2018.08.06

'허문다, 다시 세운다'··· 양자 컴퓨터와 암호화 보안 이야기

Roger A. Grime | CSO
퀀텀 컴퓨터의 진보로 인해 모든 퍼블릭 키 암호화가 무력화될 시기가 다가오고 있다. 하지만 그에 대한 해답 역시 퀀텀 컴퓨팅에 있다.

10년 전, 필자는 여느 때와 마찬가지로 양자 암호 기법에 관한 발표를 진행하고 있었다. 당시 필자는 양자 물리학, 양자 컴퓨터, 양자 암호 기법의 기본 개념에 관해 논의했다. 양자 컴퓨팅이 주류가 되면 해석이 어려운 큰 소수 수식에 의존하는 기존의 디지털 암호화 비밀의 대부분이 즉시 세상에 공개될 것이라고 말하면서 끝을 맺었다.



지금껏 대부분의 비밀은 비대칭 암호화의 형태로 보호되어왔다. 1976년 위트필드 디피(Whitfield Diffie), 마크 헬만(Mark Hellman), 랄프 메클(Ralph Merkle)이 ‘암호의 새로운 방향’(New Directions in Cryptography)이라는 세미나 논문에서 해당 개념을 공개한 이후의 이야기다.

RSA, SSL, TLS, HTTPS를 생각해 보자. 대부분의 웹사이트, 디지털 서명 다운로드, 온라인 금융 거래, VPN, 스마트카드, 대부분의 무선 네트워크에 이 개념이 적용된다.

현대의 보안 통신은 전통적인 디지털 컴퓨터가 큰 소수를 포함해 다인자 수식을 쉽게 처리할 수 없다는 점에 기초한다. 그러나 컴퓨터(양자 컴퓨터)가 발전하면 이런 보호 장치로 암호화된 비밀이 모두 무효화되게 된다.

실제로 세계의 주요 국가들이 추후의 복호화를 위해 암호화된 네트워크 트래픽을 상당 부분을 기록 및 저장하고 있으며 그 날이 오기만을 기다리고 있다는 주장도 있다. 이 주장대로라면 미국이 러시아와 중국의 기밀 통신을 판독할 수 있게 되고 그 반대의 경우도 성립할 것이다. 필자는 이에 대해 약 8년 전 한 칼럼을 통해 관해 밝힌 바 있다.

수 년 전의 이야기로 거슬러 올라가 보자. 필자는 발표를 끝내고 질문을 받을 때 양자 컴퓨터가 언제쯤 이 모든 비밀을 파훼할 수 있을 것이라고 생각하는지에 대한 질문을 받았다. 필자는 이렇게 말했다.

"10년이다. 대부분의 양자 물리학 전문가들은 10년이면 충분하다고 생각한다."

필자가 무대에서 내려올 때 산업 전문가 브루스 슈나이어가 필자에게 다가왔다. 그는 걸음을 늦추지도 않은 채 필자에게 이렇게 말했다. "10년이라고 말한지 얼마나 되었나?"

그렇다. 필자가  "앞으로 10년"이라고 답하곤 했던 기간이 적어도 10년이다. 브루스의 질문은 그 누구도 답을 정확히 모른다는 사실을 일깨워준다. 실제로 양자 물리학 전문가들은 양자 컴퓨터가 항상 10년 뒤에 실현될 것이라고 농담하곤 한다.

양자 컴퓨터의 동작 방법
그러나 때가 왔다. 더 이상은 농담이 아니다. 이론 물리학자 겸 CQC(Cambridge Quantum Computing)의 비즈니스 개발 과학 수석 마크 잭슨 박사에 따르면 4-5년 후에 실현될 것이며 일부 영역에서는 양자 화학 등의 제한적인 상용화가 2021년 중반까지 가능할 수도 있을 전망이다

무엇이 바뀌었을까? 현재 많은 양자 컴퓨터, 장치, 소프트웨어가 "오류 보정" 없이 충분히 사용할 수 있는 수준으로 발전했다.

