The impact of quantum computing on real-world security: A 5G case study

이 논문은 양자 컴퓨팅이 5G 보안에 미치는 영향을 분석하고, 기존 시스템의 하향 호환성을 활용한 다단계 마이그레이션 전략을 제안하여 양자 컴퓨팅 시대에 대비한 3G 및 4G/5G 보안 체계의 원활한 업그레이드 방안을 제시합니다.

핵심

📖 이야기: 5G 금고와 미래의 '양자 열쇠'

1. 현재 상황: 튼튼해 보이지만 약한 고리가 있는 금고

지금 우리가 사용하는 5G 통신 시스템은 거대한 금고와 같습니다. 이 금고는 사용자의 개인정보와 통화 내용을 안전하게 지키기 위해 복잡한 **자물쇠 (암호화)**를 사용합니다.

• 현재의 열쇠 (128 비트 키): 지금 이 금고의 핵심 열쇠는 '128 비트'라는 길이의 숫자 조합으로 되어 있습니다. 기존 컴퓨터로는 이 열쇠를 뚫는 데 우주의 나이만큼의 시간이 걸려서 사실상 뚫을 수 없는 것으로 여겨졌습니다.
• 양자 컴퓨터의 등장: 하지만 미래에 **'양자 컴퓨터'**라는 초강력 도구가 등장하면 이야기가 달라집니다. 이 도구는 기존 열쇠를 뚫는 데 걸리는 시간을 순식간으로 줄여버립니다. 마치 일반 열쇠를 자르는 데 100 년 걸리던 것을, 양자 컴퓨터는 1 초 만에 자르는 것과 같습니다.

2. 문제점: 금고의 핵심이 녹아내리다

논문은 5G 시스템의 보안이 두 가지 큰 약점을 가지고 있다고 지적합니다.

• 약점 1: 핵심 열쇠가 너무 약함 (대칭 암호)

  • 5G 시스템의 가장 기본이 되는 'USIM 카드'에 저장된 **핵심 열쇠 (K)**가 여전히 128 비트입니다.
  • 양자 컴퓨터가 이 열쇠를 뚫으면, 그 열쇠로 만든 모든 파생된 열쇠들 (통화 암호화, 메시지 보호 등) 도 함께 뚫리게 됩니다.
  • 비유: 금고 문이 아무리 두껍고 복잡한 자물쇠로 잠겨 있어도, 열쇠 구멍을 여는 '열쇠' 자체가 녹아내리면 금고는 열립니다.

• 약점 2: 신분증 보호가 무너짐 (비대칭 암호)

  • 사용자의 영구적인 신원 (SUPI) 을 보호하기 위해 '공개키 암호'를 사용합니다.
  • 양자 컴퓨터는 이 공개키 암호를 쉽게 뚫을 수 있습니다.
  • 비유: 이는 금고 문이 아니라, 금고에 들어가는 사람의 신분증을 위조할 수 있게 되는 것입니다. 도둑이 당신의 신분증을 훔쳐서 "나도 주인이다"라고 속여 금고에 들어갈 수 있게 됩니다.

3. 해결책: 3 단계로 이루어진 '보안 업그레이드' 계획

저자는 5G 시스템을 완전히 뜯어고치는 대신, 기존 시스템을 해치지 않으면서 점진적으로 업그레이드하는 방법을 제안합니다.

🚀 1 단계: 열쇠를 더 길고 튼튼하게 바꾸기 (가장 중요하고 즉시 가능)

• 무엇을 바꾸나요? USIM 카드와 통신사 서버 (ARPF) 에 저장된 핵심 열쇠 (K) 의 길이를 128 비트에서 256 비트로 늘립니다.
• 왜 쉬운가요? 이 변경은 USIM 카드와 서버만 업데이트하면 되며, 사용자의 스마트폰이나 통신망 기지장은 전혀 건드리지 않아도 됩니다.
• 효과: 양자 컴퓨터가 256 비트 열쇠를 뚫으려면, 128 비트를 뚫는 것보다 훨씬 더 많은 시간과 에너지가 필요합니다. 이는 양자 컴퓨터가 상용화되더라도 당분간은 뚫지 못하게 만드는 '시간 벌기' 전략입니다.
• 비유: 금고의 핵심 열쇠를 '128 자리의 숫자'에서 '256 자리의 숫자'로 바꾸는 것입니다. 도둑이 이 긴 열쇠를 찾아내려면 훨씬 더 오랜 시간을 기다려야 합니다.

🛡️ 2 단계: 금고 문과 자물쇠 전체를 교체하기 (향후 6G 등 미래 시스템)

• 무엇을 바꾸나요? 1 단계에서 핵심 열쇠를 256 비트로 바꾼 후, 이를 기반으로 생성되는 모든 통신 암호화 키와 알고리즘도 256 비트로 완전히 업그레이드합니다.
• 어떻게 하나요? 스마트폰과 기지장 등 모든 장비를 교체해야 하므로, 이는 5G 가 완전히 자리 잡은 후의 6G 시대에 자연스럽게 진행될 것입니다.
• 비유: 핵심 열쇠가 튼튼해졌으니, 이제 금고 문과 자물쇠 전체를 '양자 컴퓨터도 뚫지 못하는' 최신 재질로 교체하는 작업입니다.

