미 NIST, 양자내성암호 기술 4개 알고리즘 선정

양자컴퓨팅 기술 발전으로 현재 사용 중인 공개키 암호체계를 돌파할 가능성이 있는 가운데 미국 국립표준기술연구소(NIST)가 7월 5일(현지시각) 양자내성암호(PQC, post-quantum cryptography) 기술 4개의 암호화 알고리즘을 채택했다. (PQC Standardization Process: Announcing Four Candidates to be Standardized, Plus Fourth Round Candidates)

양자내성암호(PQC)는 양자컴퓨터를 이용한 공격에 모두 안전한 수학적 난제에 기반한 공개키 암호알고리즘을 말한다. 앞으로 모든 보안 분야에서 양자내성암호로 전면 교체가 불가피한 상황을 맞이하고 있다. 미국 NIST와 유럽은 2031년까지 완전한 전환을 목표로 준비하고 있다.

양자내성암호 기술은 미국이 주도하고 있다. 미국 국립표준기술연구소 주도 아래 이전부터 연구개발이 이루어지고 있지만 기존 컴퓨터보다 발생빈도가 훨씬 높은 '에러'를 정정하기 위한 기술개발이 벽이 되고 있어 완전한 실현에는 이르지 못하고 있다.

2021년 구글과 스웨덴 연구자들은 2000만 양자비트의 양자컴퓨터가 있다면 다양한 상황에서 이용되는 RSA 암호의 2048비트 정수를 약 8시간 만에 인수 분해한다고 주장했다. 즉 현재 사용하는 모든 암호 해독이 가능하다는 의미다. 또 프랑스 연구자들은 1만3436 양자비트와 멀티모드 메모리를 이용하면 2048비트의 정수를 177일 만에 인수 분해할 수 있다고 주장했다.

다만, 현재 연구되고 있는 양자컴퓨터의 양자비트는 위 숫자보다 월등히 적다. 2021년 IBM이 127 양자비트 양자컴퓨터 이글을 개발했다. 앞으로 IBM은 2022년 433 양자비트, 2023년 1121 양자비트 머신을 개발하는 로드맵을 발표했다. 또한 CES 2021에서 2030년까지 100만 양자비트 달성 계획을 밝히고 있어 양자컴퓨터 개발 기술은 크게 성장할 전망이다.

당장은 시급한 문제는 아니다. 하지만, 장기적으로 기존 시스템의 위협이 될 수 있어 NIST를 중심으로 미 정부기관은 2016년부터 양자컴퓨터 공격을 견딜 수 있는 암호화 알고리즘을 넓게 모집해, 검증을 실시한 후 표준화하는 프로젝트를 추진해 왔다.

애초 82종 알고리즘이 모였다. 하지만 검증이 1, 2, 3라운드로 진행되는 과정에서 74종이 탈락해 최종적으로 8종이 남았다. 이 중 4종은 표준화를 위해 조정이 진행되고 나머지 4종은 오는 4라운드를 위해 개발팀에 의해서 미세 조정을 요구하고 있다.

표준화를 위해 조정이 진행되는 4종 중 하나는 공개키 암호방식을 이용한 'CRYSTALS-KYBER'다. 이는 이전부터 암호화 알고리즘의 가장 유력한 후보로 여겨졌던 방식이다.

'CRYSTALS-KYBER'가 채택된 이유는 암호화 키 교환에 걸리는 간편함과 속도가 중시됐다. 나머지 3개는 디지털 서명을 이용한 것으로, ‘CRYSTALS-Dilithium’, ‘FALCON’, ‘SPHINCS+’라고 하는 이름으로 알려졌다.

이 3개 방식은 각각 기능이 다르고, 특히 'SPHINCS+'는 다른 3가지와 비교해 속도 등에 어려움이 있지만 유일하게 해시함수를 이용하는 점 등에서 채용이 결정됐다.

NIST는 이 중 'CRYSTALS-KYBER'와 'CRYSTALS-Dilithium'을 가장 강력한 보안과 뛰어난 성능을 이유로 권장하고 다른 2종은 약 2년에 걸쳐 포스트 양자암호의 일부에 편입시켜 나간다는 계획이다.

NIST는 보안 전문가에게 마이그레이션 준비를 시작할 것을 강력히 권장하고 있다. 하지만, “규격이 확정되기 전에 알고리즘이 약간 변경될 가능성이 있으므로 아직 시스템에 통합하지 마십시오”라고 주의를 주고 있다.