AWS Secrets Manager 클라이언트, 이제 양자 위험으로부터 비밀을 보호하는 하이브리드 양자 내성 TLS 지원
이제 AWS Secrets Manager 클라이언트에서 ML-KEM(Module-Lattice-based Key-Encapsulation Mechanism)을 사용하여 비밀을 검색하기 위해 TLS 연결을 보호하는 하이브리드 양자 내성 키 교환을 지원합니다. 이 보호 기능은 Secrets Manager Agent(버전 2.0.0 이상), AWS Lambda 확장(버전 19 이상), AWS Secrets and Configuration Provider(버전 2.0.0 이상)에서 자동으로 활성화됩니다. SDK 기반 클라이언트의 경우 Rust, Go, Node.js, Kotlin, Python(OpenSSL 3.5 이상 포함) 및 Java v2(v2.35.11 이상)를 비롯한 지원되는 AWS SDK에서 하이브리드 양자 내성 키 교환을 사용할 수 있습니다.
이번 출시를 통해 애플리케이션은 Secrets Manager 클라이언트를 사용하는 TLS 연결로 비밀을 검색하며, 기존 키 교환과 양자 내성 암호를 결합하여 기존 암호화 공격은 물론 '선수집 후복호화(Harvest Now, Decrypt Later, HNDL)'로 알려진 미래의 양자 컴퓨팅 위험으로부터 데이터를 보호할 수 있습니다. 이미 최신 클라이언트 버전으로 업그레이드한 사용 사례의 경우, Java v2가 아닌 한 코드 변경, 구성 업데이트 또는 마이그레이션 작업을 수행하지 않아도 됩니다(자세한 내용은 설명서 참조). 그 예로 스타트업 시 여러 비밀을 필요로 하는 마이크로서비스는 이제 최신 Secrets Manager Agent 버전으로 업그레이드하기만 하면 양자 내성 TLS 연결을 통해 비밀을 검색할 수 있습니다. GetSecretValue API 직접 호출의 tlsDetails 필드에서 ‘X25519MLKEM768’ 키 교환 알고리즘에 대한 AWS CloudTrail 로그를 확인하면 하이브리드 양자 내성 키 교환이 활성화되었는지 확인할 수 있습니다.
2025년에 출시된 ML-KEM 기반 하이브리드 양자 저항 키 교환에 대한 서비스 측 지원을 기반으로(여기에서 출시 블로그 참조), 이번 릴리스에서는 TLS용 하이브리드 양자 저항 키 교환 지원이 모든 Secrets Manager 클라이언트로 확대되었습니다. 자세히 알아보려면 AWS Secrets Manager 설명서와 AWS 양자 내성 암호 마이그레이션 페이지로 이동하세요. 자세한 내용은 양자 위험으로부터 비밀을 보호하세요. 블로그 게시물을 참조하세요.