10KB와 40KB의 절벽: 네트워크 문제로서의 PQC 인증서 비대화

Chou와 Cao(UIUC / NCSA)의 새로운 arXiv 프리프린트는 PQC 인증서 비대화로 인한 네트워크 비용을 수치로 제시합니다. 핵심 내용: 체인이 커짐에 따라 TTFB가 완만하게 저하되는 것이 아니라, 체인 크기가 TCP의 플라이트 윈도우를 초과하는 두 지점에서 계단식으로 급등합니다.

참고문헌: arXiv 2604.24869v1, 2026년 4월 27일.

임계점

첫 번째 임계점은 약 10 KB에 위치합니다. IW=10은 첫 번째 RTT 데이터를 약 14 KB로 제한하며, 이를 초과하면 추가 왕복 비용이 발생합니다. 두 번째 임계점은 약 40 KB 부근으로, 슬로우 스타트 배증과 IW가 결합되어 유효 임계값이 약 42 KB에 형성됩니다.

중간 인증서 두 개를 포함한 ML-DSA-44는 약 12 KB에 달해 이미 첫 번째 임계점을 넘어섭니다. SLH-DSA-192s는 두 임계점을 모두 훌쩍 초과합니다. 연구진은 극단적인 RTT 환경에서 임계점 초과만으로 최대 약 1.5배의 TTFB 증가를 측정했습니다. 전파 지연 단독으로는 영향이 거의 없습니다.

효과적인 대응책

세 가지 완화 방안이 평가되었으며, 효과 비율은 각각 매우 다릅니다:

• MTC: 약 2–3배의 여유. X.509 중간 인증서 대신 머클 증명을 사용하면 10 KB 임계점을 초과할 수 있는 체인을 그 이하로 유지할 수 있습니다(draft-ietf-plants-merkle-tree-certs).
• CDN 체인 최적화: 약 1.6배의 여유. 유용하지만 SLH-DSA 단독 적용에는 부족합니다.
• 세션 재개: 적용 가능한 경우 매우 효과적입니다. NCSA Zeek 데이터에 따르면 CDN TLS 1.3의 재개율은 94%인 반면, 비CDN은 46%에 그칩니다. 재개된 세션은 인증서 전송을 완전히 생략합니다. CDN은 비CDN 대비 약 2배의 TTFB 절감 효과를 실현했습니다.

뉴질랜드에 시사하는 바

두 가지 복합적 요인이 있습니다.

거리가 추가 RTT를 모두 증폭시킵니다. 우리에게 120–200 ms 이상의 대륙 간 지연은 일상적인 수준입니다. 미국 동부 오리진으로의 12 KB ML-DSA 체인은 기본 지연에 더해 모든 콜드 핸드셰이크마다 150–200 ms의 추가 지연을 초래합니다.

뉴질랜드는 바로 그 거리 문제 때문에 CDN 엣지 의존도가 높습니다. CDN 측 완화 조치가 대부분의 손실을 복구한다는 연구 결과는 희소식이지만, 이는 서비스가 실제로 CDN 앞에 배치된 경우에 한하며, 재개율이 NCSA 집계와 유사한 경우에만 해당합니다. 첫 접속 플로우의 경우 거의 확실히 그렇지 않습니다.

주의사항

테스트베드에서는 OQS 스택 오버헤드가 절대적인 TTFB를 지배했으며(네트워크가 아닌 구현에 기인한 약 50–55 ms), 패킷 손실과 단편화는 직접 측정되지 않았습니다. 그러나 임계값 자체는 실재하며, 핵심적인 질적 결론, 즉 PQC 마이그레이션 위험이 단순한 암호 정확성 문제가 아닌 네트워크 구조 문제라는 관점은 앞으로도 중요하게 다뤄질 것입니다.