🆔 3 단계: 신분증 위조 방지 기술 교체

• 무엇을 바꾸나요? 사용자의 신원을 보호하는 '공개키 암호' 방식을 양자 컴퓨터에 안전한 새로운 방식으로 바꿉니다.
• 시기: 현재 전 세계적으로 새로운 암호 표준 (NIST 등) 이 개발 중이므로, 이 표준이 확정되는 대로 (약 2~3 년 내) 적용하면 됩니다.
• 비유: 위조가 쉬운 종이 신분증 대신, 양자 컴퓨터로도 복제할 수 없는 생체 인식 신분증으로 바꾸는 것입니다.

💡 결론: 왜 이 논문이 중요한가?

이 논문은 **"양자 컴퓨터가 오면 5G 보안이 무너질 것이다"**라고 공포를 조장하는 것이 아니라, **"우리가 이미 준비할 수 있는 간단한 방법들이 있다"**는 희망을 제시합니다.

1. 즉시 실행 가능: 스마트폰을 갈아끼울 필요 없이, 통신사와 USIM 카드만 업데이트하면 큰 위협을 막을 수 있습니다.
2. 점진적 접근: 시스템을 완전히 뜯어고치지 않고, 호환성을 유지하며 단계적으로 업그레이드할 수 있습니다.
3. 미래 대비: 지금 당장 작은 변화 (열쇠 길이 늘리기) 를 통해, 미래의 거대한 위협 (양자 컴퓨터) 을 무력화할 수 있습니다.

한 줄 요약:

"5G 금고의 핵심 열쇠를 '더 긴 열쇠'로만 바꿔도, 미래의 초강력 도둑 (양자 컴퓨터) 이 당분간은 금고에 들어오지 못하게 막을 수 있습니다. 우리는 지금 바로 그 준비를 시작해야 합니다."

기술 요약

1. 문제 정의 (Problem)

• 양자 컴퓨팅의 위협: 대규모 범용 양자 컴퓨터가 실현될 경우, Shor 알고리즘은 현재 널리 사용되는 비대칭 암호화 (공개키) 를 무력화하고, Grover 알고리즘은 대칭 키 암호화의 보안 강도를 반으로 감소시킵니다.
• 5G 보안의 취약점:
  • 장기 비밀 키 (K) 의 취약성: 5G 의 인증 및 키 합의 (AKA) 프로토콜은 USIM 과 홈 네트워크에 저장된 128 비트의 장기 비밀 키 ($K$) 에 기반합니다. 양자 컴퓨터가 존재할 경우, Grover 알고리즘을 통해 128 비트 키의 유효 보안 강도는 64 비트 수준으로 떨어지며, 이는 현재 기술로도 충분히 공격 가능한 수준입니다.
  • 비대칭 암호화의 취약성: 5G 는 영구 사용자 식별자 (SUPI) 의 기밀성을 보호하기 위해 타원 곡선 암호 (ECIES 등) 를 사용합니다. Shor 알고리즘은 이를 쉽게 해독하여 사용자 식별자 유출 (IMSI 캐처 공격 등) 을 가능하게 합니다.
  • 역대 호환성 문제: 5G 는 3G/4G 와의 하위 호환성을 유지하기 위해 설계되었는데, 이로 인해 128 비트 키 기반의 레거시 구조가 유지되고 있어 양자 시대 보안에 치명적입니다.

2. 방법론 (Methodology)

• 보안 아키텍처 분석: 3GPP Release 15 (R15) 기준 5G 보안 프로토콜 (AKA, 키 유도, 모바일 신원 기밀성, 세션 보안) 을 상세히 분석했습니다.
• 양자 공격 시나리오 모델링:
  • 인증/키 합의 (AKA): 공격자가 인증 요청 (RAND) 과 응답 (RES*) 쌍을 가로채면, Grover 알고리즘을 사용하여 USIM 의 장기 키 $K$를 역산할 수 있음을 증명했습니다.
  • 키 유도 (Key Derivation): $K$가 유출되면 파생된 모든 세션 키 (KSEAF, KAMF 등) 와 이를 기반으로 한 트래픽 암호화/무결성 보호가 무너짐을 분석했습니다.
  • 비대칭 암호: 공개키 기반의 SUPI 보호 메커니즘이 Shor 알고리즘에 의해 붕괴될 수 있음을 확인했습니다.
• 점진적 전환 전략 수립: 기존 인프라 (USIM, 네트워크 장비, 단말기) 를 일시에 교체하는 것이 불가능하므로, 하위 호환성 (Backward Compatibility) 기능을 활용하여 단계별 (Phase-wise) 업그레이드 경로를 설계했습니다.

