🔐 포스트-양자 암호와 블록체인: 현재 산업의 위치

오늘날의 분산 원장, Hedera를 포함하여, 타원곡선 기반 서명 (ECDSA, Ed25519)에 의존하고 있으며, 미래의 양자 컴퓨터는 이를 깨뜨릴 수 있습니다. 이 위협은 당장 임박한 것은 아닙니다. 하지만 전환은 이미 진행 중입니다. 미국 국립표준기술연구소(NIST)는 2024년 8월 세 가지 포스트-양자 암호(PQC) 표준을 확정했고, 브라우저와 메시징 앱은 PQC 키 교환을 도입하고 있으며, Hedera는 완전한 포스트-양자 운영으로 나아가기 위한 구체적인 경로를 가지고 있습니다.

⚠️ 왜 양자 컴퓨터가 분산 원장을 위협하는가

공개키 암호는 거의 모든 블록체인과 현재 운영 중인 분산 원장 기술(DLT)을 보호합니다. 사용자가 Ed25519 또는 ECDSA로 트랜잭션에 서명할 때, 그 보안은 무엇보다도 타원곡선 이산로그 문제(ECDLP)의 어려움에 기반합니다. 이는 고전 컴퓨터로는 빠르게 해결할 수 없습니다.

그러나 충분히 강력한 양자 컴퓨터는 이 가정을 무너뜨립니다. Shor 알고리즘은 ECDLP를 다항 시간 내에 해결할 수 있습니다. 암호적으로 의미 있는 양자 컴퓨터(CRQC)를 가진 공격자는 공개키로부터 개인키를 도출하고 서명을 위조할 수 있습니다. 이는 타원곡선 또는 RSA 기반 서명을 사용하는 모든 체인에 적용됩니다: Bitcoin, Ethereum, Hedera, 그리고 그 외 네트워크 전반입니다.

타임라인은 불확실하지만 점점 좁혀지고 있습니다. 전문가 설문조사에 따르면 2030년대 후반까지 CRQC가 등장할 확률은 50% 이상이며, 2030년대 중반에도 의미 있는 확률이 존재합니다(Mosca & Piani, 2024). CRQC를 향한 진전은 최근 Google 논문 등에서도 계속되고 있습니다.

🧪 NIST 표준

특정 암호 기술이 어떻게 영향을 받는지 설명하기 전에, 대체 알고리즘과 현재 상태를 이해하는 것이 중요합니다.

2024년 8월 세 가지 표준이 확정되었습니다:

• FIPS 203, ML-KEM (CRYSTALS-Kyber 기반): 공유 비밀을 설정하기 위한 키 캡슐화
• FIPS 204, ML-DSA (CRYSTALS-Dilithium 기반): 디지털 서명
• FIPS 205, SLH-DSA (SPHINCS+ 기반): 서로 다른 보안 가정을 가진 해시 기반 디지털 서명으로, 보수적인 백업 용도

두 가지는 현재 진행 중입니다:

• FIPS 206, FN-DSA (Falcon 기반): 출력이 작은 디지털 서명으로, 블록체인과 같이 대역폭 제약이 있는 환경에서 중요합니다. NIST는 초기 공개 초안을 곧 발표할 예정이며, 일반적인 검토 주기를 기준으로 최종 표준은 2027년 초가 예상됩니다.
• FIPS 207, HQC-KEM (HQC 기반): 공유 비밀을 설정하기 위한 키 캡슐화. 초안과 최종 버전 모두 2027년에 나올 예정입니다.

이 작업은 8년에 걸친 과정입니다. NIST는 2017년에 82개의 제출을 받았고, 1라운드에서 69개, 2라운드에서 26개로 축소한 후 2022년 7월 4개의 알고리즘을 선정했으며, 이후 추가 라운드에서 HQC가 포함되었습니다. 별도로 IETF는 TLS 1.3용 하이브리드 키 교환을 진행 중이며, NSA의 CNSA 2.0 가이드는 연방 시스템이 2030~2035년까지 PQC 전환을 완료하도록 요구합니다.

