Security

What NIST’s post-quantum cryptography standards mean for data security

NIST의 양자화 이후 암호화 표준이 데이터 보안에 미치는 영향

데이터 보안은 모든 비즈니스의 핵심입니다. 오늘날 중요한 데이터와 통신은 RSA 알고리즘과 같은 전통적인 암호화 방식으로 보호받고 있습니다. 이러한 방식은 현재의 위협으로부터 데이터를 안전하게 지킬 수 있지만, 조직들은 미래를 대비하여 새로운 위험 요인에 대응할 준비를 시작해야 합니다.

미국 국립표준기술연구소(NIST)는 최근 최초의 양자 이후 암호(Post-Quantum Cryptography, PQC) 표준을 발표했습니다. 이번 발표는 현대 사이버 보안의 중요한 전환점으로, 양자 이후 암호가 기업, 정부 기관, 공급망 업체 등 모든 조직에 중요한 보안 과제로 떠오르고 있음을 보여줍니다.

NIST는 양자 시대의 암호화 인프라를 강화하기 위해 다음과 같은 세 가지 PQC 표준을 최종 확정했습니다:

• ML-KEM (CRYSTALS-Kyber 기반): 보안 웹사이트 접속 등 일반 암호화를 위한 키 캡슐화 메커니즘
• ML-DSA (CRYSTALS-Dilithium 기반): 범용 디지털 서명 프로토콜을 위한 격자 기반 알고리즘
• SLH-DSA (SPHINCS+ 기반): 상태를 저장하지 않는 해시 기반 디지털 서명 방식

NIST는 이미 2021년부터 조직들에게 양자 안전(Quantum-Safe)을 목표로 한 전환을 계획하고 준비할 것을 권장해왔습니다. 이번 세 가지 PQC 표준의 최종 확정은 조직들이 이를 적극적으로 받아들이고, 암호화 인프라를 새로운 위협에 대응할 수 있는 암호 민첩성(Crypto-Agility)으로 전환할 수 있도록 방향을 제시합니다.

Data security is the cornerstone of every business operation. Today, the security of sensitive data and communication depends on traditional cryptography methods, such as the RSA algorithm. While such algorithms secure against today’s threats, organizations must continue to look forward and begin to prepare against upcoming risk factors.

The National Institute of Standards and Technology (NIST) published its first set of post-quantum cryptography (PQC) standards. This landmark announcement is an important marker in the modern cybersecurity landscape, cementing the indeterminate future of post-quantum cryptography as an important cybersecurity priority for enterprises, government agencies and supply chain vendors.

NIST has finalized the three following PQC standards to strengthen cryptography infrastructure for the quantum era:

• ML-KEM (derived from CRYSTALS-Kyber) — a key encapsulation mechanism selected for general encryption, such as for accessing secured websites
• ML-DSA (derived from CRYSTALS-Dilithium) — a lattice-based algorithm chosen for general-purpose digital signature protocols
• SLH-DSA (derived from SPHINCS+) — a stateless hash-based digital signature scheme

Since as early as 2021, NIST has been encouraging organizations to begin planning and preparing for the transition toward quantum-safe. The finalization and release of these three PQC standards is the assurance and guidance many organizations need to embrace and begin the process of transforming to crypto-agility.

조직들은 미래의 양자 컴퓨터 공격에 어떻게 대비하고 있을까요?

IBM은 지난 18개월 동안 여러 대규모 조직들과 협력하며 이 문제를 연구해왔습니다. 많은 조직들이 양자 안전 변혁(Quantum-Safe Transformation)을 전략적 필수 과제로 삼아, 사람, 프로세스, 기술이라는 세 가지 관점에서 접근하고 있습니다. 양자 안전을 실현하려면 암호화 성숙도를 높이고 전반적인 암호화 프로그램을 변화시키는 과정이 필요합니다. 이를 통해 양자 컴퓨터로 발생할 수 있는 위험에 대비할 수 있는 강력한 보안 태세를 구축하는 것이 목표입니다.

양자 안전으로 나아가는 여정은 우선 기업 내 데이터를 발견하고 분류하며, 암호화 인프라 전반에 대한 가시성을 확보하는 데서 시작합니다. 이후에는 암호화의 위험을 분석하고, 우선순위를 정해 대응책을 마련해야 합니다. 이 과정을 거쳐 궁극적으로는 암호 민첩성을 갖춘 인프라로 전환해야 합니다. 암호 민첩성이란 플랫폼, 시스템, 애플리케이션이 다음과 같은 능력을 갖추는 것을 의미합니다:

• 암호화가 손상되었을 때 신속히 업데이트
• 규제 변경이나 새로운 위협이 발생했을 때 적절히 변경
• 암호화가 적절히 사용되고 있는지 모니터링
• 사용하지 않는 암호화 방식을 안전하게 폐기

더 알아보고 싶으신가요?

IBM 비즈니스 가치 연구소의 보고서 “양자 시계가 작동 중입니다: 당신의 조직은 얼마나 양자 안전합니까?”에서 더 많은 정보를 확인해보세요.

How are organizations preparing today to withstand attacks from quantum computers in the future?

IBM has engaged with many large organizations over the past 18 months. These leaders have established, or are establishing, quantum-safe transformational initiatives as a strategic imperative, approaching it with a people, processes and technology perspective. Reaching “quantum safety” requires increasing crypto maturity, and transforming their cryptography program in the process. The objective is a strong cryptographic posture, including resilience against quantum-powered risks.

The journey toward quantum-safe often starts with discovering and classifying data to gain visibility into cryptographic inventory across the enterprise, including being able to analyze risk and prioritize remediation. Beyond discovery and classification is the transformation toward crypto-agility, the ability for platforms, systems and applications to:

• Update cryptography when it is broken
• Change cryptography when regulations and new threats require it
• Monitor that cryptography is being used properly
• Retire cryptography when it is out of date

Ready to learn more? Check out the IBM Institute of Business Value report, “The quantum clock is ticking: How quantum safe is your organization?”

https://securityintelligence.com/posts/nist-post-quantum-cryptography-standards-data-security/

quantum-safe | post-quantum cryptography | quantum cryptography | NIST | Data Security | National Institute of Standards and Technology (NIST)