'허문다, 다시 세운다'··· 양자 컴퓨터와 암호화 보안 이야기

CSO
퀀텀 컴퓨터의 진보로 인해 모든 퍼블릭 키 암호화가 무력화될 시기가 다가오고 있다. 하지만 그에 대한 해답 역시 퀀텀 컴퓨팅에 있다.

10년 전, 필자는 여느 때와 마찬가지로 양자 암호 기법에 관한 발표를 진행하고 있었다. 당시 필자는 양자 물리학, 양자 컴퓨터, 양자 암호 기법의 기본 개념에 관해 논의했다. 양자 컴퓨팅이 주류가 되면 해석이 어려운 큰 소수 수식에 의존하는 기존의 디지털 암호화 비밀의 대부분이 즉시 세상에 공개될 것이라고 말하면서 끝을 맺었다.



지금껏 대부분의 비밀은 비대칭 암호화의 형태로 보호되어왔다. 1976년 위트필드 디피(Whitfield Diffie), 마크 헬만(Mark Hellman), 랄프 메클(Ralph Merkle)이 ‘암호의 새로운 방향’(New Directions in Cryptography)이라는 세미나 논문에서 해당 개념을 공개한 이후의 이야기다.

RSA, SSL, TLS, HTTPS를 생각해 보자. 대부분의 웹사이트, 디지털 서명 다운로드, 온라인 금융 거래, VPN, 스마트카드, 대부분의 무선 네트워크에 이 개념이 적용된다.

현대의 보안 통신은 전통적인 디지털 컴퓨터가 큰 소수를 포함해 다인자 수식을 쉽게 처리할 수 없다는 점에 기초한다. 그러나 컴퓨터(양자 컴퓨터)가 발전하면 이런 보호 장치로 암호화된 비밀이 모두 무효화되게 된다.

실제로 세계의 주요 국가들이 추후의 복호화를 위해 암호화된 네트워크 트래픽을 상당 부분을 기록 및 저장하고 있으며 그 날이 오기만을 기다리고 있다는 주장도 있다. 이 주장대로라면 미국이 러시아와 중국의 기밀 통신을 판독할 수 있게 되고 그 반대의 경우도 성립할 것이다. 필자는 이에 대해 약 8년 전 한 칼럼을 통해 관해 밝힌 바 있다.

수 년 전의 이야기로 거슬러 올라가 보자. 필자는 발표를 끝내고 질문을 받을 때 양자 컴퓨터가 언제쯤 이 모든 비밀을 파훼할 수 있을 것이라고 생각하는지에 대한 질문을 받았다. 필자는 이렇게 말했다.

"10년이다. 대부분의 양자 물리학 전문가들은 10년이면 충분하다고 생각한다."

필자가 무대에서 내려올 때 산업 전문가 브루스 슈나이어가 필자에게 다가왔다. 그는 걸음을 늦추지도 않은 채 필자에게 이렇게 말했다. "10년이라고 말한지 얼마나 되었나?"

그렇다. 필자가  "앞으로 10년"이라고 답하곤 했던 기간이 적어도 10년이다. 브루스의 질문은 그 누구도 답을 정확히 모른다는 사실을 일깨워준다. 실제로 양자 물리학 전문가들은 양자 컴퓨터가 항상 10년 뒤에 실현될 것이라고 농담하곤 한다.

양자 컴퓨터의 동작 방법
그러나 때가 왔다. 더 이상은 농담이 아니다. 이론 물리학자 겸 CQC(Cambridge Quantum Computing)의 비즈니스 개발 과학 수석 마크 잭슨 박사에 따르면 4-5년 후에 실현될 것이며 일부 영역에서는 양자 화학 등의 제한적인 상용화가 2021년 중반까지 가능할 수도 있을 전망이다

무엇이 바뀌었을까? 현재 많은 양자 컴퓨터, 장치, 소프트웨어가 "오류 보정" 없이 충분히 사용할 수 있는 수준으로 발전했다.

양자 컴퓨터는 그 메커니즘 덕분에 전통적인 디지털 컴퓨터를 압도할 수 있다. 양자 컴퓨터는 분명 양자 역학(간단히 다루기에는 너무 방대하고 복잡한 주제다)에 기초하고 있지만 한 마디로 요약하자면 명백한 장점이 있다.

디지털 컴퓨터는 2진수이다. 중앙처리장치(CPU) 안의 각 트랜지스터 또는 로직 게이트가 한 번에 1개의 "상태" 밖에 가질 수 없다. "열림" 또는 "닫힘"이거나 에너지 공급 또는 미공급이거나 "1" 또는 "0"일 수 있다. 그래서 2진수라고 부른다.

