[양자컴퓨터 입문 #3] 양자컴퓨터와 보안 - RSA는 끝났나?

들어가며

지난 포스트에서 Shor’s Algorithm이 RSA를 깰 수 있다는 걸 배웠습니다. 이제 진짜 중요6 질2들:0

“그래서 우리 은행 계좌는 안전한가?” 💰
“언제부터 걱정해야 하나?” ⏰
“어떻게 대비할까?” 🛡️

오늘은 양자 시대의 보안을 다룹니다:

1. 양자 위협: 무엇이 위험한가?
2. Post-Quantum Cryptography (PQC): 수학으로 방어
3. Quantum Key Distribution (QKD): 양자로 방어
4. 현실적 대응: 지금 무엇을 해야 하나?

---

1. 양자 위협: 무엇이, 얼마나 위험한가?

현재 암호화 생태계

우리가 사용하는 암호:

용도	알고리즘	양자 위협
웹 (HTTPS)	RSA-2048, ECC	❌ 위험!
VPN	RSA, Diffie-Hellman	❌ 위험!
이메일	RSA, ECC	❌ 위험!
은행 거래	RSA, ECC	❌ 위험!
비트코인	ECDSA	❌ 위험!
대칭키 (AES)	AES-256	✅ 안전 (키 2배)

---

비대칭 vs 대칭 암호화

비대칭 (Public-Key) 암호:

공개키: 모두에게 공개
개인키: 나만 소유

장점: 키 배포 쉬움
단점: 느림, 양자 취약

양자 위협 대상:

• RSA (소인수분해)
• ECC (이산 로그)
• Diffie-Hellman (이산 로그)

---

대칭 (Secret-Key) 암호:

하나의 비밀키 공유

장점: 빠름, 양자 내성 (키 2배)
단점: 키 배포 어려움

양자 내성:

• AES-256 → 실효 128비트 (여전히 안전!)
• 3DES, ChaCha20 → 키 2배 확대

---

위협 타임라인: 언제부터?

전문가 예측 (Quantum Threat Timeline Report 2024):

시나리오	확률	연도
보수적	10%	2040+
중간	50%	2033-2035
낙관적	90%	2028-2030

중간 예측:

10년 내 (2035년경) RSA-2048 해독 가능 양자컴퓨터 등장

---

“Store Now, Decrypt Later” 공격 🎯

가장 무서운 시나리오:

1. [2024년] 공격자가 암호화된 데이터 수집
   → 정부 기밀, 개인정보, 기업 비밀

2. [2024-2035] 데이터 보관
   → 복호화할 수 없지만 저장

3. [2035년] 양자컴퓨터 확보
   → Shor's Algorithm으로 일괄 복호화!

피해:

• 10년 전 정부 기밀 → 여전히 민감
• 10년 전 개인정보 → 평생 유효
• 10년 전 의료 기록 → 변하지 않음

지금 당장 대비해야 하는 이유!

---

2. Post-Quantum Cryptography (PQC): 수학으로 방어

PQC란?

정의:

양자컴퓨터로도 깰 수 없는 수학적 문제 기반 암호

핵심:

• 고전 컴퓨터로 구현
• 양자컴퓨터로도 어려움
• 기존 인프라와 호환

---

NIST 표준화 프로젝트

타임라인:

2016: 공모 시작 (82개 알고리즘)
2017: 1라운드 (69개)
2019: 2라운드 (26개)
2020: 3라운드 (7개 결선, 8개 후보)
2022: 최종 4개 선정
2024.08: 첫 3개 표준 발표! ✅

---

NIST 선정 알고리즘 (2024년 8월 발표)

1. FIPS 203: ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism)

• 원래 이름: CRYSTALS-Kyber
• 용도: 일반 암호화 (키 교환)
• 기반: Lattice 문제 (격자 암호)
• 장점:
  • 작은 키 크기
  • 빠른 연산
  • 양방향 통신 용이

성능:

공개키: 800-1,568 bytes
암호문: 768-1,568 bytes
속도: RSA보다 빠름!

