DEFAULT가 선사하는 지금 수집, 나중에 복호화

좋은 소식이 있습니다: 아직 암호학적으로 위협이 될 만한 양자 컴퓨터는 존재하지 않습니다. RSA-2048에 대한 Shor 알고리즘을 실행하려면 현재 출시된 것보다 훨씬 더 많은 오류 수정 큐비트가 필요하며, 공개 로드맵은 여전히 “곧 출시” 단계에 머물러 있습니다. 샴페인을 터뜨려도 좋습니다 — 지금 당장은 AES-256 백업이 안전합니다.

물론 “지금 당장은”이라는 말이 핵심입니다. 바로 그 때문에 책임감 있는 전문가들은 지난 몇 년간 수확 후 복호화 공격을 무력화하기 위해 X25519MLKEM768과 같은 하이브리드 포스트 양자 키 교환 방식을 배포해 왔습니다. AWS는 가시적인 성과를 보이고 있습니다: Secrets Manager는 이제 간단한 클라이언트 측 업그레이드만으로 하이브리드 X25519+ML-KEM 협상을 지원합니다(Agent 2.0.0, Lambda 확장 19, 최신 SDK). 또한 새로운 대형 PQC 키를 처리하기 위해 특별히 설계된 Rust 인프로세스 캐시인 Cachee도 출시했습니다 — ML-KEM-1024 공개 키는 ECDH의 32바이트에 비해 1,568바이트이고, SLH-DSA-256f 서명은 거의 50KB에 달하며, 17KB 서명에 대해 Redis가 0.9ms 읽기 지연으로 한계를 보였기 때문입니다. 이 마이그레이션은 실질적이며 엔지니어링 수준도 인상적입니다.

그런데 CVE-2026-2673이 등장했습니다. OpenSSL 3.5 또는 3.6 서버 설정의 그룹 목록에 DEFAULT 키워드를 사용하는 경우, 구현 버그로 인해 튜플 구조가 평탄화되고 서버가 Hello Retry Request를 건너뛰어 핸드셰이크가 클라이언트가 먼저 제시한 기존 곡선으로 조용히 합의됩니다. 오류도 없고 경고도 없습니다 — 단지 수집 가능한 세션과 미래의 양자 공격자가 보내는 감사 카드만 남을 뿐입니다. 3.5.6 / 3.6.2 버전이 출시되는 즉시 업그레이드하고, DEFAULT를 사용하는 모든 항목을 감사하고, 암호화 마이그레이션의 영원한 교훈을 기억하십시오: 알고리즘이 가장 약한 고리인 경우는 거의 없습니다. 설정이 문제입니다.