보고서

알고리즘은 준비됐다. 인프라는 아직이다.

by Simon McCorkindale

2026년 5월 둘째 주에 발표된 세 편의 논문은 양자 내성 암호 전환 스택의 각기 다른 부분을 다룹니다. 차세대 디지털 서명 후보에 관한 새로운 NIST 보고서, 실제 운영 중인 은행에서의 양자 내성 암호(PQC) 개념 증명 배포, 그리고 라즈베리 파이 하드웨어에서의 FN-DSA 구현 사례입니다. 함께 읽으면, 세 가지 관점에서 같은 메시지를 전달합니다 — 알고리즘은 더 이상 문제가 아닙니다. 운영이 문제입니다.

NIST의 위험 분산 전략

5월 14일, NIST는 IR 8610을 발표하며 추가 디지털 서명 프로세스의 3라운드에 아홉 개의 알고리즘 후보를 진출시켰습니다. 최종 생존자 — FAEST, HAWK, MAYO, MQOM, QR-UOV, SDitH, SNOVA, SQIsign, UOV — 는 네 가지 서로 다른 수학적 계열에 걸쳐 있습니다. 다섯 개의 후보는 탈락했습니다.

NIST가 이 프로세스를 시작한 이유는 명확히 짚고 넘어갈 필요가 있습니다. 기존 양자 내성 서명 표준 세 가지 중 두 가지, 즉 ML-DSA(FIPS 204)와 FN-DSA(FIPS 206, 2027년 예정)는 격자 기반입니다. 누군가 Module-LWE 난해성 가정을 깨뜨리면, 두 표준은 동시에 무너집니다. SLH-DSA(FIPS 205)는 살아남겠지만, 서명 크기가 최대 17KB에 달해 — 유일한 대안으로 남기에는 너무 큽니다. NIST는 보험을 구축하고 있는 것입니다.

가장 주목할 수치는 SQIsign입니다. NIST 보안 등급 1에서 148바이트의 서명 크기로, RSA-2048보다 작습니다. DNSSEC, 펌웨어 서명, IoT 인증 분야에서 이러한 소형화는 혁신적입니다. HAWK는 정수 연산만을 사용하여, 전용 FPU 없이 마이크로컨트롤러에 FN-DSA를 안전하게 배포하기 어렵게 만드는 부동소수점 연산 의존성을 제거합니다. 다변수 후보들(UOV 계열)은 2025년 웨지 공격을 견뎌내고도 살아남았습니다 — NIST가 이들을 유지한 이유는 서명 압축 능력이 독보적이기 때문이지만, 표준화에는 다른 후보들보다 더 오랜 시간이 걸릴 것입니다.

이 중 어떤 것도 2026년에 조직들이 해야 할 일을 바꾸지는 않습니다. ML-DSA와 SLH-DSA는 최종 표준입니다. 추가 서명 프로세스는 낙관적으로 봐도 2028~2030년 이전에 최종 표준을 내놓지 않을 것입니다. IR 8610의 실질적 함의는 더 좁지만 중요합니다. 알고리즘 선택을 코드에 고정된 상수가 아닌, 교체 가능한 정책 결정으로 취급하십시오. NIST는 자신이 최근 발표한 표준과 병행하는 별도의 트랙을 명시적으로 운영하고 있습니다. 암호 민첩성(crypto-agility)만이 합리적인 대응입니다.

운영상의 병목

NTU/OCBC 논문은 보다 시급한 문제를 다룹니다. 지금 당장 가능한 전환이 왜 실제로는 이루어지지 않고 있는가?

연구팀은 자동화된 TLS 구성 파싱 프레임워크를 구축하고, 공개 GitHub 저장소에서 수집한 8,443개의 실제 Nginx 구성 파일에 적용했습니다. 양자 취약성에 관한 결론은 명확합니다. 측정된 전체 파일에서 양자 내성 하이브리드 키 교환 채택률은 정확히 0입니다. X25519MLKEM768은 단 네 개의 구성에서 나타났으며 — 곡선을 명시적으로 지정한 구성의 0.8%에 해당합니다. 더 즉각적으로 우려되는 것은, 28.9%가 전방 보안성이 없는 RSA 키 교환을 사용하고 있다는 점입니다. 이는 양자 하드웨어가 필요 없는 사전 양자 시대의 취약점으로, 향후 키 유출만으로도 악용될 수 있습니다. 또한 21.8%는 여전히 TLS 1.0 또는 1.1을 허용하고 있습니다.

논문의 핵심 주장은 병목이 알고리즘이 아닌 운영에 있다는 것입니다. X25519MLKEM768은 현재 OpenSSL과 BouncyCastle에서 이미 사용 가능합니다. 알고리즘은 존재하고, 라이브러리도 지원합니다. 조직들에게 부족한 것은 각 TLS 엔드포인트가 실제로 무엇을 허용하도록 구성되어 있는지에 대한 정확한 가시성입니다 — 실시간 핸드셰이크에서 협상되는 것이 아니라, 어떤 네트워크 스캐너에도 보이지 않는 채로 구성 파일 속에 잠들어 있는 폴백 옵션들 말입니다.

