최근 ‘양자 보안’이란 용어를 언론에서 심심찮게 볼 수 있다. 양자 보안이란 정확히는 ‘Quantum-Safe Security’를 말하는 것으로 양자 컴퓨터(quantum computer)의 연산능력으로도 뚫을 수 없는 보안 기술을 의미한다. 그러면 우선 양자 컴퓨터가 무엇인지에 대해 알아보고자 한다.

 

 

양자 컴퓨터의 탄생 및 보안에 미친 영향

 

미국의 대표적인 이론물리학자이자 노벨물리학상 수상자이기도 한 리차드 파인만(Richard Feynman) 교수는 1982년 자신의 논문을 통해 양자역학 원리를 이용할 경우 지금의 컴퓨터와는 차원이 다른 새로운 슈퍼컴퓨터를 만들 수 있다는 가능성을 제시하였다.

 

 

이후 양자 컴퓨터에 대한 구체적인 개념 정립은 1985년 영국 옥스퍼드대학교의 데이비드 도이치(David Deutsch)에 의해 이루어지는데, 데이비드 도이치는 Deusch-Jozsa 알고리즘을 제시함으로써, ‘일부’ 계산 문제에 대해서 양자 컴퓨터가 기존의 어떤 컴퓨터보다도 탁월하게 빠른 속도로 결과를 낼 수 있음을 증명하였다. 즉, 몇몇 문제에서는 양자 컴퓨터가 기존 컴퓨터보다 탁월한 우위성을 갖고 있음을 보인 것이다.

 

 

현재 전문가들은 양자 컴퓨터가 효율적으로 풀 수 있는 문제들의 집합(정확히 얘기하면, 양자 컴퓨터가 높은 확률로 올바른 결과를 낼 수 있는 수학 문제들의 집합)을 ‘BQP(Bounded error, Quantum, Polynomial time)’라고 부르며, 기존의 다른 문제들과 다음과 같은 상관관계가 있을 것으로 생각하고 있다.

 

 

보안 분야에서 양자 컴퓨터에 대한 관심이 본격적으로 높아지게 된 계기는 1994년 미국 벨연구소의 피터 쇼어(Peter Shor)가 양자 컴퓨터를 이용한 소인수 분해 알고리즘(일명, ‘쇼어 알고리즘’)을, 1996년에 같은 연구소의 로브 그로버(Lov Grover)가 정렬되지 않은 데이터베이스로부터 원하는 특정 데이터를 신속하게 찾을 수 있는 검색 알고리즘(일명, ‘그로버 알고리즘’)을 발견하면서부터다.

 

 

임의의 큰 양의 정수가 주어졌을 때 이를 지금의 컴퓨터를 이용해 소인수 분해하는 것이 빠른 시간 안에 가능한지는 아직 알려져 있지 않다. 다만 지금까지 연구된 바에 따르면 현재까지 개발된 가장 빠른 알고리즘을 이용한다 하더라도 300자리 정도의 수를 소인수 분해하는데 우주의 나이보다 긴 시간이 필요하다.⁽¹⁾ 그러나 피터 쇼어는 양자 컴퓨터를 이용할 경우 이러한 소인수 분해를 굉장히 빠른 속도로 해낼 수 있음을 증명했으며, 2001년 IBM은 실제로 쇼어의 알고리즘을 이용해 양자 컴퓨터 상에서 ‘15=5×3’이라는 문제를 풀 수 있음을 실증해 보이기도 했다.

 

 

그런데 문제는 세계 최초의 공개키 암호알고리즘이자 현재 인터넷 보안기술로 가장 널리 활용되고 있는 ‘RSA 암호알고리즘’이 바로 이 소인수 분해 문제(integer factorization problem)와 깊은 관련이 있다는 것이다. 1978년 로널드 리베스트(Ronald Rivest), 아디 샤미르(Adi Shamir), 레너드 애들먼(Leonard Adleman) 등 3명의 과학자는 페르마의 소정리(Fermat`s little theorem)를 이용해 세계 최초의 공개키 암호알고리즘, RSA를 발명하였다. 이 RSA 암호의 안전성은 큰 숫자를 소인수 분해하는 것이 어렵다는 전제에 기반을 두고 있는데, 바로 이러한 연유로 임의의 정수를 빠른 시간 안에 소인수 분해할 수 있는 양자 컴퓨터가 본격적으로 실용화될 경우 RSA 알고리즘은 무용지물이 되게 된다.

 

 

하드웨어 기반의 양자 보안 기술, QKD

 

 

1990년대 중반에 RSA와 같은 공개키(비대칭키) 암호알고리즘의 안전성에 영향을 미칠 수 있는 쇼어 알고리즘과 AES와 같은 비밀키(대칭키) 암호알고리즘에 영향을 미칠 수 있는 그로버 알고리즘들이 연이어 등장하고, 2000년대 들어 구글, IBM, 아마존 등 세계 굴지의 기업과 대학들이 양자컴퓨터의 개발 및 실용화에 박차를 가하자, 각국의 보안전문가들은 양자 컴퓨터로도 뚫을 수 없는 새로운 보안 기술 개발에 착수하였다.

