포스트 양자 보안 전환 (Post-Quantum Security Transition)
양자 컴퓨터 시대를 대비해 리눅스 커널 개발자가 실제로 점검해야 할 TLS, VPN, Secure Boot, 모듈 서명, TPM, 공급망, 저장 데이터 전환 포인트를 실무 중심으로 정리합니다.
전제 조건: 암호화(Encryption) 알고리즘 내부 구조 문서를 먼저 읽으면 Shor 알고리즘, Grover 알고리즘, ML-KEM, ML-DSA 같은 용어를 훨씬 빠르게 따라갈 수 있습니다.
이 문서는 수학 증명보다 운영 영향과 전환 순서를 우선 설명합니다.
일상 비유: 이 개념은 건물의 자물쇠 교체와 비슷합니다.
철문과 경비실은 계속 유용하지만, 열쇠 복제 기술이 바뀌면 출입증 체계, 열쇠 관리 규정, 문서 보관함까지 함께 바꿔야 합니다.
핵심 요약
- 공개키 — RSA, ECDH, ECDSA, Ed25519 같은 공개키 계열은 양자 위협을 직접 받습니다.
- 대칭키 — AES-256, ChaCha20, HMAC, HKDF 같은 대칭 계열은 즉시 폐기 대상이 아니며 보안 마진 재조정이 핵심입니다.
- 수확 후 복호화(Decryption) — 지금 수집한 트래픽을 나중에 양자 컴퓨터로 복호화하는 공격 모델을 말합니다.
- 하이브리드 전환 — 전환기에는 기존 공개키와 PQC를 함께 써서 호환성과 보증을 동시에 확보합니다.
- 검증기 호환성 — 모듈 서명, Secure Boot, TPM 증명은 알고리즘만 바꾸면 끝나지 않고 검증 체인 전체가 따라와야 합니다.
단계별 이해
- 무엇이 깨지는지 구분합니다.
대칭 암호와 공개키 암호를 구분하지 않으면 대응 우선순위(Priority)를 잘못 잡게 됩니다. - 장기 기밀 데이터부터 분류합니다.
10년 이상 숨겨야 하는 트래픽과 서명 검증(Signature Verification) 체계를 먼저 찾는 것이 효과적입니다. - 하이브리드 가능한 구간부터 전환합니다.
TLS와 배포 서명 체계처럼 병행 운용이 가능한 구간이 초기 전환의 중심입니다. - 검증기와 운영 절차를 함께 갱신합니다.
키 저장소, 신뢰 루트, 로그, 감사 규칙, 성능 한계까지 같이 점검해야 실제 전환이 됩니다.
개요
양자 컴퓨터(Quantum Computer) 시대의 위협을 논할 때 가장 흔한 오해는 "모든 암호가 한 번에 무너진다"는 식의 단순화입니다. 실제로는 공개키(Public-Key) 계열과 대칭키(Symmetric-Key) 계열의 영향이 크게 다르며, 리눅스 커널 개발자 관점에서는 프로토콜 핸드셰이크, 서명 검증기, 부팅 체인, 공급망 검증기가 먼저 문제를 드러냅니다.
이 문서는 "양자 컴퓨터가 무섭다"는 수준의 일반론이 아니라, 지금 어떤 자산을 찾아야 하고, 어디는 하이브리드가 가능하며, 어디는 검증기 전체를 같이 바꿔야 하는지를 실무 중심으로 정리합니다. 이론 설명은 필요한 만큼만 담고, 깊은 수학 배경은 암호화 알고리즘 내부 구조로 넘깁니다.
NIST는 2024년 8월 13일에 FIPS 203(ML-KEM), FIPS 204(ML-DSA), FIPS 205(SLH-DSA)를 최종 발표했으며, 미국 NSA는 2025년 3월 4일 CNSS Policy 15를 통해 국가 안보 시스템의 포스트 양자 전환 방향을 명확히 제시했습니다.
왜 이 문제가 생기는가
기초 개념만 놓고 보면 문제는 단순합니다. 지금의 공개키 암호는 "역연산이 매우 어렵다"는 가정 위에 서 있는데, 양자 알고리즘은 그 역연산 일부를 고전 컴퓨터보다 훨씬 효율적으로 처리할 수 있습니다. 반면 대칭 암호는 "모든 키를 다 해보는 데 시간이 너무 오래 걸린다"는 쪽에 더 가깝기 때문에, 같은 양자 위협이라도 영향이 다르게 나타납니다.
| 질문 | 짧은 답 | 실무 의미 |
|---|---|---|
| 왜 RSA와 ECC가 문제입니까? | Shor 알고리즘이 소인수 분해와 이산 로그 문제를 구조적으로 위협합니다. | 키 교환, 인증서, 서명 체계가 모두 전환 대상입니다. |
| 왜 AES는 바로 버리지 않습니까? | Grover 알고리즘은 전수 탐색을 줄이지만 공개키처럼 완전히 무너뜨리지는 않습니다. | AES-256 같은 더 긴 키 길이를 우선 검토하면 됩니다. |
| 왜 지금부터 준비해야 합니까? | 수확 후 복호화 공격은 미래의 양자 컴퓨터를 위해 현재 트래픽을 저장해 둘 수 있기 때문입니다. | 장기 기밀 데이터는 오늘의 암호화만 보고 안전하다고 말할 수 없습니다. |
| 왜 전환이 느립니까? | 알고리즘 하나를 바꾸는 것이 아니라 검증기, 키 저장소, 감사 체계까지 바꿔야 하기 때문입니다. | 부트 체인과 공급망은 네트워크보다 훨씬 느리게 움직입니다. |
용어를 짧게 정리하면: KEM(Key Encapsulation Mechanism)은 "안전하게 공유 비밀을 합의하는 장치"이고, 서명(Signature)은 "이 파일이 정말 내가 만든 것인지 증명하는 장치"입니다.
