NIST(미국 국립표준기술연구소)는 양자 컴퓨팅 기술의 발전으로 인해 현재 사용 중인 공개 키
암호화 알고리즘이 취약해질 것을 대비하여 PQC(Post-Quantum Cryptography) 전환을 위한
프로젝트를 진행하고 있습니다. 이 프로젝트는 조직들이 미래의 양자 컴퓨팅 공격으로부터
중요한 데이터와 디지털 시스템을 보호할 수 있도록 지원하는 것을 목표로 2022년 6월부터
삼성SDS를 포함하여 초기 13개사 참여로 시작하여, 추가 참여 업체 및 정부기관(NSA, CISA)
포함하여 2025년 4월 기준 총 47개사가 협력 중인 프로젝트입니다. 바로 이 프로젝트에
삼성SDS 연구소 보안연구팀은 초기 멤버로 2022년부터 참여 중이며
현재까지도 적극적인 활동을 이어오고 있습니다.
이번 포스팅에서 소개해 드릴 내용은 PQC 전환 동향에 대해 간략히 먼저 공유하고 프로젝트에
대한 소개와 삼성SDS 활동 내역 중심으로 소개하고자 합니다. 상세한 프로젝트 내용은
美 NIST 공식 홈페이지를 통해서도 확인이 가능합니다.
👉 공식 프로젝트 보기 (NIST)
2029년, 보안이 무너진다?
양자컴퓨터의 등장으로 현재의 암호화 체계가 위협받을 수 있는 상황에서, 기존 시스템에
적용된 공개키 암호를 PQC로 전환해야 하는 시점에 도달했습니다. 특히 가트너는 2025년
Top 10 전략기술 트렌드에 PQC 전환을 포함시키며 그 중요성을 강조하고 있습니다.
2029년까지 양자컴퓨팅의 발전으로 대부분의 기존 비대칭 암호화 방식이 안전하지 않게 될
것으로 예측하고 있습니다.
* (참고링크) https://www.gartner.com/en/articles/top-technology-trends-2025
PQC란 무엇이고 왜 중요한가요?
PQC는 양자 컴퓨터의 공격 시도에도 안전하다고 여겨지는 암호 알고리즘입니다. 이는 양자컴퓨팅 환경에서도 안전하게 암호기술을 이용할 수 있도록 하는 새로운 공개키암호 방식입니다. "양자 내성" 또는 "양자 안전" 암호화라고도 알려진 PQC는 양자 컴퓨터의 공격으로부터 데이터나 정보를 보호하기 위해 현재 사용 중인 암호화 시스템의 하드웨어나 소프트웨어를 업그레이드하는 것을 포함합니다. 이는 기존 시스템을 완전히 대체하는 것이 아니라 양자 컴퓨팅 위협에 대응할 수 있도록 보완하는 개념입니다.
NIST PQC 전환 프로젝트 현황
미국 정부는 2017년부터 PQC 알고리즘 표준화를 진행해왔으며, 2024년 8월에는 연방정부
표준(FIPS) 3종을 발표했습니다. 여기에는 키교환 1종(ML-KEM)과 전자서명 2종(ML-DSA, SLH-
DSA)이 포함되어 있습니다.
미국의 PQC 전환 준비는 2021년부터 본격화되었습니다. 백악관은 2022년 5월 국가안보각서
(NSM-10)를 발표했으며, NIST는 PQC 전환 프로젝트를 시작했습니다. 2022년 12월에는 의회에서
관련 법안(H.R 7535)이 공포되었고, 2024년 8월에는 약 10조원에 달하는 전환 비용이
추산되었습니다.
NIST의 PQC 전환프로젝트는 "Migration to Post-Quantum Cryptography"라는 명칭으로
2022년 6월부터 진행되는 프로젝트입니다. 이 프로젝트는 PQC 전환에 필요한 실질적인
가이드를 공유하는 것을 목표로 하고 있습니다.
초기에는 삼성SDS를 포함한 13개 기업이 참여했으나, 현재는 총 47개의 기업과 기관이
협력하고 있습니다. 참여사에는 AWS, MS, IBM과 같은 IT 기업부터 HSBC, JPMorgan과 같은
금융사, 그리고 NSA, CISA와 같은 정부기관까지 포함되어 있습니다.
프로젝트의 주요 산출물은 NIST Special Publication(SP) 1800시리즈로 발행되고 있습니다.
