NIST 양자 내성 암호화 표준 가시화…기업의 준비 상태는?

양자 암호화에 대한 NIST 표준이 올 여름 공개될 예정이다. 양자 컴퓨팅의 발전에 맞춰 기업에서도 암호화 인프라와 양자 후 보안 전략에 대해 고민해야 할 시점이 되었다.
 
양자 컴퓨팅 기업 퀘라(QuEra)가 이번 달 900명 이상의 양자 전문가를 대상으로 실시한 설문조사에 따르면 양자 컴퓨터가 예상보다 빠르게 현실화될 가능성이 있다.
 
응답자의 절반 이상이 양자 기술이 예상보다 빠르게 발전하고 있다고 답했으며 40%는 5년 이내에 일부 워크로드에서 기존 컴퓨팅을 추월할 것이라고 말했다.
 

 
기업 관점에서 이는 일반적으로 사용되는 일부 암호화 방법(예를 들어 RSA 암호화)이 생각보다 빨리 위험에 노출된다는 것을 의미한다.
 
그러나 대부분의 기업은 주의를 기울이지 않고 있다. 지난달 발표된 포레스터 설문조사 결과에 따르면 3,000명의 보안 의사 결정자 중에서 양자 컴퓨팅을 우려 대상으로 고려한다고 답한 비율은 21%에 그쳤다. 생성형 AI의 26%보다 낮은 수치다. 이들이 가장 크게 우려하는 것은 30% 이상이 답한 클라우드 컴퓨팅이다.
 
보고서 주 저자인 안드라스 체르는 "문제는 양자 내성을 갖춘 인프라, 알고리즘, 네트워크 통신 툴, 데이터베이스 등 모든 것을 구축하는 데 상당한 작업이 필요하다는 것"이라고 말했다.
 
체르는 기업이 어떤 데이터를 암호화하는지 파악하고, 해커나 민족 국가를 비롯해 관심을 가질 수 있는 이들에게 그 데이터가 어떤 가치를 가지는지 알아내야 한다면서 "방대한 작업이다. 보유하고 있는 모든 시스템, 모든 라이브러리, 업체가 사용하는 모든 라이브러리까지, 하룻밤 사이에 할 수 없는 일이다. 또한 다른 운영상의 문제에도 대처해야 하므로 이 문제는 뒤로 미뤄질 수 있다”라고 말했다.
 
양자 안전 암호화에 대한 공식적인 표준이 아직 나오지 않았다는 점도 문제다. NIST는 몇 년 동안 관련 표준 마련을 위한 작업을 진행 중이며 올 여름 최종 권고안을 발표할 예정이다.
 
양자 후 암호화에 대한 NIST의 첫 의견 요청은 2016년에 있었다. 이후 2022년 여름 첫 번째 초안이 나왔고, 가장 최근 공개 의견 수렴 기간은 2023년 11월에 종료됐다.
 
IBM 암호화 연구원인 바딤 류바세프스키는 "NIST는 최대한 포용적인 자세로 많은 의견을 수렴하기를 원한다. 꼼꼼히 살피는 데 상당한 시간이 소요될 것"이라고 말했다.
 
류바세프스키는 최근의 개선은 새로운 알고리즘의 기본적인 수학과는 무관한 인터페이스 측면의 개선이 주를 이룬다고 덧붙였다. 예를 들어 입력 해시를 서명 전에 해야 할지, 서명 중에 해야 할지 등이다. 류바세프스키는 "그 외에도 자잘한 사항이 많다”라고 말했다.
 
주로 위험에 노출되는 것은 비대칭 암호화 표준이므로 모든 구현 준비를 갖추는 것이 중요하다. 비대칭 암호화는 공개 키와 개인 키, 두 개의 키가 있으며 온라인 통신, 뱅킹 거래, 기타 여러 당사자가 참여하는 메시지를 암호화하는 데 사용된다.
 
반면 대칭 암호화는 암호화와 복호화에 동일한 키를 사용하며 저장된 문서를 보호하는 데 일반적으로 사용된다. 대칭 암호화는 여러 당사자 간의 합의에 대한 의존도가 낮으며, 양자 컴퓨터에 대해 태생적으로 더 안전하다.
 

기존 알고리즘과 양자 내성 알고리즘

기존 공개 키 암호화 알고리즘에는 큰 수의 인수분해가 수반된다. 기존 컴퓨터에서 두 개의 소수를 곱하는 것은 매우 쉽지만, 원래의 두 소수를 되찾기는 매우 어렵다. 이 어려움을 이용한 것이 비대칭 암호화다.
 
