PQC 전환 일정표 만들기: 90일·180일·1년 플랜 예시

PQC 전환 일정표 만들기: 90일·180일·1년 플랜 예시 PQC 전환 일정표를 90일·180일·1년 플랜으로 정리해 ML-KEM(Kyber)과 ML-DSA(Dilithium) 적용 순서, 파일럿 설계, 운영 확장까지 한 번에 잡는 예시를 제시합니다. PQC 전환은 알고리즘을 교체하는 일 같지만, 실제로는 서비스 흐름과 운영체계를 이동시키는 일에 가깝습니다. NIST가 FIPS 203(ML-KEM), FIPS 204(ML-DSA), FIPS 205(SLH-DSA)를 2024년 8월 13일에 최종 발행하면서 로드맵을 만들 수 있는 기준점이 생겼고, 다음은 그 기준을 일정표로 바꾼 실무형 예시입니다. 1) 90일 플랜: 전환이 가능한 상태 만들기(인벤토리와 우선순위, 설계) 첫 90일은 도입 성과를 크게 내기보다, 전환이 가능한 상태를 만드는 데 집중하는 게 효율적입니다. 시작은 어디에서 RSA/ECC/DH를 쓰는가를 서비스 흐름 기준으로 한 번에 보이게 정리하는 것입니다. 웹과 API의 TLS, 내부 mTLS, VPN, PKI와 인증서 발급·갱신, 코드서명, 이메일 서명, 그리고 데이터 암호화와 키관리(KMS/HSM 포함)까지 넓게 잡되, 문서가 아니라 실제 트래픽 경로와 릴리즈 경로 기준으로 연결해 둡니다. 이 단계에서 NIST IR 8547은 전환을 특정 팀의 과제가 아니라 조직 전체의 마이그레이션 계획으로 다루는 관점을 강조합니다. 정리 다음에는 우선순위를 숫자로 고정합니다. 외부 노출 구간, 장기 기밀 데이터, 갱신 주기(인증서나 펌웨어처럼 교체 타이밍이 있는 자산), 고객·규제 요구를 기준으로 점수화하면 의견 싸움이 줄어듭니다. 마지막으로 목표 아키텍처를 결정하는데, 초반에는 기존 방식과 PQC를 함께 쓰는 하이브리드 접근이 현실적입니다. 90일의 산출물은 파일럿 3개만 바로 할 수 있게 범위를 잘라둔 설계서, 그리고 제품·벤더 지원 격차(어떤 버전에서 되는지, 대체가 뭔지) 목록이면 충분합니다. 2) 180일 플랜: 파일럿으로 검증...

NIST PQC 표준 한눈에: Kyber·Dilithium 중심으로 무엇이 바뀌나

NIST PQC 표준이 확정되면서 Kyber·Dilithium은 각각 ML-KEM·ML-DSA로 문서화됐다. 이제 키 교환과 전자서명에서 RSA/ECC를 교체 가능한 규격으로 다뤄야 한다. 바뀐 이름, 크기, 운영 포인트를 한 번에 정리한다.

2024년 8월 13일, NIST는 포스트퀀텀 암호(PQC) 첫 FIPS 3종을 최종 승인했다. 그중 실무에서 가장 먼저 부딪히는 축이 Kyber 기반의 키 설정(ML-KEM, FIPS 203)과 Dilithium 기반 전자서명(ML-DSA, FIPS 204)이다. 핵심은 알고리즘이 새로 생겼다가 아니라, 프로토콜과 인증 체계가 요구하는 데이터 크기·API·검증 절차가 표준 문서 기준으로 재정렬됐다는 점이다.

NIST PQC 표준

1) Kyber·Dilithium이 표준 이름으로 바뀌었다: ML-KEM·ML-DSA, 그리고 FIPS 번호

이제 Kyber는 ML-KEM, Dilithium은 ML-DSA라는 이름으로 표준 텍스트에 고정됐다(FIPS 203/204). 중요한 포인트는 호환성이다. 문서·테스트 벡터·OID·인코딩이 표준 기준으로 굳기 때문에, 기존 라이브러리에서 Kyber/Dilithium 구현을 쓰고 있었다면 그대로 동일 규격이라고 가정하면 사고가 난다. 또 한 가지 변화는 검증(Validation) 친화성이다. 연방 관보 공지에 따르면 FIPS 203/204/205의 핵심 함수들이 내부적으로 결정적 내부 함수를 호출하도록 구성돼 구현 검증을 쉽게 했고, 키 생성에는 도메인 분리(domain separation)도 추가됐다.

