NIST가 선택한 포스트 양자 암호 — ML-KEM, ML-DSA가 뭔가요
2024년 8월, 미국 국립표준기술연구소(NIST)가 6년간의 국제 공모전을 마치고 양자컴퓨터 시대를 대비한 새로운 암호 표준을 공식 발표했습니다. 이 결정은 단순한 기술 선택이 아니라, 앞으로 10년 이상 전 세계 금융·통신·정부 시스템의 보안을 좌우할 역사적 분기점입니다. 지금 이 순간 당신의 은행 계좌, 신용카드, 메시지가 사용하는 RSA 암호는 충분히 강력하지만, 양자컴퓨터가 실용 수준에 도달하면 몇 시간 안에 깨질 수 있다는 위협이 현실화되고 있기 때문입니다.
1. NIST PQC(Post-Quantum Cryptography, 포스트 양자 암호) 표준화는 2016년 공모 시작 이후 전 세계 100개 이상의 암호 알고리즘이 제출되고 3단계 심사를 거쳐 2024년 최종 4개 알고리즘 승인으로 마무리됐습니다.
2. 최종 선정된 알고리즘은 암호화 기반의 ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism, 모듈 격자 기반 키 캡슐화 메커니즘), 전자서명용 ML-DSA(Module-Lattice-Based Digital Signature Algorithm, 모듈 격자 기반 전자서명 알고리즘), 그리고 SLH-DSA(Stateless Hash-Based Digital Signature Algorithm, 상태 비저장 해시 기반 전자서명 알고리즘)입니다.
3. 이들이 양자컴퓨터에 안전한 이유는 현재의 RSA나 타원곡선 암호처럼 "어떤 수를 소인수분해하거나 이산 로그를 구하기 어렵다"는 수학적 약점이 아니라, "격자 위의 최단 벡터를 찾기가 양자컴퓨터로도 지수적으로 어렵다"는 더 근본적인 수학 문제에 기반하기 때문입니다.
왜 지금 새로운 암호가 필요한가
지금 도청당한 암호화 데이터가 10년 후 양자컴퓨터로 복호화될 수 있다는 'Harvest Now, Decrypt Later' 공격이 현실이 되고 있습니다.
4. 현재 인터넷 보안의 중추인 RSA-2048 암호는 고전 컴퓨터로는 깨뜨리기 불가능하지만, Shor 알고리즘을 실행할 수 있는 양자컴퓨터(약 2,000만 개 이상의 오류 정정된 논리 큐비트 필요)가 등장하면 수시간 내에 개인키를 추출할 수 있습니다.
5. 더 심각한 문제는 "지금 도청당한 암호화된 금융거래, 국가 기밀, 의료 정보가 10년 후 양자컴퓨터로 복호화될 수 있다"는 점이며, 이를 'Harvest Now, Decrypt Later(지금 수집하고 나중에 해독)' 공격이라고 부릅니다.
6. 미국 국방부, 영국 GCHQ, 한국 과학기술정보통신부 등 주요 정부 기관들이 이미 2030년 전까지 양자 내성 암호로의 전환을 의무화하는 정책을 발표했기 때문에, NIST 표준화는 단순한 기술 선택이 아니라 국가 안보 전략입니다.
격자 기반 암호는 어떻게 작동하는가
7. 격자 기반 암호를 직관적으로 이해하려면, 2차원 평면에 규칙적으로 배열된 점들(격자점)을 상상해보세요. 이 격자 위에서 특정 점에서 가장 가까운 다른 점까지의 거리를 찾는 문제가 "최단 벡터 문제(Shortest Vector Problem, SVP)"입니다.
8. 2차원에서는 눈으로 쉽게 찾을 수 있지만, 격자의 차원이 512차원, 1024차원으로 올라가면 고전 컴퓨터도 지수적 시간이 필요하며, 놀랍게도 양자컴퓨터도 이 문제를 지수적으로 빠르게 풀 수 있는 알려진 알고리즘이 없습니다.
9. ML-KEM은 이 "고차원 격자의 최단 벡터 문제"의 어려움을 암호화 강도로 삼으며, 공개키는 "뒤섞인 격자"이고 개인키는 "그 격자의 특별한 구조를 아는 것"이라고 생각하면 됩니다.
10. 암호화 과정은 공개 격자에 약간의 노이즈를 섞어서 메시지를 숨기고, 복호화는 개인키로 그 노이즈를 제거하는 방식이므로, 고전 컴퓨터뿐 아니라 양자컴퓨터도 노이즈를 제거할 방법을 찾기 어렵습니다.
