7주 후: 뉴질랜드 핵심 인프라 PQC — 2026년 6월 업데이트
2026년 6월 2일, 저희는 2026년 4월 14일에 평가했던 뉴질랜드 핵심 인프라 118개 기관을 대상으로 양자 내성 암호(PQC) 준비 상태 스캐너를 재실행했습니다. 7주는 암호화 마이그레이션 관점에서 짧은 간격이며, 전체 PQC 비율이 52.6%에서 52.2%로 거의 변동 없이 유지된 수치도 이를 반영합니다.
그러나 그 이면의 수치는 상당히 달라졌습니다. 오리진 측 PQC — CDN 없이 기관 자체가 X25519MLKEM768을 협상한 엔드포인트 — 는 13개에서 25개 기관으로 거의 두 배 증가했습니다. 이는 조직들이 양자 내성 TLS를 일제히 활성화한 결과가 아닙니다. CDN 인프라 변화에 의한 것으로, 4월에 Imperva가 앞단에 있었던 13개 기관에서 Imperva가 더 이상 탐지되지 않습니다. 그 중 11개(의료 부문 기관)는 기저 오리진 서버가 이미 양자 내성 TLS를 실행 중이었습니다. 나머지 하나인 KiwiRail의 경우 오리진에 양자 내성 기능이 없었으며, CDN 계층이 사라지면서 양자 내성 보호를 잃었습니다.
6월 스캔의 주요 결과:
- 성공한 115개 스캔 중 60개(52.2%)가
X25519MLKEM768을 협상 — 4월 대비 변동 없음. - 오리진 측 PQC: 13 → 25개 기관 — 그러나 대부분 신규 활성화가 아닌 CDN 계층 변화에 의한 결과.
- Southern Cross Cables(국제 해저 케이블 운영사)는 유일한 진정한 신규 활성화 사례: 4월에도 CDN 앞단 없음, 6월에도 CDN 앞단 없음, 현재 오리진에서
X25519MLKEM768협상 중. - KiwiRail은 양자 내성 보호를 잃었습니다. 4월에 PQC를 보유했던 것은 Imperva CDN을 통해서였습니다. Imperva가 사라졌고, 오리진은 고전적 X25519를 협상합니다.
- 의료 부문: 오리진 측 PQC 0 → 11개 — CDN 계층에 가려져 있던 뉴질랜드 공공 병원 네트워크의 실제 PQC 역량이 오리진 서버에 존재함을 드러냄.
- Fastly는 여전히 0%. Fastly 뒤에 있는 뉴질랜드 핵심 인프라 기관 4곳은 여전히 엣지에서 양자 내성 TLS를 제공하지 않음 — 4월과 동일.
- 신규 오류: Taranaki Base Hospital이 SNI 불일치 오류를 반환하고 있음. Wellington Electricity와 Dunedin Hospital은 4월부터 지속.
재측정 배경
양자 내성 암호 도입은 단일 전환 이벤트가 아닙니다. TLS 라이브러리 버전이 출시되고, CDN 설정이 업데이트되고, 계약이 변경되고, (드물게는) 조직이 의도적으로 활성화함에 따라 변화하는 인프라 상태입니다. 일회성 스냅샷은 “현재 상태는 무엇인가?”라는 질문에 답합니다. 반복 스캔은 더 유용한 질문인 “실제로 무엇이, 왜 변화하고 있는가?”에 답합니다.
