[보안뉴스 = 제프리 슈와츠 IT 칼럼니스트] 애플이 퀀텀 컴퓨터의 공격에도 버틸 수 있다고 알려진 PQ3 프로토콜을 아이메시지에 적용할 예정이다. PQ3가 적용된 아이메시지는 3월부터 시장에 등장할 예정이다. 이로써 아이메시지는 사용자가 많은 ‘주류’ 메신저 앱 중 가장 강력한 메신저 애플리케이션이 될 전망이다.
[이미지 = gettyimagesbank]
양자컴퓨터의 복호화 기능에도 풀리지 않는 암호화 알고리즘을 ‘포스트 양자 암호학(post-quantum cryptographic, PQC)’ 암호화라고 하는데, 이런 강력한 보호 기능이 메신저 앱에 추가되는 건 이번이 처음이 아니다. 시그널(Signal)의 경우, 2023년 9월 업그레이드를 통해 PQC 암호화 알고리즘을 탑재한 바 있다. 당시 시그널은 PQC 암호화 기술을 PQXDH라고 불렀다. 애플에 의하면 PQ3는 PQXDH를 능가한다고 한다.
지금도 아이메시지는 종단간 암호화를 제공하는 강력한 메신저 앱이라고 할 수 있다. 하지만 전통의 암호화 기술을 채용하고 있기 때문에 애플은 이를 ┖1단계’ 수준이라고 한다. PQXDH 정도 되면 2단계 수준에 오른 것이라고 할 수 있다고 애플은 설명한다. PQ3는 3단계다. 최초 키 생성 단계에서만 암호화가 적용되는 게 아니라, 메시지가 교환되는 내내 지속적으로 적용되기 때문이다.
애플에 의하면 PQ3는 특정 키가 침해되더라도 보호 기능을 발휘하는 암호화 기술이라고 한다. “PQ3는 가장 강력한 암호화 기술이며, 대량 메시징 프로토콜의 가장 강력한 보안 특성”이라는 게 애플의 설명이다. 아이메시지에 추가될 PQ3는 ETH취리히(ETH Zurich)의 정보보안그룹(Information Security Group)의 그룹장이자 타마린(Tamarin)의 공동 투자자인 데이비드 바신(David Basin) 교수가 수학적으로 평가를 완료한 바 있기도 하다고 애플은 자랑하고 있다. 그 외에도 여러 교수들의 이름이 언급되었다.
시그널, 애플의 평가에 탐탁지 않아
시그널의 회장인 메레디스 위태커(Meredith Whittaker)는 애플의 이러한 주장에 “말도 안 된다”고 일축한다. “애플이 무슨 근거로 암호화 알고리즘이나 보안의 ‘단계’를 결정하는지 모르겠지만, 그걸 공식적인 발표 자료에까지 사용하고, 심지어 다른 기업의 보안 프로토콜의 등급까지 결정한다는 것에 대해 특별히 덧붙일 말은 없습니다. 다만 애플이 보안이나 암호화 기능의 강력함을 시장에 대단히 어필하고 싶어 한다는 건 느껴집니다. 암호화 기술이라는 게 너무나 어렵기 때문에 알기 쉽게 설명한다는 게 난이도 높은 일이긴 합니다.”
그러면서 위태커는 “외부 연구자 공동체와 시그널은 긴밀한 관계를 가지고 있어 PQXDH는 발표되고서 한 달 만에 사상 처음으로 기계를 통해 검증된 공식 포스트 퀀텀 암호화 기술(양자컴퓨터로도 뚫을 수 없는 암호화 기술)이 되었다”고 강조한다. “그것도 이론상 존재하는 게 아니라 실제로 활용되는 첫 사례가 되었으니 의미가 크다고 봅니다.”
시그널은 인리아(Inria)와 크라이스펜(Cryspen)과 파트너십을 맺고, PQ3를 공식적으로 분석하는 데 사용됐던 증명 과정을 그대로 거쳤다고 한다. 심지어 애플이 한 것보다 더 실질적인 컴퓨팅 환경과 공격 시나리오까지도 다 검증했다는 게 위태커의 설명이다. “그러므로 애플이 이번에 발표한 것보다 저희가 거친 증명 과정이 더 가혹했고, 그러므로 더 나은 결과를 나타낸다고 자부합니다. PQ3도 저희와 똑같은 검증 과정을 거칠 때 어떤 결과가 나올지 궁금합니다.”
