TLS에서 포스트 양자 암호가 공상과학에서 벗어난 순간은 “지금 수확하고 나중에 복호화”가 진지한 위협 모델로 받아들여진 때다.
이 위협이 유효하려면 오늘 쓸 수 있는 양자 컴퓨터가 필요 없다. 암호화된 트래픽을 지금 녹화하고 기다릴 의지가 있는 적대자만 있으면 된다. 트래픽 안의 비밀이 수년 후에도 여전히 중요하다면 — 정부 통신, 의료 기록, 인프라 명령, 금융 데이터 — 인내가 공격의 일부가 된다.
양자 컴퓨터가 오늘 오후에 주류 TLS를 깨지 못해도 이 전환이 이미 진행 중인 이유다.
양자 위협이 실제로 깨뜨리는 것
현재 TLS는 인증과 키 교환에 RSA와 타원곡선 암호에 의존한다. 쇼어 알고리즘이 문제다. 충분히 강력한 양자 컴퓨터가 RSA 모듈러스를 인수분해하고 이산 로그를 효율적으로 풀 수 있다. RSA 서명, ECDSA 서명, 타원곡선 Diffie-Hellman 키 교환이 전부 깨질 수 있다.
TLS에서 무서운 부분은 키 교환에서 먼저 온다. 적대자가 오늘 TLS 핸드셰이크를 녹화하고 나중에 키 교환을 깨면, 세션 키를 유도해서 녹화된 대화 전체를 복호화할 수 있다.
대칭 암호 — AES, ChaCha20 — 는 덜 영향받는다. 그로버 알고리즘이 무차별 대입에 이차 속도 향상을 주지만 AES-256이 128비트 보안으로 떨어지는 수준이다. 충분히 강하다. 대칭 쪽은 비상이 아니다.
비상은 비대칭 쪽: 키 교환과 서명.
지금 수확하고 나중에 복호화
타임라인을 긴급하게 만드는 위협이다.
정보 기관과 정교한 적대자들이 암호화된 트래픽을 대규모로 녹화하고 있다고 널리 추정된다. 오늘은 복호화 못 한다. 하지만 암호화된 데이터는 만료되지 않는다. 녹화된 TLS 세션 페타바이트를 저장하고, 양자 컴퓨터가 성숙하길 기다리고, 여유롭게 복호화한다.
지금 수확되는 데이터가 지금 포스트 양자 보호가 필요한 데이터다. 양자 컴퓨터가 도착할 때가 아니라. 지금.
NIST의 포스트 양자 표준
NIST가 8년간의 평가를 거쳐 2024년에 첫 포스트 양자 암호 표준을 확정했다:
ML-KEM (구 CRYSTALS-Kyber) — 모듈 격자 문제 기반 키 캡슐화 메커니즘. TLS에서 타원곡선 Diffie-Hellman 키 교환을 대체한다.
ML-DSA (구 CRYSTALS-Dilithium) — 역시 격자 기반 디지털 서명 체계. 인증서 서명용 RSA와 ECDSA를 대체할 것이다.
하이브리드 모드: 벨트와 멜빵
아무도 새 암호를 충분히 신뢰하지 않아서 전부를 거는 건 안 한다. 현재 배포 전략은 하이브리드: 고전 알고리즘과 포스트 양자 알고리즘을 결합. PQ 알고리즘에 결함이 있으면 고전이 고전 공격자를 막는다. 양자 컴퓨터가 오면 PQ 알고리즘이 막는다.
실제로는 TLS 키 교환이 X25519 + ML-KEM-768로 이동 중이다. 클라이언트가 ClientHello에 두 키 공유를 보낸다. 서버가 둘을 결합해서 공유 비밀을 유도한다. 세션을 침해하려면 둘 다 깨야 한다.
Chrome이 2023년에 하이브리드 키 교환 실험을 시작했다. Cloudflare가 엣지에서 활성화했다. 생태계가 움직이고 있다.
핸드셰이크에서 바뀌는 것
실용적 영향: 더 큰 메시지.
X25519 공개키가 32바이트. ML-KEM-768 공개키가 약 1,184바이트. 둘을 담은 하이브리드 ClientHello가 고전보다 눈에 띄게 크다.
대부분의 현대 네트워크 연결에서 이 추가 킬로바이트는 안 보인다. 하지만 가장자리에서는 중요하다: 제약된 디바이스, 고지연 위성 링크, 작은 MTU의 네트워크.
서명 마이그레이션이 더 어렵다. ML-DSA 서명이 ECDSA보다 훨씬 크다 — ML-DSA-65가 약 2,420바이트, ECDSA-P256이 64바이트. 인증서 체인에 PQ 서명이 들어가면 핸드셰이크마다 수 킬로바이트가 추가된다.
그래서 키 교환이 먼저 이전되고 서명은 나중이다. 키 교환이 지금-수확-나중-복호화를 막는다. 서명은 실시간 사칭을 막는데 이건 작동하는 양자 컴퓨터가 필요한 나중 위협이다.
타임라인
키 교환 이전은 지금 일어나고 있다. Chrome, Firefox, Cloudflare가 하이브리드 키 교환을 배포 중이다. 최신 Chrome으로 Cloudflare 보호 사이트에 접속하면 이미 X25519 + ML-KEM-768을 쓰고 있을 수 있다.
서명 이전은 느리고 어렵다. 인증 기관이 PQ 인증서를 발급해야 한다. 브라우저가 검증해야 한다. 전체 PKI 체인이 호환성을 깨지 않고 더 큰 서명을 지원해야 한다. 다년간 프로젝트다.
완전한 PQ 전용 TLS — 고전 알고리즘 전무 — 는 아마 10년은 남았다. 하이브리드가 수년간 표준이 될 것이다.
RSA를 깨는 양자 컴퓨터는 아직 없다. 하지만 마이그레이션도 수년이 걸린다. 인터넷의 암호 기반을 바꾸는 건 주말에 하는 일이 아니다.
경주는 “양자 컴퓨터 전에 PQ를 배포하라”가 아니다. “오늘 수확되는 데이터가 복호화 가능해지기 전에 PQ를 배포하라”다. 일부 비밀에 대해서는 그 경주가 이미 불편할 정도로 가깝다.