---

2. FIPS 204: ML-DSA (Module-Lattice-Based Digital Signature)

• 원래 이름: CRYSTALS-Dilithium
• 용도: 디지털 서명
• 기반: Lattice 문제
• 장점:
  • 빠른 서명 생성/검증
  • 합리적인 서명 크기

성능:

서명 크기: 2,420-4,595 bytes
(RSA-2048: 256 bytes 대비 큼)
서명 속도: RSA와 비슷

---

3. FIPS 205: SLH-DSA (Stateless Hash-Based Digital Signature)

• 원래 이름: SPHINCS+
• 용도: 디지털 서명 (백업)
• 기반: Hash 함수
• 장점:
  • 가장 보수적 (Hash만 사용)
  • 상태 없음 (Stateless)

성능:

서명 크기: 7,856-49,856 bytes
서명 속도: 느림 (백업용)

---

추가 진행 중:

알고리즘	상태	예상 발표
FN-DSA (FALCON)	표준화 중	2024년 말
HQC	평가 중	미정
추가 디지털 서명	공모 중	2025+

---

PQC 알고리즘 분류

4가지 주요 접근법:

1. Lattice-Based (격자 기반)

원리:

고차원 격자에서 가장 가까운 점 찾기는 양자컴퓨터로도 어려움

예시:

• CRYSTALS-Kyber (ML-KEM)
• CRYSTALS-Dilithium (ML-DSA)
• NTRU
• FALCON

장점:

• 빠른 성능
• 작은 키
• 다용도 (암호화 + 서명)

단점:

• 상대적으로 새로운 수학
• 보안성 분석 진행 중

---

2. Hash-Based (해시 기반)

원리:

해시 함수의 일방향성 이용

예시:

• SPHINCS+ (SLH-DSA)
• XMSS, LMS

장점:

• 가장 보수적 (잘 알려진 수학)
• 장기 보안성 높음

단점:

• 큰 서명 크기
• 느린 속도
• 주로 서명만 가능

---

3. Code-Based (코드 기반)

원리:

오류 정정 코드 디코딩의 어려움

예시:

• Classic McEliece
• BIKE

장점:

• 오래된 수학 (1978년~)
• 신뢰성 높음

단점:

• 매우 큰 공개키 (수백 KB~MB)
• 느린 암호화

---

4. Isogeny-Based (동종사상 기반)

원리:

타원곡선 간 동형사상 찾기

예시:

• SIKE (2022년 해킹됨!) ❌

장점:

• 작은 키 크기

단점:

• SIKE 공격으로 신뢰도 하락
• 느린 연산

---

PQC vs RSA 비교

항목	RSA-2048	ML-KEM	ML-DSA	SLH-DSA
공개키	256 B	800-1,568 B	1,312-2,592 B	32-64 B
서명 크기	256 B	N/A	2,420-4,595 B	7,856-49,856 B
암호문	256 B	768-1,568 B	N/A	N/A
속도	기준	빠름	비슷	느림
양자 내성	❌	✅	✅	✅

트레이드오프:

RSA: 작고 빠름, 양자 취약
PQC: 크고 느림, 양자 내성

---

3. Quantum Key Distribution (QKD): 양자로 방어

QKD란?

정의:

양자역학 법칙을 이용해 도청 불가능한 키 분배

핵심 차이:

구분	PQC	QKD
기반	수학 (계산 복잡도)	물리 (양자역학)
보안	계산적 보안	정보 이론적 보안
구현	소프트웨어	하드웨어 (광섬유/위성)
확장성	쉬움	어려움
비용	낮음	높음

정보 이론적 보안:

무한한 계산 능력으로도 깰 수 없음! (원리적 불가능)

---

BB84 프로토콜 (1984)

참여자:

• Alice: 송신자
• Bob: 수신자
• Eve: 도청자

---

Step 1: 양자 전송

Alice의 작업:

1. 랜덤 비트열 생성: 0 1 1 0 1 0
2. 랜덤 기저 선택: + × + × + ×

기저 설명:
+ (Rectilinear): 0° (0) or 90° (1)
× (Diagonal): 45° (0) or 135° (1)

3. 광자 편광 설정:
   비트 0, 기저 + → 0° 편광
   비트 1, 기저 + → 90° 편광
   비트 0, 기저 × → 45° 편광
   비트 1, 기저 × → 135° 편광

4. 광자 전송 (양자 채널)

---

Bob의 작업:

1. 랜덤 기저 선택: × + × + × +
2. 광자 측정

일치 시: 올바른 비트 획득
불일치 시: 랜덤 비트 (50% 확률)

---

예시:

