Cloudflare, 2029년까지 완전한 포스트양자 보안 목표

 (blog.cloudflare.com)
2P by GN⁺ 9시간전 | ★ favorite | 댓글 1개
  • Cloudflare는 2029년까지 모든 제품의 인증과 암호화 체계를 포스트양자 보안으로 전환하는 목표를 세우고, Q-Day(양자컴퓨터가 기존 암호를 깨는 시점)에 대비한 일정을 가속화
  • 현재 트래픽의 65% 이상이 포스트양자 암호화를 사용하지만, 인증 체계가 양자 안전하지 않으면 완전한 보호가 불가능하다고 명시함
  • Google과 Oratomic의 연구로 양자컴퓨터의 암호 해독 능력 향상이 예상보다 빠름이 드러나며, Q-Day가 2030년 이전으로 앞당겨질 가능성이 제기됨
  • Cloudflare는 인증 시스템의 양자 안전성 확보를 최우선 과제로 삼고, 단계별 마일스톤을 설정해 전체 제품군의 보안 전환을 추진 중임
  • 모든 포스트양자 업그레이드는 요금제와 무관하게 무료 제공되며, Cloudflare는 이를 통해 “더 나은 인터넷 구축”이라는 사명을 강화함

Cloudflare의 2029년 완전한 포스트양자 보안 목표

  • Cloudflare는 2029년까지 전체 제품군을 포스트양자(PQ) 보안으로 전환하는 목표를 설정하고, 인증(Authentication) 영역까지 포함함
  • 2014년 무료 SSL 인증서 제공을 시작으로, 2019년 포스트양자 전환 준비를 진행했으며 2022년에는 모든 웹사이트와 API에 포스트양자 암호화를 적용함
  • 현재 Cloudflare 트래픽의 65% 이상이 포스트양자 암호화를 사용하지만, 인증 체계가 양자 안전하지 않으면 완전한 보호가 불가능하다고 명시함
  • Google과 Oratomic의 최근 연구로 양자컴퓨터의 암호 해독 능력 발전 속도가 예상보다 빠름이 드러나며, Q-Day(양자컴퓨터가 기존 암호를 깨는 날)가 2030년 이전으로 앞당겨질 가능성이 제기됨
  • 이에 따라 Cloudflare는 내부 Q-Day 대비 일정을 가속화하고, 인증 시스템 중심의 보안 전환을 추진 중임

양자컴퓨팅 진전과 Q-Day 가속화

  • Google은 타원곡선암호(ECC)를 깨는 양자 알고리듬의 성능을 대폭 향상시켰다고 발표했으며, 알고리듬 자체는 공개하지 않고 영지식증명(Zero-Knowledge Proof) 으로 존재를 입증함
  • 같은 날 Oratomic은 중성원자(Neutral Atom) 기반 양자컴퓨터에서 RSA-2048과 P-256을 깨는 데 필요한 자원 추정치를 공개했으며, P-256의 경우 1만 큐비트만으로 가능하다고 제시함
  • Google이 중성원자 접근법을 병행 개발하는 이유가 명확해졌으며, Oratomic은 일부 세부사항을 의도적으로 비공개 처리함
  • Google은 이에 따라 자사 포스트양자 전환 목표를 2029년으로 앞당김, IBM Quantum Safe CTO는 2029년경 고가치 목표에 대한 “문샷 공격” 가능성을 배제할 수 없다고 언급함
  • Scott Aaronson은 2025년 말, 양자 암호 해독 자원 추정치가 더 이상 공개되지 않을 시점이 도래했다고 경고했으며, Cloudflare는 “그 시점이 이미 지났다”고 평가함

양자컴퓨터 발전의 세 가지 축

  • 하드웨어: 중성원자, 초전도, 이온트랩, 광자, 위상 큐비트 등 다양한 접근법이 병행되고 있으며, 대부분의 연구소가 병렬로 개발 중임
    • 과거에는 확장성에 의문이 있었으나, 최근 중성원자 방식이 가장 빠르게 진전
    • 아직 대규모 확장은 입증되지 않았지만, 여러 접근법이 임계점에 근접함
  • 오류 정정(Error Correction): 모든 양자컴퓨터는 잡음이 많아 오류 정정 코드가 필수
    • 초전도 방식은 논리 큐비트 1개당 약 1,000개의 물리 큐비트가 필요하지만, 중성원자 방식은 3~4개만으로 가능하다고 Oratomic이 제시함
  • 소프트웨어: Google은 P-256 해독 알고리듬의 속도를 대폭 향상, Oratomic은 재구성 가능한 큐비트에 최적화된 추가 개선을 제시함
  • 이 세 축의 동시 발전으로 Q-Day 예상 시점이 2035년 이후에서 2030년 이전으로 단축