양자 컴퓨터는 그 메커니즘 덕분에 전통적인 디지털 컴퓨터를 압도할 수 있다. 양자 컴퓨터는 분명 양자 역학(간단히 다루기에는 너무 방대하고 복잡한 주제다)에 기초하고 있지만 한 마디로 요약하자면 명백한 장점이 있다.

디지털 컴퓨터는 2진수이다. 중앙처리장치(CPU) 안의 각 트랜지스터 또는 로직 게이트가 한 번에 1개의 "상태" 밖에 가질 수 없다. "열림" 또는 "닫힘"이거나 에너지 공급 또는 미공급이거나 "1" 또는 "0"일 수 있다. 그래서 2진수라고 부른다.

반면 양자 컴퓨터는 양자 비트(큐비트(qubit 또는 qbit))에 기초한다. 각 큐비트는 동시에 2가지 상태일 수 있다. 따라서 1큐비트는 2개의 2진수 로직 게이트와 같다. 큐비트가 추가될수록 기하급수적으로 증가한다. 2큐비트는 4개의 상태를 동시에 가질 수 있으며 3큐비트는 8개의 상태를 동시에 가질 수 있는 식이다.

이로 인해 평범한 양자 컴퓨터조차도 이전의 모든 공공/사설 키 쌍 비밀을 파훼할 수 있는 성능을 갖게 된다. 단 효과적인 오류 보정을 필요로 한다.

양자 컴퓨터가 공개 키 암호 기법을 파훼할 수 있는 방법과 시기
양자 컴퓨팅의 현실화된 오랜 기간 고대되어 왔다. 최소한 리차드 프레이만(Dr. Richard Feynman)이 이에 대해 강의한 1959년부터다. 단 많은 양자 컴퓨팅 전문가들은 1994년에 공개된 피터 쇼어 박사(Dr. Peter Shor)의 알고리즘을 실질적인 양자 컴퓨팅의 시작으로 보고 있다.

쇼어의 알고리즘은 양자 기반 컴퓨팅이 전통적인 형태의 비대칭 암호화를 신속하게 복호화할 수 있음을 증명했다. 20년이 넘은 후, 양자 컴퓨팅의 가능성(그리고 위협)은 거의 실현된 상태다. 단순한 이론 모델뿐 아니라 여러 실질적인 양자 컴퓨터, 소프트웨어, 네트워크, 기타 통신장치가 개발됐다.

가장 큰 문제는 큐비트를 컴퓨팅에 활용할 수 있도록 오류 없이 충분히 오랫동안 안정화하는 것이다. 필자는 이와 관련해 비 기술 용어인 "완전"(perfect)과 "불완전"(imperfect)을 사용하곤 한다.

텍사스대학교 오스틴캠퍼스(University of Texas at Austin)의 컴퓨터 공학 교수 겸 QIC(Quantum Information Center)의 이사 스콧 애런슨은 "공개 키 암호화를 파훼하려면 실제로 수 천 개의 '논리' 또는 '인코딩된' 큐비트가 필요하다. 실제 세계에서는 오류 보정의 필요성 그리고 기존 허용 오차 스키마(Scheme)의 높은 간접비 때문에 수 백만 개의 고품질 물리 큐비트가 필요하게 된다"라고 설명했다.

그렇다면 현재 양자 컴퓨팅은 어떤 단계에 있을까? 잭슨은 양자 컴퓨터가 49개의 완전한 큐비트 만으로도 전통적인 2진수 컴퓨터를 압도할 수 있을 것으로 본다. 이른바 양자 컴퓨터가 결국 2진수 컴퓨터보다 더욱 강력해지는 "양자 우위"(quantum supremacy)의 순간이다. IBM의 딥 블루(Deep Blue) 슈퍼컴퓨터가 1997년 세계 체스 챔피언 개리 카스파로프(Gary Kasparov)를 꺾은 것과 같이 이정표 격인 순간에 해당한다.

양자 컴퓨터가 기존의 공개 키 암호화 대부분을 파훼하려면 최소 4,000개의 완전한 큐비트 또는 그 몇 배에 달하는 불완전한 큐비트가 필요할 것이다.