🧩 “포스트-양자”의 실제 의미

“포스트-양자”는 단순히 하나의 스위치를 켜는 것이 아닙니다. 분산 원장은 여러 종류의 암호를 사용하며, 각 요소마다 양자 위험이 다릅니다.

카테고리 / 예시 / 양자 위험 / 상태

1. 해시 / SHA-256, SHA-384

• 위험 낮음. Brassard-Høyer-Tapp 알고리즘은 세제곱 속도 향상을 제공하며, 384비트는 약 128비트 보안을 제공합니다. 256비트도 충분할 수 있습니다.
• Hedera는 SHA-384를 사용하며, 이는 포스트-양자 안전으로 간주됩니다.

2. 대칭 암호 / AES-256

• 위험 낮음. 256비트 키는 포스트-양자 환경에서도 충분합니다.
• 이미 포스트-양자 상태입니다.

3. 키 교환 / TLS (ECDHE)

• 위험 높음. Shor 알고리즘으로 깨집니다.
• 업계 전반에서 마이그레이션 진행 중입니다.

4. 디지털 서명 / ECDSA, Ed25519

• 위험 높음. Shor 알고리즘으로 깨집니다.
• 업그레이드가 가장 어려운 영역입니다.

🧠 Hedera의 현재 암호 상태

요약하면, 해시와 대칭 암호는 현재 키 크기 기준으로 이미 양자 공격에 강하지만, 서명과 키 교환은 그렇지 않습니다. 즉 Hedera의 암호 스택 중 일부는 이미 포스트-양자 상태이며, 다른 부분은 계획적인 전환이 필요합니다.

트랜잭션이 Hedera 네트워크에 제출되면 노드로 전송되고, 해당 노드는 이를 합의 네트워크로 전달합니다. 이후 해시그래프 합의 알고리즘이 네트워크 노드 간 가상 투표를 통해 트랜잭션의 합의 타임스탬프와 순서를 결정합니다. 합의가 이루어지면 트랜잭션은 네트워크 상태에 반영되며, 이는 HBAR 전송, 스마트 컨트랙트 실행, 파일 업데이트 등을 포함합니다.

🔗 해시: SHA-384

Hedera는 SHA-384를 사용하여 해시그래프 기록을 연결하고 데이터 무결성을 검증합니다. 양자 알고리즘은 이 보안을 약 128비트 수준으로 낮출 수 있지만, 이는 현재 기준으로 충분히 안전하며 전문가들에 의해 안전한 것으로 간주됩니다. SHA-384는 AES-256과 함께 고보안 포스트-양자 지침에서도 사용되며, CNSA 표준에서도 요구됩니다. 많은 다른 네트워크는 SHA-256을 사용하며, 이는 충분할 수 있습니다.

🔒 대칭 암호: AES-256

Hedera는 TLS 내에서 AES-256을 사용하여 전송 데이터를 암호화합니다. Grover 알고리즘은 이 보안을 약 128비트 수준으로 낮출 수 있지만, 전문가들은 이를 여전히 안전한 수준으로 평가합니다.

🌐 키 교환: TLS

Hedera는 노드 간 및 클라이언트 간 통신에 TLS를 사용합니다. 그러나 네트워크의 보안은 TLS에 의존하지 않습니다. 해시그래프 합의는 전송 계층과 독립적으로 자체적인 무결성 보장을 제공합니다.

더 넓은 인터넷에서는 이미 포스트-양자 및 하이브리드 TLS가 배포되고 있습니다. Chrome은 2024년 4월부터 기본적으로 하이브리드 키 교환(X25519 + ML-KEM-768)을 적용했으며, Cloudflare, Apple(iMessage PQ3), Signal(PQXDH)도 PQC 키 캡슐화를 실제 서비스에 적용했습니다. TLS 라이브러리가 PQC 및 하이브리드 키 교환을 지원하게 되면, Hedera도 이를 네트워크에 적용할 예정입니다. 이는 프로토콜 재설계가 아닌 설정 수준의 변경입니다.

