양자 컴퓨팅의 발전은 TLS에서 오랫동안 사용해 온 암호화 메커니즘을 위협합니다. Google은 연구가 현재 속도로 계속 진행된다면 2029년까지 양자 컴퓨터가 TLS 에 사용되는 비대칭 암호화의 보안을 깨뜨릴 수 있다고 생각합니다.
이러한 위험을 완화하기 위해 Google Cloud 부하 분산기는 양자 컴퓨터의 이론적 기능을 방지하도록 설계된 양자 내성 키 교환 기능을 지원합니다. 이러한 알고리즘은 NIST (National Institute of Standards and Technology)에서 개발하고 검증했으며, TLS에서의 사용은 IETF에서 개발 중인 표준을 준수합니다.
자세한 내용은 의 양자 내성 암호화를 참고하세요 Google Cloud.
양자 컴퓨팅이 TLS 보안을 위협하는 방식
암호화 관련 양자 컴퓨터는 키 교환 및 인증이라는 TLS 보안의 두 가지 중요한 구성요소에 대한 공격을 가능하게 합니다.
키 교환에 대한 공격
암호화 관련 양자 컴퓨터는 TLS 핸드셰이크 중에 사용되는 키 교환 알고리즘을 깨뜨려 TLS 세션을 암호화하는 대칭 키를 드러내고 애플리케이션 계층 트래픽을 일반 텍스트로 노출할 수 있습니다. 이는 ECDHE와 같은 PFS(Perfect Forward Secrecy) 키 교환 방법을 사용하는 TLS 연결에도 적용됩니다. 오늘 전체 TLS 세션을 기록하는 공격자는 양자 컴퓨팅 기능을 사용할 수 있게 되는 미래에 이를 복호화할 수도 있습니다. 이를 지금 수집, 나중에 복호화 공격 이라고 합니다.
인증에 대한 공격
암호화 관련 양자 컴퓨터는 TLS 인증서 또는 인증 기관에 사용되는 키를 깨뜨려 공격자가 클라이언트 또는 서버 ID를 허위로 주장할 수 있도록 합니다. 중간자 공격과 함께 사용하면 공격자가 TLS로 암호화된 세션의 콘텐츠를 보고 조작할 수 있습니다. 키 교환에 대한 공격과 달리 인증에 대한 공격은 기록된 트래픽에 대해 소급하여 수행할 수 없습니다. 그러나 인증에 대한 공격은 웹 인증의 무결성을 크게 위협합니다.
대칭 암호는 위협받지 않음
핸드셰이크 및 인증이 완료된 후 TLS 세션을 암호화하는 데 사용되는 대칭 암호화 암호(예: AES-128, AES-256, ChaCha20)는 양자 컴퓨팅의 위협을 받지 않습니다.
양자 내성 키 교환
지금 수집, 나중에 복호화 공격의 위험을 완화하려면 클라이언트와 부하 분산기 간의 연결에 양자 내성 키 교환을 사용 설정하는 것이 좋습니다.
양자 내성 키 교환은 프런트엔드 TLS 연결, 즉 클라이언트와 부하 분산기 간의 연결에만 지원됩니다.
다음 부하 분산기에 양자 내성 키 교환을 사용 설정할 수 있습니다.
- 전역 외부 애플리케이션 부하 분산기
- 기존 애플리케이션 부하 분산기
- 리전 외부 애플리케이션 부하 분산기
- 리전 간 내부 애플리케이션 부하 분산기
- 리전 내부 애플리케이션 부하 분산기
- 전역 외부 프록시 네트워크 부하 분산기
- 기본 프록시 네트워크 부하 분산기
X25519MLKEM768은 부하 분산기에서 지원되는
양자 내성 키 교환의 특정 형식입니다. Google Cloud 이는 하이브리드 키 교환 방법으로, 기존 암호화 메커니즘과 양자 내성 암호화 메커니즘 모두로 보호됩니다.
양자 내성 키 교환이 사용 설정되면 부하 분산기는 TLS 1.3 및 X25519MLKEM768 지원을 알리는 클라이언트에 연결할 때 이를 사용합니다.
TLS 1.3 또는 X25519MLKEM768을 지원하지 않는 클라이언트와의 연결은 영향을 받지 않습니다.
양자 내성 키 교환이 사용 설정되면 부하 분산기는 연결 클라이언트가 TLS 1.3 및 X25519MLKEM768 키 교환 메커니즘 지원을 알릴 때 이를 사용합니다. TLS 1.3 또는 X25519MLKEM768을 지원하지 않는 클라이언트의 연결은 영향을 받지 않습니다.
양자 내성 키 교환 사용 설정
기존 TargetHttpsProxy 또는
TargetSslProxy에 새
SSL 정책을 연결하거나 이미 연결된 SSL 정책을 수정하여 SSL 정책의
post-quantum-key-exchange 설정을 사용하여 부하 분산기에서 양자 내성 키 교환을 사용 설정할 수 있습니다.
양자 내성 키 교환 설정을 사용하여 SSL 정책을 만드는 방법에 대한 자세한 내용은 SSL 정책 만들기를 참고하세요.
지금 수집, 나중에 복호화 공격에 대한 즉각적인 보호를 제공하므로 지금 양자 내성 키 교환을 사용 설정하는 것이 좋습니다. 올바르게 구현된 클라이언트는 문제가 발생하지 않을 것으로 예상됩니다. 그러나 클라이언트 애플리케이션이 호환되지 않는 경우 post-quantum-key-exchange를 DEFERRED로 설정하여 2027년 10월까지 양자 내성 키 교환을 사용 설정하는 것을 지연할 수 있으므로 애플리케이션을 호환되도록 만들 수 있습니다.
양자 내성 키 교환 출시
양자 내성 키 교환이 제공하는 보안 보호는 중요하므로
2026년 10월부터 기본적으로 사용 설정됩니다. Google Cloud
이는 SSL 정책이 연결되지 않은 부하 분산기 또는 양자 내성 키 교환 설정이 없는 SSL 정책을 사용하는 부하 분산기에 영향을 미칩니다. 필요한 경우 DEFERRED 설정을 사용하여 2027년 10월까지 양자 내성 키 교환을 사용 설정하는 것을 지연할 수 있습니다.
다음 타임라인은 부하 분산기에 대한 양자 내성 키 교환 지원의 출시 계획을 보여줍니다.
| 타임라인 | 양자 내성 키 교환 상태 |
|---|---|
| 지금 | 기본적으로 사용 중지됨, ENABLED로 설정된 경우에만 사용 설정됨 |
| 2026년 10월 이후 | 기본적으로 사용 설정됨, DEFERRED로 설정된 경우 사용 중지됨 |
| 2027년 10월 이후 | 항상 사용 설정됨 |