Alice 비트	Alice 기저	편광	Bob 기저	Bob 측정	결과
0	+	0°	×	랜덤	❌ 버림
1	×	135°	+	랜덤	❌ 버림
1	+	90°	+	90° (1)	✅ 일치
0	×	45°	×	45° (0)	✅ 일치
1	+	90°	×	랜덤	❌ 버림
0	×	45°	+	랜덤	❌ 버림

---

Step 2: 기저 조정 (공개 채널)

Alice: 내 기저는 + × + × + × 였어
Bob: 내 기저는 × + × + × + 였어

일치하는 위치만 유지:
3번째, 4번째 → 비트 1, 0

Sifted Key (체 거른 키):

원본: 0 1 1 0 1 0
일치: - - 1 0 - -
결과: 1 0

효율: 약 50% (절반만 남음)

---

Step 3: 도청 검사

1. Sifted Key의 일부 (예: 25%) 공개
   Alice: 1
   Bob: 1
   → 일치!

2. QBER (Quantum Bit Error Rate) 계산
   QBER = 에러 수 / 총 비트 수

3. 판정:
   QBER < 11% → 안전 (계속)
   QBER > 11% → 도청 의심 (중단)

---

Step 4: 프라이버시 증폭

에러 정정 + 프라이버시 증폭
→ 최종 비밀키 생성

---

왜 도청이 감지되나?

양자역학 원리:

1. 불확정성 원리:

Eve가 광자 측정 → 양자 상태 붕괴
→ Bob이 측정 시 에러 발생

2. No-Cloning Theorem:

임의의 양자 상태 → 완벽 복사 불가
Eve가 광자 복사 시도 → 실패

3. 측정의 불가역성:

Eve의 측정 → 원래 상태 파괴
→ Bob이 받는 광자 달라짐
→ QBER 상승으로 감지

---

QKD의 실제 구현

성공 사례:

연도	팀	거리	방식
2007	LANL/NIST	148.7 km	광섬유 (BB84)
2017	중국 Micius	1,200 km	위성-지상
2020	유럽	144 km	자유공간
2021	중국	1,120 km	위성 기반

---

거리 한계:

광섬유: 100-400 km
→ 광자 손실 문제

자유공간/위성: 1,000+ km
→ 날씨 영향

해결책:

• 양자 중계기 (Quantum Repeater): 연구 중
• 신뢰 노드 (Trusted Node): 현재 사용 중

---

QKD 네트워크

주요 프로젝트:

1. 중국:

• Micius 위성 (2016~)
• 베이징-상하이 2,000km QKD 네트워크
• 정부/군사 통신

2. 유럽:

• OpenQKD 프로젝트
• 범유럽 양자 통신 인프라
• 13개국 참여

3. 한국:

• K-QKD 프로젝트 (2023~)
• 양자암호통신 시범망
• 서울-대전-부산 연결 목표

4. 싱가포르:

• NQSN+ (2024~)
• 전국 양자 안전 네트워크
• Singtel, SPTel 참여

---

4. PQC vs QKD: 무엇을 선택할까?

비교 분석

항목	PQC	QKD
보안 기반	수학	물리
보안 수준	계산적	정보 이론적
구현	소프트웨어	하드웨어 필수
비용	낮음	매우 높음
확장성	쉬움	어려움 (거리 제한)
인터넷 호환	완벽	불가 (전용 인프라)
표준화	진행 중 (NIST 2024)	부분적 (ITU-T)
미래 안정성	새로운 공격 가능	양자역학 법칙 기반

---

사용 사례별 권장

PQC 추천: ✅ 인터넷 통신 (HTTPS, TLS)
✅ 이메일 암호화
✅ 소프트웨어 업데이트 서명
✅ 블록체인
✅ IoT 디바이스
✅ 대부분의 일반 용도

이유:

• 기존 인프라 활용
• 저렴한 비용
• 글로벌 확장 가능

---

QKD 추천: ✅ 정부 기밀 통신
✅ 군사 통신
✅ 금융 기관 간 전용선
✅ 데이터센터 간 백업
✅ 초고위험 데이터

이유:

• 최고 보안 수준
• 물리적 보장
• 비용 감당 가능한 조직

---

하이브리드 접근

최선의 전략:

Layer 1: 대칭키 암호 (AES-256)
         ↓
Layer 2: PQC (일반 키 교환)
         ↓
Layer 3: QKD (초민감 데이터)

예시:

1. QKD로 초기 키 분배 (일부 노드)
2. PQC로 글로벌 키 교환
3. AES-256으로 실제 데이터 암호화

---

5. 전환 계획: 지금 무엇을 해야 하나?