반면 양자 컴퓨터는 양자 비트(큐비트(qubit 또는 qbit))에 기초한다. 각 큐비트는 동시에 2가지 상태일 수 있다. 따라서 1큐비트는 2개의 2진수 로직 게이트와 같다. 큐비트가 추가될수록 기하급수적으로 증가한다. 2큐비트는 4개의 상태를 동시에 가질 수 있으며 3큐비트는 8개의 상태를 동시에 가질 수 있는 식이다.

이로 인해 평범한 양자 컴퓨터조차도 이전의 모든 공공/사설 키 쌍 비밀을 파훼할 수 있는 성능을 갖게 된다. 단 효과적인 오류 보정을 필요로 한다.

양자 컴퓨터가 공개 키 암호 기법을 파훼할 수 있는 방법과 시기
양자 컴퓨팅의 현실화된 오랜 기간 고대되어 왔다. 최소한 리차드 프레이만(Dr. Richard Feynman)이 이에 대해 강의한 1959년부터다. 단 많은 양자 컴퓨팅 전문가들은 1994년에 공개된 피터 쇼어 박사(Dr. Peter Shor)의 알고리즘을 실질적인 양자 컴퓨팅의 시작으로 보고 있다.

쇼어의 알고리즘은 양자 기반 컴퓨팅이 전통적인 형태의 비대칭 암호화를 신속하게 복호화할 수 있음을 증명했다. 20년이 넘은 후, 양자 컴퓨팅의 가능성(그리고 위협)은 거의 실현된 상태다. 단순한 이론 모델뿐 아니라 여러 실질적인 양자 컴퓨터, 소프트웨어, 네트워크, 기타 통신장치가 개발됐다.

가장 큰 문제는 큐비트를 컴퓨팅에 활용할 수 있도록 오류 없이 충분히 오랫동안 안정화하는 것이다. 필자는 이와 관련해 비 기술 용어인 "완전"(perfect)과 "불완전"(imperfect)을 사용하곤 한다.

텍사스대학교 오스틴캠퍼스(University of Texas at Austin)의 컴퓨터 공학 교수 겸 QIC(Quantum Information Center)의 이사 스콧 애런슨은 "공개 키 암호화를 파훼하려면 실제로 수 천 개의 '논리' 또는 '인코딩된' 큐비트가 필요하다. 실제 세계에서는 오류 보정의 필요성 그리고 기존 허용 오차 스키마(Scheme)의 높은 간접비 때문에 수 백만 개의 고품질 물리 큐비트가 필요하게 된다"라고 설명했다.

그렇다면 현재 양자 컴퓨팅은 어떤 단계에 있을까? 잭슨은 양자 컴퓨터가 49개의 완전한 큐비트 만으로도 전통적인 2진수 컴퓨터를 압도할 수 있을 것으로 본다. 이른바 양자 컴퓨터가 결국 2진수 컴퓨터보다 더욱 강력해지는 "양자 우위"(quantum supremacy)의 순간이다. IBM의 딥 블루(Deep Blue) 슈퍼컴퓨터가 1997년 세계 체스 챔피언 개리 카스파로프(Gary Kasparov)를 꺾은 것과 같이 이정표 격인 순간에 해당한다.

양자 컴퓨터가 기존의 공개 키 암호화 대부분을 파훼하려면 최소 4,000개의 완전한 큐비트 또는 그 몇 배에 달하는 불완전한 큐비트가 필요할 것이다.

그렇다면 완전한 4,000개의 큐비트는 언제 얻을 수 있을까? 사람마다 답변이 다르다. 잭슨은 5년 후에 완전한 4,000큐비트 양자 컴퓨터를 만들 수 있을 것이라고 전망했다. 그는 이를 입증할 나름의 증거를 가지고 있지만, 하여튼 완전한 4,000큐비트는 아직 한참 멀었다.

2018년 3월, 구글은 불완전한 72큐비트 컴퓨터를 발표했다. 현재 (공개적으로 알려진) 계산 200회당 약 1회 수준의 실수를 범하고 있는 것으로 전해졌다. 초당 수 십억 개의 계산을 수행하면 오류율이 상당할 것이다. 전 세계적으로 더욱 안정적인 양자 컴퓨터를 만들기 위해 수 천억 달러의 비용이 지출되고 있다. 언젠가는 4,000큐비트를 매우 쉽게 확보할 수 있게 될 것이다.

양자 컴퓨터를 직접 개발하고 있는 잭슨은 이렇게 말했다. "1년 만에 9큐비트에서 72큐비트로 발전했다. 따라서 5년 후에 4,000큐비트를 확보할 수 있다는 말이 터무니 없지는 않다. 오히려 몇 개월 전 미 정부가 참여하기 시작했기 때문에 보수적인 예측이라고 생각한다."