한눈에 보는 수치
| 지표 | 2026년 4월 | 2026년 6월 | 변화 |
|---|---|---|---|
| 대상 수 | 118 | 118 | — |
| 성공한 스캔 | 116 | 115 | −1 |
| 오류 | 2 | 3 | +1 |
| TLS 1.3 | 107 (92.2%) | 106 (92.2%) | 변동 없음 |
| PQC 협상 | 61 (52.6%) | 60 (52.2%) | −1 |
| CDN 뒤에 있음 | 54 (46.6%) | 41 (35.7%) | −13 |
| CDN 경유 PQC | 48 | 35 | −13 |
| 오리진 경유 PQC | 13 (11.2%) | 25 (21.7%) | +12 |
| PQC 없음, CDN 앞단 | 6 | 6 | 0 |
| PQC 없음, 오리진 | 49 | 49 | 0 |
이 표의 구조가 대부분의 이야기를 담고 있습니다. 전체 PQC는 거의 변동이 없습니다. CDN 수는 13 감소했습니다. 오리진 PQC는 12 증가했습니다(추가로 Taranaki Base Hospital 1곳은 이제 결과가 아닌 오류를 반환합니다). 4월에 Imperva를 통해 CDN 앞단에 있다가 6월에 상태가 변한 모든 기관은 의료 부문이거나 KiwiRail입니다. Cloudflare, AWS CloudFront, Fastly 수치는 모두 변동이 없습니다.
실제로 변화한 것: Imperva 이야기
4월에는 Imperva 및 Imperva/Incapsula가 뉴질랜드 핵심 인프라 기관 17곳 앞단에서 탐지되었습니다. 그 중 16곳은 Health NZ / Te Whatu Ora의 중앙화된 WAF를 통해 앞단이 구성된 의료 부문 기관이었습니다. 한 곳(KiwiRail)은 교통 부문이었습니다. 17곳 모두 PQC를 협상했으며, Imperva는 일정 기간 동안 기본적으로 PQC를 활성화해 왔으므로 이는 엣지 제공 방식이었지 오리진 제공 방식이 아니었습니다.
6월에는 Imperva/Incapsula가 4개 기관 앞단에서만 탐지됩니다: Ministry of Defence, NCSC, Christchurch City Council (Water), NZTA. 나머지 13곳은 더 이상 Imperva 헤더를 보이지 않습니다.
저희는 원인을 알지 못합니다. 결과만 관찰할 뿐입니다: 의료 기관 12곳과 KiwiRail이 더 이상 Imperva 엣지 뒤에 있지 않으며, 해당 오리진 서버가 이제 저희 스캐너에 직접 노출되어 있습니다.
의료 부문: 드러난 숨겨진 역량
그 12개 의료 기관 중 11곳의 오리진 서버가 X25519MLKEM768을 협상합니다. Health NZ / Te Whatu Ora, Waikato Hospital, Tauranga Hospital, Wellington Regional Hospital, Christchurch Hospital, Palmerston North Hospital, Hutt Hospital, Nelson Hospital, Hawke’s Bay Hospital, Rotorua Hospital, Southland Hospital이 모두 오리진 PQC 명예의 전당에 이름을 올렸습니다.
이는 의미 있는 긍정적 결과입니다. 뉴질랜드 공공 병원 네트워크는 오리진 인프라에서 양자 내성 TLS를 기본 탑재한 것으로 보입니다 — 4월에 이미 존재했지만 모든 스캐너 트래픽이 Imperva WAF에서 종료되어 저희에게 보이지 않았던 역량입니다.
단서는 중요합니다: 이 병원들이 명예의 전당에 오른 것은 4월과 6월 사이에 새로운 암호화 결정을 내렸기 때문이 아닙니다. 앞단의 계층이 변화하면서 이미 존재하던 상태가 드러났기 때문입니다. 그 기저 변화의 성격 — CDN 보호를 잃는 것이 다른 위험을 초래하는지 여부 — 은 TLS 핸드셰이크 스캔으로 답할 수 없는 별개의 질문입니다.
세 의료 기관(Auckland City Hospital, Middlemore Hospital, North Shore Hospital)은 6월에 탐지된 CDN도 없고 오리진 PQC도 없습니다. 4월에도 PQC가 없었던 동일한 세 곳입니다.
그리고 한 곳 — Taranaki Base Hospital — 은 현재 TLS 오류(UnrecognisedName, SNI 불일치)를 반환하고 있습니다. 이는 정책적 결정이 아닌 설정 문제이며, 양자 내성 상태와 무관하게 수정해야 합니다.