양자 전환에서는 KEM은 TLS/IKE 쪽에서, 서명은 Secure Boot/모듈 서명/릴리스 배포 쪽에서 먼저 문제를 드러냅니다.
위협 모델
양자 시대 위협은 단순히 "언젠가 RSA가 깨진다"는 문장으로 끝나지 않습니다. 커널과 운영 환경에서는 적어도 세 가지 축을 나눠서 봐야 합니다.
위협을 머릿속에서 그리는 방법
양자 위협을 판단할 때는 "암호 알고리즘"보다 먼저 어떤 자산이 얼마나 오래 살아남아야 하는가를 생각하는 편이 좋습니다. 예를 들어 오늘의 HTTPS 세션 쿠키는 하루 뒤면 가치가 사라질 수 있지만, 오늘 전송한 소스 코드 서명 키 백업이나 장기 계약 문서는 10년 뒤에도 가치가 남을 수 있습니다.
| 자산 | 기밀성 유지 기간 | 양자 준비 긴급도 | 이유 |
|---|---|---|---|
| 일반 웹 세션 | 짧음 | 중간 | 즉시 큰 피해는 아닐 수 있으나, 서비스 규모가 크면 전환 비용이 커서 미리 준비해야 합니다. |
| 기업 내부 VPN 트래픽 | 중간~김 | 높음 | 설계 문서, 운영 비밀, 자격 증명 교환이 섞여 있는 경우가 많습니다. |
| 릴리스 서명 키와 업데이트 체인 | 김 | 매우 높음 | 한 번 위조되면 과거와 미래 아티팩트 신뢰가 함께 무너질 수 있습니다. |
| 장기 보관 백업 | 김 | 높음 | 수확 후 복호화 모델에 직접 노출됩니다. |
| 위협 모델 | 지금 일어나는가 | 영향 대상 | 운영 의미 |
|---|---|---|---|
| 수확 후 복호화 | 예 | TLS, QUIC, VPN, 장기 보관 백업 | 미래에 양자 컴퓨터가 생기면 현재 저장된 암호문이 복호화될 수 있으므로 장기 기밀 데이터는 지금부터 전환해야 합니다. |
| 서명 위조 | 아직 아님 | 릴리스 서명, 모듈 서명, 펌웨어(Firmware) 서명, 인증서 | 실용적 양자 컴퓨터가 등장하면 위조 업데이트와 위조 인증서 문제가 한꺼번에 열릴 수 있습니다. |
| 검증기 지연(Latency) | 예 | UEFI, 부트로더(Bootloader), 배포판 도구, HSM, CI 파이프라인(Pipeline), 커널 로더(Loader) | 알고리즘 표준화보다 검증기 지원이 늦게 따라오므로 전환기 설계가 가장 중요합니다. |
| 성능/크기 증가 | 예 | TLS 핸드셰이크, 서명 아티팩트, NIC offload | 패킷(Packet) 크기, 인증서 체인, CPU 비용이 늘어나므로 용량 계획과 병목(Bottleneck) 점검이 필요합니다. |
핵심 우선순위: 기밀성 유지 기간이 긴 데이터, 서명 검증이 보안 경계인 체계, 그리고 검증기 교체 비용이 큰 체계를 먼저 점검해야 합니다.
반대로 디스크 내부의 대칭 암호 데이터 경로는 상대적으로 급하지 않을 수 있습니다.
실제 운영 시나리오 세 가지
- HTTPS 서비스:
지금 방문자의 세션은 오늘 끝날 수 있지만, 기업 고객의 계약 문서와 API 토큰은 장기 가치가 남을 수 있습니다. 그래서 공용 웹사이트와 내부 관리망의 우선순위는 같지 않습니다. - 커널 모듈(Kernel Module) 배포:
오늘 서명한 모듈이 내일만 검증되면 끝나는 것이 아니라, 나중에 장애 복구나 포렌식 때도 "그때 이 바이너리가 진짜였는가"를 입증해야 할 수 있습니다. - 원격 증명 인프라:
TPM Quote 자체보다 중요한 것은 검증 서버가 그 증명을 어떤 인증서 체인(Chain of Trust)으로 신뢰하느냐입니다. 양자 전환은 여기서 자주 지연됩니다.