많은 전문가들이 아직 양자 컴퓨팅으로 언제 공개 키 암호화를 파훼할 수 있는지에 대해서는 모른다는 입장을 고수하고 있다. 오랫동안 양자 암호 기법에 관한 글을 쓴 슈나이어는 5년이라는 이야기에 대해 "난 믿지 않는다. 예측하지 못한 이행 문제에 대해서는 아무도 모른다"라고 말했다.

애런슨 또한 비판적이었다. 그는 이렇게 밝혔다. "5년 후에 실현된다면 정말 놀라울 것이다. 불가능하다고 말할 수는 없지만 좀 더 오래 걸릴 것이라고 생각한다. 3-5년 후에 구글, IBM 등이 성공하여 소문의 70큐비트[양자 컴퓨터]를 만들 수 있고 일부(대부분 인공적인) 작업에서 전통적인 컴퓨터를 압도할 수 있다면 좋겠다. 그렇다 하더라도 오류 보정의 필요성 그리고 기존 허용 오차 스키마의 높은 간접비 때문에 수 백만 개의 고품질 물리 큐비트가 필요하기 때문에 공개 키 암호 기법을 위협하기에는 갈 길이 멀다."

이렇듯 양자 컴퓨터가 언제 공개 키 암호화를 파훼할 수 있을지는 아직 확실치 않지만 더 이상 공상과학의 수준은 아니다.

NSA(National Security Agency)의 경우 양자 복호화가 멀지 않았다고 인정하지는 않았지만 이제 준비를 시작할 때라고 밝혔다. 특히, 그들은 관련 FAQ에서 이렇게 밝혔다.

"NSA는 지금이 적절한 시기라고 생각한다…. 양자 컴퓨팅이 꾸준히 발전하고 있다.... NSA는 모든 NSA 벤더 및 운영자가 표준 기반의 양자 저항 암호 기법을 이행하여 데이터와 통신을 보호해야 한다고 생각한다."

새로운 양자 컴퓨팅 산업
오늘날 많은 기업과 조직(최소 44개)들이 양자 컴퓨터를 개발하고 있다. 세계적으로 유명한 미국의 4개 기업은 구글, IBM, 인텔, 마이크로소프트이다. 많은 수의 스타트업들도 유명해지고 있다. 그 중 하나인 잭슨의 기업인 CQC는 현재 구글 및 IBM과 협력하고 있다.

이런 기업들 중 다수가 유사한 기술을 사용하고 있으며 일부는 자체적인 방법을 사용하며 몇몇은 동시에 여러 방법을 사용하여 경쟁하고 있다. IBM과 구글은 비즈니스 개발 사업부를 수립하기도 했다. 이론에서 상용화로 옮겨가고 있음을 보여주는 증거다.



많은 경쟁 기업들이 수 십억 달러를 지출하고 있다는 점이 중요하다. 여러 조직 및 국가에서 수 십억 달러가 움직이기 시작하면 킬러 애플리케이션이 등장할 수밖에 없다. 클라우드 컴퓨팅을 생각해 보자. 수 년 동안 클라우드는 단순한 유행어에 불과했었지만 결과는 그렇지 않았다. 이것도 마찬가지다.

보편적인 양자 컴퓨팅 방법에는 초전도, 이온 포착, 마요라나(Majorana) 페르미 입자 등이 있다. 초전도 및 이온 포착은 지금 당장 많은 큐비트를 얻을 수 있다. 초전도는 절대 0도(약 -460F 또는 -273C)에 가까운 매우 낮은 온도가 필요하며 결과 큐비트는 약하고 불안정하다.

마이크로소프트가 사용하고 있는 덜 성숙한 마요라나 페르미 이온 방법은 현재 다른 방법보다 큐비트가 적지만 훨씬 덜 취약한 것으로 보인다. 잭슨은 마요라나 페르미 이온 방법이 머리카락을 묶는 것과 같다고 설명했다. 외부 환경에 의해 밀려날 수 있지만 양자 상태가 동일하게 유지된다. 잭슨은 이렇게 말했다. "대규모로 작동할 수 있도록 만든다면 확실히 승산이 있을 것이다. 하지만 알려진 바가 적다."

경쟁은 국제적으로 이루어지고 있으며 특히 중국 기업의 경쟁력이 높은 것으로 알려져 있다. 잭슨은 "중국이 전력 질주하고 있다. 실질적인 예산 제약이 없다"라고 말했다. 한편 중국 기업은 위성을 사용해 양자 통신을 수행했다고 주장했지만 이 주장에 대한 비판도 존재한다.

CQC(Cambridge Quantum Computing)
CQC는 4년 전 대학 연구실 대신에 마이크로소프트, 구글, IBM 같은 사설 기업이 투자하면서 설립되었다. 그들은 양자 컴퓨터를 위한 툴을 능동적으로 개발하고 있다. 그들은 최근 이론적으로 해킹이 불가능한 보호를 제공하는 암호화 공간에서 작동하는 참신한 장치를 설계 및 시험했다.

