보고서

PQC 마이그레이션이 어려운 이유가 더 있습니다

by Simon McCorkindale

양자 컴퓨팅과 보안에 관한 광범위한 새 설문 조사를 읽다 보면 충분히 다뤄지지 않은 하나의 문제로 자꾸 시선이 돌아간다. 같은 주에 발표된 두 편의 전문 논문이 조직을 양자 안전 상태로 전환하는 일이 왜 점점 더 어려워지고 있는지를 보여준다.

5월 말에서 6월 초 사이 보름 남짓한 기간에 arXiv에 세 편의 논문이 올라왔고, 이를 함께 읽으면 벤더 마케팅이 건너뛰는 경향이 있는 하나의 이야기가 드러난다. 폭넓은 설문 조사 한 편은 양자 컴퓨팅과 보안의 전 영역을 조망하고, 암호 분석 논문 한 편은 인터넷 상당 부분과 대부분의 암호화폐를 떠받치는 타원 곡선 암호를 깨는 비용을 조용히 낮춰 놓는다. 그리고 아키텍처 논문 한 편은 표준 선택지가 맞지 않는 6G 네트워크의 특정 구간을 위한 상당히 다른 포스트 양자 암호를 제안한다.

공통된 맥락은 설문 조사가 직접 명명하는 바로 그 문제다. 우리는 10년을 양자 내성 알고리즘을 발명하는 데 쏟아부었지만, 실제 시스템을 그 알고리즘으로 마이그레이션하는 방법을 연구하는 데는 상대적으로 훨씬 적은 노력을 기울였다. 위협 측은 계속 저렴해지고 있고, 배포 측은 계속 복잡해지고 있다. 그 중간의 계획 공백이야말로 뉴질랜드를 포함한 거의 모든 이가 노출된 지점이다.

설문 조사: 전체 전장의 지도

표제 논문은 Indian Institute of Information Technology Guwahati와 Trellix가 공동으로 펴낸 “양자 컴퓨팅을 활용한 보안”에 관한 종합 설문 조사다. 이례적으로 넓은 시야를 가진 논문으로, 그 폭넓음 자체가 가치다. 이 논문은 주제를 흔히 혼동되는 두 가지 별개의 문제로 다룬다.

첫 번째는 양자 컴퓨터 자체의 보안 문제다. 정보 누출에 악용될 수 있는 노이즈와 크로스토크, 양자 하드웨어에 대한 사이드 채널 공격, 회로 IP를 탈취하거나 트로이 목마에 상응하는 양자 등가물을 삽입할 수 있는 신뢰할 수 없는 서드파티 컴파일러, 그리고 클라우드 양자 프로세서를 공유하는 테넌트 간의 간섭이 여기에 해당한다. 이는 진정한 성장 연구 분야이지만, 오늘날 클래식 인프라를 방어하는 CISO 입장에서는 당장의 실행 항목이라기보다는 대체로 “지켜볼 것”에 해당하는 관심사다. 해당 분야가 존재한다는 사실은 알아둘 만하지만, 아직 밤잠을 설칠 이유는 아니다.

두 번째 문제가 이 글을 읽는 모든 이에게 중요한 문제다. 바로 기존 사이버 보안에 대한 양자 컴퓨팅의 영향이다. 이 설문 조사는 이제 익숙한 위협 모델, 즉 Shor 알고리즘이 RSA, ECC, ECDSA를 완전히 깨뜨리고 Grover 알고리즘이 대칭 암호와 해시의 유효 강도를 절반으로 줄이는 문제를 다루고, 이어서 암호학, 블록체인, 악성코드 탐지, 침입 탐지, IoT 전반에 걸친 방어 수단을 조사한다. 포스트 양자 암호(격자, 해시, 코드 기반 방식)와 양자 키 분배가 두 가지 주요 기둥으로 부각되며, 설문 조사는 QKD의 완고한 실용적 한계도 지적한다. 노이즈와 손실이 치명적이 되기 전까지 약 70km의 광섬유 거리 제한, 그리고 특수하고 비용이 많이 드는 하드웨어가 그것이다. 악성코드 및 침입 탐지 관련 양자 머신러닝 자료는 솔직하게 다뤄지는데, 여러 양자 접근법이 여전히 잘 튜닝된 클래식 모델에 미치지 못한다는 불편한 결과도 포함하며, 그 차이가 정확도 기준 약 5%포인트에 달하는 경우도 있다.