무엇이 실제로 위협받는가
양자 위협은 암호 primitive마다 다르게 작용합니다. 아래 표는 리눅스 커널 문서에서 자주 다루는 기술을 세 갈래로 나눈 것입니다.
| 현재 기술 | 양자 영향 | 우선순위 | 기본 대응 |
|---|---|---|---|
| RSA, DH | Shor 알고리즘으로 직접 위협받습니다. | 매우 높음 | PQC 또는 하이브리드 키 교환/서명으로 교체합니다. |
| ECDH, ECDSA, Ed25519 | 타원 곡선 기반 공개키도 직접 위협받습니다. | 매우 높음 | TLS, VPN, 릴리스 서명, 증명 체계를 우선 전환합니다. |
| AES-128 | Grover 알고리즘으로 보안 마진이 줄어듭니다. | 중간 | 장기 기밀 자산은 AES-256 우선으로 재검토합니다. |
| AES-256, ChaCha20-Poly1305 | 즉시 폐기 대상은 아니며 보안 마진 조정 문제입니다. | 낮음 | 계속 사용할 수 있지만 키 관리와 핸드셰이크 전환이 함께 필요합니다. |
| SHA-256, SHA-384, SHA-512, HMAC, HKDF | 이론적 약화는 있으나 공개키처럼 즉시 붕괴하지는 않습니다. | 낮음 | 장기 보존 체계만 별도 검토하고, 당장은 공개키 전환이 우선입니다. |
왜 대칭 암호는 상대적으로 덜 급한가
실무자가 가장 많이 헷갈리는 지점이 바로 여기입니다. 네트워크 패킷을 실제로 암호화하는 것은 보통 AES-GCM이나 ChaCha20-Poly1305 같은 대칭 암호입니다. 그런데 이 세션 키를 처음 안전하게 합의하는 과정은 대개 ECDH나 DH 같은 공개키 기반 절차입니다. 양자 위협은 이 "문을 여는 열쇠 교환"에 먼저 큰 충격을 줍니다.
| 구간 | 오늘 많이 쓰는 기술 | 양자 전환에서 먼저 볼 항목 |
|---|---|---|
| 세션 시작 | X25519, P-256, RSA 인증서 | 하이브리드 KEM, PQ 서명, 검증기 호환성 |
| 데이터 전송 | AES-GCM, ChaCha20-Poly1305 | 키 길이, 성능, 재키잉 주기 |
| 로그와 감사 | 해시(Hash), HMAC, 서명 메타데이터 | 어떤 체인이 고전 전용인지 구분 가능한지 |
네트워크 프로토콜과 커널 경계
실무적으로 가장 먼저 부딪히는 영역은 TLS, VPN, QUIC 같은 네트워크 프로토콜입니다. 여기서 중요한 것은 데이터 평면(Data Plane)과 제어 평면(Control Plane)을 분리해서 보는 것입니다.
| 대상 | 지금 위협받는 지점 | 커널 개발자 관점 | 권장 조치 |
|---|---|---|---|
| TLS 1.3 / OpenSSL | X25519, P-256, 인증서 서명 | 핸드셰이크는 주로 유저스페이스 TLS 스택이 담당합니다. | 하이브리드 그룹(X25519MLKEM768 등) 시험, 인증서/CA 체계 인벤토리, 핸드셰이크 CPU 비용 측정을 시작합니다. |
| kTLS | 직접 붕괴 지점은 아님 | kTLS는 레코드 계층의 대칭 암호 처리와 오프로드가 중심입니다. | 핸드셰이크 전환을 유저스페이스에서 처리하고, kTLS는 대칭 데이터 경로 성능 유지 관점에서 봅니다. |
| WireGuard | Curve25519 핸드셰이크 | 데이터 패킷은 ChaCha20-Poly1305로 보호되지만 키 합의는 별개입니다. | PresharedKey를 헤지로 쓸 수 있으나, 장기 전략은 별도 설계가 필요합니다. |
| IPSec / IKEv2 | IKE의 DH/ECDH와 인증서 서명 | ESP 데이터 경로는 AES-GCM, ChaCha20-Poly1305 같은 대칭 암호가 중심입니다. | IKE 라이브러리와 인증 체계의 하이브리드 지원, MTU와 CPU 비용 재측정을 같이 진행합니다. |
| QUIC | TLS 기반 핸드셰이크 | 커널보다 유저스페이스 라이브러리와 CDN 생태계 영향이 큽니다. | 브라우저, CDN, TLS 라이브러리의 하이브리드 키 교환 지원 여부를 별도로 점검합니다. |
기초 예시로 이해하는 세 가지 상황
| 상황 | 오늘의 흐름 | 양자 전환에서 달라지는 점 |
|---|---|---|
| 웹 서버 | 브라우저와 서버가 ECDH로 세션 키를 합의하고, 이후 대칭키로 HTTP를 보호합니다. | 세션 키 합의 부분을 하이브리드 KEM으로 바꾸고, 인증서 서명 체계도 함께 점검해야 합니다. |
| 사이트 간 WireGuard | 피어 공개키를 미리 배포하고, 세션은 Curve25519 기반으로 엽니다. | PSK를 더하는 것만으로 조직 전체 전환이 끝나지 않으므로 키 배포와 운영 자동화를 별도로 재설계해야 합니다. |
| 기업 IPSec 게이트웨이 | IKE가 SA를 협상하고, ESP가 실제 데이터를 보호합니다. | ESP 엔진보다 IKE 라이브러리, 인증서, 정책 서버가 먼저 바뀌어야 합니다. |
경계조건: kTLS나 IPSec & xfrm을 본다고 해서 "커널 쪽 데이터 경로를 PQC로 다시 써야 한다"는 뜻은 아닙니다.
실제 전환 지점은 대체로 공개키 핸드셰이크, 인증서 검증, IKE와 같은 제어 평면입니다.