그렇다면 완전한 4,000개의 큐비트는 언제 얻을 수 있을까? 사람마다 답변이 다르다. 잭슨은 5년 후에 완전한 4,000큐비트 양자 컴퓨터를 만들 수 있을 것이라고 전망했다. 그는 이를 입증할 나름의 증거를 가지고 있지만, 하여튼 완전한 4,000큐비트는 아직 한참 멀었다.

2018년 3월, 구글은 불완전한 72큐비트 컴퓨터를 발표했다. 현재 (공개적으로 알려진) 계산 200회당 약 1회 수준의 실수를 범하고 있는 것으로 전해졌다. 초당 수 십억 개의 계산을 수행하면 오류율이 상당할 것이다. 전 세계적으로 더욱 안정적인 양자 컴퓨터를 만들기 위해 수 천억 달러의 비용이 지출되고 있다. 언젠가는 4,000큐비트를 매우 쉽게 확보할 수 있게 될 것이다.

양자 컴퓨터를 직접 개발하고 있는 잭슨은 이렇게 말했다. "1년 만에 9큐비트에서 72큐비트로 발전했다. 따라서 5년 후에 4,000큐비트를 확보할 수 있다는 말이 터무니 없지는 않다. 오히려 몇 개월 전 미 정부가 참여하기 시작했기 때문에 보수적인 예측이라고 생각한다."

많은 전문가들이 아직 양자 컴퓨팅으로 언제 공개 키 암호화를 파훼할 수 있는지에 대해서는 모른다는 입장을 고수하고 있다. 오랫동안 양자 암호 기법에 관한 글을 쓴 슈나이어는 5년이라는 이야기에 대해 "난 믿지 않는다. 예측하지 못한 이행 문제에 대해서는 아무도 모른다"라고 말했다.

애런슨 또한 비판적이었다. 그는 이렇게 밝혔다. "5년 후에 실현된다면 정말 놀라울 것이다. 불가능하다고 말할 수는 없지만 좀 더 오래 걸릴 것이라고 생각한다. 3-5년 후에 구글, IBM 등이 성공하여 소문의 70큐비트[양자 컴퓨터]를 만들 수 있고 일부(대부분 인공적인) 작업에서 전통적인 컴퓨터를 압도할 수 있다면 좋겠다. 그렇다 하더라도 오류 보정의 필요성 그리고 기존 허용 오차 스키마의 높은 간접비 때문에 수 백만 개의 고품질 물리 큐비트가 필요하기 때문에 공개 키 암호 기법을 위협하기에는 갈 길이 멀다."

이렇듯 양자 컴퓨터가 언제 공개 키 암호화를 파훼할 수 있을지는 아직 확실치 않지만 더 이상 공상과학의 수준은 아니다.

NSA(National Security Agency)의 경우 양자 복호화가 멀지 않았다고 인정하지는 않았지만 이제 준비를 시작할 때라고 밝혔다. 특히, 그들은 관련 FAQ에서 이렇게 밝혔다.

"NSA는 지금이 적절한 시기라고 생각한다…. 양자 컴퓨팅이 꾸준히 발전하고 있다.... NSA는 모든 NSA 벤더 및 운영자가 표준 기반의 양자 저항 암호 기법을 이행하여 데이터와 통신을 보호해야 한다고 생각한다."

새로운 양자 컴퓨팅 산업
오늘날 많은 기업과 조직(최소 44개)들이 양자 컴퓨터를 개발하고 있다. 세계적으로 유명한 미국의 4개 기업은 구글, IBM, 인텔, 마이크로소프트이다. 많은 수의 스타트업들도 유명해지고 있다. 그 중 하나인 잭슨의 기업인 CQC는 현재 구글 및 IBM과 협력하고 있다.

이런 기업들 중 다수가 유사한 기술을 사용하고 있으며 일부는 자체적인 방법을 사용하며 몇몇은 동시에 여러 방법을 사용하여 경쟁하고 있다. IBM과 구글은 비즈니스 개발 사업부를 수립하기도 했다. 이론에서 상용화로 옮겨가고 있음을 보여주는 증거다.



CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.
2018.08.06

'허문다, 다시 세운다'··· 양자 컴퓨터와 암호화 보안 이야기

Roger A. Grime | CSO
퀀텀 컴퓨터의 진보로 인해 모든 퍼블릭 키 암호화가 무력화될 시기가 다가오고 있다. 하지만 그에 대한 해답 역시 퀀텀 컴퓨팅에 있다.

10년 전, 필자는 여느 때와 마찬가지로 양자 암호 기법에 관한 발표를 진행하고 있었다. 당시 필자는 양자 물리학, 양자 컴퓨터, 양자 암호 기법의 기본 개념에 관해 논의했다. 양자 컴퓨팅이 주류가 되면 해석이 어려운 큰 소수 수식에 의존하는 기존의 디지털 암호화 비밀의 대부분이 즉시 세상에 공개될 것이라고 말하면서 끝을 맺었다.



지금껏 대부분의 비밀은 비대칭 암호화의 형태로 보호되어왔다. 1976년 위트필드 디피(Whitfield Diffie), 마크 헬만(Mark Hellman), 랄프 메클(Ralph Merkle)이 ‘암호의 새로운 방향’(New Directions in Cryptography)이라는 세미나 논문에서 해당 개념을 공개한 이후의 이야기다.

RSA, SSL, TLS, HTTPS를 생각해 보자. 대부분의 웹사이트, 디지털 서명 다운로드, 온라인 금융 거래, VPN, 스마트카드, 대부분의 무선 네트워크에 이 개념이 적용된다.

현대의 보안 통신은 전통적인 디지털 컴퓨터가 큰 소수를 포함해 다인자 수식을 쉽게 처리할 수 없다는 점에 기초한다. 그러나 컴퓨터(양자 컴퓨터)가 발전하면 이런 보호 장치로 암호화된 비밀이 모두 무효화되게 된다.

실제로 세계의 주요 국가들이 추후의 복호화를 위해 암호화된 네트워크 트래픽을 상당 부분을 기록 및 저장하고 있으며 그 날이 오기만을 기다리고 있다는 주장도 있다. 이 주장대로라면 미국이 러시아와 중국의 기밀 통신을 판독할 수 있게 되고 그 반대의 경우도 성립할 것이다. 필자는 이에 대해 약 8년 전 한 칼럼을 통해 관해 밝힌 바 있다.

수 년 전의 이야기로 거슬러 올라가 보자. 필자는 발표를 끝내고 질문을 받을 때 양자 컴퓨터가 언제쯤 이 모든 비밀을 파훼할 수 있을 것이라고 생각하는지에 대한 질문을 받았다. 필자는 이렇게 말했다.

"10년이다. 대부분의 양자 물리학 전문가들은 10년이면 충분하다고 생각한다."

필자가 무대에서 내려올 때 산업 전문가 브루스 슈나이어가 필자에게 다가왔다. 그는 걸음을 늦추지도 않은 채 필자에게 이렇게 말했다. "10년이라고 말한지 얼마나 되었나?"

그렇다. 필자가  "앞으로 10년"이라고 답하곤 했던 기간이 적어도 10년이다. 브루스의 질문은 그 누구도 답을 정확히 모른다는 사실을 일깨워준다. 실제로 양자 물리학 전문가들은 양자 컴퓨터가 항상 10년 뒤에 실현될 것이라고 농담하곤 한다.

양자 컴퓨터의 동작 방법
그러나 때가 왔다. 더 이상은 농담이 아니다. 이론 물리학자 겸 CQC(Cambridge Quantum Computing)의 비즈니스 개발 과학 수석 마크 잭슨 박사에 따르면 4-5년 후에 실현될 것이며 일부 영역에서는 양자 화학 등의 제한적인 상용화가 2021년 중반까지 가능할 수도 있을 전망이다

무엇이 바뀌었을까? 현재 많은 양자 컴퓨터, 장치, 소프트웨어가 "오류 보정" 없이 충분히 사용할 수 있는 수준으로 발전했다.