 

 

양자 보안(quantum-safe security)이라고도 불리는 이 새로운 보안 기술들에 관한 연구는 현재 하드웨어 기반의 ‘QKD(Quantum Key Distribution, 양자암호키분배)’와 소프트웨어 기반의 ‘PQC(Post-Quantum Cryptography, 양자내성암호)’ 연구로 크게 양분돼있다. 이중 우선 QKD에 대해 논해보고자 한다.

 

 

QKD(양자암호키분배)란 양자역학에서 말하는 ‘복제 불가능성 원리(no-cloning theorem)’ 및 ‘파동함수 붕괴(collapse of the wave function)’ 현상을 이용해 두 사용자 간 암호 통신에 필요한 키(key, 일종의 랜덤한 비밀번호)를 서로 비밀리에 공유할 수 있도록 해주는 기술을 일컫는다. 1984년에 IBM의 찰스 베넷(C. H. Bennett) 박사와 몬트리올대의 질 브라사드(G. Brassard) 교수에 의해 처음으로 제안된 QKD는 소인수 분해 문제와 같은 수학적 복잡성이 아닌 물리적 자연현상에 기반을 두고 있으므로, 아무리 강력한 연산능력을 갖춘 공격자가 중간에 난입한다 하더라도 결코 두 사용자 간에 공유된 비밀키를 도청해낼 수 없다는 특징이 있다. 다만 QKD의 경우 전용 하드웨어 장비가 필요하며, 광자가 가지는 민감성으로 인해 에러(error) 발생 비율이 높아 장거리 통신이 어렵다는 단점이 있다. 또한, QKD 자체는 키 공유를 원하는 두 당사자 간에 서로의 신원을 확인할 수 있도록 하는 ‘인증(authentication) 기능’을 제공하고 있지 않기 때문에 중간자 공격(man-in-the-middle attack)에 취약하다. 그러므로 QKD의 경우 이를 해결하기 위한 별도의 보안책을 필요로 하며 국내에서는 현재 SK텔레콤과 KT가 이 QKD 연구에 집중하고 있다.

 

소프트웨어 기반의 양자 보안 기술, PQC

앞서 언급했듯 RSA를 비롯해 현재 우리가 사용하고 있는 대부분의 공개키 암호알고리즘들은 소인수 분해 문제나 이산대수 문제(discrete logarithm problem) 또는 타원곡선 문제(elliptic-curve discrete logarithm problem)와 같이 컴퓨터로도 빠른 시간 안에 푸는 것이 어렵다고 알려진 수학 문제들(hard mathematical problems)을 이용해 만들어진다. 그런데 문제는 양자 컴퓨터를 이용할 경우 이러한 문제들의 답을 아주 빠른 속도로 계산해내는 것이 가능하다는 점이다. PQC(양자내성암호)는 소인수 분해 문제나 이산대수 문제가 아닌 현재까지 양자 컴퓨터로도 풀기가 어렵다고 알려진 수학 문제들에 기반을 두어 만들어졌다. 이러한 PQC의 장점은 QKD와 달리 별도의 전용 하드웨어 장비가 필요치 않다는 점이다. 하지만 뭐니 뭐니 해도 PQC의 가장 큰 특징은 단순히 키 분배뿐만이 아니라 온전한 암호통신을 위해 필요한 모든 기능을 제공할 수 있다는 것이다.

두 사용자 A와 B가 비밀리에 메시지를 주고받기를 원한다고 가정해보면 이를 위해 ① 우선 사용자 A는 랜덤하게 비밀번호를 하나 생성하게 된다. 이를 ‘키(key) 생성 단계’라고 하며 보통 의사난수발생기(PRNG: Pseudo Random Number Generator)나 양자난수발생기(QRNG: Quantum Random Number Generator)를 통해 이루어진다. ② 다음으로 A는 상대방의 신원이 정말 B가 맞는지 확인하게 되며 이를 ‘사용자 인증’이라고 한다. ③ 신원 확인이 끝나면 사용자 A는 자신이 생성한 비밀번호를 B에게 아무도 모르게 전달하고 이 과정을 ‘키 분배(또는 공유) 단계’라고 칭하고 있다. ④ 사용자 B와 랜덤한 비밀번호를 서로 공유하게 된 A는 이제 AES나 SEED와 같은 비밀키(대칭키) 암호알고리즘에 보내고자 하는 메시지를 넣고, 이를 서로 공유하고 있는 비밀번호로 잠근 후 B에게 전송한다. 이 과정을 ‘암호화(encryption) 단계’라고 한다.