가시성이 확보되면 전환이 가능하다는 것을 증명하기 위해, 연구팀은 싱가포르의 OCBC Bank에서 하이브리드 PQC를 배포했습니다. Apache 웹 서버와 Java/Spring Boot API 게이트웨이 모두 X25519MLKEM768로 전환했습니다. 뱅킹 애플리케이션 변경은 전혀 없었습니다. 성능 오버헤드는 연결 수립 시 +23%(24.7ms에서 30.4ms), 종단 간 지연 +1.3%, 동시 접속자 100명 기준 오류 발생 없음이었습니다. 교훈은 TLS 종단이 보호 대상 애플리케이션과 독립적으로 전환될 수 있다는 것입니다. 한 가지 주의사항: HSM 기반 개인 키를 사용하는 조직은 전환 전에 HSM 펌웨어 호환성을 반드시 점검해야 합니다. 전환 도중 HSM 비호환성을 발견하는 것은 흔한 실패 사례이며, 사전 배포 스캐닝으로 예방할 수 있습니다.

제한된 하드웨어에서의 PQC

Feingold와 Yu는 liboqs, oqs-provider, OpenSSL, mosquitto 오픈소스 스택을 활용하여, MQTT 모션 센서 네트워크를 구성한 세 대의 라즈베리 파이 5에 FN-DSA(FALCON-1024)를 구현했습니다. 결과는 일반적인 통념을 뒤집습니다. 동일한 하드웨어에서 FALCON-1024의 인증서 생성 평균 시간은 약 69ms였으며, RSA-2048은 320ms였습니다 — 약 4.5배 빠릅니다. RSA 인증서 생성은 대규모 정수 소수성 검사와 모듈러 지수 연산이 지배적인 반면, FALCON은 NTRU 격자 다항식 연산과 고속 푸리에 변환을 사용하며, 동등한 보안 수준에서 제한된 실리콘 상에서 실질적으로 더 효율적입니다.

솔직한 주의사항도 있습니다. FALCON의 가우시안 샘플링은 부동소수점 연산에 의존하여 타이밍 누출 및 부채널 공격 위험을 야기합니다. 물리적으로 접근 가능한 환경에 배치되는 IoT 기기의 경우, 부채널 저항을 명시적으로 설계 목표로 삼은 유사 방식인 SOLMAE가 논리적인 다음 단계로 제시됩니다.

실질적인 의의는 오픈소스 스택에 있습니다. liboqs + oqs-provider + OpenSSL + mosquitto, 모두 공개적으로 이용 가능하며, 오늘 당장 기성품 ARM 하드웨어에서 실행할 수 있습니다.

뉴질랜드의 시사점

저희의 4월 스캔에서 뉴질랜드 상수도, 하수도, 교통 분야의 오리진 측 PQC는 전무했습니다. 보건 분야는 전체 PQC 양성 비율이 80%였지만 오리진에서는 0%였으며 — 모든 결과는 CDN을 통해 제공된 것이었습니다. NTU/OCBC 논문은 그 메커니즘을 설명합니다. 조직들은 자신들의 TLS 구성이 폴백으로 실제 무엇을 허용하는지 알지 못하며, 내부 서비스 메시와 API 게이트웨이가 무엇을 실행하고 있는지는 더더욱 모릅니다. CDN이 기본적으로 양자 내성 TLS를 활성화하는 것은 유용하지만, 이는 에지를 측정할 뿐 퍼리미터를 측정하는 것이 아닙니다.

OCBC 개념 증명은 아직 전환을 시작하지 않은 뉴질랜드 은행들을 위한 “시작은 이렇게 하는 것”의 템플릿입니다. ASB, BNZ, Westpac, Kiwibank 모두 4월 스캔에서 오리진 측 PQC가 없는 것으로 나타났습니다. NTU/OCBC 배포는 유사한 규모의 기관이 감당 가능한 오버헤드와 애플리케이션 변경 없이 TLS 종단 계층을 전환할 수 있음을 증명합니다. 운영 템플릿은 이미 존재합니다.

라즈베리 파이에서의 FALCON 결과는 뉴질랜드 상수도·에너지 IoT 자산에 대한 남은 핑계를 없애버립니다. DPMC 핵심 인프라 법안은 2026년 중 발의될 것으로 예상됩니다. 지금 당장 암호화 현황 조사를 시작하는 조직들은 법안이 통과될 때 기본적으로 컴플라이언스를 갖추게 될 것입니다.

꼴찌로 완주한다고 상이 주어지지는 않습니다.

참고문헌:

Kaysec는 뉴질랜드 기반 양자 기술 기업 Spinsphere의 양자 내성 암호 보안 전문 부서입니다. 저희는 뉴질랜드 조직들의 암호화 현황 조사, HNDL 위험 평가, TLS 구성 감사, PQC 전환 계획을 지원합니다. 문의하기.