🧨 서명: 업그레이드가 필요한 핵심 요소

현재 Hedera의 계정과 트랜잭션은 ECDSA(secp256k1)와 Ed25519를 사용합니다. 이 두 방식은 고전 컴퓨터 공격에 대해서는 강력하지만, 양자 저항성은 없습니다.

이 영역이 바로 업그레이드가 필요한 부분이며, 네트워크 측면(노드 수준 이벤트 서명)과 사용자 측면(계정 키, 스마트 컨트랙트 권한) 모두에 해당합니다.

Hedera는 SHA-384와 AES-256 같은 포스트-양자 요소를 이미 갖추고 있습니다. 그러나 완전한 엔드투엔드 포스트-양자 보안을 위해 필요한 포스트-양자 서명은 아직 도입되지 않았습니다. 이는 Hedera만의 문제가 아니라, 전통적인 서명을 사용하는 주요 DLT 네트워크 어디에도 완전히 적용되지 않은 상태입니다.

🏗️ 네트워크 보안과 사용자 보안

모든 서명 업그레이드가 동시에 이루어질 필요는 없습니다. 이 전환은 서로 다른 영역을 다룹니다.

네트워크 서명:

노드들은 실시간 합의 과정에서 이벤트에 서명합니다. 이 서명은 합의를 형성하는 데 있어 실시간으로 중요합니다. 이를 포스트-양자 알고리즘으로 업그레이드하면 합의 과정의 무결성을 보호할 수 있습니다.

이는 인프라 수준의 변경이며, 최종 사용자에게 별도의 조치를 요구하지 않고 진행될 수 있습니다.

합의가 완료되면, 서명된 블록과 상태는 영구 기록의 일부가 됩니다. 이러한 서명을 보호하는 것은, 미래에 CRQC가 등장하더라도 원장의 기록이 장기적으로 검증 가능하도록 유지하는 데 중요합니다. 이 접근 방식과 타임라인은 이벤트 서명과 다를 수 있습니다.

사용자 키:

사용자와 애플리케이션은 자산 전송, 스마트 컨트랙트 호출, 토큰 작업을 승인하기 위한 키를 보유합니다.

포스트-양자 계정 키 타입이 도입되면, 사용자와 지갑 제공자는 각자의 일정에 맞춰 전환할 수 있습니다.

이 과정은 지갑, 커스터디 서비스, SDK 유지관리자, 그리고 생태계 전반의 사용자들과의 협력이 필요합니다.

이 두 영역은 서로 연결되어 있지만 독립적으로 진행될 수 있습니다. 실제로는 네트워크 운영을 먼저 강화하고 이후 사용자 키 전환을 지원하는 것이 합리적인 순서입니다. 이는 포스트-양자 서명이 훨씬 더 크기 때문에 트랜잭션 비용과 도구에 영향을 미치기 때문입니다.

📦 크기 문제 (The Size Problem)

포스트-양자 서명 알고리즘은 현재의 타원곡선 방식보다 훨씬 더 큰 키와 서명을 생성합니다. 이것이 PQC를 고려하는 블록체인에서 가장 큰 실질적인 장애 요소입니다.

다음은 NIST Level 5 기준 비교입니다:

• Ed25519 (현재): 공개키 32바이트 / 서명 64바이트 / 약 128비트 보안

• ECDSA secp256k1 (현재): 공개키 33바이트 / 서명 64~72바이트 / 약 128비트 보안

• FN-DSA-1024 (FIPS 206, 초안): 공개키 1,793바이트 / 서명 1,280바이트 / NIST Level 5

• ML-DSA-87 (FIPS 204): 공개키 2,592바이트 / 서명 4,627바이트 / NIST Level 5

• SLH-DSA-256s (FIPS 205): 공개키 64바이트 / 서명 29,792바이트 / NIST Level 5

FN-DSA-1024는 Level 5에서 가장 작은 lattice 기반 옵션이지만, Ed25519보다 약 20배 큰 서명을 생성합니다. ML-DSA-87은 70배 이상 큽니다.