한편 PQ3는 이미 베타 버전 형태로 개발자들에게 넘어간 상황이라고 애플은 설명한다. 일반 사용자들이 PQ3를 경험하게 되는 건 iOS 17.4, iPadOS 17.4, 맥OS 14.4, 워치OS 10.4 버전부터라고 한다. “전 세계적인 사용자들이 광범위하게 PQ3에 대한 경험을 쌓게 된 이후부터는 현존하는 프로토콜들을 올해 안에 전부 교체할 예정입니다. 즉 양자컴퓨터로도 뚫어낼 수 없는 암호화 알고리즘을 디폴트로 가져가려 하는 게 저희의 장기 계획입니다.”
NIST 표준과 ‘왜 지금?’
곧 공개될 아이메시지는 일종의 ‘하이브리드’ 형태를 갖출 예정이다. 양자컴퓨터에 대항하는 알고리즘과 현존 타원 곡선 암호화 알고리즘이 같이 사용된다는 뜻이다. 애플에 따르면 이렇게 함으로써 PQ3의 강력함에 그 어떤 허점도 허용되지 않을 것이라고 한다. 애플 측 엔지니어의 설명은 다음과 같다. “각 장비들은 PQC 키들을 로컬에서 생성하게 되고, 그 키들을 애플 서버들로 전송함으로써 아이메시지의 등록 과정을 완료할 수 있게 됩니다. 애플이 채택한 건 카이버(Kyber)라는 알고리즘으로 카이버는 2028년 8월 미국의 NIST가 ML-KEM 표준으로서 채택한 양자컴퓨터 대항 알고리즘 중 하나입니다.”
암호학 전문가인 브루스 슈나이어(Bruce Schneier)는 PQ3 개발과 구현에 있어 NIST의 표준을 채택한 것은 칭찬할 만한 일이라고 보고 있다. 하지만 그것만으로 양자컴퓨터를 이용한 공격에 완전하게 대처가 되는 건 아니라고 강조한다. “포스트 양자 암호화 알고리즘이라는 것들에 대해 분석할 것이 아직 많이 남아있습니다. 우리는 이 알고리즘들을 아직 다 이해하지 못하고 있지요. 실제 사용성에서 어떨지, RSA보다 유연하면서 강력할지, 우리는 더 확인해야 합니다. 다만 표준으로 채택된 것들에는 이유가 있겠지요. 양자컴퓨터에 대항할 수 있는 암호화 알고리즘 전체가 아직 ‘미확인’ 된 상태라면 표준으로 채택된 것을 사용하는 것이 가장 안전합니다.”
슈나이어는 “암호화의 강력함이나 결함 등에 대해 이야기하려면 필연적으로 어마어마한 양의 수학 이론과 공식을 다룰 수밖에 없다”며 “분석에는 많은 시간이 드는 게 당연하다”고 말한다. “지금도 암호학에서는 계속해서 새로운 것들이 나오고 기존 것들이 깨어지는데, 그렇기 때문에 더 많은 전문가들이 손을 들어주고 있는 표준이 안전한 선택이 되는 게 당연합니다. 표준으로 채택된 게 완전해서가 아니라, 다른 알고리즘에 대한 우리의 이해가 부족해서입니다.”
전문가들은 양자컴퓨터가 시장에 나타나 현존하는 암호화 알고리즘을 실질적으로 깨기 시작하는 게 2035년은 되어야 가능할 거라고 보고 있다. 애플이 야심차게 양자 저항 알고리즘을 도입하는 2024년에 비하면 한참 먼 미래다. 그러나 모두가 애플의 이러한 움직임에 ‘성급하다’고 말하지 않는다. ‘지금 수집하고 나중에 푼다’는 식의 공격이 이미 성행하고 있기 때문이다.
‘지금 수집하고 나중에 푼다’는 공격은, 암호화 처리가 되어 있는 자료라 하더라도 미리 훔쳐서 저장해놓고 양자컴퓨터가 상용화될 미래에 풀어서 활용(악용)한다는 개념의 전략이다. 그래서 암호화 되어 있든 말든 지금 훔칠 수 있는 데이터는 훔쳐서 저장해놓고 있다. 미리부터 양자컴퓨터로 풀 수 없는 암호화 알고리즘을 활용해 데이터를 보호하면 이런 식의 전략도 무용지물로 만들 수 있다.
글 : 제프리 슈와츠(Jeffrey Schwartz), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>