3. 주요 기여 및 제안 (Key Contributions & Recommendations)

저자는 5G 보안을 양자 내성으로 전환하기 위해 3 단계 (Phase 1, Phase 2, 비대칭 암호 변경) 로 구성된 구체적인 권장 사항을 제시합니다.

1 단계: 대칭 암호화 개선 (가장 시급하고 실용적)

• 목표: USIM 과 ARPF (인증 서버) 만을 변경하여 128 비트 키의 위협을 줄임.
• 구체적 조치:
  • USIM 에 저장되는 장기 비밀 키 ($K$) 를 128 비트에서 256 비트로 변경 가능하도록 표준을 수정 (3GPP TS 33.105 등).
  • 키 유도 함수 ($f1 \sim f5$) 가 256 비트 입력을 처리할 수 있도록 요구사항을 업데이트.
  • 효과: 기존 단말기와 네트워크 인프라는 변경 없이, 새로 발급되는 USIM 과 ARPF 만 업그레이드하면 됩니다. 256 비트 키는 양자 공격 (Grover) 에 대해 128 비트 수준의 보안을 제공하므로, 단기 및 중기적으로는 안전한 것으로 간주됩니다.

2 단계: 전체 시스템의 대칭 암호화 완전 전환

• 목표: 단말기와 네트워크 전체에서 256 비트 키를 사용하여 완전한 양자 내성 확보.
• 구체적 조치:
  • 1 단계에서 256 비트 키 $K$를 도입한 후, USIM 이 단말기 (ME) 로 전달하는 임시 키 ($CK, IK$) 를 256 비트로 간주하여 파생 키 계층 구조 전체를 256 비트로 확장.
  • 기존 128 비트로 잘라내어 (Truncation) 사용되던 운영 키들을 256 비트 그대로 사용하도록 변경.
  • 암호화 및 무결성 알고리즘이 256 비트 키를 지원하도록 표준화.
• 특징: USIM 인터페이스 변경 없이, 단말기와 네트워크 소프트웨어 업데이트만으로 구현 가능.

3 단계: 비대칭 암호화 개선

• 목표: SUPI 보호를 위한 공개키 암호화 방식을 양자 내성 알고리즘으로 교체.
• 구체적 조치:
  • 현재 표준 (ECIES 등) 을 양자 내성 암호화 (NIST 표준화 진행 중인 알고리즘 등) 로 대체할 수 있도록 가이드라인 추가.
  • 표준화 완료 후 5G 표준에 새로운 알고리즘을 포함.

4. 결과 및 분석 (Results)

• 위험 평가:
  • 단일 USIM 키 유출: 128 비트 키의 경우, 단일 인증 세션만 가로채도 키를 복원 가능하여 모든 트래픽이 해독될 수 있음. 그러나 256 비트 키로 전환 시, 양자 컴퓨터가 매우 강력해지기 전까지는 공격 비용이 너무 높아 실질적 위협이 아님.
  • 사용자 식별자 유출: 비대칭 키가 깨지면 대규모 사용자 식별자 유출이 가능하지만, 이는 4G 시대의 IMSI 캐처 공격 수준으로 회귀하는 것이며, 5G 의 핵심 보안 (데이터 암호화) 이 무너지는 것은 아님.
• 호환성 유지: 제안된 1 단계와 2 단계 전략은 USIM 과 단말기 간의 인터페이스를 변경하지 않으므로, 기존 3G/4G/5G 네트워크와의 호환성을 유지하면서 점진적으로 보안 강도를 높일 수 있음.

5. 의의 및 중요성 (Significance)

• 실용적인 로드맵 제공: 5G 가 전 세계적으로 배포되는 시점에, 막대한 비용이 드는 일괄 교체 없이 점진적이고 비용 효율적인 보안 강화 방안을 제시했습니다.
• 표준화 기관에 대한 영향: 3GPP 및 관련 표준 기구 (NIST, ETSI 등) 에 구체적인 표준 수정 제안 (256 비트 키 지원, 함수 업데이트 등) 을 제공하여, 양자 시대에 대비한 표준 선제적 개선을 촉진합니다.
• 미래 지향적 보안: 5G 뿐만 아니라 3G, 4G 시스템에도 적용 가능한 전략을 제시하여, 이동통신 생태계 전체의 장기적인 보안 건전성을 확보하는 데 기여합니다.

결론적으로, 이 논문은 양자 컴퓨팅이 5G 보안을 위협할 수 있음을 명확히 지적하면서도, 기존 아키텍처의 장점을 활용하여 256 비트 키로의 전환과 비대칭 암호화 업데이트를 통해 실용적이고 부드러운 (Smooth) 전환을 가능하게 하는 구체적인 기술적 해결책을 제시했다는 점에서 큰 의의가 있습니다.