천정희 서울대학교 수리과학부 교수(겸 서울대 수학기반 사업데이터해석연구센터장, 크립토랩 대표)는 16일 서울대학교에서 기자와 만나 양자내성암호(PQC)에 대해 이같이 말했다.

천정희 교수의 발언은 지난 3일 한국전자통신연구원(ETRI)가 비교적 소규모 수준의 양자컴퓨터로도 양자내성암호를 공략할 수 있는 알고리즘을 개발했다고 발표한데 따른 반박이다.

양자내성암호(PQC)는 현존 컴퓨터보다 연산속도가 이론상 1천만배 빠른 양자컴퓨터를 이용한 공격에 대해 안전한 내성을 갖는 암호기술이다. 양자컴퓨터로도 해독하는데 수조년이 수요되는 복잡한 수학적 알고리즘을 활용한다. 말 그대로 ‘양자’ 컴퓨팅에 대한 ‘내성’을 갖추고 있는 암호기술이라고 말할 수 있다. 

하지만 ETRI는 지난 3일 KIST와 서울대, 한양대, KIAS, 영국 임페리얼 대학 등 국내외 연구진과 함께 양자내성암호의 주요 기반문제 중 하나인 선형잡음문제를 효과적으로 공략할 수 있는 양자 알고리즘을 개발했다고 발표하면서 암호체계를 깰 수 있다고 강조했다.

‘분할-정복(divide-and-conquer) 전략’을 활용했다. 전체 구조를 하부 구조들로 작게 나누고 개발 공략하는 방식이다. 이 기술로 양자 내성이 무효화되는 조건을 보다 구체적으로 특정할 수 있다는 것.

이러한 발표에 대해 천 교수는 전제부터가 성립될 수 없다는 입장이다. 공략 방법 대로 수행하기 위해서는 ‘양자 샘플 생성’을 전제로 해야 한다는 설명이다. 양자 샘플을 생성한다는 것은 원하는 양자 상태를 만든다는 것인데 양자내성암호 적용 환경에서 양자샘플을 얻을 수 있는 방법을 입증한 논문이나 연구자료가 존재하지 않아 해독이 불가능하다는 지적이다.

미국 국립표준기술연구소(NIST)의 양자내성암호 표준화 과정에서도 양자샘플을 통한 양자내성암호 공략 가능성을 고려하고 있지 않다고 강조했다.

또한 ETRI가 발표한 논문의 기초가 되는 선행연구에서도 ‘양자내성암호 적용 환경에서 양자샘플을 얻을 수 있는 방법은 없다’고 언급하고 있으며 ETRI 연구에서도 양자샘플을 얻을 수 있는 방법에 관한 연구 결과는 포함되지 않았다고 설명했다.

천 교수는 “가정 자체가 성립되지 않으므로 양자내성암호를 깨뜨릴 수 없다”고 단언했다.

◆ ‘격자암호’ 어려운 난제 ‘철벽방어’

천정희 교수에 따르면 수학자들은 양자컴퓨터가 논의되던 1997년께부터 연구를 시작했다. 2003년 격자를 이용한 암호를 구축하면 안전하다는 연구결과를 냈으나 세상에 크게 알려지진 않았다. 2016년 양자컴퓨터 현실화 바람이 불자 미국 정부에서 PQC를 준비해야 한다는 차원에서 후보로 양자통신과 격자 암호 등이 대두됐다. PQC에 대한 표준화 작업을 위해서 NIST에서는 공모전을 진행하고 있으며 곧 최종 후보군이 결정될 것으로 알려졌다.

그는 제일 유력한 후보로 격자암호를 지목했다. 격자암호는 LG유플러스와 코위버, 크립토랩이 손잡고 최근 상용화한 ‘U+양자내성암호’의 근간을 이루는 기술이다. 격자기반 암호는 인수분해 등 어려운 수학을 이용한 기존 암호와는 달리, 행렬처럼 쉬운 문제를 쓰면서 수학적으로 어렵게 만드는 암호기술이다. 쉬운 문제의 답을 조금씩 다르게 하는 격자의 성향을 활용해 답을 어렵게 만들기 위해 200차원 격자를 이용한다.

천 교수는 “인수분해 문제가 어려우면 못 푼다”라며, “격자가 있고 그 격자가 교차하는 지점에 격자점이 있다고 한다면 격자에 있지 않은 임의의 점을 주고 가장 가까운 격자점을 찾는 문제를 내는 것이다”라고 설명했다.

이어, “이같은 격자가 2차원이라면 찾아야 하는 격자점은 4개, 3차원이라고 가정하면 8개 중 하나를 고르면 되지만 이 차원이 만약 200차원이라면 어디로 어떻게 뻗어나갈지 알 수 없다”라며, “2의 200제곱인 셈인데, 이는 우주가 현재까지 살아온 시간인 2의 80제곱보다 훨씬 높은 수준이다”라고 덧붙였다.

아울러 “평문 행렬에 선형변화를 주면 암호문이 되고 여기에 노이즈(격자점에 위치하지 않은 어느 한 점이 될 수 있도록)를 더하면 어려워진다”라며, “비밀키를 아는 사람은 점의 위치를 알아서 쉽게 풀 수 있겠지만 모르는 사람은 여러 경우의 수(2의 200제곱 수준)를 대봐야 풀 수 있다”고 강조했다.

그만큼 양자내성암호를 푼다는 것은 어려운 난제로 양자컴퓨터가 당장 등장한다고 해도 깨지지 않을 것이라는 설명이다.

그는 “현 공개키 암호 방식(RSA)를 깨려면 1천큐빗(Qbit)이면 된다고 하지만 실제로는 노이즈 없는 1천큐빗이 필요하기 때문에 이것 역시 꽤 어렵지만 (양자컴퓨터 출현을) 대비해야 한다”라며, “예전 Y2K도 숫자 하나 바꾸는 아무것도 아닌 일이었지만 시간이 오래 걸렸다는 점을 상기해야 한다”고 지적했다.

또한 양자컴퓨터에 비밀(비밀키)를 맡겨서는 안된다고 당부했다. 그는 “양자컴퓨터는 계산을 사용할 때는 안전하나 비밀을 맡겼을 때는 위험하다”라며, “가량 어떤 기업의 비밀을 빼내기 위해 CEO에게 최면을 거는 것과 비슷하다고 볼 수 있다”고 말했다.

이어, “컴퓨터의 성능이 좋을수록 해커 입장에서도 일하기가 좋다”라며, “OTP의 경우 컴퓨터 중에서도 아둔한편이라서 오히려 더 안전한 것과 마찬가지다”라고 덧붙였다.

/김문기 기자(moon@inews24.com)