이 증가로 인해 다음과 같은 영향이 발생합니다:

• 트랜잭션 크기 및 비용 증가
• 네트워크 대역폭 증가
• 원장 저장소 증가
• 최대 트랜잭션 크기 제한 변화
• 멀티시그 구조 복잡성 증가

FN-DSA는 블록체인 업계에서 많은 주목을 받고 있지만, 서명 과정에서 부동소수점 연산을 사용하기 때문에 구현 복잡성과 사이드채널 공격 위험이 존재합니다. ML-DSA는 구현이 더 단순하지만 서명 크기는 FN-DSA보다 약 3.6배 큽니다.

🌍 산업의 접근 방식

일부 네트워크는 특정 사용 사례에 대해 포스트-양자 서명 전환을 실험하고 있지만, 주요 네트워크 중 완전한 전환을 완료한 곳은 없습니다.

산업은 아직 초기 단계이며 접근 방식도 다양합니다.

일부는 ML-DSA(Dilithium)를 고려하고 있으며, 다른 일부는 더 작은 출력 크기를 위해 FIPS 206 (FN-DSA)을 주시하고 있습니다.

공통된 문제는 명확합니다. 포스트-양자 서명은 기존 방식보다 10배에서 50배 더 크며,
양자 저항성을 확보하기 위해 생태계 전반에서 실제 비용 증가를 감수해야 합니다.

🛣️ Hedera의 포스트-양자 전환 경로

Hedera의 전환은 가장 단순한 변경부터 시작해 점진적으로 진행됩니다:

1. 노드 간 포스트-양자 TLS

• TLS 라이브러리가 PQC/하이브리드 지원을 추가하면, 노드 간 통신에서 포스트-양자 키 교환을 활성화할 수 있습니다.

• 이는 합의 보안에는 영향을 주지 않습니다.

2. 클라이언트 연결 포스트-양자 TLS

• 동일한 업그레이드를 클라이언트 연결에도 적용합니다.

3. 포스트-양자 이벤트 서명

• 합의 노드는 이벤트와 블록에 서명합니다. Falcon 초안이 준비되면 Ed25519와 FN-DSA를 함께 사용하는 하이브리드 서명을 도입합니다.

• 이후 최종 표준이 확정되면 순수 FN-DSA로 전환됩니다.

4. 사용자용 포스트-양자 키 타입 (HAPI)

• FIPS 206이 확정되면 Hedera API에 새로운 키 타입이 추가됩니다. 사용자와 애플리케이션은 각자의 속도로 키를 교체할 수 있습니다.

• 이로 인해 트랜잭션 크기는 증가합니다 (FN-DSA 서명: 1,280바이트 vs Ed25519: 64바이트).
최대 트랜잭션 크기 제한도 함께 증가할 예정입니다.

• 목표 시점은 2027년이며, FIPS 206이 지연될 경우 ML-DSA가 대안으로 사용됩니다.

🧑‍💻 개발자에게 의미하는 바

기존 Ed25519 및 ECDSA 키는 전환 과정 내내 계속 작동합니다. 현재 시점에서는 변경이 필요하지 않습니다.

다만 장기간 사용되는 자산이나 키를 다루는 애플리케이션의 경우 다음을 고려해야 합니다:

• FIPS 206(FN-DSA) 표준 진행 상황 모니터링
• 키 교체(rotate) 구조 개선
• 트랜잭션 크기 및 서명 증가에 대한 대비

실험을 원하는 경우 Open Quantum Safe 프로젝트에서 ML-KEM, ML-DSA 등 다양한 PQC 알고리즘을 테스트할 수 있습니다.

