및 메인프레임과 같은 핵심 암호화 서비스는 모두 마이그레이션하기가 복잡합니다. 기술 상호 운용성 문제를 포함하여 다양한 애플리케이션 및 하드웨어에 대한 종속성을 고려해야 합니다.
또한 호환성 및 성능 수용 가능성을 보장하고 문제를 식별하기 위해 사내 시스템 및 데이터 워크플로에 대한 PQC 표준의 성능 테스트를 고려해야 합니다. 예를 들어, PQC는 현재 사용되는 알고리즘에 비해 더 긴 키 크기, 암호문 또는 서명 크기를 필요로 하는 경우가 있는데, 이는 통합 및 성능 테스트에서 고려되어야 합니다. 일부 조직에 중요한 기술은 여전히 레거시 암호화에 의존하므로 PQC 표준으로 마이그레이션하는 것이 어렵거나 불가능할 수도 있습니다. 애플리케이션 리팩토링 및 재설계가 필요할 수 있습니다.
다른 문제로는 기술 부족이나 문서 부족 등이 있으며, 이로 인해 기업 내에서 지식 격차가 발생했습니다. 시스템/설정 파일/스크립트 등에 하드코딩된 정보는 마이그레이션을 더욱 복잡하게 만들 수 있습니다.
암호화 키와 디지털 인증서가 정확하게 추적 및 관리되는지 확인하세요. 부실한 관리는 이주를 더욱 복잡하게 만들 것입니다.
모든 사용 사례가 국제 PQC 실무 그룹에서 테스트되는 것은 아닙니다. 조직마다 고유한 기술의 조합 또는 구성이 다양하므로 전체 워크플로 관점에서 시스템을 철저하게 테스트해야 합니다.
이제 NIST가 첫 번째 PQC 표준 세트를 발표했기 때문에 미국 이외의 지역에서도 규제가 빠르게 따를 것으로 예상해야 합니다. 금융 산업과 관련된 예는 다음과 같습니다.
따라서 조직을 위한 퀀텀 세이프 전략 개발을 포함하는 암호화 거버넌스 프레임워크 개발에 집중하는 것이 좋습니다. 이는 비즈니스 전략적 목표와 비전, 목표 기간과 일치해야 합니다. 우수 센터는 변혁 프로그램의 일환으로 지원과 조언을 제공해야 합니다. 거버넌스 프레임워크는 조직의 규제 감독, 암호화 보증 및 위험 관리, 제공 역량 구축, PQC 교육과 같은 핵심 요소에 중점을 두어야 합니다. 애플리케이션 개발 내에서 모범 사례 채택을 지원하고 보안 아키텍처 패턴 및 기술 설계 검토 위원회를 제공해야 합니다.
전환 프로그램은 길고 복잡할 것입니다. 이를 위해서는 부서 간 참여와 광범위한 기술이 필요합니다. 팀 사기를 관리하고 관찰하며 조직의 업무 문화와 변화 관리 관행을 고려하여 여러 해에 걸친 프로그램 제공 기간 동안 결속력을 유지할 수 있도록 하세요.
또한 많은 조직이 해당 산업 및 에코시스템에 특화된 많은 공급업체에 의존하고 있기 때문에 파트너십 개발을 고려합니다. 워킹 그룹 및 사용자 그룹을 통해 업계 내 다른 사람들과 협력하여 양자 위험 및 PQC 마이그레이션을 해결하기 위한 아이디어를 함께 배우고 공유하세요.
운영 관점에서 규정 및 법률에 매핑된 주요 엔터프라이즈 및 비즈니스 서비스의 추적 가능성 카탈로그를 확보하고 각 서비스에 대한 전환 일정을 계획하세요.
* 참고: 대칭 암호화를 사용하는 경우에도 키 교환과 같은 어떤 형태의 공개 키 암호화에 의존하는 경우가 많습니다.