보통 “암호통신을 한다”는 것은 위에서 언급한 ①번에서 ④번까지의 과정이 모두 온전히 이루어졌을 때를 의미하는 것이다. 하나 QKD의 경우 위의 4가지 단계 중 ③번에 해당하는 기능만을 제공하지만, PQC의 경우 ②, ③, ④에 해당하는 기능을 모두 제공할 수 있으며, 이에 더해 전자서명 기능까지도 지원이 가능하다. (공개키 암호인 PQC의 경우 비밀키(대칭키) 암호알고리즘을 사용하지 않고도 암호화 통신이 가능합.) 바로 이러한 이유로 영국의 NCSC(National Cyber Security Centre)나 저명한 보안전문가인 브루스 슈나이어(Bruce Schneier) 하버드대 교수는 양자 컴퓨터 시대를 준비하기 위해 QKD 보다는 PQC에 집중할 것을 권고하고 있기도 하다.⁽²⁾ (“NCSC does not endorse the use of QKD for any government or military applications. NCSC advice is that the best mitigation against the threat of quantum computers is quantum-safe cryptography.”)⁽³⁾

 

 

물론 PQC도 단점을 가지고 있다. QKD와 달리 수학적 복잡성에 기반을 두고 있기 때문에 unconditional security 성질을 갖지는 못한다는 점이 해당된다. 그러기에 이 분야를 연구하고 있는 많은 암호학자들은 보다 완벽한 안전성 이론을 정립하기 위해 많은 노력을 쏟고 있으며, 최근 그 가시적인 성과가 조금씩 나타나고 있다. 국내에서는 현재 LGU+가 PQC에 대한 실용화 연구를 적극 추진하고 있으며, 2016년 8월부터 PQC 표준화를 추진 중인 미국의 NIST는 최근 표준화 3라운드에 진출한 최종 7개 팀을 발표하기도 했다.⁽⁴⁾

 

 

바람직한 양자 보안 기술 개발 방향에 대한 제언

 

 

양자 컴퓨터가 기존 보안 체계에 대해 실질적인 위협이 되는 시점이 과연 언제가 될 것인가에 대해서는 다소 이견이 있기는 하나, 양자 컴퓨터 시대는 반드시 올 것이며 이에 대한 철저한 대비가 필요하다는 것이 전문가들 대부분의 견해이다. 미국과 유럽, 일본, 중국 정부는 이미 오래전부터 양자 보안 기술 개발에 거액을 투자해 오고 있었으며, 글로벌 표준화 기구인 ETSI와 ITU-T, 미국의 NIST 등은 양자 보안과 관련한 각종 표준화 작업을 진행 중에 있다. 기업도 예외는 아니어서 마이크로소프트사는 PQC 소프트웨어 라이브러리를 제작해 배포하고 있으며, 구글과 아마존 또한 크롬 브라우저 및 AWS(Amazon Web Services)의 HTTPS 암호통신에 PQC를 일부 시험 적용하고 있다.

 

 

우리나라도 다소 늦긴 했지만 최근 들어 양자 보안 기술 확보에 박차를 가하고 있으며 정부는 양자 컴퓨팅, 양자 보안, 양자 센싱 등의 분야에 대해 집중적인 투자를 시작했으며, 민간 기업 중에서는 이와이엘(EYL)이 세계 최초로 ‘양자난수발생기’ 칩 개발 및 상용화에 성공했다. 또한 SKT, KT, LGU+ 등 이동통신 3사는 QKD 및 PQC에 대한 실용화 및 표준화를 추진하고 있으며, 학계에서도 다수의 연구 그룹에서 양자 보안 기술과 관련한 연구를 꾸준히 진행 중이다.

그러나 아무리 양자 보안이 중요하고 보다 많은 저변 확대와 투자를 위해 관심을 고취시킬 필요가 있다 하더라도 그 의욕이 지나치게 과해 QKD(양자암호키분배)나 QRNG(양자난수발생기) 또는 PQC(양자내성 암호)가 절대로 해킹이 불가능하다는 잘못된 환상을 갖게 한다거나, 단위 요소기술일 뿐인 난수발생기 및 키분배 기술을 마치 양자 보안의 전부인양 과도하게 부풀려서 홍보하는 식의 태도는 곤란할 것이다. 이러한 과도한 홍보는 결국 거품 논란을 일으키게 돼 있고, 종국에는 사람들로부터 빠르게 외면을 받게 되는 주요 원인으로 작용할 수 있기 때문이다.

 

 

양자 보안의 두 축인 QKD와 PQC는 둘 다 매우 중요하며 지속적인 투자가 요구되는 미래 먹거리 분야로 원천 기술에 대한 꾸준한 연구가 이뤄질 수 있도록 정부와 산업계, 학계 모두 단기적인 성과에 일희일비하지 말고 긴 호흡으로 접근하는 자세를 가져야 하겠다.