그러나 양자 컴퓨터는 소수를 인수분해할 수 있다. 사실 쇼어(Shor) 알고리즘이라는, 이미 알려진 방법이 있다.
 
물론 양자 컴퓨터라고 해서 어려운 수학 문제를 모두 해결하는 것은 아니다. 적어도 우리가 현재 알고 있는 한은 그렇다.
 
류바세프스키는 "예를 들어 각각 1,000자릿수의 난수 1,000개를 주고 이 중에서 500개의 숫자를 합산한 결과를 알려주면서 합산에 사용된 숫자를 묻는다. 이것은 기본적인 문제인 조합(combinatorial) 문제"라고 말했다.
 
류바세프스키는 이러한 종류의 문제는 양자 컴퓨터가 잘 풀지 못한다면서도 "절대 풀리지 않는다는 말은 아니다. 이는 암호화 전문가들이 감수해야 하는 부분"이라고 말했다.
 

미래의 양자, 현재의 위험

기업 관점에서 양자 컴퓨팅에는 두 가지 큰 과제가 따른다.
 
우선 양자 컴퓨터가 언제 기존 암호화를 무력화할지 알 수 없으므로 그에 대응한 계획을 수립하기가 어렵다. 양자 컴퓨터가 현실화될 때까지 미루고 싶은 생각이 들 수 있지만 그 때는 이미 움직이기에 늦다.
 
둘째, '지금 수집하고 나중에 복호화하는' 위협이 있다. 주요 정보 기관은 손에 닿는 모든 데이터를 수집 중일 가능성이 높다. 이 데이터를 복호화할 수 있게 될 미래에 미리 대비하는 것이다.
 
류바세프스키는 "정보 기관들이 늘 해오던 일"이라고 말했다. 양자 컴퓨팅의 가능성이 논의되기 전부터도 새로운 기법이나 더 나은 프로세서로 인해 이전 암호화가 쓸모없게 될 가능성은 항상 존재했다. 이 말은 보존 기간이 긴 정보는 나중이 아니라 지금 보호해야 한다는 의미다.
 

안전을 보장하는 암호화는 없다

양자 컴퓨팅이 암호화의 유일한 위협은 아니다. 컴퓨터가 갈수록 더 좋아지면서 그동안 암호화도 여러 번 업그레이드해야 했다.
 
예를 들어 NIST는 1993년에 SHA-0 해싱 알고리즘을 발표했지만 약점이 발견된 후 SHA-1로 대체했다. 이후 2005년에 SHA-1에 대한 의심이 퍼지기 시작했고 결국 2017년 구글이 SHA-1을 뚫는 데 성공했다. NIST는 2022년에 SHA-1 알고리즘을 공식 폐기하고 SHA-2 또는 SHA-3을 도입하도록 권장했다. 
 
정부 기관은 2030년까지 SHA-1을 사용하는 기술 구매를 중지해야 한다.
 
비슷한 맥락에서 NIST는 2002년부터 RSA에 대해 1024비트의 키 길이를 권장했고 2015년에는 권장 길이를 2048비트로 늘렸다. 2030년에는 4096비트로 대체된다.
 
류바세프스키는 알고리즘 자체만의 문제가 아니며, 암호화가 구현되는 방식에도 약점이 존재해서 예를 들어 사이드 채널 공격의 빌미를 제공할 수 있다고 말했다.
 
따라서 류바세프스키는 인프라를 업그레이드해서 필요할 때 암호화를 쉽게 교체할 수 있도록 하는 것이 중요하다면서 "5년 전에는 간단한 일로 보였다. RSA를 빼내고 그 자리에 표준화된 기술을 집어넣으면 끝이라고 생각했다. 그런데 알고 보니 이것이 쉽지 않은 일이었다”라고 말했다. 
 
류바세프스키는 한 가지 문제는 암호화가 코드 라이브러리와 써드 파티 제품 및 서비스 깊숙이 묻혀 있는 경우가 많다는 점이라면서 "내부의 암호화를 찾기 위해서는 암호화 자재명세서(BOM)를 확보해야 하는데 이는 쉽지 않은 일"이라고 말했다.
 
게다가 이건 첫 번째 문제일 뿐이다. 모든 암호화가 파악되고 나면 이제 현대적이고 유연한 시스템으로 대체해야 하는데, 내 통제 범위를 벗어난 시스템의 일부에 오래된 암호화된 하드코딩이 있는 경우 대체가 불가능할 수도 있다.
 
구글이 올해 초 양자 후 암호화로 크롬 브라우저를 업그레이드하면서 실제로 겪은 일이다. 류바세프스키는 "구글은 하드코딩으로 인해 연결의 5%가 작동하지 않는다는 사실을 발견했다”라고 말했다.
 
