무료 인증서기관 '렛츠인크립트', 양자내성 웹 보안 전환 청사진 공개...'머클트리 인증서'로 접속 데이터 안 늘리고 양자 위협 대비, 2027년 정식 도입 목표

[한국정보기술신문] 전 세계 웹사이트에 무료로 보안 인증서를 발급해 온 비영리 인증기관 렛츠인크립트(Let's Encrypt)가 양자컴퓨터 시대에도 안전한 웹 보안 체계로 전환하겠다는 청사진을 공개했다. 렛츠인크립트의 앤드루 개비타스는 6월 3일(현지시간) 공식 블로그를 통해, 차세대 보안 기술인 '머클트리 인증서(Merkle Tree Certificates·MTC)'를 양자내성 웹 인증의 핵심 경로로 추진하겠다고 밝혔다. 접속 속도와 안정성을 떨어뜨리지 않으면서 양자컴퓨터에 견디는 인증 방식을 도입하겠다는 것이 골자다.

여기서 인증서란 웹사이트가 자신이 진짜임을 이용자에게 증명하는 전자 신분증에 해당한다. 누리집 주소창의 자물쇠 표시로 익숙한 'TLS(전송 계층 보안)' 접속에서, 인증서는 접속 상대가 사칭된 가짜 사이트가 아님을 확인하는 역할을 한다. 렛츠인크립트는 이런 인증서를 자동으로, 무료로 발급해 웹 전반의 암호화 보급을 이끌어 온 기관이다.

그동안 양자컴퓨터를 둘러싼 보안 논의는 주로 '암호 해독'에 집중돼 왔다. 공격자가 오늘 오간 암호화 통신을 미리 저장해 두었다가, 훗날 양자컴퓨터가 암호의 수학적 기반을 깨뜨리면 그때 해독해 내는 이른바 '지금 수집해 나중에 해독(harvest now, decrypt later)' 위협 때문이다. 반면 접속 상대를 확인하는 '인증'은 상대적으로 덜 급한 문제로 여겨졌다. 인증을 뚫으려면 양자컴퓨터가 서명을 실시간으로 위조해야 하는데, 이는 과거 기록을 사후에 푸는 것과 달리 충분히 강력한 양자컴퓨터, 즉 '암호학적으로 유의미한 양자컴퓨터(CRQC)'가 실제로 등장해야만 가능하기 때문이다.

그러나 이 같은 여유는 점차 사라지고 있다. 글에 따르면 미국 국가안보국(NSA)은 2022년부터 국가 안보 시스템을 2030~2035년 일정으로 양자내성 알고리즘으로 옮기도록 지침을 정했고, 미국 국립표준기술연구소(NIST)의 전환 지침 초안은 현재 널리 쓰이는 암호 방식인 'RSA-2048'과 'P-256'을 2030년 이후 사용 자제, 2035년 이후 사용 금지하도록 제안하고 있다. 유럽연합(EU)의 이행 로드맵도 고위험 시스템은 2030년 말까지, 전반적 전환은 2035년까지를 목표로 잡았다. 이들 규정이 공개 웹 보안 체계를 직접 강제하지는 않지만, 관련 업계와 표준화 기구가 따라가야 할 '10년 말' 시한을 제시한 것이다.

올해 들어 시한은 더 앞당겨졌다. 글에 따르면 구글은 양자컴퓨터 등장 시점 추정이 빨라지고 있다는 점을 들어 자사 서비스를 2029년까지 전환하겠다고 발표했고, 클라우드플레어도 비슷한 약속을 내놨다. 또 프로그래밍 언어 'Go'의 1.27 버전은 NIST가 표준화한 양자내성 서명 방식 'ML-DSA'를 기본 라이브러리에 추가했다. 양자내성 서명이 실험을 넘어 실제 기반 기술로 자리 잡아 가고 있다는 신호다.

렛츠인크립트는 양자내성 인증이 더는 미뤄 둘 문제가 아니라고 강조했다. 특히 최상위 인증기관의 키나 코드 서명 키, 신원 확인 시스템처럼 오랜 기간 쓰이는 핵심 키가 공격자에게 매력적인 표적이 되며, 새 기술이 널리 자리 잡는 데에는 수년이 걸리므로 작업을 일찍 시작해야 한다는 것이다.

양자내성 서명을 웹 보안에 그대로 적용하기 어려운 이유는 '크기'에 있다. 글에 따르면 비교적 작은 축에 드는 양자내성 서명 방식 'ML-DSA-44'조차 서명 하나가 약 2420바이트에 이른다. 지금 쓰이는 방식인 RSA-2048 서명은 256바이트, 'ECDSA-P256' 서명은 64바이트에 불과하다. 공개키 역시 ML-DSA-44는 1312바이트로, RSA-2048(256바이트)이나 ECDSA-P256(64바이트)보다 훨씬 크다.