NIST 전환 로드맵 (NISTIR 8547, 2024.11)

타임라인:

2024.08: NIST PQC 표준 발표
         ↓
2025: OMB 가이드라인 발표 (1년 이내)
         ↓
2025-2030: 연방기관 전환 (5년)
         ↓
2030+: 전면 PQC 적용

---

조직 대응 단계

Phase 1: 평가 (Assessment)

1. 암호 자산 조사:

- 어떤 시스템이 RSA/ECC 사용?
- 어디에 공개키 암호가 있나?
- 인증서 관리 현황은?

도구:

• 암호 자산 관리 (CAM) 도구
• 네트워크 스캐너
• 코드 감사

---

2. 위험 평가:

데이터	민감도	수명	우선순위
정부 기밀	매우 높음	30년+	최우선
개인 의료	높음	평생	높음
금융 거래	높음	10년	높음
일반 통신	중간	1년	중간

---

Phase 2: 계획 (Planning)

1. 전환 우선순위:

Tier 1 (즉시): 
- 장기 비밀 데이터
- 국가 안보 관련
- 개인 민감 정보

Tier 2 (2-3년):
- 기업 기밀
- 금융 시스템
- 인증 인프라

Tier 3 (5년):
- 일반 웹 서비스
- 레거시 시스템

---

2. 하이브리드 전략:

기존 RSA + PQC 병행
→ 양자 대비 + 기존 호환성

예: TLS 1.3 Hybrid
RSA-2048 & CRYSTALS-Kyber

---

Phase 3: 구현 (Implementation)

1. 소프트웨어 업데이트:

- OpenSSL 3.0+ (PQC 지원)
- BoringSSL, Bouncy Castle
- 언어별 라이브러리

2. 하드웨어 고려사항:

- PQC 연산 요구사항
- HSM (Hardware Security Module) 업그레이드
- TPM 지원 여부

3. 프로토콜 업데이트:

- TLS 1.3 → PQC 통합
- S/MIME, OpenPGP
- IPsec, SSH

---

Phase 4: 검증 (Validation)

테스트 항목:

✓ 성능 벤치마크
✓ 호환성 테스트
✓ 보안 감사
✓ 백업 및 롤백 계획

---

개발자를 위한 체크리스트

즉시 할 일:

☐ 현재 사용 암호 알고리즘 파악
☐ 암호 agility 확보 (쉽게 교체 가능하게)
☐ PQC 라이브러리 테스트
☐ 키 크기 증가 대비 (저장소, 대역폭)
☐ 레거시 시스템 식별

미래 준비:

☐ 알고리즘 독립적 설계
☐ 하이브리드 모드 지원
☐ 모니터링 및 로깅 강화
☐ 인증서 관리 자동화
☐ 팀 교육 및 역량 강화

---

6. 자주 묻는 질문 (FAQ)

Q1: 내 비트코인은 안전한가?

A: 복잡합니다.

위험:
- ECDSA 서명 → Shor's Algorithm 취약
- 공개키 노출 시 해킹 가능

안전:
- 미사용 주소 (공개키 미노출) → 안전
- SHA-256 해시 → Grover로도 안전

대책:
- 사용 후 새 주소로 이동
- 양자 내성 블록체인 개발 중 (QRL, IOTA)

---

Q2: HTTPS는 언제 안전해지나?

A: 단계적 전환 중.

현재 (2024):
- 대부분 RSA/ECC (취약)
- 일부 하이브리드 (PQC + RSA)

~2027:
- 주요 브라우저 PQC 지원
- Chrome, Firefox 하이브리드 모드

~2030:
- PQC 기본값

지금 할 일:

웹사이트 관리자:
- TLS 1.3 사용
- 인증서 자동 갱신 준비
- PQC 지원 계획 수립

---

Q3: 작은 회사/개인은 뭘 해야 하나?

A: 걱정은 적게, 준비는 미리.

