본문으로 건너뛰기
J
피드

클라우드 방화벽도 이제 포스트 양자 암호 검증 대상임

security 약 7분
tags
#pqc#cnfw#kubernetes#tls#mcp
vote
0
댓글
북마크

시큐어아이큐랩이 클라우드 네이티브 방화벽(CNFW)을 대상으로 한 포스트 양자 암호(PQC) 독립 검증 방법론을 공개했음. TLS, 쿠버네티스 정책 집행, 생성AI 추론 엔드포인트, MCP 서버 보안까지 같이 본다는 점이 핵심임.

  • 1

    NIST 포스트 양자 암호 표준을 반영한 CNFW 독립 검증 방법론이 AMTSO 테스트로 등록됨

  • 2

    검증 범위가 TLS 암호군, 세션 재사용, 쿠버네티스 동서향 트래픽, 생성AI 엔드포인트, MCP 보안까지 확장됨

  • 3

    2026년 6월 테스트 시작, 2026년 10월 말 개별·비교 보고서 공개 예정임

  • 4

    국내 금융·공공·통신·제조 기업도 단순한 ‘PQC 지원’ 문구가 아니라 실제 구현 검증을 봐야 하는 흐름임

방화벽 검증이 ‘양자 안전’까지 넘어감

  • 클라우드 네이티브 방화벽(CNFW)이 포스트 양자 암호(PQC) 검증 대상으로 올라왔음

    • 시큐어아이큐랩이 NIST PQC 표준을 반영한 독립 검증 방법론을 공개함
    • AMTSO 테스트 ID는 AMTSO-LS1-TP195로 등록됐고, 최대 16개 벤더를 평가할 예정임
    • 테스트는 2026년 6월 시작, 개별·비교 보고서는 2026년 10월 말 공개 예정임

  • 이번 포인트는 ‘PQC 지원함’ 체크박스가 아니라 실제 클라우드 운영에서 버티는지 보는 거임

    • TLS 세션, 인증서 처리, 키 교환, 세션 재사용, 쿠버네티스 정책 집행이 같이 유지돼야 함
    • 컨테이너 간 동서향 트래픽, API 기반 제어, 서비스 간 접근 통제까지 평가 범위에 들어감

중요

> 이건 암호 알고리듬 목록 비교가 아님. PQC를 켠 뒤에도 클라우드 방화벽이 지연 시간, 세션 재사용, 정책 집행, 탐지·차단을 제대로 처리하는지 보는 검증임.

TLS·쿠버네티스·AI 엔드포인트까지 한 번에 봄

  • 암호 검증은 NIST 표준화 알고리듬 구현 여부를 중심으로 진행됨

    • 디지털 서명은 ML-DSA-65, ML-DSA-87을 봄
    • 키 설정은 ML-KEM-768, ML-KEM-1024를 봄
    • 무결성 검증은 SHA-384, SHA-512를 적용함

  • TLS 계층 검증도 꽤 구체적임

    • TLS 1.2 암호군 22개, TLS 1.3 암호군 3개를 확인함
    • TLS 세션 재사용과 NIST FIPS 203·204·205 기준 적용도 평가함
    • 생성AI 추론 서비스처럼 API 호출이 많은 시스템에서는 핸드셰이크 비용과 지연 시간이 바로 체감 성능으로 튐

  • 보안성 평가는 실제 공격 시나리오 기준으로 점수화함

    • MITRE ATT&CK Cloud Matrix, STRIDE, OWASP Cloud-Native Guidelines, CSA Cloud Controls Matrix를 기준으로 삼음
    • 공격을 차단하고 탐지하면 100%, 차단만 하면 75%, 탐지만 하면 25%, 둘 다 실패하면 0%임
    • 로그만 남기는 제품과 실제로 막는 제품을 같은 급으로 치지 않겠다는 얘기라 꽤 현실적임

생성AI와 MCP도 방화벽 평가 안으로 들어옴

  • 이번 방법론에는 생성AI 워크로드 보안도 포함됨

    • 생성AI 추론 엔드포인트 보호가 평가 대상임
    • 모델 컨텍스트 프로토콜(MCP) 서버 보안도 들어감
    • MCP 접근 제어, 툴 호출 데이터 유출, 프롬프트 인젝션 하이재킹을 본다고 함

  • 이게 흥미로운 이유는 방화벽의 역할이 IP·포트 차단을 넘어섰다는 점임

    • 생성AI 앱은 외부 도구 호출, 데이터 검색, API 실행, 에이전트 작업을 엮음
    • 그러면 보안 장비도 요청 맥락, 서비스 접근 권한, 데이터 유출 가능성을 같이 봐야 함

  • 테스트 환경도 현실적인 클라우드 조합을 깔고 감

    • AWS, 애저(Azure), 구글 클라우드(GCP), 쿠버네티스에서 검증함
    • 쿠버네티스 배포 환경은 EKS, AKS, GKE가 포함됨
    • 서버리스, 생성AI 추론 엔드포인트, MCP 서버 보안도 같은 범위에서 다룸

조달·규제 일정이랑도 맞물림

  • 미국 정부의 PQC 전환 일정과도 타이밍이 맞음

    • CISA는 2026년 1월 연방기관이 PQC 지원 기술만 조달해야 하는 제품 범주 목록을 발표함
    • 연방기관은 2026년 4월 말까지 포괄적인 PQC 전환 계획을 제출해야 했음
    • 신규 국가안보시스템 조달은 2027년 1월부터 CNSA 2.0 준수가 적용되고, 전체 NSS 준수는 2033년까지 요구됨