2023년 3월에는 프로젝트의 배경과 목적을 담은 SP 1800-38A가 발행되었으며, 2023년 12월에는
양자취약암호 식별 시나리오를 다룬 SP 1800-38B와 PQC기반 구현물들의 상호운용성 및
성능테스트 결과를 담은 SP 1800-38C가 발행되었습니다.
최근 2025년 3월 11일, NIST는 다섯 번째 PQC 알고리즘으로 HQC(Hamming Quasi-Cyclic)를
표준화 대상으로 선정했다고 발표했고, 양자내성암호 표준화 과정의 중요한 진전을 보여주는
사례로 평가되고 있습니다. 이는 HQC가 다섯 번째 알고리즘이자 두 번째 KEM 알고리즘으로
선정되었으며, 주로 CRYSTALS-Kyber의 백업 역할을 담당하므로써 단일 알고리즘에 대한
의존도를 줄이고 암호학적 다양성을 확보했다는 점에서 PQC 표준화 과정의 중요한 진전을
보여주는 사례입니다.
삼성SDS의 NIST PQC 프로젝트 참여 활동 및 성과
2022년: NCCoE 마이그레이션 프로젝트 참여 시작
삼성SDS는 유일한 아시아 기업으로서 NIST 프로젝트에 초기 멤버로 참여를 시작하여 현재까지
적극적으로 활동 중입니다. 2022년 NCCoE 마이그레이션 프로젝트 참여를 시작으로 PQC 표준화
및 마이그레이션 프로젝트를 진행 중입니다.
2022-2023년: 프로젝트 진행 및 기술 개발
NCCoE의 PQC 마이그레이션 프로젝트는 하드웨어, 소프트웨어 및 서비스를 양자 컴퓨터 기반
공격에 내성이 있는 솔루션으로 대체하는 방법을 개발하는 데 초점을 맞추었습니다. 삼성SDS는
기간 동안 암호 민첩성 플랫폼(Crypto Agility Platform)을 개발하여 기업의 PQC 전환 지원을
준비하였습니다.
2023년 12월, NIST는 PQC 마이그레이션에 관한 예비 초안 문서(NIST SP 1800-38)를
발표했으며, 이 문서에는 삼성SDS의 'Crypto Agility Platform for Enterprise'가
포함되었습니다. 이는 삼성SDS의 기술력이 국제 보안 가이드에 반영된 중요한 성과입니다.
2025년: 국내 암호화 기술 주도
3월, 삼성SDS는 양자내성암호 분야에서 우수한 기술력을 다시 한번 입증했습니다. 특히
KAIST와 산학협력으로 개발한 해시 기반 전자서명 알고리즘 'AIMer(에이머)'가 국내
양자내성암호 국가공모전에서 표준 알고리즘으로 최종 선정되었고 이를 통해 국내 기술
표준화를 적극적으로 주도하고 있으며, 4월에는 미국 국립표준기술연구소(NIST)의 'NIST
Crypto Agility Workshop'에서 'Software-Defined Cryptography: Enabling Crypto Agility in
Enterprise IT'를 발표하였는데, 이 접근법은 기업들이 PQC 전환을 더욱 효율적이고
경제적으로 수행할 수 있는 방안으로 암호 알고리즘의 유연한 전환과 관리를 위한 소프트웨어
정의 암호화 개념을 소개하면서 글로벌 기업들의 관심을 받았습니다.
삼성SDS의 PQC 기술 확보 현황
삼성SDS는 PQC 전환의 주요 단계인 식별, 분석, 전환에 대응하기 위해 'Crypto Agility
Platform for Enterprise'기술을 확보하고 있습니다. 2023년부터 2024년까지 관련 특허 7건을
확보하며 Crypto Agility 대응을 준비하고 있습니다.
대외 활동 측면에서는 국내외에서 활발한 활동을 펼치고 있습니다. 해외에서는 NIST
Crypto Agility Workshop, ETSI/IQC Quantum Safe Cryptography conference 2025, Real World
Crypto 2024 등에서 암호전환 기술에 대한 발표를 진행했습니다. 국내에서는 사이버 Summit
Korea와 KpqC 컨퍼런스 등에서 PQC 전환 주제로 발표를 진행하며 기술력을 인정받고 있습니다.
이러한 전반적인 활동을 통해 삼성SDS는 PQC 전환이라는 새로운 기술 패러다임에 선제적으로
대응하고 있으며, 글로벌 수준의 기술력을 확보해 나가고 있습니다.