하지만 벽에 붙여 놓을 가치가 있는 부분은 미해결 문제 섹션에 있다. 저자들은 현재 대부분의 연구가 실제로 필요한 시스템인 PKI, TLS, 블록체인 네트워크를 위한 실용적인 마이그레이션 전략보다는 새로운 알고리즘을 제안하는 데 치우쳐 있다고 직접적으로 밝힌다. 그들은 이 공백이 나중이 아니라 지금 당장 중요한 이유로 “지금 저장하고 나중에 복호화하기”(그들의 표현으로는 우리가 HNDL이라 부르는 것)의 긴박함을 언급하며, 거의 모든 실험적 검증이 단일 하드웨어 벤더의 기계에 의존하고 있다는 점도 지적한다. 이는 발표된 결과가 일반화될 수 있는지에 대한 의문을 남긴다. 반복되는 메시지는 단 하나의 기법으로는 이 문제들 중 어느 것도 해결할 수 없으며, 실제 배포에는 층위별 조합이 필요할 것이라는 점이다. 이는 정확히 계획이 보상을 주고 미루는 행위가 대가를 치르는 유형의 문제다.

위협 시계: ECC를 깨는 비용은 계속 내려가고 있다

설문 조사가 공백을 설명한다면, Inria Rennes의 André Schrottenloher가 쓴 두 번째 논문은 그 공백이 좁혀지는 이유의 절반을 보여준다. 이 논문은 양자 자원 추정 논문으로, Shor 알고리즘을 타원 곡선 이산 대수, 특히 Bitcoin이 사용하는 곡선인 secp256k1에 적용하기 위해 얼마나 많은 큐비트와 양자 게이트가 필요한지를 다룬다.

추세 자체가 이야기다. Babbush와 동료들의 최근 연구는 이 공격의 게이트 및 큐비트 수를 이전 최고 결과(Litinski, 2023)보다 2~3배 줄였다. 이 논문은 그 수치에 필적하는 회로 아키텍처를 상세히 기술하고 게이트 수를 추가로 6.5%~10% 줄여, 단일 이산 로그 복원을 위해 약 1,200~1,460개의 논리적 큐비트와 2^26(약 6,700만 개) 수준의 Toffoli 게이트가 필요하다는 결과를 도출한다.

여기서 엄밀함이 중요하므로, 이것이 아닌 것을 정확하게 짚어 두겠다. 이것은 논리적 추정치다. 내결함성 기계를 가정하며, 그런 기계를 구축하는 데 필요한 방대한 오류 수정 오버헤드는 무시한다. 물리적 비용은 논리적 수치보다 훨씬 높지만, 그 역시 내려가고 있다. RSA-2048 인수분해는 2025년 기준 100만 개 미만의 물리적 큐비트로 추정됐으며, Babbush 외 연구진은 초전도 기계에서 secp256k1을 깨는 데 50만 개 미만의 물리적 큐비트로 수 분 내에 실행 가능하다고 추정했다. 단서가 있다면, 그리고 그 단서는 상당히 크다는 점인데, 그런 기계는 아직 존재하지 않으며 올해 누군가의 트래픽이 복호화되는 일은 없다. 지금 일어나고 있는 것은 회로가 더 스마트해짐에 따라 이러한 공격의 논리적 비용이 매년 꾸준히 하락하고 있다는 점이다. 논리적 비용 하락은 암호학적으로 관련성 있는 양자 컴퓨터가 실현 가능해지는 시기에 대한 모든 진지한 추정을 앞당기는 바로 그 요소다. 이것은 리스크 레지스터가 반기는 종류의 진전이 아니다.

