미국 국방부((DoW)는 오는 2030년 12월 31일까지 모든 시스템에 양자내성암호(PQC, Post-Quantum Cryptography)를 지원한다고 밝혔다. 그렇지 않으면 퇴출한다. 이를 위해 현재 사용중인 암호기술 현황을 전수 조사(Baseline Inventory)한다. 이어 1년후인 2031년 12월 31일까지는 별도 명시가 없는 한 모든 시스템에 PQC를 반드시 적용(사용)한다. 이와 별도로, 양자키분배(QKD)는 보안 수단에서 제외했다.
산업계 등에 따르면 미 국방부는 지난 4월 16일 이 같은 내용의 국방 정책 및 기술 전략을 마련(아래 이미지), 최근 공개했다.
PQC는 현재 인터넷과 정보시스템에서 사용하는 RSA나 ECC 같은 공개키 암호를 양자컴퓨터로도 풀기 어려운 새로운 수학적 알고리즘으로 대체하는 기술을 말한다. 양자컴퓨터 시대에도 안전하게 데이터를 암호화하고 전자서명을 수행할 수 있게 설계한 차세대 암호기술이다. 기존 인터넷과 네트워크 인프라를 그대로 활용할 수 있는 장점이 있다. 별도의 양자 통신 장비를 설치할 필요 없이 소프트웨어나 펌웨어를 업데이트하는 방식으로 적용할 수 있는 것이다.
반면 QKD는 데이터를 암호화하는 기술이 아니라, 암호화에 사용할 비밀키를 안전하게 전달하는 기술이다. 양자의 '관측하면 상태가 변한다'는 성질과 '복제할 수 없다'는 성질을 이용, 키를 전송하는 과정에서 제3자가 도청하면 즉시 이를 탐지할 수 있게 한다. 이론적으로는 매우 높은 수준의 보안을 제공하지만, 양자 광원과 단일광자 검출기, 전용 광섬유 또는 위성 통신망 등 특수한 장비와 통신 환경이 필요하기 때문에 구축 비용이 높고 적용 범위에도 제약이 있다.
미 국방부는 이번 전략 마련에 따라, 높은 수준의 보안을 제공하는 차세대 고신뢰 종단 암호장비(High Assurance End Cryptographic Units, HAECU)와 다양한 무기체계에 탑재되는 임베디드 암호모듈을 설계·개발·배치한다.
미 국방부는 PQC로 전환에 대해 "전장 환경에서 전투원의 통신을 안정적으로 유지하고, 분쟁 발생 시 발생할 수 있는 통신 및 정보보호 혼란을 최소화하며, 국내외에 배치된 지휘통제(C2) 체계를 양자컴퓨터 기반의 위협으로부터 보호하기 위한 것"이라면서 "현재 이러한 핵심 임무를 보호하기 위해 운용 중인 암호체계는 양자컴퓨팅을 악용하려는 적대 세력의 기술 발전으로 점차 심각한 위험에 직면하고 있다"고 진단했다.
이어 "이러한 양자 위협 속에서도 임무 수행 능력을 지속적으로 보장하기 위해 PQC 전략을 발표했다"면서 "이 전략은 전투 수행 체계와 이를 지원하는 모든 시스템을 포스트 양자 암호 체계로 전환하기 위해 반드시 달성해야 할 구체적이고 실행 가능한 목표를 제시하고 있다"고 설명했다. 앞으로 미 국방부는 관련 상용 기술을 보다 신속히 검증할 수 있는 절차를 마련하고 시험·평가 과정을 효율화할 계획이다. 산업계의 기술력과 국방부의 체계적인 PQC 협력 체계를 결합, 양자 위협에 대한 방어 능력을 보다 신속히 강화하고, PQC로의 전략적인 전환을 추진할 수 있는 토대를 마련할 예정이라고 덧붙였다.
하지만 미 국방부는 이러한 포스트 양자 암호 전환이 "결코 쉬운 과제가 아니다"고 전제하며 "현재 운용 중인 거의 모든 군사 자산이 어떤 형태로든 영향을 받게 될 것이다. 적대 세력은 지속적으로 취약점을 탐색하고 공격을 시도할 것이다. 또한 이 과정에서는 상당한 비용도 수반될 수밖에 없다"고 짚었다. 그럼에도, 이 전략에 따라 치밀하고 신중하게 계획을 수립하고 이행한다면, 이러한 도전을 성공적으로 극복할 수 있을 것이라고 확신한다면서 "이를 통해 장병들이 자신의 생명을 맡기는 전투 시스템이 결정적인 순간에도 안전하게 보호되고 안정적으로 운용될 것이라는 신뢰를 제공할 수 있을 것"이라고 밝혔다.