부팅 체인과 공급망
양자 전환에서 가장 까다로운 부분은 검증기 전체가 함께 움직여야 하는 영역입니다. 네트워크 핸드셰이크는 비교적 하이브리드가 쉽지만, 부팅 체인과 공급망은 펌웨어, 부트로더, 운영체제 도구, CI, HSM, 감사 로그까지 연결됩니다.
| 영역 | 현재 의존점 | 양자 시대 위험 | 실무 고려사항 |
|---|---|---|---|
| Secure Boot | PE 서명, db/KEK/MOK, X.509 체인 | 기존 서명 체계 위조 가능성 | 펌웨어(Firmware)와 shim, 부트로더, 커널 이미지 검증기가 PQ 서명을 이해할 수 있는지 별도 확인해야 합니다. |
| 커널 모듈 서명 | PKCS#7, builtin/system keyring | 서명 위조와 검증기 호환성 문제 | 서명 알고리즘보다 검증기와 배포 파이프라인 전체 지원이 먼저입니다. |
| IMA/EVM | 파일 해시, 서명, 키링(Keyring) | 장기 무결성(Integrity) 보증 약화 | 측정값 자체보다 서명 알고리즘과 검증 정책 전환이 핵심입니다. |
| Git 태그와 릴리스 서명 | GPG, SSH signing, Sigstore | 오래 보관되는 릴리스 증거 위조 가능성 | 이중 서명, 별도 고보증 채널, 감사 로그 형식까지 같이 설계해야 합니다. |
| 펌웨어 업데이트 | UEFI capsule, vendor key, 이미지 서명 | 플랫폼 신뢰 루트 교체 지연 | 플랫폼 벤더의 PQ 전환 속도가 전체 일정을 제한할 수 있습니다. |
업데이트 신뢰 체인(Chain of Trust)은 어떻게 보아야 하는가
부팅 체인과 공급망은 네트워크와 달리 "한 번의 핸드셰이크"로 끝나지 않습니다. 개발자가 서명한 아티팩트가 빌드 시스템(Build System), 저장소, 배포판, 부트로더, 커널, 모듈 로더를 거치며 여러 번 검증됩니다. 따라서 중간 어느 검증기 하나라도 PQ 전환을 이해하지 못하면 전체 체인이 고전 알고리즘에 계속 묶일 수 있습니다.
검증 정책 주의: 전환기에 기존 서명과 PQ 서명을 같이 붙이더라도, 검증기가 기존 서명만으로 항상 통과시키면 포스트 양자 보증은 생기지 않습니다.
호환성 경로와 고보증 경로를 운영 정책에서 분리해야 합니다.
저장 데이터와 장기 기밀성
dm-crypt나 파일시스템(Filesystem) 암호화는 대칭 암호가 중심이므로, 네트워크 핸드셰이크처럼 즉시 붕괴하는 영역은 아닙니다. 그래서 "디스크 암호화는 당장 안 바꿔도 된다"는 말이 어느 정도는 맞습니다. 다만 이것이 아무 것도 안 해도 된다는 뜻은 아닙니다.
- 장기 기밀 데이터: 10년 이상 숨겨야 하는 백업, 아카이브, 의료 정보, 국가 기반 자료는 AES-256 중심으로 보안 마진을 재점검하는 편이 안전합니다.
- 키 래핑 경로: 실제 위험은 종종 데이터 평문이 아니라, 그 데이터를 보호하는 키를 RSA나 ECC로 감싼 백업 포맷과 키 배포 경로에서 발생합니다.
- 패스프레이즈 기반 키 유도: LUKS2의 Argon2 같은 강한 KDF는 계속 중요하지만, 이것만으로 공개키 전환 문제가 해결되지는 않습니다.
- 원격 접근형 스토리지: Ceph, NFS-over-TLS, 원격 관리 채널처럼 네트워크 핸드셰이크를 동반하는 저장 경로는 수확 후 복호화 위협을 따로 봐야 합니다.
실무 판단 기준: 저장 데이터 자체보다 그 데이터를 배포, 복구, 래핑, 전송하는 주변 공개키 경로를 먼저 찾는 편이 보통 더 효과적입니다.
기초 예시: 무엇은 급하고 무엇은 덜 급한가
| 사례 | 판단 | 이유 |
|---|---|---|
| 노트북의 로컬 LUKS2 디스크 | 중간 | 데이터 경로는 대칭 암호 중심이지만, 복구 키 관리와 백업 키 래핑 경로는 별도 점검이 필요합니다. |
| 10년 보관 오브젝트 스토리지 백업 | 높음 | 수확 후 복호화 위험과 키 래핑 경로가 모두 문제 됩니다. |
| 사내 NAS와 원격 복제 트래픽 | 높음 | 저장 데이터보다 전송 채널의 TLS/VPN 제어 평면이 먼저 전환 대상이 됩니다. |
| 임시 캐시(Cache)와 단기 로그 | 낮음~중간 | 데이터 가치 수명이 짧다면 장기 기밀성 위험은 상대적으로 낮습니다. |
하드웨어, TPM, 난수, 성능
양자 전환은 알고리즘 이름만 바꾸는 작업이 아닙니다. 하드웨어 가속, TPM 증명, NIC 오프로드, 패킷 크기, CPU 용량 계획이 함께 바뀝니다.