인증(Authentication) 중심의 보안 전환 필요성

  • 기존 산업의 포스트양자 대응은 주로 암호화(Encryption) 중심으로, Harvest-Now/Decrypt-Later(HNDL) 공격 방어에 초점을 맞춰왔음
  • HNDL 공격은 현재 데이터를 수집해 미래의 양자컴퓨터로 복호화하는 방식으로, Q-Day가 멀리 있을 때 주요 위협임
  • 그러나 Q-Day가 임박하면 인증 체계가 더 큰 위험, 공격자는 서버를 위조하거나 접근 자격 증명을 위조할 수 있음
  • 양자 취약 인증키 하나만 노출되어도 전체 시스템이 침해될 수 있으며, 자동 업데이트 시스템은 원격 코드 실행(RCE) 경로가 됨
  • 따라서 “암호화 데이터가 언제 위험해질까?”보다 “언제 공격자가 양자 위조 키로 침입할까?”가 더 중요한 질문이 됨

  • 가장 취약한 시스템의 우선순위

    • 초기 양자컴퓨터는 비싸고 희소하므로 공격자는 루트 인증서, API 키, 코드서명 인증서 등 고가치 장기 키를 우선 노림
    • 장기 키는 공격 비용이 높을수록 우선순위가 높지만, 고속 CRQC(양자컴퓨터) 가 등장하면 다시 HNDL 공격이 유리해짐
    • Google의 Sophie Schmieg는 이를 2차대전 중 Enigma 해독의 전략적 전환에 비유함

  • 다운그레이드 공격 방지

    • PQ 암호화 지원만으로는 부족하며, 양자 취약 암호를 완전히 비활성화해야 함
    • 웹처럼 클라이언트 다양성이 큰 환경에서는 완전 비활성화가 어려움
    • HTTPS에서는 PQ HSTS 또는 인증서 투명성(Certificate Transparency) 으로 부분적 보호 가능
    • 모든 양자 취약 암호를 제거한 후에는 기존 노출된 비밀번호·토큰 등 비밀정보를 교체해야 함
    • 인증 전환은 암호화보다 훨씬 복잡하며, 수년 단위의 이행 기간이 필요함

  • 서드파티 의존성 고려

    • Q-Day는 모든 시스템에 영향을 미치므로, 직접 통신하는 파트너뿐 아니라 금융·인프라 등 간접 의존성도 평가해야 함
    • 장기 키 우선 교체, 서드파티 협력, 전체 생태계의 동시 전환이 필요함

Cloudflare의 포스트양자 로드맵

  • 현재 Cloudflare는 대부분의 제품에서 포스트양자 암호화를 기본 적용, HNDL 공격을 완화함
  • 2029년까지 인증을 포함한 전체 제품군의 완전한 포스트양자 보안 달성을 목표로 함
  • 위험 인식과 배포 난이도에 따라 중간 단계별 마일스톤을 설정하고, 상황에 따라 조정 예정임

조직별 권장 사항

  • 기업

    • 포스트양자 지원을 조달 요건으로 포함할 것을 권장
    • 소프트웨어 최신화, 인증서 자동 발급 등 기본 보안 관행이 중요
    • 핵심 공급업체의 대응 미비가 비즈니스에 미칠 영향을 조기에 평가해야 함

  • 정부 및 규제 기관

    • 명확한 일정 제시와 주도 기관 지정이 산업 전반의 전환을 가속화함
    • 국가 간 표준 분열은 위험 요소이므로, 국제 표준 기반의 일관된 추진이 필요
    • 공포보다는 신뢰 기반의 선제적 전환 리더십이 중요함