문제는 한 번의 TLS 접속(핸드셰이크) 과정에 보통 서명 5개와 공개키 2개가 오간다는 점이다. 이를 모두 ML-DSA 방식으로 바꾸면 접속 한 건에 오가는 인증 데이터가 10킬로바이트(KB)를 훌쩍 넘게 된다. 클라우드플레어의 연구에 따르면 이 정도 크기에서는 실제 통신망에서 상당수 접속이 아예 실패하고, 나머지도 느려지는 것으로 나타났다. 모든 접속이 느려지는 대가를, 아직 닥치지 않은 위협에 대비해 기본값으로 치러야 하는 셈이다.

머클트리 인증서는 이 용량 문제를 정면으로 겨눈 설계다. 기존 방식이 인증서를 한 장씩 발급하며 각각에 서명을 붙이는 것과 달리, 머클트리 인증서를 쓰는 인증기관은 여러 인증서를 묶음(배치)으로 발급한 뒤 그 묶음 전체에 서명 하나만 붙인다. 브라우저는 '랜드마크'라 불리는 이 묶음 서명을 TLS 접속 과정과 별도로 미리 받아 최신 상태로 유지한다.

이렇게 하면 일반적인 경우 접속 과정에서 오가는 인증 정보가 서명 하나, 공개키 하나, 그리고 해당 인증서가 묶음에 포함됐음을 보이는 '포함 증명' 하나로 줄어든다. 양자내성 방식을 쓰는데도 오히려 지금의 웹 보안 접속보다 가벼워지는 것이다. 브라우저가 받아 둔 랜드마크가 오래된 경우에만 조금 더 큰 '독립형' 방식이 예비 수단으로 쓰인다.

머클트리 인증서는 용량 절감에 그치지 않는다. 모든 인증서가 공개된 '머클 트리'라는 자료 구조의 일부가 되기 때문에, 발급 자체에 투명성이 보장된다. 머클 트리는 데이터를 차곡차곡 쌓되 한 번 기록하면 지울 수 없는 구조다. 지금의 '인증서 투명성(CT)' 체계는 인증기관이 인증서를 발급한 뒤 별도로 기록을 남기는, 사후에 덧붙인 방식이다. 반면 머클트리 인증서에서는 인증서가 트리 밖에 존재할 수 없어 투명성이 처음부터 내장된다. 렛츠인크립트는 2019년부터 같은 자료 구조를 쓰는 인증서 투명성 로그를 대규모로 운영해 왔다는 점도 강점으로 들었다.

이 방식은 렛츠인크립트만의 구상이 아니다. 클라우드플레어와 크롬(Chrome)은 이미 실제 인터넷 트래픽을 대상으로 머클트리 인증서의 실현 가능성을 시험하고 있고, 국제 인터넷 표준화 기구(IETF)의 'PLANTS' 작업반이 설계 표준화를 진행 중이다. 크롬은 머클트리 인증서를 공개 웹에 양자내성 인증서를 도입하기 위한 우선 경로로 삼겠다고 밝힌 바 있다.

렛츠인크립트는 2026년 말까지 머클트리 인증서를 발급하는 시험(스테이징) 환경을, 2027년에는 정식 운영 환경을 갖추는 것을 목표로 제시했다. 다만 이를 위해서는 인증서 발급 기반 시설은 물론, 이용자가 인증서를 받는 데 쓰는 'ACME' 통신 규약, 인증서 폐기·운영 도구, 투명성 로그 기반 시설 전반에 걸친 변경이 필요하다고 설명했다. 렛츠인크립트는 IETF의 관련 작업반에 참여하는 한편, 머클트리 인증서와 별개로 ML-DSA 서명을 기존 인증서·TLS에 적용하는 표준 작업도 함께 지켜보고 있다고 덧붙였다.

이용자 입장에서 당장 달라지는 점은 없다. 렛츠인크립트는 지금 쓰는 인증서가 종전과 똑같이 발급·갱신되며, 양자내성 인증서가 제공될 때에도 무료·자동이라는 기존 원칙은 그대로 유지될 것이라고 밝혔다. 전환에는 시간이 걸리는 만큼 진행 상황을 계속 알리겠다는 입장이다.

끝으로 렛츠인크립트는 더 넓은 관점에서는 인증보다 '암호화' 전환이 더 급하다고 짚었다. 양자내성 키 교환이 적용되지 않은 통신은 나중에 해독될 위험에 노출되기 때문이다. 이에 서버 운영자들에게 '하이브리드 양자내성 키 교환(X25519MLKEM768)' 방식을 지원하도록 권고하며, 올해 가장 효과가 큰 보안 조치 중 하나라고 강조했다.