  • 유럽 쪽도 DORA, NIS2 흐름에서 양자 취약 암호를 더 이상 ‘최신 수준’으로 보기 어려운 분위기임

    • 공공, 금융, 의료, 통신처럼 규제가 센 산업에서는 벤더 설명보다 독립 검증 근거가 중요해짐
    • 시큐어아이큐랩은 이번 검증이 벤더 의뢰 없이 자체 비용으로 수행되는 비의뢰 독립 평가라고 밝힘
    • 벤더가 비용을 내지 않고, 검증 과정에 영향도 못 주고, 결과 공개도 막을 수 없다는 구조임

💡

> 국내 기업도 클라우드 보안 제품 볼 때 “PQC 지원” 한 줄만 보면 위험함. TLS 암호군, 세션 재사용, 쿠버네티스 정책 집행, MCP 접근 제어, 프롬프트 인젝션 대응까지 같이 물어봐야 함.

기술 맥락

  • 이번 선택의 핵심은 PQC를 암호 모듈이 아니라 클라우드 보안 아키텍처 문제로 본다는 점이에요. 클라우드에서는 트래픽이 API, 컨테이너, 서버리스, AI 엔드포인트를 계속 오가니까 알고리듬만 바꿔서는 실제 위험이 줄었다고 말하기 어렵거든요.

  • CNFW를 따로 검증하는 이유도 여기에 있어요. 기존 방화벽은 VPC 경계에서 들어오고 나가는 트래픽을 보는 경우가 많았지만, CNFW는 쿠버네티스 내부 정책과 서비스 간 접근 제어까지 맡아요. 그래서 TLS와 정책 집행이 같이 깨지지 않는지가 중요해요.

  • ML-KEM이나 ML-DSA 같은 표준 알고리듬을 넣는 건 출발점일 뿐이에요. 실제 운영에서는 짧은 TLS 세션이 폭주하거나 생성AI 추론 API 호출이 늘 때 핸드셰이크 비용, 세션 재사용, 지연 시간이 같이 튀기 때문에 성능 검증이 따라붙어야 해요.

  • MCP 보안이 포함된 것도 꽤 의미 있어요. AI 에이전트가 내부 도구와 데이터를 호출하기 시작하면, 방화벽은 네트워크 주소만 보는 장비가 아니라 어떤 요청이 어떤 도구를 호출하고 어떤 데이터가 새는지까지 보는 통제 지점이 되거든요.

PQC 전환은 암호 라이브러리 하나 갈아끼우는 얘기가 아님. 클라우드에서는 방화벽이 TLS, 컨테이너 정책, AI 엔드포인트, 규제 대응까지 같이 증명해야 해서 보안 제품 평가 기준 자체가 빡세지고 있음.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

랜섬웨어가 백업까지 때리자, 데이터 복원력이 965억 달러 시장으로 커지는 중

데이터 복원력 시장이 랜섬웨어, 규제 강화, 하이브리드·멀티클라우드 확산을 타고 빠르게 커지고 있다. 단순 백업이 아니라 공격·장애 이후 서비스를 얼마나 빨리 되살리느냐가 기업 IT의 핵심 지표로 바뀌는 흐름이다.

security

개발자들이 CORS를 대충 알면 이런 보안 사고가 난다

2019년 Zoom 취약점을 계기로, 많은 웹 개발자가 CORS를 제대로 이해하지 못한 채 우회부터 한다는 점을 짚은 글이다. localhost에 떠 있는 네이티브 앱용 웹서버가 모든 웹사이트의 요청을 받아버리면, 편의 기능이 바로 보안 취약점으로 바뀐다.

security

클로드, 일부 기능에 신분증 기반 본인 인증 도입

Anthropic이 Claude의 일부 기능과 플랫폼 무결성 점검 과정에서 신분증 기반 본인 인증을 요구하기 시작했다. 정부 발급 신분증과 셀피를 Persona가 수집하고, Anthropic은 이를 모델 학습이나 마케팅에 쓰지 않는다고 선을 그었다.

security

KT, 양자 컴퓨팅 시대 대비해 클라우드·네트워크 보안에 양자 기술 붙인다

KT가 AI와 양자 컴퓨팅 환경 변화에 대응하기 위한 미래 네트워크 보안 구상인 ‘E2E 퀀텀 시큐리티’를 공개했다. 고객과 통신망 사이의 전송 구간, 네트워크 장비와 운영 구간, 데이터 생성부터 삭제까지의 생애주기를 각각 퀀텀 링크·퀀텀 노드·퀀텀 볼트로 보호한다는 전략이다.

security

북한 해킹조직, npm 패키지 140개 넘게 오염시켜 AI 개발자 노렸다

북한 연계 해킹조직 사파이어 슬릿, 일명 블루노로프가 마스트라 AI 생태계를 겨냥한 공급망 공격을 벌인 것으로 마이크로소프트가 분석했다. 공격자는 npm 유지관리자 계정을 탈취해 140개 넘는 패키지에 악성 의존성을 추가했고, 개발자의 인증 정보와 가상화폐 지갑을 노렸다. 윈도, 맥OS, 리눅스 모두에서 지속성을 확보하는 크로스 플랫폼 정보탈취 악성코드가 사용됐다.