보안뉴스
Home > 전체기사
양자컴퓨터가 벌써 RSA 암호화 알고리즘을 깼다고?
입력 : 2023-01-12 11:50
국제부 문정후 기자
중국의 암호화 전문가 수십 명이 논문을 하나 발표해 업계의 이목을 끌었다. 이미 개발된 양자컴퓨터를 가지고 RSA 암호를 쉽게 해독할 수 있다는 내용이다. 하지만 전문가들의 ‘독후감’은 그리 호의적이지 않다.
[보안뉴스 문정후 기자] 지난 주 양자컴퓨팅 기술 때문에 RSA-2048이라는 암호화 알고리즘이 무력해질 수 있다는 내용의 논문이 나와 IT 업계의 큰 관심을 끌었다. 논문 저자들은 획기적인 발견이라고 주장했지만, 해당 분야 전문가들의 관점은 사뭇 다른 것으로 보인다.
[이미지 = utoimage]
논문의 제목은 “초전도 양자 프로세서 상에서 선형 이하 자원으로 정수 인수분해 하기(Factoring integers with sublinear resources on a superconducting quantum processor)”이며, 일반적인 양자 알고리즘을 통해 아무 숫자의 소인수를 빠르게 찾아내는 방법을 제시하고 있다. 소인수를 발견해내는 건 기존 공공키 기반 암호화에 있어서 중추적인 부분이라고 할 수 있으며, 따라서 이 과정의 속도를 높이면 사실상 기존 암호화 알고리즘을 무력화시킬 수 있게 된다.
논문을 통해 연구원들은 양자 기술을 활용한 방법과 기존의 방법을 접목할 경우 RSA 2048비트 공공키 암호를 매우 빠르게 해독할 수 있다고 하며, 필요한 것은 372 큐비트 컴퓨터일 뿐이라고 주장하고 있다. 큐비트는 양자컴퓨터에서의 정보 단위를 말하며, 372 큐비트 컴퓨터는 꽤나 가까운 미래에 접할 수 있을 것으로 보이는 양자컴퓨터다.
이러한 암호화 알고리즘 해독 방법을 두고 논문 저자들은 ‘획기적인 발견’이라고 주장했다. 하지만 논문을 읽은 양자컴퓨터 전문가들은 고개를 갸웃거린다. 텍사스대학의 스콧 아론슨(Scott Aaronson) 교수는 “절대 획기적이지 않다”는, 다소 단호한 입장이다.
“논문의 전체적인 뉘앙스는 ‘큰 정수의 소인수를 빠르게 찾아내는 데 있어 엄청난 발전이 있었다’는 것이죠. 그리고 이를 통해 RSA 암호화 생태계를 크게 뒤흔들었다는 느낌도 있고요. 심지어 사용된 기계가 가까운 미래에 접할 수 있는 것이기도 합니다. 한 마디로 전혀 아닙니다. 그런 뉘앙스 외에 논문이 정확히 뭘 말하려고 하는지도 사실 잘 모르겠어요.”
양자컴퓨터는 ‘양자 물리학’을 기반으로 한 컴퓨터 시스템으로, 현재 우리 모두가 사용하고 있는 컴퓨터와는 비교도 할 수 없을 정도의 속도와 컴퓨팅 파워를 가질 것으로 예상된다. 따라서 현대 컴퓨터 수백~수천 대를 동원해야 할 문제를 양자컴퓨터 한 대로 해결할 수 있을 것으로 보이며, 이 때문에 현대의 암호화 알고리즘도 간단히 풀어버릴 것이라고 전문가들은 보고 있다. 이 때문에 미국의 NIST는 이미 양자컴퓨터 시대에 적합한 암호화 알고리즘을 개발하고 있기도 하다.
양자컴퓨터에 대한 IT 기업들의 투자는 꽤나 활발한 편이다. 그리고 기술 발전의 속도도 느리다고 할 수 없다. IBM의 경우 이미 지난 11월 433 큐비트 컴퓨터를 개발했다고 발표했다. 양자컴퓨터 역사 상 가장 발전된 컴퓨터라고 할 수 있는데, 이는 불과 1년 전에 비해 3배 정도 빨라진 것이라고 한다. 이 때문에 ‘암호화 알고리즘이 무력화 되는 시기가 너무 빨리 다가오는 것이 아니냐’는 우려가 생기는 것도 사실이다. 위의 논문은 이러한 우려가 사실이라고 주장한다.
하지만 암호학 전문가들은 “아직 우려할 만한 시기는 아니”라는 입장이다. 보안 업체 카스퍼스키(Kaspersky)의 경우 이번 주 자사 블로그를 통해 “양자컴퓨터가 이론 상 각종 암호화 알고리즘을 무력화 시킬 수 있다는 건 이미 오래 전부터 나왔던 이야기”라고 주장하며 많은 보안 전문가들이 이미 연구한 내용이라는 사실을 강조했다. 그러면서 “지금 모든 전문가들은 RSA 알고리즘을 간단히 깨버릴 정도의 강력한 양자컴퓨터가 등장하려면 아무리 못해도 수십 년은 기다려야 한다는 데에 동의하고 있다”고 밝혔다.