KiwiRail: CDN 의존성 위험, 실증
KiwiRail은 4월에 양자 내성 TLS를 보유하고 있었습니다. Imperva가 제공했기 때문이었습니다. Imperva는 더 이상 탐지되지 않습니다. 오리진은 고전적 X25519를 협상합니다.
이것이 CDN 의존성 위험의 구체적인 형태입니다: 양자 내성 TLS가 전적으로 CDN 계약의 기능이라면, 양자 내성 TLS는 그 CDN 계약만큼만 안정적입니다. 전국적으로 중요한 철도 및 페리 운영사의 공개 엔드포인트가 이제 고전적 키 교환으로 실행되고 있습니다.
해결책은 간단합니다 — X25519MLKEM768은 OpenSSL (3.x), Go, BoringSSL, Rust rustls 스택을 포함한 모든 주요 TLS 라이브러리에서 지원됩니다. 활성화는 보통 재빌드가 아닌 설정 변경입니다. 하지만 CDN이 사라지기 전에 해야 합니다. 사라진 후가 아니라.
부문별: 6월 vs 4월
| 부문 | 스캔 수 | PQC 합계 | CDN 경유 PQC | 오리진 PQC | 4월 오리진 PQC | 변화 |
|---|---|---|---|---|---|---|
| 통신 & 데이터 | 18 | 10 (55.6%) | 8 | 2 | 1 | +1 |
| 국방 | 6 | 5 (83.3%) | 2 | 3 | 3 | 0 |
| 식수 & 하수 | 9 | 3 (33.3%) | 3 | 0 | 0 | 0 |
| 에너지 | 30 | 14 (46.7%) | 9 | 5 | 5 | 0 |
| 금융 | 14 | 7 (50.0%) | 3 | 4 | 4 | 0 |
| 의료 | 16 | 11 (68.8%) | 0 | 11 | 0 | +11 |
| 교통 | 25 | 10 (40.0%) | 10 | 0 | 0 | 0 |
국방 — 변동 없이 선두 유지. GCSB, NZSIS, DIA는 계속해서 오리진 측에서 X25519MLKEM768을 실행 중입니다. 이는 변하지 않았으며 변할 것으로 예상하지 않습니다.
금융 — 변동 없음. ANZ, SBS Bank, The Co-operative Bank, Vero Insurance는 금융 부문의 오리진 PQC 기관으로 남아 있습니다. BNZ, ASB, Westpac, Kiwibank, NZX는 고전적 방식을 유지하고 있습니다. Reserve Bank과 Payments NZ는 CDN(Cloudflare) 경유 PQC입니다.
에너지 — 변동 없음. Meridian, Firstgas, Manawa, Pioneer, Marlborough Lines는 오리진 PQC를 유지합니다. 주요 전력망 운영사(Transpower, Vector, Mercury, Genesis)는 오리진 PQC 없이 유지됩니다.
통신 & 데이터: +1. Southern Cross Cables — 뉴질랜드의 1차 국제 인터넷 연결을 제공하는 SCCN 및 NEXT 해저 케이블 시스템 운영사 — 가 이제 오리진에서 X25519MLKEM768을 협상합니다. 4월에는 고전적 오리진이었으나 6월에는 PQC 오리진입니다. 이 기관은 두 측정 시점 사이에 양자 내성 TLS를 활성화했다고 자신 있게 말할 수 있는 유일한 기관입니다. Southern Cross는 Tuatahi First Fibre와 함께 통신 & 데이터 부문의 두 오리진 선도 기관이 되었습니다.
의료: +11 (CDN 변화에 의한 것, 신규 활성화 아님). 위에 설명한 바와 같습니다. 헤드라인 변화는 실제입니다 — 공공 병원 11곳이 오리진 PQC로 이제 가시화되었습니다 — 그러나 이는 의도적인 마이그레이션이 아닌 인프라 변화의 결과입니다.
교통: −1 (KiwiRail이 PQC를 잃음). 교통 부문 전체 PQC는 11에서 10으로 감소했습니다. KiwiRail의 손실입니다. 어떤 교통 기관도 오리진 측 PQC를 보유하지 않습니다. Air New Zealand, Auckland Transport, Wellington Airport, Cook Strait 항구들, 대부분의 항구 네트워크 — 모두 여전히 고전적 TLS를 실행 중입니다.