| 구성요소 | 계속 유용한 점 | 오해하기 쉬운 점 | 점검 항목 |
|---|---|---|---|
| TPM 2.0 | Measured Boot, Seal/Unseal, 원격 증명 기반은 계속 중요합니다. | TPM이 있다고 시스템이 자동으로 포스트 양자 안전해지지는 않습니다. | AK/EK 인증서, 원격 검증기, 증명 로그 형식까지 함께 전환 가능한지 확인합니다. |
| QRNG / hwrng | 엔트로피 품질 확보에 도움을 줍니다. | 좋은 난수원이 PQC 전환을 대신하지는 않습니다. | DRBG, 엔트로피 풀, 초기 시드 경로를 점검합니다. |
| 암호화 가속기 | AES, SHA, IPsec, kTLS 데이터 평면 가속은 계속 유효합니다. | 현재 가속기가 ML-KEM, ML-DSA를 곧바로 가속한다고 가정하면 안 됩니다. | CPU fallback 비용, 핸드셰이크 TPS, 서명 검증량을 재벤치마크합니다. |
| NIC offload | 대칭 데이터 경로 오프로드는 유지될 가능성이 높습니다. | 핸드셰이크와 인증서 검증은 여전히 CPU에 남는 경우가 많습니다. | MTU, 초기 핸드셰이크 지연, 재키잉 비용을 같이 측정합니다. |
특히 네트워크 장비와 방화벽(Firewall)은 "데이터 평면은 오프로드되는데 제어 평면만 CPU에 남는" 비대칭 병목이 자주 생깁니다. PQC 전환기에는 이 차이가 더 커질 수 있으므로, 단순한 Gbps 수치만 보지 말고 핸드셰이크 처리량(Throughput), 인증서 체인 크기, 초기 연결 지연을 같이 측정해야 합니다.
왜 성능 수치가 달라지는가
대략적으로 보면 PQ 전환은 세 군데에서 비용을 늘립니다. 첫째, 핸드셰이크 메시지 안에 들어가는 공개키와 보조 데이터가 커집니다. 둘째, 서명과 검증에 쓰는 CPU 시간이 늘어날 수 있습니다. 셋째, 기존 하드웨어 가속기는 AES나 SHA는 잘 가속해도 새 KEM과 서명 알고리즘은 곧바로 가속하지 못할 수 있습니다.
| 관측 지표 | 왜 변합니까 | 무엇을 봐야 합니까 |
|---|---|---|
| 초기 연결 지연 | 핸드셰이크 왕복과 메시지 크기가 바뀝니다. | P50, P95 연결 지연과 인증서 체인 크기를 함께 봅니다. |
| CPU 사용량 | 서명 검증과 KEM 처리 비용이 늘어날 수 있습니다. | 초당 새 연결 수, 코어 사용량, 오프로드 fallback 여부를 봅니다. |
| 메모리 압력 | 더 큰 키와 서명 버퍼(Buffer)를 다루게 됩니다. | 캐시 적중률, 객체 크기 증가, 큐 길이를 확인합니다. |
전환 체크리스트
실무에서는 한 번에 전체를 바꾸기보다, 영향이 큰 경로부터 순차적으로 정리하는 편이 안전합니다.
- 암호 자산 목록을 만듭니다. TLS 종료점, WireGuard 피어, IKE 게이트웨이, Secure Boot 키, 모듈 서명 키, Git 태그 서명 키, TPM 증명 체계를 모두 나열합니다.
- 장기 기밀 자산을 분리합니다. 수확 후 복호화 위협이 큰 서비스부터 우선순위를 매깁니다.
- 하이브리드 가능한 구간을 먼저 엽니다. TLS와 릴리스 서명처럼 병행 운용이 가능한 영역부터 시험합니다.
- 검증기 호환성을 따로 추적합니다. 펌웨어, 부트로더, 배포판 툴, HSM, CI, 원격 검증기가 어떤 알고리즘을 실제로 받는지 확인합니다.
- 성능 한계를 다시 측정합니다. 핸드셰이크 지연, CPU 사용량, 패킷 크기, 인증서 체인 크기, 서명 검증 시간을 재측정합니다.
- 로그와 감사 기준을 바꿉니다. 어떤 경로가 고전 전용인지, 어떤 경로가 하이브리드인지, 어떤 경로가 PQ 우선인지 운영자가 구분할 수 있어야 합니다.
# 1. 커널과 사용자 공간의 암호 자산을 훑는 기본 점검
grep -E "CONFIG_MODULE_SIG|CONFIG_SYSTEM_TRUSTED|CONFIG_IMA|CONFIG_INTEGRITY" .config
mokutil --sb-state
keyctl list %:.platform
# 2. TLS / OpenSSL / PQC 관련 지원 확인
openssl version
openssl list -public-key-algorithms 2>/dev/null | grep -E "ML-|SLH"
openssl list -kem-algorithms 2>/dev/null
# 3. VPN과 키 교환 경계 확인
wg show
ip xfrm state
ip xfrm policy
# 4. TPM과 측정 부팅 경계 확인
tpm2_pcrread sha256:7,11 2>/dev/null
journalctl -b | grep -i "secure boot\\|ima\\|tpm"작게 시작하는 30일 예시
- 1주차:
TLS 종료점, VPN, Secure Boot, 모듈 서명, 릴리스 서명 위치를 표로 정리합니다. - 2주차:
각 경로가 어떤 공개키 알고리즘과 어떤 검증기를 쓰는지 기록합니다. - 3주차:
하이브리드 전환이 가능한 서비스 한 곳을 고르고 시험 환경에서 연결 지연과 CPU 비용을 측정합니다. - 4주차:
운영 문서에 "고전 전용", "하이브리드 시험 중", "장기 전환 필요" 상태를 표시하고 다음 분기 계획을 세웁니다.