ML-KEM과 ML-DSA의 역할 분담
11. ML-KEM(과거 이름: Kyber)은 "키 캡슐화 메커니즘(Key-Encapsulation Mechanism)"으로, 두 사람이 처음 만날 때 안전하게 공유할 암호 키를 생성하는 데 쓰입니다.
12. 현재 인터넷의 HTTPS 통신에서 TLS 핸드셰이크가 공개키 암호(RSA, 타원곡선)로 세션 키를 교환하는 것처럼, ML-KEM도 그 자리를 대체하게 되며, 키 크기는 약 768바이트로 RSA-2048의 256바이트보다 크지만 양자 안전성을 위해 감수할 수 있는 수준입니다.
13. ML-DSA(과거 이름: Dilithium)는 "전자서명 알고리즘"으로, 금융거래, 소프트웨어 서명, 인증서 발급 등에서 "이 메시지가 정말 이 사람으로부터 나왔다"를 증명합니다.
14. RSA 서명과 달리 ML-DSA는 격자의 최단 벡터 문제 기반이므로 양자컴퓨터로도 위조 서명을 만들 수 없으며, Apple, Google, Cloudflare 등 주요 기업들이 이미 테스트를 시작했습니다.
15. SLH-DSA(과거 이름: SPHINCS+)는 "상태 비저장 해시 기반 서명"으로, 격자 기반 알고리즘이 미래에 예상치 못한 약점을 보일 경우를 대비한 보험 같은 존재입니다.
실제 도입과 기업의 움직임
(2024년 8월)
(2024~2025)
(2026~2030)
16. Google은 이미 2023년부터 Chrome 브라우저의 TLS 연결에 ML-KEM을 시험 도입했으며, 2024년 8월 NIST 표준 발표 후 본격적인 통합을 추진 중입니다.
17. Apple은 2024년 iOS 18과 macOS Sequoia에서 "Post-Quantum TLS"를 지원하기 시작했으며, iCloud와 Apple ID 인증에 ML-KEM을 적용하는 로드맵을 공개했습니다.
18. Cloudflare는 자신의 CDN 네트워크에서 이미 ML-KEM을 실제 트래픽에 적용하고 있으며, 고객 웹사이트의 HTTPS 통신을 양자 내성으로 만드는 옵션을 제공하고 있습니다.
19. 금융권에서는 SWIFT(국제 금융 통신망)가 2024년 하반기부터 회원 은행들을 대상으로 ML-KEM/ML-DSA 도입 가이드를 배포하기 시작했으며, JPMorgan Chase, Bank of America 등 주요 은행들이 시범 운영 중입니다.
20. 한국의 경우 금융보안원과 과학기술정보통신부가 2024년 9월부터 "양자 내성 암호 도입 로드맵"을 발표했으며, 국내 금융기관과 통신사들이 2025년 중 시범 도입을 준비하고 있습니다.
투자자와 기업에게 의미하는 바
2030년까지 전 세계 금융, 통신, 정부 시스템의 암호화 인프라 교체는 수조 달러 규모의 시장을 만들 것입니다.
21. ML-KEM과 ML-DSA의 NIST 표준화는 암호 알고리즘 개발사, 보안 소프트웨어 회사, 양자컴퓨터 기업들에게 직접적인 사업 기회를 의미합니다.
22. Post-Quantum Cryptography 관련 스타트업(예: PQShield, Isara, Quantum Xchange)들은 기업 고객을 위한 마이그레이션 솔루션 개발에 투자하고 있으며, 2024년 이후 펀딩이 가속화되는 추세입니다.
23. 기존 사이버보안 기업(Fortinet, Palo Alto Networks, CrowdStrike 등)들도 자신의 제품에 ML-KEM/ML-DSA 지원을 추가하는 것을 차별화 전략으로 삼고 있습니다.
24. 양자컴퓨터 기업(IonQ, IBM, Google)의 입장에서는 양자 내성 암호 도입이 "양자컴퓨터가 실제 위협이 된다"는 공식 인정이므로, 향후 양자컴퓨터 개발에 대한 투자 정당성과 긴급성을 높입니다.
25. 금융기관과 정부 기관은 2030년 전환 의무 기한을 앞두고 대규모 시스템 감사와 업그레이드 프로젝트를 시작해야 하므로, IT 서비스 회사와 컨설팅 기업들에게도 수년간 지속되는 수익 기회가 생깁니다.
26. 현재 당신의 은행 계좌, 메시지, 의료 기록은 RSA 암호로 보호받고 있지만, 그 암호화된 데이터가 10년 후 양자컴퓨터로 해독될 수 있다는 "Harvest Now, Decrypt Later" 위협이 현실이기 때문에, NIST의 ML-KEM/ML-DSA 표준화는 단순한 기술 선택이 아니라 국가 안보와 개인 정보 보호의 분기점입니다.
📚 관련 글
양자컴퓨터는 아직 먼 미래지만, 그것이 깨뜨릴 데이터는 지금 이 순간 도청당하고 있을 수 있습니다.
슈로 🐾