화제가 된 논문은 정확히 이 지점(“못해도 수십 년은 기다려야 한다”)을 반박하고 있다고 볼 수 있다. 모든 학자들이 “(그런 컴퓨터가 나오려면) 수십 년은 기다려야 한다”고 했지만 이미 우리가 가지고 있는 양자컴퓨터 기계로도 충분히 RSA 암호를 해독할 수 있다는 내용이니까 말이다. 하지만 아론슨 등은 논문에서 사용된 ‘슈노르의 알고리즘(Schnorr’s algorithm)’과 ‘양자 근사 최적화 알고리즘(Quantum Approximate Optimization Algorithm, QAOA)’이 아직 완전히 증명된 알고리즘이 아니라고 지적한다.
보안 업체 인럽트(Inrupt)의 수석 보안 아키텍트인 브루스 슈나이어(Bruce Schneier)의 경우, “만약 논문의 내용이 정확하다면 저자들이 이를 공개적으로 입증해야 할 것”이라며 “RSA 인수분해 대회(RSA Factoring Challenge)’에 참가하는 것이 가장 간단한 방법”이라고 제안했다. RSA 인수 분해 대회는 1990년 초반부터 지금까지 이어져 온 행사로, 새로운 복호화 알고리즘을 공개적으로 시험하는 장으로 여겨지고 있다.
“한 해에도 몇 번씩이나 ‘획기적인 방법’이라는 뉘앙스의 보고서가 암호학계에 등장합니다. 이전에 없던 새로운 방법들이라는 주장들을 담고 있죠. 암호학을 잘 모르는 일반인들이 보기에는 뭔가 대단한 발견이 있었던 것처럼 느껴질 만한 제목들을 가지고 있기도 하고요. 하지만 그런 수많은 주장들 중 여태까지 살아남은 건 거의 없습니다. 언젠가 정말 획기적인 방법이 등장하긴 하겠죠. 하지만 이 논문이 그러한 방법을 담고 있을 가능성은 무척 낮다고 봅니다.”
논문의 저자들은 최소한의 자원만으로 RSA-2048 알고리즘을 해독하기 위한 실험을 진행했다고 논문을 통해 밝히고 있다. 그러한 상황에서 자신들이 고안한 방법을 가지고 11비트, 26비트, 48비트 정수를 인수분해 하는 실험을 진행했다고도 설명한다. 그러나 실험 결과에 대해서는 그리 분명하지 않다. “QAOA의 불분명한 특성 때문에 양자컴퓨팅 기술로 인한 알고리즘의 속도 증가 폭은 분명하지 않을 수 있다”고 덧붙인 것이다.
아론슨은 “이 논문에서 제시된 접근법을 가지고 분명한 결과물이 나온다는 것 수학이기보다 기적”이라고 혹독하게 비판한다. “일반 랩톱에서 슈노르의 알고리즘을 실행하는 것과 이 논문이 주장하는 것에 어떤 차이가 있는지도 모르겠습니다. 슈노르의 알고리즘이 RSA를 깰 수 있었다면, 이미 이 논문 전에 알려졌을 겁니다. 또한 분명하지 않은 결론을 저자들 스스로 내렸음에도, 마치 모든 암호화 알고리즘을 무용지물로 만든 것 같은 뉘앙스로 논문을 발표했다는 건 문제가 있는 행동입니다.”
에볼류션큐(evolutionQ)의 CEO 미셸 모스카(Michele Mosca)는 해당 논문에 대해 “실상 대단한 내용을 담고 있는 건 아닌 게 맞지만, 그럼에도 이런 논문과 에피소드들이 쌓이고 쌓여 현대의 암호화 알고리즘을 무력화시킬 기술이 나온다는 건 우리 모두의 분명한 미래”라고 말한다. “그리고 정보 보안 전문가들이라면 이 점을 항상 염두에 두고 있어야 한다고 생각합니다. 어찌됐든 암호화는 정보 보안의 기본임이 분명하니까요.”
그러면서 모스카는 “결국 양자컴퓨터로부터 위협을 받지 않는 암호화 알고리즘이 나오긴 해야 한다”고 덧붙였다. “지금은 아닐지 몰라도, 언젠가는 진짜 획기적인 방법이 나올 겁니다. 아무런 준비도 없이 비판만 하고 있다가는 하루 아침에 모든 암호화 알고리즘이 쓸모 없어지는 날을 맞이하게 될 것이고요. 우스운 논문이 나오든 진지한 논문이 나오든, 우리에게 새로운 암호화 알고리즘이 필요하다는 사실에는 변함이 없습니다.”
3줄 요약
1. RSA 암호화 알고리즘은 이미 무용지물이라고 주장하는 듯한 논문이 발표됨.
2. 하지만 전문가들은 논문이 획기적인 방법을 제시하고 있다고 보고 있지는 않음.
3. 양자컴퓨터가 현대의 암호화 알고리즘을 손쉽게 깰 수 있다는 건 분명한 사실.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
(사이언스조선 이병철) 비도, 구름도 없는 우주에서 태양광 발전...
