[그게 뭔가요] 암호계의 K-브랜드, 한국형 양자내성암호(KpqC)
최근 보안업계에서는 인공지능(AI)만큼이나 자주 등장하는 용어가 있다. 바로 ‘양자내성암호(PQC, Post-Quantum Cryptography)’다. PQC는 계산 능력이 고도화된 양자컴퓨터가 등장했을 때, 통신·인증·전자서명에 널리 쓰이는 암호 체계가 뚫릴 수 있다는 우려에 대비해 나온 새로운 암호다.
현재의 암호는 크게 ‘대칭키 암호’와 ‘공개키 암호’로 나뉜다. 대칭키 암호는 같은 비밀키 하나로 데이터를 잠그고 푸는 방식이다. 공개키 암호는 ‘공개키’와 ‘개인키’ 한 쌍을 써서 상대가 진짜인지 확인하고(인증), 문서·거래가 위조되지 않았음을 증명하며(전자서명), 통신을 시작할 때 비밀키를 안전하게 맞추는 과정(키 설정)에 쓰인다.
공개키 암호는 대표적으로 RSA와 타원곡선(ECC) 계열이다. 이 방식은 공격자가 풀어야 하는 수학 문제로 큰 수의 소인수분해나 이산로그 같은 계열을 주로 사용해 왔다. 문제는 양자컴퓨터가 충분히 커지면 이런 기반 문제가 지금보다 훨씬 빠르게 풀릴 수 있다는 우려가 제기된다는 점이다. 그래서 PQC는 잠금장치의 설계 원리 자체를 바꾸자는 접근으로 이해할 수 있다.
원리를 수학으로 풀지 않아도 핵심은 단순하다. 공개키 암호는 결국 공격자가 ‘정답(비밀키)’을 맞히기 어렵게 만들어 안전을 확보한다. 동전 앞면·뒷면 맞추기로 비유하면, 동전 1개는 2가지(앞/뒤)지만 동전이 100개면 가능한 조합이 2의 100승으로 폭증한다. “전부 맞혀야 한다”는 조건이 붙는 순간 정답을 찾는 일은 현실적으로 불가능에 가까워진다. PQC는 양자컴퓨터가 등장해도 맞히기 불가능한 상태가 유지되도록, 공개키 암호의 설계를 바꾼다.
여기서 ‘설계를 바꾼다’는 것은, RSA·ECC가 기대던 기반 문제에서 양자컴퓨터에도 어렵다고 여겨지는 다른 문제로 갈아탄다는 뜻이다. 대표적으로는 격자(lattice) 문제처럼, 정답이 하나로 깔끔하게 떨어지기보다 ‘근사값’을 둘러싼 방대한 경우의 수가 생기는 형태의 문제들이 후보로 거론된다. 이 때문에 PQC 전환은 같은 자물쇠에 열쇠 길이만 늘리는 수준이 아니라, 자물쇠 내부 구조(열쇠 맞추는 규칙)를 바꾸는 작업에 가깝다.
PQC 전환 논의가 특히 공개키 영역에 집중되는 이유도 여기와 맞닿아 있다. 대칭키 암호는 키 길이를 늘리는 방식으로 대응이 비교적 단순한 편이지만, 공개키는 키 설정과 전자서명처럼 시스템 신뢰를 떠받치는 기능이 묶여 있어 구조 교체가 필요해질 수 있다. 그 과정에서 키·서명·암호문 크기나 처리 비용이 달라지고, 성능·호환·운영 병목이 생길 수 있다는 점도 함께 고려된다.
PQC 전환은 일반 사용자의 화면에서 바로 보이기보다, 인프라와 시스템 내부에서 진행된다. 눈에 잘 보이지 않는 기반 기술이라 낯설고 어렵지만, 산업계에서는 지금부터 전환을 준비해야 하는 주제로 중요하게 다뤄지고 있다.
KpqC, 국내 PQC 전환 방향
국내에서는 PQC 전환을 ‘KpqC(Korean Post-Quantum Cryptography, 한국형 양자내성암호)’라는 명칭으로 묶어 사업을 추진하고 있다.
국내 산학연에 있는 암호 전문가들로 구성된 ‘양자내성암호 연구단(KpqC 연구단)’에 따르면, KpqC는 특정 기술이나 제품명이 아니라, 한국이 PQC 후보를 공모·검증해 선정하고(선정), 실제로 쓸 수 있게 규격과 구현 기준을 정리하며(표준화), 현장에 넣어 문제를 확인하는(실증) 일련의 과정을 묶은 한국형 PQC 추진 트랙에 가깝다. 공모·검증을 거쳐 현재 표준화·적용 논의가 이어지는 KpqC 알고리즘은 4종으로, ▲AIMer ▲HAETAE ▲NTRU+ ▲SMAUG-T가 있다.
AIMer는 삼성SDS·카이스트(KAIST)·성신여자대학교, HAETAE는 천정희 교수·서울대학교, NTRU+는 상명대학교·고려대학교, SMAUG-T는 천정희 교수·서울대학교·국군방첩사령부가 만들었다. 이 알고리즘 가운데 일부는 해외 PQC 연구 흐름을 참고해 변형·개선하는 방식으로 제안·개발됐다.
