AI 요약
Let's Encrypt는 미래의 양자 컴퓨터 위협으로부터 Web PKI(공개키 기반구조)를 보호하기 위해 '머클 트리 인증서(MTC)'를 도입하는 로드맵을 발표했습니다. 그동안 포스트 양자 암호화 논의는 사후 해독을 막기 위한 '암호화'에 초점이 맞춰져 왔으나, 실시간 서명 위조가 가능한 '암호학적으로 유효한 양자 컴퓨터(CRQC)'의 등장 가능성이 높아짐에 따라 '인증' 영역의 전환도 시급한 과제로 떠올랐습니다. 미국 국가안보국(NSA)의 CNSA 2.0 지침과 NIST의 초안에 따라 2030~2035년까지 기존 RSA-2048 및 P-256 알고리즘이 퇴출될 예정이며, 최근 구글과 Cloudflare가 마이그레이션 목표를 2029년으로 대폭 앞당겼습니다. 그러나 대표적인 포스트 양자 서명 알고리즘인 ML-DSA-44는 서명 크기(2,420바이트)가 기존 ECDSA-P256(64바이트) 등에 비해 너무 커서 웹 핸드셰이크의 성능 저하를 유발하므로, Let's Encrypt는 성능을 보존할 수 있는 MTC 기술을 통해 이 문제를 해결하고자 합니다.
핵심 인사이트
- 가속화되는 전환 타임라인: 미국 NSA의 CNSA 2.0(2030~2035년 일정)과 NIST의 RSA-2048 사용 제한(2030년 이후 격하, 2035년 금지) 지침에 더해, 구글과 Cloudflare가 양자 내성 전환 목표를 2029년으로 단축했습니다.
- 머클 트리 인증서(MTC) 제안: 기존 포스트 양자 서명의 거대한 데이터 용량 문제를 극복하고 기존 TLS의 속도와 신뢰성을 보존하기 위한 새로운 기술 경로로 MTC가 채택되었습니다.
- 실제 인프라화의 신호: Go 1.27 표준 라이브러리에 NIST 표준 포스트 양자 서명 체계인 'ML-DSA'가 추가되며 양자 내성 서명의 실용화가 눈앞으로 다가왔습니다.
주요 디테일
- 인증 위협의 시급성: 암호화 데이터와 달리 인증서 위조는 양자 컴퓨터를 통해 실시간으로 처리되어야 하므로 그동안 덜 시급한 문제로 취급받았으나, 기술 발전 속도로 인해 조기 대응이 필수가 되었습니다.
- 비대해진 서명 크기: 기존 ECDSA-P256의 서명(64바이트) 및 공개 키(64바이트)와 비교했을 때, 양자 내성 알고리즘인 ML-DSA-44는 서명 2,420바이트, 공개 키 1,312바이트로 용량이 수십 배에 달합니다.
- 핸드셰이크 병목 위험: 일반적인 Web PKI 핸드셰이크는 5개의 서명과 2개의 공개 키를 사용하므로, 단순히 ML-DSA로 대체할 경우 네트워크 전송 패킷이 과도하게 늘어나는 문제가 발생합니다.
- 장기 수명 자산의 취약성: 루트 인증기관(Root CA), 코드 서명 키, 신원 확인 시스템과 같이 수명이 긴 암호화 자산들은 마이그레이션에 수년이 걸리기 때문에 가장 먼저 양자 내성 암호가 적용되어야 합니다.
향후 전망
- 웹 표준 및 라이브러리 개편: MTC 표준화를 위한 글로벌 벤더, 라이브러리 제작사 및 표준화 기구들의 움직임이 더욱 빨라질 것입니다.
- 포스트 양자 웹 생태계의 도래: 2029년을 기점으로 주요 브라우저와 CDN 제공업체들이 양자 내성 인증 체계로 전면 전환을 시작할 것으로 예상됩니다.
출처:hackernews