식수 & 하수: 변동 없음. 여전히 오리진 PQC 0건. Auckland(Watercare), Tauranga, Christchurch는 CDN 제공 PQC를 보유합니다. 나머지 6곳은 아무것도 없습니다. 상하수도 공기업은 자체 호스팅 암호화 역량에서 가장 취약한 부문으로 남아 있습니다.
6월의 CDN 현황
| CDN 공급자 | 앞단 기관 수 | PQC | 비율 | 4월 대비 |
|---|---|---|---|---|
| Cloudflare | 29 | 28 | 97% | 변동 없음 |
| AWS CloudFront | 4 | 3 | 75% | 변동 없음 |
| Imperva (Incapsula 포함) | 4 | 4 | 100% | 17이었음 |
| Fastly | 4 | 0 | 0% | 변동 없음 |
Cloudflare와 AWS: 안정적. Imperva: 17 → 4. Fastly: 여전히 없음.
Fastly에 대해: 2026년 6월 현재, Napier Port, Hawke’s Bay Airport, RNZ, NZ Defence Force는 모두 Fastly 뒤에서 엣지에 양자 내성 TLS 없이 운영 중입니다. Fastly는 PQC 활성화 의도를 공개적으로 밝혔지만, 이번 스캔 기준으로 기본 활성화를 완료하지 않았습니다. 이 4개 기관은 Fastly의 일정 및 현재 옵트인 가능 여부에 대해 Fastly와 구체적인 대화가 필요합니다.
업데이트된 오리진 명예의 전당: 25개 기관
4월부터 유지(13개): GCSB, NZSIS, DIA — Meridian Energy, Firstgas, Manawa Energy, Pioneer Energy, Marlborough Lines — ANZ New Zealand, SBS Bank, The Co-operative Bank, Vero Insurance — Tuatahi First Fibre.
6월 신규(12개):
- Southern Cross Cables (통신 & 데이터) — 진정한 신규 활성화.
- Health NZ / Te Whatu Ora, Waikato Hospital, Tauranga Hospital, Wellington Regional Hospital, Christchurch Hospital, Palmerston North Hospital, Hutt Hospital, Nelson Hospital, Hawke’s Bay Hospital, Rotorua Hospital, Southland Hospital — CDN 변화로 드러난 오리진 PQC.
저희는 명예의 전당에서 이 두 범주를 구분합니다. 변화의 출처가 중요하기 때문입니다. Southern Cross Cables는 암호화 결정을 내렸습니다. 의료 기관들의 오리진 설정은 4월에 이미 존재했으며 지금 관찰할 수 있게 된 것입니다. 둘 다 긍정적입니다. 하지만 신규 배포 활동의 증거는 하나뿐입니다.
변하지 않은 것들
4월에 언급했던 몇 가지는 7주가 지난 지금도 동일하기 때문에 반복할 필요가 있습니다.
기저의 고전적 오리진 49개는 여전히 고전적입니다. CDN 도입도, 활성화도 없습니다. Air New Zealand, KiwiRail(이제 엣지 PQC마저 잃었습니다), Auckland 교통 네트워크, Wellington Airport, Cloudflare 앞단인 세 곳을 제외한 모든 해항 — 4월에 고전적 오리진이었던 동일한 기관들이 6월에도 고전적 오리진이며, 2029년까지의 리드타임이 1주 더 줄었습니다.
금융 빅4 분열은 변하지 않았습니다. ANZ는 오리진 PQC를 실행합니다. ASB, BNZ, Westpac, Kiwibank는 그렇지 않습니다. 고객 금융 기록에 대한 법적 데이터 보존 의무가 있는 기관들에게 이는 관련성 있는 격차입니다.
TLS 1.2 탈피 신규 사례 없음. 9개 엔드포인트가 4월에 TLS 1.2 전용이었고, 6월에도 9개가 TLS 1.2 전용입니다. 이 엔드포인트들은 설정과 무관하게 X25519MLKEM768을 협상할 수 없습니다 — TLS 1.3이 전제 조건입니다. TLS 1.2 폐기는 PQC 활성화를 위한 선행 단계입니다.