배포 메뉴: 하나의 암호가 모든 회선에 맞지는 않는다

피사 대학교 / KAUST의 Vincenzo Sammartino가 쓴 세 번째 논문은 나머지 절반을 보여준다. 이 논문은 6G 산업용 IoT를 위한 양자 네이티브 아키텍처인 “Q-FE”를 제안하며, 그 암호화 핵심은 의도적인 선택의 결과다. NIST 표준 ML-KEM/Kyber 대신 아이소제니 기반 방식인 CSIDH를 선택한 것이다.

이유는 물리적 제약에 있다. ML-KEM-1024의 공개 키는 약 1,568바이트로, 6G 제어 프레임에 들어가기에는 너무 커서 여러 전송 슬롯에 분산되고 폐쇄 루프 산업 제어가 요구하는 밀리초 미만의 지연 시간 예산을 초과한다. CSIDH-512의 공개 키는 약 64바이트로, 단일 제어 프레임 안에 들어갈 만큼 작다. 이 논문의 시뮬레이션은 Kyber-1024 대비 MAC 레이어 오버헤드 62% 감소와 99.9 퍼센타일 지연 시간 0.78ms를 주장한다.

정직한 경고도 상당하며, 논문 스스로도 이를 밝히고 있다. 결과는 이상화된 채널에서의 시뮬레이션에 불과하고, CSIDH-512의 군 연산은 상수 시간이 아니어서 잔류 타이밍 사이드 채널이 존재하며, 공식 증명이 없는 난이도 가정에 보안이 의존하고, NIST 표준화가 이루어지지 않았다. 관련 아이소제니 방식인 SIKE는 2022년에 공격을 받아 깨진 바 있다. 다만 그 공격이 CSIDH에는 적용되지 않는다. 따라서 이것은 연구 제안이지 제품이 아니며, 단 한 편의 시뮬레이션 논문만을 근거로 비표준 원시 함수를 배포하지는 않을 것이다.

유용한 시사점은 암호 자체가 아니라 원칙에 있다. 포스트 양자 마이그레이션은 단순히 하나를 교체하는 작업이 아니다. 지연 시간이 중요하거나 대역폭이 제한되거나 운영 기술 환경에서는 웹 서버의 TLS 핸드셰이크와 다른 원시 함수와 다른 절충점이 진정으로 필요할 수 있다. 그런 변형 하나하나가 마이그레이션 계획의 별도 항목이 된다. 이는 설문 조사가 제기한 바로 그 불만을 극적으로 보여주는 사례다.

뉴질랜드 시각

세 논문을 합쳐 보면 뉴질랜드의 상황이 불편할 정도로 명확하게 드러난다. 위협은 실행 비용이 낮아지고 있고, 방어는 배포가 더욱 이질적으로 복잡해지고 있으며, 설문 조사의 핵심 결론인 “알고리즘을 발명하는 것보다 마이그레이션을 계획하는 데 훨씬 적은 노력을 기울인다”는 지적은 우리 국가적 자세를 거의 정확하게 묘사한다.

우리가 유지하는 118개 핵심 인프라 엔티티의 기준선이 이를 구체적으로 보여준다. 6월 재스캔 기준으로 오리진 측 PQC 도입률은 4월과 사실상 동일한 52.2%에서 정체되어 있다. 49개의 클래식 오리진은 두 번의 스캔 사이에 아무 변화가 없으며, Google과 Cloudflare가 설정한 2029년 압박 시점까지 이제 일주일이 더 줄었다. 9개 엔드포인트는 여전히 TLS 1.2만 협상하는데, 이 버전으로는 1.3으로 전환하기 전까지는 하이브리드 포스트 양자 키 교환 자체를 수행할 수 없다. 뉴질랜드는 Five Eyes 국가 중 공식적인 PQC 마이그레이션 기한이 없는 유일한 국가로 남아 있으며, 올해 예상되는 핵심 인프라 법안에도 NZISM 2.4조의 암호화 조항에 대한 공개적인 집행 메커니즘은 포함되어 있지 않다.

