DPMC 핵심 인프라 자문에 의견을 제출했습니다 — 주요 내용을 공유합니다

오늘, 협의 마감일에 우리는 뉴질랜드 핵심 인프라 시스템의 사이버 보안 강화에 관한 총리실 및 내각부의 토론 문서에 대한 공식 의견서를 제출했습니다.

우리의 의견서는 세 개의 공개 협의 문서 전반에 걸쳐 확인된 공백에 초점을 맞추고 있습니다: 암호학, 암호 민첩성, 양자 내성 암호(PQC), 또는 NZISM 섹션 2.4에 대한 실질적인 언급이 전혀 없습니다. 주요 문서와 두 개의 보충 문서에 대한 전문 검색 결과, 우발적인 일치 항목만 반환됩니다 — “NZISM”은 “심각한 영향” 사건을 정의할 때 부수적으로 인용되었고, “quantum(양자)”은 법적 의미(“penalty quantum”)로 사용되었습니다.

이는 중요한 문제입니다. 제안된 프레임워크는 향후 10년간 뉴질랜드의 가장 필수적인 서비스들이 스스로를 방어하는 방식을 규율하게 될 것이며 — 바로 그 기간에 인터넷의 암호학적 기반이 근본적으로 변화할 것으로 예상되기 때문입니다.

제출 내용

우리의 의견서는 세 가지 권고 사항을 제시합니다:

1. 조치 5는 의무적 위험 관리 프로그램의 일환으로 암호화 인벤토리를 명시적으로 요구해야 합니다 — 이를 통해 핵심 인프라 기관들이 자신의 필수 서비스가 의존하는 암호화 프리미티브를 파악할 수 있도록 해야 합니다.
2. 프레임워크는 장기 기밀 보호가 필요한 데이터에 대해 지금 수집해 나중에 복호화하는 방식(HNDL)을 실질적인 사이버 위험으로 인정해야 합니다 — 의료, 법률, 금융, 국가 관련, 산업 지식재산권 등의 데이터가 이에 해당합니다.
3. NZISM은 조치 5에서 허용 가능한 사이버 보안 프레임워크 목록에 명시적으로 포함되어야 합니다 — NIST CSF 및 ISO/IEC 27001:2022와 함께 — 또한 나열된 모든 프레임워크 준수는 거버넌스 및 프로세스 통제뿐만 아니라 암호화 통제도 포함해야 합니다.

근거 자료

이 의견서는 우리의 뉴질랜드 핵심 인프라 PQC 준비성 평가를 기반으로 합니다 — DPMC 7개 필수 서비스 부문 전반에 걸친 뉴질랜드 핵심 인프라 기관 118곳을 스캔한 결과입니다. 주요 발견: 엔드포인트의 52.6%가 양자 내성 TLS를 협상하지만, 그 대부분은 CDN에 의해 투명하게 제공됩니다. 자체 운영 인프라에서 양자 내성 키 교환을 실행하는 기관은 13곳(11%)에 불과합니다.

또한 지난 12개월간 위협 타임라인이 어떻게 구체화되었는지도 설명했습니다 — Gidney의 2025년 큐비트 감소 연구, Google과 Cloudflare의 2029년 마이그레이션 목표, Google Quantum AI의 2026년 3월 ECC 논문 — 그리고 뉴질랜드가 현재 파이브 아이즈 국가 중 유일하게 공식적인 PQC 마이그레이션 기한을 설정하지 않은 이유를 설명했습니다.

전체 의견서 읽기

전체 의견서 PDF는 공개적으로 게시되어 있습니다:

• 의견서 다운로드 (PDF)
• GitHub에서 스캔 도구 및 결과 보기

우리는 1982년 공식 정보법에 따른 전면 공개에 동의했습니다. 우리는 이 논의가 공개적으로 이루어져야 한다고 믿습니다.

향후 일정

DPMC는 의견서를 검토하고 이를 토대로 2026년 말 도입 예정인 핵심 인프라 법안 초안 작성에 활용할 것입니다. 우리는 최종 프레임워크가 암호화 태세가 단순한 틈새 관심사가 아니라 — 해당 체제가 제안하는 모든 사이버 보안 통제의 근간임을 인정하기를 바랍니다.

귀 기관이 장기 기밀 보호가 필요한 데이터를 다루고 있으며 자체적인 암호화 노출을 파악하고 싶으시다면, 문의해 주세요.

---

Kaysec는 뉴질랜드에 기반을 둔 양자 기술 기업 Spinsphere의 양자 내성 보안 사업부입니다. 우리는 뉴질랜드 기관들의 암호화 인벤토리 구축, HNDL 위험 평가, PQC 마이그레이션 계획 수립을 지원합니다.