2025-2026 커널·배포판 동향
2024년 8월 NIST가 FIPS 203/204/205 최종본을 공개한 뒤 1년 반 동안 리눅스 생태계는 사용자 공간(User Space)부터 빠르게 포스트 양자(Post-Quantum) 알고리즘을 받아들이기 시작했습니다. 반면 커널 본체의 crypto/와 lib/crypto/ 경로에는 아직 ML-KEM, ML-DSA 구현이 업스트림되지 않았으며, 2025-2026년은 "상층부는 이미 움직이고, 커널은 이어서 따라가는" 전환기로 볼 수 있습니다.
| 시점 | 변경 | 리눅스 개발자 영향 |
|---|---|---|
| Linux 6.11 (2024-09) | getrandom() vDSO 구현 병합 (x86-64 우선) | 사용자 공간 RNG가 시스템 콜(System Call) 없이 ChaCha20 스트림을 직접 소비하며, 일부 워크로드에서 최대 15배 처리량 향상이 보고됩니다. PQC 연산은 난수 소모가 많아 이 경로의 안정성이 전제 조건입니다. |
| Linux 6.15 (2025-04) | VAES+AVX2 기반 AES-CTR 최적화, dm-crypt의 공통 CRC32 라이브러리 전환, dm-stripe inline-crypto passthrough | 하이브리드 TLS가 대칭 처리량에 더 크게 의존하므로, 레코드 계층 성능이 병목을 좌우합니다. AMD Zen 5에서 최대 3.3배 AES-CTR 가속이 보고됩니다. |
| Linux 6.18/6.19 (개발 중, 2025 하반기~2026 상반기) | SHA-256 lib/crypto 아키텍처 최적화 리팩토링, ML-DSA(Dilithium) 기반 커널 모듈 서명 도입 준비 패치(Patch) | 업스트림 첫 PQC 검증기 진입점(Entry Point)이 모듈 서명(MODULE_SIG)이 될 가능성이 높으며, 이후 IMA/EVM, FS-Verity로 확장될 여지가 있습니다. |
| OpenSSL 3.5 LTS (2025-04-08, 지원 2030-04-08) | ML-KEM, ML-DSA, SLH-DSA가 기본 provider에 내장. TLS 1.3 기본 그룹 목록이 X25519MLKEM768, X25519로 변경 | 배포판을 업그레이드만 해도 서버가 하이브리드 키 교환을 기본 제안하기 시작합니다. 미들박스가 낯선 key_share 때문에 끊는 사례가 첫 번째 운영 이슈로 보고됩니다. |
| RHEL 10 (2025) | 시스템 전역 crypto-policies에 PQC 프로필 통합, PKCS#12 FIPS 기본 | update-crypto-policies --set DEFAULT:NO-SHA1과 같은 한 줄로 조직 전체 방향을 고정할 수 있습니다. 커널 키링이 받는 알고리즘 집합도 이 정책에 영향을 받습니다. |
| Ubuntu 26.04 (2026) | OpenSSH가 ML-KEM 기반 키 교환(mlkem768x25519-sha256)을 기본 제안 | SSH가 하이브리드 키 교환을 기본으로 쓰면 sshd_config의 KexAlgorithms를 명시적으로 관리할 필요가 커집니다. |
| Microsoft SymCrypt-OpenSSL 1.9.0 (2025) | Windows Insider 빌드와 Linux 양쪽에서 ML-KEM, ML-DSA 제공 | 혼합 환경에서 PQC 상호 운용 시 Azure, Windows Server, Linux가 같은 provider 계통을 공유할 수 있는 첫 세대 조합이 됩니다. |
| DebConf25 (2025) | "Rethinking Cryptography in the Linux Kernel — Preparing for the PQC Era" 발표 | 장기 아카이브용 dm-crypt, fscrypt를 PQC로 전환하려는 논의가 공식화되었습니다. 현재는 로드맵 단계이며, 2026년 이후 RFC 수준의 패치 시리즈가 공개될 전망입니다. |
CNSA 2.0 규제 달력
미국 NSA의 CNSA 2.0과 NIST SP 800-131A Rev.3는 리눅스 운영자가 실제로 의식해야 하는 외부 압력의 중심입니다. 배포판 정책과 커널 기본값이 이 달력을 따라 조금씩 움직입니다.
주의: CNSA 2.0이 요구하는 것은 ML-KEM-1024, ML-DSA-87, LMS, XMSS, SHA-384/512, AES-256 같은 상위 파라미터 집합입니다. ML-KEM-512, ML-DSA-44 같은 저강도 파라미터는 상용 환경에는 쓰더라도 국가 안보 계열에는 인정되지 않습니다. 배포판이 "PQC 지원"이라고 발표했다고 해서 규제 요건까지 만족하는 것은 아닙니다.
