양자 시대 대비 주요 인터넷 프로토콜 포스트퀀텀 전환 현황

본 논문은 양자 컴퓨팅이 기존 공개키 암호(RSA, ECC, DH, ECDH 등)에 미치는 위협을 배경으로, 현재 인터넷 인프라에서 가장 널리 사용되는 아홉 가지 프로토콜(TLS, IPsec, BGP, DNSSEC, SSH, QUIC, OpenID Connect, OpenVPN, Signal Protocol)의 암호 구조와 양자 취약성을 체계적으로 조사한다. 서론에서는 “harvest‑now, decrypt‑later” 시나리오와 NIST의 포스트‑퀀텀 암호(PQC) 표준화 현황을 소개하고, ML‑KEM(크리스털스‑키버), ML‑DSA(크리스털스‑딜리튬), SLH‑DSA(스피닉스+) 등 2024년 최종 표준을 중심으로 현재 사용 가능한 PQ 알고리즘을 정리한다. 또한, liboqs, PQClean, CIRCL, AWS‑LC 등 주요 구현체와 라이브러리를 열거하며, 알고리즘 가용성만으로는 프로토콜 수준의 준비가 충분치 않음을 강조한다. 각 프로토콜 별 분석에서는 (1) 현재 사용 중인 암호 원시(키 교환·인증·대칭 암호), (2) 양자 공격에 대한 구체적 위험, (3) 하이브리드·순수 PQ 전환을 위한 표준화 진행 상황, (4) 실험적 배포 사례, (5) 남아 있는 기술·운영적 과제를 상세히 다룬다. - **TLS**는 전 세계 웹 트래픽의 핵심이며, TLS 1.3은 ECDHE 기반 전방 비밀을 제공하지만 양자 공격에 취약하다. 구글·클라우드플레어의 CECPQ2·Hybrid 실험을 통해 Kyber·NTRU 등 KEM을 결합한 하이브리드 키 교환이 이미 상용 서비스에 적용되고 있다. 인증서 측면에서는 X.509에 PQ 서명(ML‑DSA, SLH‑DSA) 삽입을 위한 IETF 초안이 존재하지만, 브라우저와 CA의 지원이 아직 미비해 복합 인증서(클래식+PQ) 방식이 현실적인 전환 경로다. - **Signal Protocol**은 종단 간 메시징에 Double Ratchet와 X3DH를 사용한다. 최근 파일럿에서는 Kyber 기반 KEM과 ML‑DSA 서명을 하이브리드로 적용했으며, KEMTLS와 같은 서명‑대체 설계가 핸드쉐이크 부하를 크게 낮추는 장점을 보여준다. - **IPsec**과 **OpenVPN**은 IKEv2에 PQ KEM·서명을 위한 “named groups”를 정의했지만, MTU 제한과 ESP/UDP 페이로드 크기 증가가 큰 장애물이다. 라우터 펌웨어와 VPN 게이트웨이의 메모리·CPU 제약으로 실운용은 아직 초기 단계다. - **SSH**는 OQS‑OpenSSH를 통해 Kyber·ML‑DSA 하이브리드를 시험했으며, RFC에 “post‑quantum extensions” 초안이 제출되었다. 그러나 기존 SSH 클라이언트·서버 간 호환성을 유지하기 위한 협상 메커니즘 설계가 복잡하고, 임베디드 디바이스에서는 성능 저하가 눈에 띈다. - **DNSSEC**은 RRSIG에 디지털 서명을 사용한다. PQ 서명(예: Dilithium, Falcon)은 서명 크기가 수백 바이트에서 수킬로바이트로 급증해 DNS 패킷의 512 byte 기본 제한을 초과한다. EDNS0 확장으로 일부 완화가 가능하지만, 프래그멘테이션 및 캐시 무효화 위험이 커서 구조적 전환이 가장 어려운 프로토콜 중 하나다. - **BGPsec**은 경로 인증에 ECDSA 서명을 사용한다. PQ 서명 적용 시 경로 어트리뷰트 길이가 크게 늘어나 라우터의 메모리·CPU 부하가 급증한다. 현재 표준화 작업이 거의 진행되지 않아, 실무 적용은 먼 미래에 머물고 있다. - **QUIC**은 TLS 1.3을 내부적으로 사용하므로, TLS에서 검증된 하이브리드 KEM 적용이 그대로 이어진다. 구글은 Chrome‑QUIC에 Kyber‑Hybrid을 시험했으며, 레이턴시 증가가 5‑10 % 수준에 머물러 실용적이라 평가한다. 다만, UDP 기반 특성상 큰 KEM 공개키·캡슐화 데이터가 패킷 손실 시 재전송 비용을 높일 수 있다. - **OpenID Connect**는 JWT 기반 토큰 서명을 사용한다. JWT 헤더에 “alg” 필드에 PQ 서명(ML‑DSA) 추가가 제안됐으며, 하이브리드 토큰(클래식+PQ) 방식이 실험 단계이다. 대규모 IdP와 RP 간 상호운용성 검증이 아직 부족하다. 전체적으로 논문은 **키 교환**이 하이브리드 설계로 비교적 쉽게 전환될 수 있는 반면, **인증·서명**은 서명 크기와 PKI 구조 변화가 필요해 전환이 더디다는 공통점을 도출한다. 또한, 프로토콜 설계 시 메시지 크기·프래그멘테이션을 충분히 고려하지 않았기 때문에, PQ 알고리즘의 큰 키·시그니처가 네트워크 레이어에서 병목을 만든다. 마지막으로, 연구는 향후 과제로 (1) IETF·IANA의 표준화 속도 가속, (2) 기존 PKI와의 호환성을 위한 복합 인증서·키 관리 체계 구축, (3) MTU·프래그멘테이션 문제 해결을 위한 압축·분할 기술 개발, (4) 임베디드·IoT 디바이스를 위한 경량 PQ 구현을 제시한다. 2030년까지 주요 인프라 프로토콜이 완전 포스트‑퀀텀 전환을 달성하기 위해서는 이러한 과제들을 단계적으로 해결하고, 실운용 경험을 축적하는 것이 필수적이다.