CQC는 전매 특허 양자 프로그래밍 언어와 "t|ket"이라는 컴파일러(Compiler)을 보유하고 있다. 잭슨은 이 언어가 C와 비슷하다고 말했다. 컴파일러는 플랫폼을 가리지 않으며 다양한 플랫폼에 기초한 여러 유형의 양자 컴퓨터와 호환된다. 전통적인 디지털 CPU와 새로운 양자처리장치(QPU) 사이에서 컴퓨팅을 분산시킨다.

잭슨은 일반 디지털 컴퓨터를 위해 집중적인 그래픽 부하를 처리하는 전통적인 그래픽처리장치(GPU) 또는 무거운 수학 부하를 처리하는 전통적인 수치처리장치(NPU)와 비슷하다고 말했다.

CQC의 컴파일러는 전통적인 디지털 컴퓨터가 잘 처리하는 작업 부하를 일반 CPU에 할당하고 특수 양자 컴퓨팅 필요는 QPU에 할당한다. 그리고 결과를 하나의 공통 출력 스트림으로 다시 합성한다.

잭슨은 "한 동안은 디지털 컴퓨터가 필요할 것이다"라고 매우 낮은 온도가 필요한 컴퓨터를 들고 이동하는 방법에 대해 고민하던 필자로써는 매우 좋은 소식이다.

입증 가능한 난수 생성기
또한 CQC는 "입증 가능한" 양자 난수 생성기 등의 하드웨어를 제작한다. 전통적인 디지털 컴퓨터는 진정한 난수를 생성할 수 없었다. 전통적인 컴퓨터는 CPU가 CPU의 레지스터에서 정보를 언제 얼마나 빠르게 이동할 수 있는지를 결정하는 매우 안정적이고 자연스럽게 예측 가능한 수정 시계로 구동한다. 클럭 틱(Clock Tick)은 이전과 같은 시간의 양이다. 즉, 전통적인 난수 생성기 이면의 궁극적인 "진실의 근원"은 예측 가능하다는 뜻이다(즉, 진정한 무작위는 아니다).

즉 전통적인 컴퓨터의 무작위성은 사실 누군가가 무작위성에 대한 근사치를 제공한 것이다. 진정한 무작위성의 부재로 인해 무작위로 생성된 숫자로 시작되는 여러 암호화 솔루션이 몰락하게 되었다. 따라서 우리는 진정한 난수 생성기가 필요할 뿐 아니라 진정으로 무작위한지 검증해야 신뢰할 수 있다.

NIST(National Institute of Standards & Technology)는 네이처(Nature)지의 2018년 4월호에서 진정한 난수 생성의 필요성을 역설했다. 양자 컴퓨팅 또한 검증된 난수를 매우 잘 생성하는 것으로 입증됐다. 초기의 검증 가능한 양자 난수 생성기는 매우 크고(200미터 길이의 건물 크기) 꽤 느렸다.

난수가 암호 기법를 구제할 수 있는 방법
CQC는 지금의 양자 보안을 제공하는 암호화 프로토콜을 위해 상용화할 정도로 충분한 초당 약 400만 개의 무작위 비트를 생성할 것으로 예상되는 VCR 크기의 아이언브리지(IronBridge)라는 하드웨어 기반의 "피자 상자" 프로토타입을 제공했다. 이 모든 숫자는 수학 및 물리학 정리 벨의 부등식(Bell’s Inequality)에 의해 진정한 무작위인 것으로 입증됐다.

이런 유형의 진정한 난수가 누구에게 필요할까? 양자 컴퓨팅이 전통적인 방법을 파훼한 후에 데이터와 정보를 보호하고 싶은 사람이면 누구나 필요하다. 정부, 기술기업, 소중한 지적 재산, 연구, 정보를 보호해야 하는 기업이 포함된다.

필자는 약 20년 동안 하늘을 나는 자동차와 수중 도시에 대한 아이디어와 마찬가지로 양자 계산이 10년 후에는 실현될 것이라고 말해왔다. 필자를 포함한 많은 사람들이 이런 일이 실현되려면 멀었다고 생각했었다.

그러나 지금은 분명 예전보다 더 가까워졌다. 우리는 양자 컴퓨터를 개발하고 있으며 큐비트의 수가 빠르게 증가하고 있다. 더 이상 광고로만 볼 수 있는 몽상이 아니다. 국가와 기업들은 몇 가지 남은 문제를 상당 부분 해결했다. 여전히 시간의 문제이긴 하지만 이제는 양자 컴퓨팅이 수십 년이 아니라 수 개월 또는 수 년 후에 상용화될 것이라고 생각해야 한다.

* Roger A. Grimes는 2005년부터 활동해온 보안 전문 칼럼니스트다. ciokr@idg.co.kr