커널 내부 PQC 현황 점검
2026-04 현재 커널 업스트림에 병합된 PQC 구현은 없으며, 대부분의 실제 PQC 경로는 사용자 공간 라이브러리(OpenSSL 3.5, liboqs, SymCrypt, NSS 3.112)를 거칩니다. 커널이 관여하는 지점은 다음과 같은 경계에 집중됩니다.
- kTLS 오프로드 — TLS 1.3 핸드셰이크는 사용자 공간에서 끝나고 레코드 계층만 커널로 내려오므로, 하이브리드 KEM 전환의 영향은
kTLS가 아닌handshake upcall에 나타납니다. - 모듈 서명 —
CONFIG_MODULE_SIG_KEY와CONFIG_MODULE_SIG_FORMAT에 ML-DSA 체계를 추가하려는 패치 시리즈가 LKML에서 논의 중이며, 6.19 전후로 첫 병합이 예상됩니다. - IMA/EVM — 해시 알고리즘 자체보다는 서명 체계(X.509 기반)가 문제이며, asymmetric-key 계열에 ML-DSA가 올라올 때 같은 체인으로 확장됩니다.
- fscrypt, dm-crypt — 대칭 경로라 PQC 직접 영향은 작지만, DebConf25는 장기 아카이브 시 KEM으로 감싼 파일 키 래핑(Key Wrapping)을 재설계해야 한다는 제안을 공개했습니다.
- TPM 2.0 — TCG의 PQC 확장(LDAA 등)은 2026년 기준 아직 주요 벤더 펌웨어에 내려오지 않았으며, 커널
drivers/char/tpm/쪽도 전통적인 RSA/ECDSA 경로가 유지됩니다.
# 커널 업스트림에서 PQC 관련 심볼 빠른 확인 (6.15 기준에서는 대부분 미정의)
grep -RE "ML_KEM|ML_DSA|SLH_DSA|CRYPTO_PQC" include/ crypto/ lib/crypto/ 2>/dev/null || \
echo "업스트림 커널(6.15)에는 아직 PQC 심볼이 없습니다."
# 모듈 서명 키 알고리즘 현재 설정 확인
scripts/config --state MODULE_SIG_KEY
scripts/config --state MODULE_SIG_HASH
scripts/config --state MODULE_SIG_FORMAT
# asymmetric-key 서브시스템의 지원 알고리즘 목록
cat /proc/crypto | awk '/^name/ {name=$3} /^type.*akcipher/ {print name}'OpenSSL 3.5·OpenSSH 실습
실무자에게 가장 빠른 학습 방법은 OpenSSL 3.5를 설치한 환경에서 직접 하이브리드 TLS 연결과 PQC 서명을 생성해 보는 것입니다. 아래 예시는 OpenSSL 3.5가 기본으로 깔리는 RHEL 10 또는 Fedora 42 이상에서 바로 실행됩니다.
ML-KEM-768 하이브리드 키 교환 확인
# 현재 OpenSSL이 지원하는 KEM과 서명 목록
openssl list -kem-algorithms | grep -E "ML-KEM|X25519MLKEM"
openssl list -signature-algorithms | grep -E "ML-DSA|SLH-DSA"
# 서버 측: TLS 1.3 + 하이브리드 key_share로만 응답하도록 강제
openssl s_server -accept 4433 \
-cert server.crt -key server.key \
-tls1_3 -groups X25519MLKEM768 \
-www
# 클라이언트 측: 같은 그룹으로 접속하고 실제 선택된 KEM 확인
openssl s_client -connect 127.0.0.1:4433 \
-tls1_3 -groups X25519MLKEM768 \
-brief 2>&1 | grep -E "Negotiated|Peer signature"TLS 1.3 핸드셰이크에서 ClientHello에 두 개의 key_share(X25519와 X25519MLKEM768) 항목이 들어가는지는 tshark로 확인합니다. PQC 키 교환은 ClientHello 크기가 1KB를 훌쩍 넘기게 만들며, 일부 구형 미들박스는 이 크기에서 단절을 일으키는 것이 2025년의 대표적 운영 이슈입니다.
# 하이브리드 key_share가 실제 전송되는지 패킷 레벨에서 확인
tshark -i lo -f "tcp port 4433" \
-Y "tls.handshake.type == 1" \
-Tfields -e tls.handshake.extensions_key_share.group \
-e tls.handshake.extensions_key_share.key_exchange_lengthML-DSA-65 서명 생성과 검증
# 1. ML-DSA-65 개인키 생성 (FIPS 204의 권장 중급 파라미터)
openssl genpkey -algorithm ML-DSA-65 -out mldsa65.key
# 2. 공개키 추출과 키 속성 확인
openssl pkey -in mldsa65.key -pubout -out mldsa65.pub
openssl pkey -in mldsa65.key -text -noout | head -5
# 3. 문서 서명과 검증
echo "package release 2026.04" > manifest.txt
openssl pkeyutl -sign -inkey mldsa65.key \
-rawin -in manifest.txt -out manifest.sig
openssl pkeyutl -verify -pubin -inkey mldsa65.pub \
-rawin -in manifest.txt -sigfile manifest.sig
# 4. 서명 크기 실측 — ML-DSA-65 서명은 약 3,293바이트로 ECDSA-P256(~70바이트)보다 크게 뛰어오릅니다.
wc -c manifest.sigOpenSSH ML-KEM 키 교환
OpenSSH 9.9 이후로 mlkem768x25519-sha256가 실험 플래그로 들어갔고, Ubuntu 26.04와 일부 배포판 패치에서는 기본 제안으로 승격됩니다. 서버와 클라이언트가 같은 KEM을 선호하도록 맞춰야 협상이 성공합니다.