KpqC 4종은 앞서 살펴본 공개키 암호에 포함되는 ‘KEM(키 설정)’과 ‘전자서명’ 두 분야로 나뉜다. NTRU+와 SMAUG-T는 KEM 계열로, 통신 암호화를 시작하기 위해 ‘양쪽이 같은 비밀키를 안전하게 맞추는 역할’을 한다. AIMer와 HAETAE는 전자서명 계열로, ‘이 문서·거래가 위조되지 않았고 누가 서명했는지’를 증명한다.
각 알고리즘의 개념적 특징은 이렇다. NTRU+는 기존 NTRU 계열의 한계를 보완하는 방향을 제시하면서, 실제 키 설정 과정에서 쓰기 쉽도록 입력을 다루는 방식과 공격 대응 방식을 결합해 KEM으로 구성하는 접근법이다. SMAUG-T는 모듈 격자 문제를 기반으로 한 KEM으로, 설계 과정에서 키·암호문 크기와 계산 비용을 줄이는 방향을 목표로 삼는다. AIMer는 전자서명 알고리즘으로, 비밀을 공개하지 않고도 ‘비밀을 알고 있다’는 사실을 증명하는 구조(영지식 기반)를 서명으로 구성된다. HAETAE는 격자 기반 전자서명으로, 공간 제약이 큰 환경에서도 적용하기 쉽도록 서명·검증키 크기를 줄이는 방향이다.
KpqC 알고리즘 연구, 어디까지 왔나
2월 26~28일 양자내성암호 연구단 주최로 서강대학교에서 열린 ‘KpqC 겨울 캠프’에서는 KpqC가 무엇인지부터, 현장에서 어떻게 쓸 것인지까지 다양한 연구 결과가 다뤄졌다.
국가보안기술연구소, 고려대학교, 크립토랩, 삼성SDS 등 산학연의 다양한 암호 전문가들이 참여해 KpqC의 기초 개념을 정리한 뒤, KpqC 4종을 참조 코드와 활용 방안 관점에서 소개했다. 이어 실제 서비스와 장비에 적용하는 것을 전제로, 소프트웨어와 하드웨어에서 더 빠르고 안정적으로 돌아가게 만드는 방법도 함께 논의됐다.
전문가들은 최근 KpqC 적용 단계에서 암호의 안전성 만큼이나 “현장에서 버틸 만큼 빠른가”가 중요해졌다고 설명했다. KpqC 최적화 분야는 크게 두 가지다. 먼저 소프트웨어 최적화는 같은 암호라도 구현 방식에 따라 속도와 메모리 사용량이 달라지는 문제를 다룬다. 다음으로 하드웨어 최적화는 계산기(연산기)만 빠르게 만드는 것이 아니라, 데이터가 메모리와 연산기 사이를 오갈 때 생기는 병목을 줄이는 데 초점이 있다. 쉽게 말해, 계산을 빠르게 하는 것만큼 데이터를 이동하게 만드는 것도 중요하다는 설명이다.
KpqC, 정책 추진 현황은
KpqC 전환 정책 추진은 현재 정부 기관별로 역할을 나눠 진행 중이다. 알고리즘 자체의 기술 연구·개발과 표준화 트랙은 국가정보원과 국가보안기술연구소이 맡고, 산하에 산학연 전문가들로 구성된 양자내성암호 연구단을 구성해 운영 중이다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 양자내성암호 연구단이 개발한 KpqC 알고리즘을 실제 산업 현장에 적용해보는 시범 지원사업을 진행하는 역할을 맡고 있다. 산업계 시범 적용을 통해 성능·호환·운영 이슈를 확인하고, 이를 정리해 적용 사례와 가이드로 축적하고 있다. 첫 시범 사업은 작년(2025년)부터 시작됐으며, 2026년에는 통신·금융·국방·교통·우주 5개 분야에서 시범전환 실증을 추진한다.
시범 사업은 실제 구간에 PQC를 적용해 성능 저하·호환 문제·운영 병목을 확인하는 시범 전환과, 조직 내 암호 사용 구간을 찾아 암호 자산 목록(크립토 인벤토리)을 만들고 전환 우선순위를 정리하는 현황 조사·가이드 개발의 두 축으로 구성됐다.
올해 예산은 분야별 1개 컨소시엄을 선정해 총 45억원(분야별 9억원)을 지원하며, 정부는 실증 결과를 바탕으로 연내 1차 전환 가이드를 마련한다는 계획이다. 올해 시범 사업에서는 ‘암호 민첩성’이 핵심으로 제시됐는데, 이는 암호 표준이나 요구사항이 바뀌어도 서비스가 멈추지 않도록 암호를 교체할 수 있는 구조로 설계·운영하는 능력을 뜻한다.
KISA 정보보호산업본부 보안기술단 차세대암호기술팀 관계자는 “현재 KpqC 전환은 연구단의 알고리즘 업그레이드와 정부의 산업계 시범 적용이 맞물려 돌아가고 있다“며 “2030년부터는 기업들이 자발적으로 KpqC로 전환할 수 있도록 가이드와 컨설팅을 지원하는 것을 목표로 하는 본격적인 적용 ‘준비’ 단계에 있다고 볼수 있다”고 설명했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
