양자컴퓨터에도 안 뚫린다…차세대 암호표준안 공개

미 국립표준기술연구소, 새 암호화 알고리즘 표준화 추진
3가지 알고리즘 먼저 2024년부터 사용 가능할 전망

구글이 개발한 양자칩 사진=구글

양자컴퓨팅 기술이 파괴적인 것은 기존 암호기술이 무력화될 수 있기 때문이다. 양자컴퓨터는 수억~수조년이 걸리던 암호화 알고리즘 해독을 몇시간이나 며칠 만에 해낼 것으로 전망된다. 이 가운데 미국 국립표준기술연구소(NIST)가 양자컴퓨터의 공격을 견디도록 설계된 4가지 암호화 알고리즘을 선정하고 그중 3개의 표준화 초안을 내놨다.

28일 관련 업계에 따르면 NIST는 지난 24일(현지시간) 세계 각국이 기존 암호화 인프라에 통합할 수 있도록 PQC(양자내성암호) 알고리즘 4개 중 3개의 표준화 초안을 공개했다. 이들 기술은 내년부터 양자내성암호 표준 알고리즘으로 쓰일 전망이다.

공개된 3개 알고리즘 표준화 초안은 △크리스탈스 카이버(CRYSTALS-Kyber) △크리스탈스 딜리티움(CRYSTALS-Dilithium) △스핑크스(SPHINCS)다. 네 번째 알고리즘인 '팔콘(FALCON)' 표준 초안은 약 1년 후 공개될 예정이다. NIST는 오는 11월 22일까지 전 세계 암호화 커뮤니티에 표준 초안에 대한 피드백을 받을 예정이다. 앞서 NIST는 2022년에 4개 알고리즘을 선정했다.

국가기밀·개인정보, 양자컴퓨터 앞에선 무장해제

양자컴퓨터는 첨단 암호화 기술로 봉인된 국가기밀부터 개인정보까지 무장해제시킬 수 있다. 양자컴퓨팅이 디지털 산업의 게임체인저로 주목받는 이유다. 업계에서는 양자컴퓨터가 개발되는 시점을 Y2K에 빗대어 Y2Q(Years To Quantum)라고 부르기도 한다. 이에 대비해 세계 각국은 양자컴퓨팅 시대에도 통하는 암호화 기술 개발에 사활을 걸고 있다. 이 전선에서 가장 앞서 달리는 곳이 NIST다.

NIST의 수학자이자 프로젝트 리더인 더스틴 무디는 "우리는 사람들이 실제로 사용할 수 있는 표준을 갖게 될 터널 끝의 빛에 가까워지고 있다. 이제 초안에 대한 피드백을 요청하고 있다. 변경해야 할 사항은 없는지, 놓친 부분은 없는지 등을 살필 것"이라고 말했다.

내년에 새로운 암호화 알고리즘 표준이 완성되면 양자컴퓨터의 위협으로부터 민감한 정보를 보호할 수 있는 최초의 도구가 전 세계에 제공되는 셈이다.

전세계 암호화 전문가의 집단지성 모으다

양자내성암호 알고리즘을 개발하기 위한 NIST의 노력은 2016년에 시작됐다. NIST는 전 세계 암호화 전문가들에게 '포스트양자 암호화 표준화 프로젝트' 후보 알고리즘을 제출해 줄 것을 요청했다. 2017년 11월 마감일까지 수십 개국의 전문가들이 알고리즘을 제출했다. 이후 NIST는 전문가들이 분석하고 해독할 수 있도록 69개의 후보 알고리즘을 공개했다.

이후 세계적인 암호학자들이 여러 차례 평가에 참여해 후보 알고리즘의 수를 줄여왔다. 현재의 암호화 알고리즘을 무력화할 만큼 강력한 양자컴퓨터는 아직 나오지 않았지만, 보안 전문가들은 모든 컴퓨터 시스템에 새로운 알고리즘을 통합하려면 수년이 걸리는 만큼 미리 계획을 세우는 것이 중요하다고 말한다.