🧾 결론

포스트-양자 전환은 단일 변경이 아니라 단계적인 과정입니다. Hedera는 SHA-384와 AES-256 같은 포스트-양자 요소를 이미 갖추고 있지만, 완전한 보안을 위해 필요한 서명 전환은 아직 진행 중입니다. 이는 Hedera만의 문제가 아니라, 전체 블록체인 산업이 함께 해결해 나가고 있는 과제입니다.

❓ FAQ

🔐1. Hedera는 현재 “양자 보안(quantum secure)” 상태인가요?

Hedera는 포스트-양자 해시(SHA-384)와 대칭 암호(AES-256)를 사용하고 있습니다. 하지만 완전한 포스트-양자 보안을 위해서는 네트워크 운영과 사용자 키 모두에 대해 포스트-양자 디지털 서명이 필요합니다. 해당 전환은 현재 진행 중입니다.

🧨2. Ed25519와 ECDSA는 양자 저항성이 있나요?

아니요. 이 두 방식 모두 Shor 알고리즘으로 깨질 수 있는 타원곡선 수학에 기반하고 있습니다. 다만, 현재 알려진 모든 고전 컴퓨터 공격에 대해서는 여전히 강력한 보안을 제공합니다.

🔗 왜 SHA-256이 아니라 SHA-384를 사용하나요?

양자 환경에서 Brassard-Høyer-Tapp 알고리즘은 해시를 공격할 때 세제곱 속도 향상을 제공합니다.
따라서 원하는 보안 수준(약 128비트)을 유지하려면 384비트가 필요합니다 (384 ÷ 3 = 128).

이 때문에 미국 정부는 CNSA 표준에 따라 최고 기밀(Top Secret) 정보를 보호하는 데 SHA-384를 요구하고 있습니다. 최근에는 해당 알고리즘이 너무 많은 메모리를 필요로 한다는 논의도 있으며, SHA-256도 충분할 수 있다는 의견이 있습니다. 하지만 SHA-384는 확실한 안전한 선택입니다.

💸 포스트-양자 서명은 트랜잭션 비용을 증가시키나요?

FN-DSA-1024 서명은 약 1,280바이트이며, Ed25519의 64바이트보다 훨씬 큽니다. ML-DSA 서명은 이보다 더 커서 2,400바이트 이상입니다. 이 차이는 모든 블록체인에서 트랜잭션 크기와 저장 공간에 영향을 주며, 결과적으로 비용 증가로 이어질 수 있습니다.

⏳ Hedera에서 사용자는 언제 포스트-양자 키를 사용할 수 있나요?

새로운 키 타입은 FIPS-206(Falcon)이 최종 확정되는 시점에 도입될 예정이며, 지연될 경우 2027년을 목표로 합니다. 이 기능이 추가되면 지갑 소프트웨어도 업데이트되어야 사용자가 키를 교체(rotate)할 수 있습니다. 지갑 개발자들은 이를 빠르게 지원할 수 있도록 준비해야 하며, 사용자에게 새로운 키로 업그레이드하도록 주기적인 알림을 제공하는 것도 고려할 수 있습니다.

⚙️ 왜 양자 컴퓨터가 더 가까워질 때까지 기다리지 않나요?

암호 전환은 네트워크, 지갑, 커스터디, 개발 도구 전반에 걸쳐 이루어지기 때문에 매우 오랜 시간이 걸립니다. 지금처럼 표준이 정립되고 여유가 있는 시점에서 시작하는 것이, 나중에 급하게 전환하는 것보다 훨씬 유리합니다. 다만 PQC 구현은 아직 발전 중이며, FN-DSA와 ML-DSA의 보안 가정에 대해서도 암호학 커뮤니티가 계속 검토하고 있습니다. 따라서 단계적인 접근 방식은 긴급성, 그리고 지속적인 검증, 이 두 가지를 모두 반영한 전략입니다.