2) Kyber(ML-KEM)로 무엇이 바뀌나: 키 교환이 KEM 중심으로 재설계된다

ML-KEM은 ECDH처럼 서로 계산해서 같은 값을 얻는 방식과 비슷해 보이지만, 표준의 기본 단위는 KEM(캡슐화/역캡슐화)이다. 상대의 키(encapsulation key)로 암호문(ciphertext)을 만들고 그 암호문을 보내며, 양쪽이 공유 비밀키(shared secret key)를 얻는다. 이 변화는 네트워크 핸드셰이크에 추가 바이트를 만들고, 구현 관점에선 KeyGen/Encaps/Decaps API로 쪼개진다. 크기도 표준이 명확히 박아두며, 예를 들어 ML-KEM-768은 캡슐화 키 1184바이트, 암호문 1088바이트, 공유 비밀키 32바이트로 정리된다. 운영 측면에서는 하이브리드 전환이 현실적이다. NIST 전환 가이드 초안은 지금 수집해 나중에 해독 위험 때문에, 일부 통신은 고전 방식이 완전히 금지되기 전이라도 양자내성 키 설정으로 더 빨리 옮길 수 있다고 언급한다. 또한 2025년 3월 NIST가 HQC를 추가 PQC 암호화 알고리즘으로 선택해 백업 라인업을 보강했다는 점도 로드맵 신호다.

3) Dilithium(ML-DSA)로 무엇이 바뀌나: 인증서·코드서명·로그 무결성의 용량과 운영 규칙이 바뀐다

ML-DSA는 전자서명 표준(FIPS 204)으로, 메시지 무결성과 서명자 인증에 쓰이는 표준 서명 자리를 차지한다. 가장 눈에 띄는 변화는 크기다. 표준은 ML-DSA-44/65/87 세트를 두고, 예를 들어 ML-DSA-65는 공개키 1952바이트, 서명 3309바이트로 명시한다. ECC 서명과 비교하면 인증서, 코드서명, 서명 로그, 패키지 메타데이터의 저장·전송 단위가 커질 수밖에 없다. 두 번째 변화는 서명 모드다. FIPS 204는 기본 ML-DSA(pure) 외에, 큰 메시지를 먼저 해시/XOF로 줄여 서명하는 pre-hash(HashML-DSA) 흐름도 다룬다. 컨텍스트 문자열(최대 255바이트)도 있어, 시스템에 맞춘 식별자와 운용 규칙이 필요하다. 세 번째 변화는 생태계 연결이다. IETF에서도 ML-DSA를 CMS 같은 표준 컨테이너에서 쓰는 규격이 문서화되고 있어, 인증서·서명 포맷·OID·검증 파이프라인까지 함께 움직이게 된다. 참고로 NIST는 Falcon도 선택했지만(추후 FIPS 206으로 개발 중), Kyber·Dilithium 축이 먼저 확정돼 실무의 1차 타격면이 됐다.

4) 결론

NIST PQC에서 Kyber·Dilithium이 의미하는 변화는 새 알고리즘 추가가 아니라, 키 설정과 전자서명의 표준 인터페이스와 데이터 크기가 재정의됐다는 점이다. ML-KEM은 KEM 기반 핸드셰이크로 암호문 전송이 필수가 되고, ML-DSA는 키·서명 크기 증가가 인증서/코드서명/로그 저장 전략까지 흔든다. 전환은 하이브리드와 인벤토리부터 시작하는 게 비용을 줄인다. 그리고 로드맵은 ML-KEM 외 대안(HQC)과 추가 서명 표준(Falcon)까지 포함해 점점 다층화되는 방향이다.