KiwiRail은 마이그레이션 계획 실패의 생생한 사례이며, 설문 조사의 논지와 정확히 맞아떨어진다. 4월에는 포스트 양자 보호가 적용된 것처럼 보였지만, 그 보호는 KiwiRail 자체 설정이 아닌 콘텐츠 전송 네트워크 계약의 산물이었다. Imperva가 프런트 역할을 멈추자 오리진은 클래식 키 교환으로 후퇴했다. 국가적으로 중요한 철도 및 페리 운영사의 공개 엔드포인트가 어떤 공격을 받아서가 아니라, 아무도 CDN 의존성에 대해 계획을 세우지 않았기 때문에 퇴행한 것이다. 이것이야말로 알고리즘을 배포하는 것과 마이그레이션을 계획하는 것의 차이다. 계약 변경이 그저 계약 변경에 그치려면 CDN과 오리진 모두에서 포스트 양자 보호가 적용된 지속 가능한 상태를 갖춰야 한다.

언급할 만한 밝은 점도 하나 있다. 뉴질랜드의 주요 인터넷 연결 상당 부분을 담당하는 해저 케이블 운영사 Southern Cross Cables가 4월의 클래식 오리진에서 6월에는 포스트 양자 오리진으로 전환했다. 두 번의 스캔 사이에 PQC를 배포했다고 자신 있게 말할 수 있는 유일한 엔티티이며, 지금 저장하고 나중에 복호화하기가 이론적이지 않은 바로 그런 장거리, 장기 보존 병목 지점에 위치한다. 수도·하수, 교통, 에너지망 운영사 등 오리진 PQC가 여전히 0%인 부문과의 대비가 이 문제 전체를 압축적으로 보여준다.

솔직히 말해 Sammartino 논문의 “제약에 맞는 올바른 원시 함수” 논쟁은 우리가 아직 누릴 자격이 없는 사치스러운 문제다. 우리의 운영 기술 환경이 바로 단순한 “어디서나 Kyber 활성화” 조언이 현실적 한계에 부딪히는 곳이지만, 더 시급한 사실은 그 환경 대부분이 어떤 포스트 양자 방식이 SCADA 링크에 적합한지 고민하는 수준이 아니라 출발선에도 서 있지 않다는 점이다. 그리고 4대 은행의 경우 계획 문제는 부분적으로 해외에 있다. ANZ만이 오리진 PQC를 운영하며, 나머지는 호주 모회사의 자회사이므로 암호화 결정이 사실상 시드니와 멜버른에서 이루어지고 있다. 이는 우리 자신의 AML/CFT 7년 보존 의무와 유사한 보존 의무 하에서 이루어지는 결정으로, 수집된 트래픽이 여전히 의미를 가질 만큼 충분히 긴 기간이라는 말이다.

2029년까지의 활주로는 약 3년 반이다. 실제 순서에 드는 비용을 계산하기 전까지는 여유로워 보인다. 인벤토리 작성, 우선순위 지정, 마이그레이션, 벤더 인증, 배포의 순서를, KiwiRail의 경우처럼 자신의 포스트 양자 보호가 어디서 오는지도 몰랐던 자산에 걸쳐 수행해야 한다. 설문 조사가 맞다. 알고리즘은 대부분 해결되어 있다. 어려운 것은 마이그레이션이며, 활주로는 바로 그 작업을 위한 것이다.

꼴찌에게 돌아가는 상은 없다.

Kaysec는 뉴질랜드 기반 양자 기술 기업 Spinsphere의 포스트 양자 보안 사업 부문입니다. 우리는 뉴질랜드 조직의 암호화 인벤토리 구축, HNDL 리스크 평가, TLS 설정 감사, PQC 마이그레이션 계획을 지원합니다. 문의하기.

참고 문헌