<문> 양자 내성 암호(PQC, Post-Quantum Cryptography)

<답>

1. 개요

ㅇ 양자 내성 암호는 양자컴퓨터의 연산 능력으로도 해독할 수 없도록 설계된 차세대 암호 기술로, 기존 RSA·ECC 등 공개키 암호가 쇼어 알고리즘에 의해 무력화될 위협에 대응하기 위해 개발된 보안 표준임
ㅇ 2024년 8월 NIST가 ML-KEM, ML-DSA, SLH-DSA 등 3개 표준을 확정하고, 2025년 3월 HQC 코드 기반 알고리즘을 추가하여 2027년까지 표준화가 완료될 예정이며, 기존 IT 인프라에서 즉시 도입 가능함

2. PQC 주요 알고리즘 유형 및 구성

가. 개념

ㅇ  양자컴퓨터 공격에 안전한 수학적 난제(격자, 해시, 코드, 다변수 다항식 등)를 기반으로 설계된 암호 알고리즘

ㅇ  기존 공개키 암호(소인수분해, 이산로그 기반)와 달리 양자 알고리즘으로도 다항시간 내 해독 불가능

ㅇ  키교환(KEM), 전자서명(Digital Signature) 두 가지 용도로 구분하여 표준화 진행

나. 개념도

ㅇ 상단에 키교환과 전자서명 기능을 배치하고, 중단에 4가지 수학적 난제 기반 알고리즘 계층을 표시하며, 하단에 하이브리드 모드를 통한 기존 인프라 호환성을 나타냄

다. 기술적 특징

구분	알고리즘  유형	대표 알고리즘	수학적 기반	주요 특징
키교환(KEM)	격자 기반	ML-KEM (CRYSTALS-Kyber)	모듈러 LWE 문제	NIST 주력 표준, 빠른 연산, 적정 키 크기
키교환(KEM)	코드 기반	HQC, Classic McEliece	오류 수정 코드	40년 이상 안전성 입증, 공개키 크기 매우 큼(MB 단위)
전자서명(DS)	격자 기반	ML-DSA (CRYSTALS-Dilithium)	모듈러 LWE 문제	빠른 서명 생성 및 검증, 범용 적용 가능
전자서명(DS)	해시 기반	SLH-DSA (SPHINCS+)	해시 함수 단방향성	양자 공격에 매우 강함, 서명 크기 큼
전자서명(DS)	격자 기반	FALCON	NTRU 격자 문제	서명 크기 작음, 연산 효율 우수 ​

ㅇ ML-KEM과 ML-DSA가 대부분 배포 환경의 기초 표준이 되며, HQC는 격자 기반 취약점 발견 시 백업 알고리즘으로 활용됨

 3. 기존 공개키 암호와 PQC 비교

구분	기존 암호(RSA, ECC)	양자 내성 암호(PQC)
수학적 기반	소인수분해, 이산로그 문제	격자, 해시, 코드, 다변수 다항식 문제
양자컴퓨터 안전성	쇼어 알고리즘으로 다항시간 내 해독 가능	양자 알고리즘으로도 지수시간 소요, 안전성 유지
키/서명 크기	상대적으로 작음 (KB 단위)	알고리즘에 따라 크기 증가 (코드 기반 MB 단위) ​
연산 성능	고속 연산 가능	격자 기반은 경쟁력 있으나, 해시 기반은 서명 크기 부담 ​
표준화 현황	국제 표준(RSA, ECDSA 등)	NIST 2024년 3개 표준 확정, 2027년 추가 표준 완료 예정

 4. 활용 및 기술 동향

ㅇ 2030년대 중반 실전 양자컴퓨터 등장 예측으로 Harvest Now, Decrypt Later 장기 데이터 탈취 위협에 대비하여 금융, 통신, 국방 분야에서 PQC 도입이 가속화되고 있음
ㅇ Hybrid TLS(기존 암호+PQC 병행) 방식을 통해 기존 인프라와 호환성을 유지하면서 단계적 전환이 진행 중이며, NIST는 ML-KEM, ML-DSA, SLH-DSA를 즉시 사용 권고하고 있음

<끝>