NZISM 2.4조 의무는 공개적 집행 메커니즘 없이 남아 있습니다. DPMC 공개 의견 수렴 기간이 4월 19일에 마감되었습니다. 최종 프레임워크에 명시적인 암호화 인벤토리 또는 PQC 마이그레이션 요건이 추가될지는 아직 확인하지 못했습니다. 외부 책임성의 부재가 바로 고전적 오리진 49개 기관에 특별한 마감 압력이 없는 이유 중 하나입니다.
방법론 및 이 스캔이 알려주지 못하는 것에 대한 참고사항
이 스캔은 한 가지를 측정합니다: 공개적으로 접근 가능한 TLS 엔드포인트가 최신 클라이언트와 X25519MLKEM768을 협상할 것인지 여부. 측정하지 않는 것:
- 내부 동서 트래픽(VPN, 데이터베이스 복제, 서비스 메시, SSH, 이메일)
- 인증서 서명 알고리즘 — 공개 PKI에서의 ML-DSA 도입은 별개의, 이후 마이그레이션
- CDN-오리진 백엔드 레그 PQC
- 키 관리 품질 또는 HSM 체계
- Imperva 탐지 부재가 실제 CDN 제거를 반영하는지, 저희 핑거프린팅을 무력화하는 Imperva 응답 헤더 변화인지, 또는 다른 무언가인지
CDN 탐지 주의사항은 이번 업데이트에서 명시적으로 언급할 가치가 있습니다. 저희 핑거프린팅은 HTTP 응답 헤더를 기반으로 작동합니다. 지금 “비CDN 오리진”으로 분류하는 일부 기관이 여전히 Imperva의 CDN 앞단에 있고, Imperva의 응답 헤더가 저희 탐지기가 더 이상 캡처하지 못하는 방식으로 변경되었을 가능성이 있습니다. 그 시나리오에서 “오리진 PQC”처럼 보이는 것은 여전히 “CDN PQC”일 것입니다. TLS 핸드셰이크로는 CDN이 응답 헤더를 정규화했는지 알 수 없습니다. 해당 의료 기관 중 하나이고 Imperva 계약이 변경되지 않았다면, 저희에게 알려주시기 바랍니다.
CDN 의존성의 교훈
KiwiRail 사례는 더 광범위한 패턴의 유용한 예시입니다. CDN 제공 PQC를 보유하고 양자 내성 TLS를 “완료”했다고 가정하는 조직들은 두 가지 조건이 있는 내기를 하는 것입니다:
- CDN 계약이 유지된다.
- CDN이 기본적으로 PQC를 계속 활성화한다.
조건 2는 Cloudflare와 Imperva에서 잘 유지되어 왔으며 변할 기미가 없습니다. 조건 1은 보안이 아닌 비즈니스 결정입니다.
더 견고한 포지션은 CDN 제공 PQC 와 오리진 측 PQC를 함께 갖추는 것입니다 — 그러면 CDN 변화는 CDN 변화일 뿐, 보안 회귀가 되지 않습니다. 오리진에서 X25519MLKEM768을 활성화하는 것은 대부분의 웹 인프라에서 큰 프로젝트가 아닙니다: 현재 TLS 라이브러리로 업그레이드하고, 키 공유 그룹을 설정하고, 배포합니다. 프로그램이 아닌 설정 오후 작업입니다. 현재 CDN 전용 PQC를 보유한 모든 조직의 목록에 올라 있어야 합니다.
2026년 하반기로 향하는 현황
반대편의 마일스톤 압박은 Google의 2029년 마이그레이션 목표로, Cloudflare가 2026년 3월에 발표되던 당일 동일한 목표를 선언했습니다. “2029년”은 2026년 6월에는 멀게 들립니다. 3년 반입니다. 암호화 시스템을 인벤토리하고, HNDL 관련 데이터를 운반하는 면을 평가하고, 여러 환경에 걸쳐 라이브러리를 업데이트하고, 벤더에게 새 버전 인증을 받고, 테스트하고, 배포해야 하는 조직에게 3년 반은 긴 활주로가 아닙니다.