크리스탈스-카이버 알고리즘, 가장 쓰임새 많을 듯

NIST에 따르면 크리스탈스-카이버는 보안 웹사이트 생성 등 일반적인 암호화 목적으로 설계됐다. 쉽게 교환할 수 있는 작은 암호화 키와 빠른 작동 속도가 장점이다. 크리스탈스 딜리티움은 원격으로 문서에 서명할 때 사용하는 디지털 서명을 보호하기 위해 설계됐다. 크리스탈스는 대수 격자 기반 암호화 제품군(Cryptographic Suite for Algebraic Lattices)의 약자로, 여기에는 키 교환 방법인 '카이버'와 디지털 서명 알고리즘인 '딜리티움'이 포함돼 있다.

스핑크스와 팔콘도 디지털 서명 보호를 위해 설계됐다. NIST는 크리스탈스 딜리티움을 주 알고리즘으로 권장하고, 이보다 작은 서명을 필요로 하는 경우에는 팔콘을 권장한다. 스핑크스는 나머지 두 개 방식보다 다소 크고 느리지만, 나머지 3개의 옵션과는 다른 수학적 접근 방식을 기반으로 해 백업 후보로 꼽힌다. 크리스탈스 카이버, 크리스탈스 딜리티움, 팔콘은 구조화 격자라고 불리는 수학 문제 계열을 기반으로 하는 반면, 스핑크스는 해시 함수를 사용한다.

기술적 약점 가능성 고려해 다른 암호화 알고리즘 계속 발굴

NIST는 이 네 가지 외에도 포스트양자 암호 표준기술 확보 노력을 이어간다는 방침이다. 이들 알고리즘에 이어 지속적인 평가를 위해 두 번째 알고리즘 세트를 선정했다. 선정된 알고리즘은 내년에 표준 초안을 발표할 예정이다. 추가 알고리즘은 1~2개가 선정될 가능성이 높은 것으로 알려졌다. 이들 알고리즘은 일반적인 암호화를 위해 설계됐지만 크리스탈 카이버와는 다른 수학 문제를 기반으로 하고, 향후 선택된 알고리즘 중 하나에 약점이 발견될 경우 대체 방어방법을 제공하게 될 것이라고 알려졌다. 실제로 지난해 첫번째 세트에 포함된 1개 알고리즘의 취약성이 외부 전문가들의 중간 평가 과정에서 밝혀져 NIST가 방향을 수정한 바 있다.

NIST 측은 "디지털 서명을 위한 포스트양자 암호화에 대한 최신 아이디어를 모두 고려하겠다는 게 우리의 접근"이라면서 "지금까지 선정된 3개 알고리즘 중 2종은 구조화된 격자라는 단일 수학적 아이디어를 기반으로 하는 만큼 이 기술의 약점이 드러날 경우 다른 아이디어에 바탕을 둔 추가적인 방식을 확보해야 할 것"이라고 말했다.

한국도 양자과학기술 전략 발표하고 투자 나서

NIST는 앞으로도 여러 차례의 공개 아이디어 모집 절차를 거쳐 기술 완성도를 높여갈 계획이다. 최종적으로 도입되는 포스트 양자 암호화 표준은 양자컴퓨터에 가장 취약한 세 가지 NIST 암호화 표준·지침인 △FIPS 186-5 △NIST SP 800-56A △NIST SP 800-56B를 대체하게 된다.

한편 우리 정부도 지난 6월 '대한민국 양자과학기술 전략'을 발표하고 관련 투자를 하고 있다. 임무지향적 연구개발(양자컴퓨터, 양자통신, 양자센서), 양자융합인재(양자핵심인력+전자통신컴퓨터 등 2500명) 양성과 양자팹 구축으로 10년후 양자산업화(기업 1200개)를 이끌겠다는 게 주요 골자다. 2030년대 1000큐빗 양자컴퓨터, 100㎞ 거리의 양자통신망, 공공과 민간용 양자 파운드리 등 인프라를 구축하고 이에 맞는 양자 알고리즘, 소프트웨어, 양자컴퓨터에 의한 공격을 막는 양자내성암호 개발에도 나선다. 안경애기자 naturean@dt.co.kr