류바세프스키는 SHA-1이 안전하지 않다는 사실이 알려졌음에도 불구하고 아직 사용되는 곳이 있다면서 "그 간단한 전환조차도 제대로 이뤄지지 않았다. 양자 안전은 이보다 훨씬 더 복잡한 전환이며 시간도 걸린다. 목표 시점을 기준으로 1년 전에 움직이면 된다고 생각한다면 오산"이라고 말했다.
 

양자 후 전환 경로

류바세프스키는 AES와 같이 대칭 암호화에는 시간적 여유가 있다면서 "AES를 깨기 위해서는 극히 강력한 양자 컴퓨터가 필요할 것"이라고 말했다.
 
또한 암호화된 데이터의 가치는 저마다 다르다. 예를 들어 일부 트랜잭션 데이터는 며칠 또는 몇 분만 지나도 가치를 잃는다.
 
필요한 경우 이전 암호화로 돌아갈 수 있는 하이브리드 접근 방법을 사용하면 도움이 될 수 있다.
 
예를 들어 메타는 "지금 저장하고 나중에 복호화"하는 위협에 취약한 구성요소, 그리고 두 엔드포인트가 모두 자체 통제 하에 있는 내부 통신에 우선순위를 두고 있다. 또한 전환을 위해 기존 암호화와 양자 후 암호화를 결합한 하이브리드 시스템을 사용한다. 메타는 양자 후 암호화 사용을 확대하기에 앞서 업계 표준화와 주요 브라우저의 채택을 기다리는 중이라고 밝혔다.
 
하나의 주체가 통신의 양쪽을 모두 제어하는 경우 암호화 방법을 비교적 쉽게 업그레이드할 수 있다.
 
예를 들어 애플은 올해 말까지 모든 아이메시지 통신을 양자 안전 암호화로 업그레이드할 계획이다. 시그널은 작년에 메시징 앱 업그레이드를 시작했으며 줌은 5월부터 양자 후 종단간 암호화를 지원하기 시작했다.
 
2022년 클라우드플레어는 양자 후 암호화를 지원하는 브라우저를 사용하는 경우에 한해 서버와 웹사이트 방문자 간의 연결을 보호하기 시작했고 2023년 말부터 서버와 기업 고객 간의 연결을 보호하기 시작했다.
 
또한 클라우드플레어는 인터넷 트래픽을 분석하고 양자 후 암호화 도입을 추적하고 있다. 이 회사의 최신 데이터에 따르면 사용량은 지난해 10월 1% 미만에서 3월에 거의 3%로 증가했고 6월에는 17% 이상으로 늘었다.
 
SANS 연구소의 연구 소장 요하네스 울리히는 대부분의 기업은 양자 후 암호화에 본격적으로 착수하기 전에 최종 표준이 발표되기를 기다리는 것이 좋다면서 "NIST가 최종 결정을 내리기 전인 지금 당장 배포하는 것에는 반대하는 입장이다. 암호화는 어렵다. 그래서 NIST가 길고 복잡한 프로세스를 두는 것"이라고 말했다.
 
그러나 기업에서는 이를 실제로 전송해야 하는 데이터의 양을 재고하는 기회로 삼을 수 있다. 울리히는 "결제 카드는 기본적으로 중요한 데이터를 제거하는 토큰화를 사용한다. 이것이 가장 안전한 접근 방법이다. 애초에 전송되지 않은 데이터를 훔칠 수는 없다”라고 말했다. 
 
또한 울리히는 최대한 신속하게 업체와 마이그레이션 경로에 대한 대화를 시작해야 한다면서 "업체에 로드맵을 물어야 한다”라고 말했다. 여기에는 데이터베이스 및 스토리지 업체와 기타 내부 기업 업체도 포함된다.
 

유연성이 핵심

슈나이어는 어떤 알고리즘도 영구적인 안전을 보장할 수 없으므로 앞으로는 대칭 암호화에서도 민첩성이 중요해질 것이라면서 "누군가 언젠가는 AES를 뚫을 것이다. 똑똑한 박사 과정 학생이 될 수도 있다. AES가 인간 창의성의 정점일 가능성은 낮기 때문"이라고 말했다.
 
그러나 기업이 암호화 방법 측면에서 내부 시스템과 소프트웨어 공급망을 유연하게 설계한다면 대처가 가능하다.
 
슈나이어는 "모두가 시스템에서 암호화 민첩성을 갖춰야 한다. 그렇게 되면 어떤 문제가 발생하든 해결할 수 있다”라고 강조했다.