  • Cloudflare 고객

    • Cloudflare는 자동으로 포스트양자 보안을 기본 적용하므로 별도 조치 불필요
    • 단, 브라우저·애플리케이션·오리진 서버 등 외부 구성요소의 업그레이드 필요성은 존재
    • Cloudflare One은 터널링을 통해 엔드투엔드 포스트양자 암호화 보호를 제공함

Cloudflare의 철학과 무료 제공 정책

  • 프라이버시와 보안은 인터넷의 기본 요소로, 모든 포스트양자 업그레이드는 모든 요금제 고객에게 무료 제공
  • 과거 무료 TLS가 웹 암호화를 확산시켰듯, 무료 포스트양자 암호화가 차세대 인터넷 보안을 견인할 것임
  • Cloudflare의 Connectivity Cloud는 기업 네트워크 보호, 대규모 애플리케이션 구축, 웹 성능 가속, DDoS 방어, 제로트러스트 구현을 지원함
  • 사용자는 1.1.1.1 앱을 통해 더 빠르고 안전한 인터넷을 이용할 수 있음
  • Cloudflare는 “더 나은 인터넷 구축” 이라는 사명을 기반으로, 포스트양자 시대의 보안을 선도함

함께 보면 좋은 글 β

GN⁺ 9시간전  [-]
Hacker News 의견들

  • PQ(양자내성) 암호화의 도입 과정을 과거 HTTPS 보급과 비교해보면 흥미로울 것 같음
    Cloudflare는 브라우저나 사용자 단말의 업그레이드 주기와 백엔드 업그레이드를 분리할 수 있어서 이런 전환을 쉽게 추진할 수 있는 위치에 있음
    일부 사이트에서 선택적으로 PQ를 적용하고, 점차 필수화되면 브라우저가 경고나 UX 기반의 유도를 통해 사용자를 전환시키는 식으로 진행될 것이라 봄
    예전에는 ‘성급한 업그레이드의 위험이 양자 공격의 위험보다 크다’고 생각했지만, 최근 정보로는 빠른 전환이 더 낫다는 쪽으로 무게가 옮겨졌음
    웹사이트 업데이트는 다른 시스템(특히 비트코인, 저장 데이터, 하드웨어 등)에 비해 훨씬 쉬울 것이라 생각함

    • 만약 진짜 양자컴퓨터의 증거가 드러난다면, 브라우저가 비-PQ 암호를 ‘안전하지 않음’으로 표시해 웹사이트 전환을 강제할 수 있을 것임
      TLS 1.4나 QUIC 2 같은 새 버전에서 암호 스펙만 바꾸는 식으로 2~3년 내 가능할지도 모름
      문제는 펌웨어 업데이트가 끊긴 오래된 기기들이 새 프로토콜을 지원하지 못해 대량으로 연결이 끊길 수 있다는 점임
    • 지금 기다리면 나중에 더 급하게 움직여야 함
      Cloudflare Radar에 원본 서버의 PQ 지원 통계를 추가했는데, 브라우저보다는 낮지만 예상보다 괜찮은 수준임
      아직 인증(Authentication) 문제 등 갈 길이 멀음
    • 웹사이트 업데이트보다 어려운 시스템으로 IPv6 전환도 빼놓을 수 없음

  • 우리 서비스 qi.rt.ht에서 PQ 쿼리를 직접 해볼 수 있음
    어떤 도메인이 PQ 보안이 적용되어 있는지 확인 가능함

    • 정말 아름다운 API라고 생각함

  • Cloudflare의 post-quantum TLS 테스트 결과, news.ycombinator.com:443은 X25519를 사용 중이라 PQ 보안이 아님
    이미 마이그레이션 계획이 있기를 바람
    최신 도구들 덕분에 전환은 어렵지 않을 듯함. 혹시 HN이 어떤 스택을 쓰는지 아는 사람 있음?

