pile·
보안·cloudflare-blogCloudflare Blog·

양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

핵심 포인트
  • 암호화(키 교환) 전환: 2030년 12월 31일까지 ML-KEM(FIPS 203) 기반 전환 완료 — "Harvest-now-decrypt-later" 공격 방지를 위해 지금 즉시 시작 필요
  • 디지털 서명 전환: 2031년 12월 31일까지 ML-DSA(FIPS 204) 또는 SLH-DSA(FIPS 205) 기반 전환 — Q-Day 이후 위조 공격 방지용
  • TLS 1.3 + 하이브리드 ML-KEM 조합은 기존 TLS 1.2보다 오히려 더 빠른 성능을 보여 암호화 전환에 성능 우려는 불필요
  • 서명 전환은 ML-DSA 서명 크기가 기존 대비 수 배 커 TLS 핸드셰이크와 인증서 인프라에 영향 — 사전 계획 필요
  • Cloudflare 권장: 공개 인터넷 트래픽(TLS) 우선, 조달 계약에 "PQC 기본값 추가비용 없음" 조항, "양자 영향 인벤토리" 작성
상세 정리
  • EO 14409 배경: 양자컴퓨터가 현재 클래식 암호를 해독할 능력은 없지만, 미래 위협을 사전 차단하기 위해 연방 암호화 인프라 전환 의무화
  • 두 단계 기한 설정: 1단계(2030) 암호화/키 교환, 2단계(2031) 디지털 서명 — 서명 전환이 더 어렵고 복잡하므로 1년 여유
  • 1단계 즉시 시작 이유: 지금 암호화된 트래픽을 저장해두었다가 양자컴퓨터로 나중에 해독하는 "Harvest-now-decrypt-later" 공격은 현재도 진행 중 — 2030을 기다리면 이미 늦음
  • NIST 표준 알고리즘 3종: 암호화용 ML-KEM(FIPS 203), 서명용 ML-DSA(FIPS 204)와 SLH-DSA(FIPS 205) — 이 세 알고리즘이 현재 승인된 PQC 표준
  • TLS 1.3 성능 실측: 하이브리드 ML-KEM(X25519+ML-KEM-768) 구성이 기존 TLS 1.2보다 빠름 — Cloudflare 네트워크에서 이미 검증
  • 서명 크기 문제: ML-DSA 서명은 기존 ECDSA 대비 수십 배 커서 TLS 핸드셰이크 패킷 수 증가, CDN 엣지 및 인증서 발급 인프라 영향 예상
  • Cloudflare 현황: 전체 브라우저 트래픽의 2/3 이상이 이미 PQC 보호 중 — 기술적 가용성 입증, 대규모 전환 가능함을 실증
  • OMB 추가 지침 요청: "전환" 완료의 명확한 정의, 암호화 민첩성(agility) 요구사항, 다운그레이드 공격(PQC→클래식 강제 전환) 방지 메커니즘
  • 조직 대응 4단계: 공개 인터넷 TLS 트래픽 우선 → 조달 요건 업데이트 → 양자 영향 인벤토리(암호화 자산 목록) 작성 → 인증 기반시설 사전 계획
왜 읽나PQC 전환을 준비하는 보안 엔지니어와 인프라 아키텍트에게 행정명령의 기술적 함의와 NIST 표준 알고리즘별 대응 순서를 정리한 실용 가이드.
cloudflare-blog
Cloudflare Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·vercel-blogVercel Blog·

    Vercel OIDC 토큰의 커스텀 오디언스 지원

    Vercel OIDC 발급자(`oidc.vercel.com`)가 커스텀 오디언스 클레임을 지원하기 시작했다. 기존 고정 오디언스(`https://vercel.com/{owner}`) 방식은 특정 제공자가 침해됐을 때 공격자가 동일 토큰으로 다른 서비스에 인증을 시도할 수 있었는데, 이제 배포마다 서드파티별 고유 `aud` 클레임을 설정해 토큰 격리가 가능하다.

    #jwt#oidc#token-exchange+1