양자 컴퓨터는 그 메커니즘 덕분에 전통적인 디지털 컴퓨터를 압도할 수 있다. 양자 컴퓨터는 분명 양자 역학(간단히 다루기에는 너무 방대하고 복잡한 주제다)에 기초하고 있지만 한 마디로 요약하자면 명백한 장점이 있다.

디지털 컴퓨터는 2진수이다. 중앙처리장치(CPU) 안의 각 트랜지스터 또는 로직 게이트가 한 번에 1개의 "상태" 밖에 가질 수 없다. "열림" 또는 "닫힘"이거나 에너지 공급 또는 미공급이거나 "1" 또는 "0"일 수 있다. 그래서 2진수라고 부른다.

반면 양자 컴퓨터는 양자 비트(큐비트(qubit 또는 qbit))에 기초한다. 각 큐비트는 동시에 2가지 상태일 수 있다. 따라서 1큐비트는 2개의 2진수 로직 게이트와 같다. 큐비트가 추가될수록 기하급수적으로 증가한다. 2큐비트는 4개의 상태를 동시에 가질 수 있으며 3큐비트는 8개의 상태를 동시에 가질 수 있는 식이다.

이로 인해 평범한 양자 컴퓨터조차도 이전의 모든 공공/사설 키 쌍 비밀을 파훼할 수 있는 성능을 갖게 된다. 단 효과적인 오류 보정을 필요로 한다.

양자 컴퓨터가 공개 키 암호 기법을 파훼할 수 있는 방법과 시기
양자 컴퓨팅의 현실화된 오랜 기간 고대되어 왔다. 최소한 리차드 프레이만(Dr. Richard Feynman)이 이에 대해 강의한 1959년부터다. 단 많은 양자 컴퓨팅 전문가들은 1994년에 공개된 피터 쇼어 박사(Dr. Peter Shor)의 알고리즘을 실질적인 양자 컴퓨팅의 시작으로 보고 있다.

쇼어의 알고리즘은 양자 기반 컴퓨팅이 전통적인 형태의 비대칭 암호화를 신속하게 복호화할 수 있음을 증명했다. 20년이 넘은 후, 양자 컴퓨팅의 가능성(그리고 위협)은 거의 실현된 상태다. 단순한 이론 모델뿐 아니라 여러 실질적인 양자 컴퓨터, 소프트웨어, 네트워크, 기타 통신장치가 개발됐다.

가장 큰 문제는 큐비트를 컴퓨팅에 활용할 수 있도록 오류 없이 충분히 오랫동안 안정화하는 것이다. 필자는 이와 관련해 비 기술 용어인 "완전"(perfect)과 "불완전"(imperfect)을 사용하곤 한다.

텍사스대학교 오스틴캠퍼스(University of Texas at Austin)의 컴퓨터 공학 교수 겸 QIC(Quantum Information Center)의 이사 스콧 애런슨은 "공개 키 암호화를 파훼하려면 실제로 수 천 개의 '논리' 또는 '인코딩된' 큐비트가 필요하다. 실제 세계에서는 오류 보정의 필요성 그리고 기존 허용 오차 스키마(Scheme)의 높은 간접비 때문에 수 백만 개의 고품질 물리 큐비트가 필요하게 된다"라고 설명했다.

그렇다면 현재 양자 컴퓨팅은 어떤 단계에 있을까? 잭슨은 양자 컴퓨터가 49개의 완전한 큐비트 만으로도 전통적인 2진수 컴퓨터를 압도할 수 있을 것으로 본다. 이른바 양자 컴퓨터가 결국 2진수 컴퓨터보다 더욱 강력해지는 "양자 우위"(quantum supremacy)의 순간이다. IBM의 딥 블루(Deep Blue) 슈퍼컴퓨터가 1997년 세계 체스 챔피언 개리 카스파로프(Gary Kasparov)를 꺾은 것과 같이 이정표 격인 순간에 해당한다.

양자 컴퓨터가 기존의 공개 키 암호화 대부분을 파훼하려면 최소 4,000개의 완전한 큐비트 또는 그 몇 배에 달하는 불완전한 큐비트가 필요할 것이다.