    • 생각보다 브라우저 지원률이 훨씬 좋다는 점이 놀라움

  • Mozilla가 최근 서버 측 TLS 설정 가이드를 업데이트해 X25519MLKEM768 PQ 키 교환을 권장함
    공식 문서에 따르면, 오래된 클라이언트 호환 프로필은 제거되었고, IE11/Win7용 폴백도 사라져 이제 Win10 이상이 최소 기준이 됨

  • 실제로 양자 시스템이 암호를 깬 사례가 있는지 궁금함

    • 최근 2개월 사이 암호공학자들 사이에서 분위기가 급격히 바뀌었음
      여러 논문과 루머가 맞물리며, 실제 CRQC(암호 해독 가능한 양자컴퓨터) 등장 시점이 훨씬 앞당겨졌다는 공감대가 형성됨
      일부 전문가들은 ‘임박했다’는 수준까지 보고 있음
    • 아직은 이론 단계임
      다만 NSA 같은 기관이 비밀리에 양자컴퓨터를 확보할 가능성을 우려해, 연구자들이 조기 경고를 보내는 상황임
      명확한 증거를 기다리면 이미 늦을 수 있음
    • 여전히 이론이지만, 실제 공격 가능한 수준의 양자 시스템이 예상보다 빨리 올 것이라는 합의가 생기고 있음
      Golang 암호 패키지 관리자 Filippo Valsorda가 요약 글을 올렸는데, “2029년까지 대비해야 한다”는 결론임
    • 아직 아무것도 깨지지 않았지만, 지금 데이터를 수집해두면 나중에 양자컴퓨터로 복호화할 수 있기 때문에 지금부터 대비해야 함
    • PQ 알고리즘 자체의 안전성 검증도 아직 완전하지 않음

  • 향후 CPU에서 PQC 하드웨어 가속을 지원할 계획이 있는지 궁금함
    PQC가 표준이 되면 구형 기기들이 느려질까 걱정됨

    • PQC는 비대칭 암호(핸드셰이크 단계)에만 필요함
      이후의 대칭 암호(AES, ChaCha20 등)는 양자 영향이 적어 당분간 교체되지 않음
      일반 CPU에는 비대칭 암호 가속이 원래 없기 때문에 큰 차이는 없을 것임
    • 사실 하드웨어 가속이 없어도 벡터 연산으로 충분히 빠르게 처리 가능함
      새 알고리즘은 대부분 모듈러 선형대수 기반이라 최적화 여지가 많음

  • 지금 SSH 키를 PQ 암호로 바꿔야 하는지 궁금함

    • OpenSSH는 2022년부터 PQ 키 교환을 지원함
      10.1 버전(2025년 10월)부터는 PQ를 쓰지 않으면 경고가 표시됨
      키를 새로 만들 필요는 없고, 양쪽 소프트웨어만 업그레이드하면 됨
      다만 PQ 서명으로 전환할 때는 키 교체가 필요하지만 긴급하지는 않음

  • PQ 알고리즘으로 전환할 때 단점이 있는지 궁금함
    양자컴퓨터가 실패로 끝나더라도 그냥 쓰면 안 될 이유가 있을까?

    • 오히려 PQ 알고리즘은 기존 방식보다 더 철저히 검증되었음
      다만 타원곡선 암호(ECC)는 키와 서명이 작아 대역폭 효율이 좋고, 수학적 난이도에 대한 신뢰도도 높음
      반면 PQ 알고리즘은 구현이 단순해 보안 취약 구현 가능성이 낮고, 약한 인스턴스를 고르기 어려움
      ML-DSA, ML-KEM은 안정적이며 속도도 빠름
    • PQ 인증서는 현재보다 길이가 훨씬 김
      정확한 수치는 모르지만 저장 공간과 전송량이 늘어남
    • PQ 알고리즘은 기존 ECC보다 속도는 느리고 데이터 교환량은 많음, 하지만 보안 수준은 동일함

  • Mullvad는 이미 PQ 암호화를 지원 중임
    개인적으로 10점 만점에 10점짜리 회사라 추천함

  • 한 가지 다른 질문임
    모두가 양자내성 암호로 전환한 뒤에는 양자컴퓨터의 의미가 무엇일까?
    지금은 암호 해독 얘기만 나오는데, 그 외의 용도는 단백질 접힘, 물류 최적화 같은 연구용일까?
    만약 1시간에 256비트 키 하나를 깰 수 있는 1천만 달러짜리 양자컴퓨터가 생겨도, 모든 시스템이 PQ로 바뀌면 그건 단지 파괴적 도구일 뿐임
    ECC를 깨는 건 인류에 도움이 되지 않음
    그렇다면 양자컴퓨터는 그 이후 무엇에 쓰일 수 있을까 하는 의문이 남음

답변달기