오리진 명예의 전당에 있는 조직들은 최소한 가시적인 하나의 면은 해결했습니다. 이 스캔의 고전적 오리진 49개 기관은 가장 쉬운 것조차 해결하지 않았습니다.
양자 하드웨어 측면의 타임라인은 4월과 6월 사이에 느슨해지지 않았습니다. Google의 2029년 약속은 Gidney 2025 논문(백만 큐비트 이하의 RSA 인수분해)에 대한 그들의 해석과 내부 양자 프로그램 진척도에 기반합니다. 지난 7주 동안 그 평가를 덜 신뢰할 만하게 만든 것은 없습니다.
저희는 정기적으로 이 스캐너를 계속 실행하고 오픈 저장소에 결과를 공개할 것입니다. 변경 사항이 있어 알려주고 싶으시다면 — 양자 내성 TLS를 활성화하여 문서화를 원하시거나, 저희 스캔이 CDN을 잘못 귀속하고 있다고 생각하시는 경우 — simon [at] spinsphere.xyz로 연락주시기 바랍니다.
6월 스캔 오류
| 기관 | 부문 | 오류 | 4월 대비 |
|---|---|---|---|
| Wellington Electricity | 에너지 | HandshakeFailure | 지속 |
| Dunedin Hospital | 의료 | Timeout | 지속 |
| Taranaki Base Hospital | 의료 | UnrecognisedName (SNI 불일치) | 신규 |
Wellington Electricity와 Dunedin Hospital은 2026년 3월 첫 번째 스캔부터 오류가 발생하고 있습니다. Taranaki Base Hospital은 신규 오류입니다 — UnrecognisedName 알림은 서버가 SNI 확장의 호스트명이 보유한 어떤 인증서와도 일치하지 않아 TLS 핸드셰이크를 거부했다는 의미입니다. 이는 일반적으로 의도적인 거부가 아닌 TLS 설정 또는 DNS 라우팅 문제입니다. Taranaki Base Hospital은 PQC 논의와 무관하게 TLS 설정을 독립적으로 감사해야 합니다.
데이터 및 방법론
모든 코드, 대상 목록, 스캔 결과는 오픈소스로 공개되어 있습니다:
- 도구:
nzism-pqc-auditv0.1.0 — github.com/spinsphere/nzism-pqc-audit - 2026년 6월 결과:
results/2026-06-02/— summary.json, summary.md, origin-honour-roll.md - 2026년 4월 결과:
results/2026-04-14/— 비교용 - 대상 목록:
targets/nz/critical-infrastructure.csv— 4월과 동일, 모든 7개 DPMC 부문에 걸쳐 118개 기관
스캐너 방법론: 각 대상에 대해 X25519MLKEM768을 포함한 키 공유 그룹을 제공하여 host:443에 TLS 1.3 핸드셰이크를 열고, 협상된 그룹과 TLS 버전을 기록합니다. CDN 탐지는 HTTP 응답 헤더 핑거프린트를 사용합니다. pqc_supported: true는 서버가 X25519MLKEM768을 협상했음을 의미합니다. 기관 결과는 부문 집계 수준에서만 공개되며, 개별 기관은 오리진에서 PQC 양성인 경우에만 명시됩니다.
Kaysec는 뉴질랜드 양자 기술 기업 Spinsphere 내 양자 내성 보안 사업부입니다. 저희는 뉴질랜드 핵심 인프라 PQC 태세의 공개적이고 반복적인 기준선을 유지하기 위해 이 스캐너를 운영합니다. 장기 보존이 필요한 민감한 데이터를 보유하고 있으나 암호화 인벤토리가 없는 조직이라면, 연락 주시기 바랍니다.
구독: kaysec.spinsphere.xyz · 소스: github.com/spinsphere/nzism-pqc-audit
English
日本語
简体中文
한국어