# 서버가 실제로 제안하는 KEX 알고리즘
ssh -Q kex | grep -E "mlkem|sntrup"
# 클라이언트에서 명시적으로 ML-KEM 하이브리드 키 교환 강제
ssh -o KexAlgorithms=mlkem768x25519-sha256 \
-o HostKeyAlgorithms=ssh-ed25519 \
-vv user@host 2>&1 | grep "kex:"
# /etc/ssh/sshd_config에 시스템 전역 정책 고정
printf "KexAlgorithms mlkem768x25519-sha256,curve25519-sha256\n" \
| sudo tee /etc/ssh/sshd_config.d/50-pqc.conf
실측 팁:
-vv 디버그 로그에서 kex: algorithm: mlkem768x25519-sha256 줄이 찍히면 실제로 하이브리드 KEX가 동작한 것입니다. 과거 2024-2025 초반에 많이 쓰인 sntrup761x25519-sha512(NTRU Prime 기반)는 NIST 표준은 아니지만 OpenSSH에서 일찍 실험된 경로이며, 신규 조직 정책에는 ML-KEM 계열을 우선 권장합니다.
배포판 crypto-policies 관점
# RHEL 10 / Fedora: 시스템 전역 암호 정책 상태
update-crypto-policies --show
update-crypto-policies --is-applied
# 기본에서 SHA-1과 레거시 알고리즘을 제외하고 PQC 선호로 고정하는 예
sudo update-crypto-policies --set DEFAULT:NO-SHA1
# 정책이 다루는 구성 요소 목록 (OpenSSL, GnuTLS, NSS, OpenSSH, Libreswan 등)
ls /etc/crypto-policies/back-ends/자주 나오는 오해
- "AES도 곧바로 깨집니다." 공개키 계열과 대칭키 계열의 영향이 다릅니다. 우선순위를 섞으면 전환 계획이 무너집니다.
- "QRNG가 있으면 끝입니다." 좋은 난수는 필요하지만, 공개키 교환과 서명 체계 전환을 대신하지는 못합니다.
- "TPM이 있으니 이미 안전합니다." TPM은 측정과 봉인에는 계속 유용하지만, 증명 인증서와 검증기 체인은 별도 전환이 필요합니다.
- "WireGuard PSK를 켰으니 모두 해결됐습니다." PSK는 헤지 수단일 뿐이며, 조직 전체의 공개키 신뢰 체계를 포스트 양자 상태로 바꾸는 작업은 별개입니다.
- "이중 서명에서 하나만 통과해도 충분합니다." 호환성 확보에는 도움이 되지만, 그 정책만으로는 포스트 양자 보증이 생기지 않습니다.
- "kTLS를 PQC로 다시 써야 합니다." 실제 전환 지점은 주로 TLS 핸드셰이크와 인증서 정책입니다. 레코드 계층의 대칭 처리 자체가 문제의 핵심은 아닙니다.
관련 문서
참고자료
- FIPS 203 — ML-KEM — 2024년 8월 13일 공개된 NIST 포스트 양자 키 캡슐화(Encapsulation) 표준입니다.
- FIPS 204 — ML-DSA — 2024년 8월 13일 공개된 NIST 포스트 양자 서명 표준입니다.
- FIPS 205 — SLH-DSA — 해시 기반 서명 표준입니다.
- NIST Post-Quantum Cryptography Project — 표준화 현황과 보조 자료를 제공합니다.
- NSA CSI: Quantum-Readiness — 조직 전환 우선순위와 운영 관점을 설명합니다.
- NSA Post-Quantum Cybersecurity Resources — CNSS Policy 15를 포함한 관련 자료 모음입니다.
- IETF TLS ECDHE-MLKEM — TLS 1.3 하이브리드 키 교환 표준화 문서입니다.
- OpenSSL 3.5 Documentation — ML-KEM, ML-DSA 관련 API와 TLS 설정 문서를 확인할 수 있습니다.
- OpenSSL 3.5.0 Final Release Announcement — 2025년 4월 8일 공개된 LTS 릴리스 공지로, 지원 기간과 PQC 기본값을 명시합니다.
- Linux To Gain ML-DSA/Dilithium Post-Quantum Cryptography For Module Signing — Phoronix — 커널 모듈 서명 PQC 전환 논의의 요약입니다.
- DebConf25: Rethinking Cryptography in the Linux Kernel — 장기 아카이브와 dm-crypt, fscrypt의 PQC 재설계 관점을 다룹니다.
- Post-quantum cryptography in Red Hat Enterprise Linux 10 — crypto-policies 통합과 PKCS#12 FIPS 기본 전환의 운영 관점을 정리합니다.
- Ubuntu 26.04 Post-Quantum SSH Hardening — OpenSSH ML-KEM 기반 키 교환의 적용 방법을 설명합니다.
- CNSA 2.0 Compliance Requirements — 알고리즘 목록, 파라미터 강도, 시점별 전환 요구 사항을 정리합니다.