그렇다면 완전한 4,000개의 큐비트는 언제 얻을 수 있을까? 사람마다 답변이 다르다. 잭슨은 5년 후에 완전한 4,000큐비트 양자 컴퓨터를 만들 수 있을 것이라고 전망했다. 그는 이를 입증할 나름의 증거를 가지고 있지만, 하여튼 완전한 4,000큐비트는 아직 한참 멀었다.

2018년 3월, 구글은 불완전한 72큐비트 컴퓨터를 발표했다. 현재 (공개적으로 알려진) 계산 200회당 약 1회 수준의 실수를 범하고 있는 것으로 전해졌다. 초당 수 십억 개의 계산을 수행하면 오류율이 상당할 것이다. 전 세계적으로 더욱 안정적인 양자 컴퓨터를 만들기 위해 수 천억 달러의 비용이 지출되고 있다. 언젠가는 4,000큐비트를 매우 쉽게 확보할 수 있게 될 것이다.

양자 컴퓨터를 직접 개발하고 있는 잭슨은 이렇게 말했다. "1년 만에 9큐비트에서 72큐비트로 발전했다. 따라서 5년 후에 4,000큐비트를 확보할 수 있다는 말이 터무니 없지는 않다. 오히려 몇 개월 전 미 정부가 참여하기 시작했기 때문에 보수적인 예측이라고 생각한다."

많은 전문가들이 아직 양자 컴퓨팅으로 언제 공개 키 암호화를 파훼할 수 있는지에 대해서는 모른다는 입장을 고수하고 있다. 오랫동안 양자 암호 기법에 관한 글을 쓴 슈나이어는 5년이라는 이야기에 대해 "난 믿지 않는다. 예측하지 못한 이행 문제에 대해서는 아무도 모른다"라고 말했다.

애런슨 또한 비판적이었다. 그는 이렇게 밝혔다. "5년 후에 실현된다면 정말 놀라울 것이다. 불가능하다고 말할 수는 없지만 좀 더 오래 걸릴 것이라고 생각한다. 3-5년 후에 구글, IBM 등이 성공하여 소문의 70큐비트[양자 컴퓨터]를 만들 수 있고 일부(대부분 인공적인) 작업에서 전통적인 컴퓨터를 압도할 수 있다면 좋겠다. 그렇다 하더라도 오류 보정의 필요성 그리고 기존 허용 오차 스키마의 높은 간접비 때문에 수 백만 개의 고품질 물리 큐비트가 필요하기 때문에 공개 키 암호 기법을 위협하기에는 갈 길이 멀다."

이렇듯 양자 컴퓨터가 언제 공개 키 암호화를 파훼할 수 있을지는 아직 확실치 않지만 더 이상 공상과학의 수준은 아니다.

NSA(National Security Agency)의 경우 양자 복호화가 멀지 않았다고 인정하지는 않았지만 이제 준비를 시작할 때라고 밝혔다. 특히, 그들은 관련 FAQ에서 이렇게 밝혔다.

"NSA는 지금이 적절한 시기라고 생각한다…. 양자 컴퓨팅이 꾸준히 발전하고 있다.... NSA는 모든 NSA 벤더 및 운영자가 표준 기반의 양자 저항 암호 기법을 이행하여 데이터와 통신을 보호해야 한다고 생각한다."

새로운 양자 컴퓨팅 산업
오늘날 많은 기업과 조직(최소 44개)들이 양자 컴퓨터를 개발하고 있다. 세계적으로 유명한 미국의 4개 기업은 구글, IBM, 인텔, 마이크로소프트이다. 많은 수의 스타트업들도 유명해지고 있다. 그 중 하나인 잭슨의 기업인 CQC는 현재 구글 및 IBM과 협력하고 있다.

이런 기업들 중 다수가 유사한 기술을 사용하고 있으며 일부는 자체적인 방법을 사용하며 몇몇은 동시에 여러 방법을 사용하여 경쟁하고 있다. IBM과 구글은 비즈니스 개발 사업부를 수립하기도 했다. 이론에서 상용화로 옮겨가고 있음을 보여주는 증거다.



CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.
X