개인:

✓ 소프트웨어 최신 유지
✓ 2FA (이중 인증) 사용
✓ 비밀번호 관리자 사용
✓ 대기업 서비스 신뢰 (자동 업데이트)

작은 기업:

✓ 클라우드 서비스 활용 (자동 PQC 전환)
✓ 최신 TLS 사용
✓ 벤더 업데이트 모니터링
✓ 2025년부터 구체적 계획

---

Q4: 양자컴퓨터가 모든 암호를 깨나?

A: 아니요!

안전한 암호:

✅ AES (키 2배)
✅ SHA-256/SHA-3 (키 2배)
✅ PQC 알고리즘
✅ One-Time Pad (이미 완벽)

위험한 암호:

❌ RSA
❌ ECC
❌ Diffie-Hellman
❌ DSA

---

Q5: 언제까지 전환해야 하나?

A: 지금부터 시작, 2030년 완료 목표

긴급도별:

최우선 (2024-2025):
- 10년+ 보관 데이터
- 국가 안보 데이터

높음 (2025-2027):
- 금융 시스템
- 의료 기록

중간 (2027-2030):
- 일반 웹 서비스
- 개인 통신

---

7. 미래 전망

단기 (2024-2027)

PQC 표준화:

✓ NIST 표준 발표 (2024.08) ✅
✓ 추가 알고리즘 표준화 (2024-2025)
✓ 산업 채택 가속 (2025-2027)

하이브리드 시대:

PQC + RSA 병행
→ 호환성 + 양자 내성

---

중기 (2027-2035)

전면 PQC 전환:

2027: 주요 브라우저 PQC 기본값
2030: RSA 점진적 폐기
2035: PQC 완전 정착

양자컴퓨터 위협 현실화:

2030-2035: RSA-2048 깰 수 있는 QC 등장 예상
→ PQC 필수화

---

장기 (2035+)

QKD 확산:

정부/군사 → 금융 → 일반 기업
위성 QKD 네트워크 구축

양자 인터넷:

양자 얽힘 기반 통신
양자 텔레포테이션
분산 양자 컴퓨팅

---

정리: 핵심만 기억하자!

양자 위협

❌ 위험: RSA, ECC, Diffie-Hellman
✅ 안전: AES (키 2배), SHA (키 2배)
⏰ 타임라인: 2030-2035년 현실화
🎯 긴급: “Store Now, Decrypt Later” 공격

---

대응 방안

1. PQC (주력):

• NIST 표준 (2024.08 발표)
• ML-KEM, ML-DSA, SLH-DSA
• 소프트웨어 업데이트로 해결
• 2030년까지 전환 목표

2. QKD (보완):

• 물리 기반 절대 보안
• 정부/군사/금융 특수 용도
• 높은 비용, 거리 제한

3. 하이브리드:

• PQC + RSA 병행
• 점진적 전환
• 호환성 + 양자 내성

---

지금 할 일

개인:

✓ 소프트웨어 최신 유지
✓ 2FA 사용
✓ 대기업 서비스 신뢰

개발자:

✓ 암호 agility 확보
✓ PQC 라이브러리 테스트
✓ 하이브리드 모드 준비

조직:

✓ 암호 자산 조사
✓ 위험 평가
✓ 2025년 전환 계획 수립

---

마치며

양자컴퓨터는 위협이자 기회입니다:

위협:

• 기존 암호화 무력화
• 10년 내 현실화

기회:

• 더 강력한 암호 (PQC)
• 절대 보안 (QKD)
• 양자 인터넷

핵심: 지금부터 준비하면 충분히 대비 가능! 🛡️

---

시리즈 완결!

양자컴퓨터 입문 시리즈 3부작을 완주하셨습니다! 🎉

Part 1: 큐비트가 뭐길래? - 기초 원리
Part 2: 양자 알고리즘 - Shor & Grover
Part 3: 양자 보안 - PQC & QKD

---

더 알아보기

공식 자료

NIST:

• Post-Quantum Cryptography
• FIPS 203/204/205 표준

IETF:

• Hybrid Key Exchange in TLS 1.3

---

실습 리소스

PQC 라이브러리:

Open Quantum Safe (OQS)
https://openquantumsafe.org/

liboqs - C/C++
oqs-python, oqs-java, oqs-rust

QKD 시뮬레이터:

QuNetSim (Python)
QuTiP (Python)

---

태그: #양자보안 #PostQuantumCryptography #양자키분배 #NIST #암호화