Broken Quantum: A Systematic Formal Verification Study of Security Vulnerabilities Across the Open-Source Quantum Computing Simulator Ecosystem
이 논문은 COBALT QAI 와 Z3 SMT 솔버를 활용한 정형 검증을 통해 오픈소스 양자 컴퓨팅 시뮬레이터 생태계 전반에 걸쳐 547 건의 보안 취약점 (C++ 메모리 손상, 리소스 고갈, 역직렬화, 그리고 양자 특유의 QASM 주입 등) 을 발견하고 공급망 내 취약점 전파 사례를 규명한 'Broken Quantum' 연구를 제시합니다.
원본 논문은 CC BY 4.0 (http://creativecommons.org/licenses/by/4.0/) 라이선스로 제공됩니다. 이것은 아래 논문에 대한 AI 생성 설명입니다. 저자가 작성하거나 승인한 것이 아닙니다. 기술적 정확성을 위해서는 원본 논문을 참조하세요. 전체 면책 조항 읽기
🚨 "부러진 양자 (Broken Quantum)": 양자 컴퓨터 시뮬레이터의 치명적 보안 결함 보고서
이 논문은 양자 컴퓨터 연구의 핵심인 **'양자 시뮬레이터 (양자 컴퓨터를 일반 컴퓨터로 흉내 내는 프로그램)'**들이 얼마나 위험한 상태인지 밝혀낸 충격적인 보고서입니다.
마치 고층 빌딩을 설계하는 모든 건축가들이 "기초 공사"를 제대로 하지 않고, 건물이 무너지기 직전까지 그 사실을 모르고 있었다는 것과 같습니다.
🏗️ 1. 배경: 양자 시뮬레이터란 무엇인가?
현재 실제 양자 컴퓨터는 아직 매우 드물고 비쌉니다. 그래서 전 세계의 과학자, 구글, IBM, 아마존 등은 **"가상의 양자 컴퓨터"**를 일반 컴퓨터 (클래식 컴퓨터) 에서 돌려보며 실험합니다. 이를 양자 시뮬레이터라고 합니다.
이 논문은 전 세계 22 개 기관 (IBM, 구글, 하버드, CERN 등) 이 만든 45 개의 주요 시뮬레이터를 모두 검사했습니다. 결과는 참담했습니다. 80% 이상의 프로그램이 치명적인 보안 구멍을 가지고 있었습니다.
🔍 2. 문제의 핵심: "지수적 폭발"이라는 함정
양자 컴퓨터의 가장 큰 특징은 큐비트 (정보 단위) 가 하나 늘어날 때마다 필요한 계산량이 2 배씩 불어난다는 것입니다.
- 10 큐비트 = 1,024 배
- 30 큐비트 = 10 억 배
- 50 큐비트 = 1,000 조 배 (전 세계 모든 컴퓨터를 합쳐도 감당 못 할 수준)
이 논문은 **"사용자가 입력한 숫자 (큐비트 수) 를 제대로 확인하지 않고, 무작정 2 배씩 불어나는 자원을 할당하는 프로그램"**들이 너무 많다는 것을 발견했습니다.
💣 3. 발견된 4 가지 치명적 결함 (비유로 설명)
🧱 결함 1: C++ 언어의 "메모리 붕괴" (C++ 메모리 손상)
- 상황: IBM 의 Qiskit Aer 나 미국 국립연구소 (Oak Ridge) 의 XACC 같은 프로그램들입니다.
- 비유: 레고 블록을 쌓는 작업이라고 상상해 보세요.
- 프로그램은 "큐비트 64 개"를 입력받으면, 64 개의 레고 박스를 준비해야 합니다.
- 하지만 코드가 잘못되어 "65 개"를 입력하면, 64 개짜리 박스장에 65 번째 박스를 억지로 넣으려다 벽을 뚫어버립니다.
- 이 '벽 뚫기'는 컴퓨터의 메모리를 손상시키고, 해커가 악성 코드를 심어 **컴퓨터를 장악 (RCE)**하거나 프로그램을 완전히 멈추게 할 수 있습니다.
- 결과: IBM 과 미국 국립연구소의 핵심 프로그램이 이 '벽 뚫기' 구멍을 그대로 공유하고 있었습니다.
🔥 결함 2: 파이썬의 "자원 고갈" (DoS 공격)
- 상황: 구글의 Cirq, 하버드의 Tequila, 바이두의 Paddle-Quantum 등 14 개 프로그램.
- 비유: 무한한 식탁을 상상해 보세요.
- 해커가 "식탁에 50 명을 앉혀줘"라고 요청합니다.
- 프로그램은 "알겠다!" 하고 50 명분의 식탁을 준비하려다, 실제로는 100 조 명분의 식탁을 준비하려다 컴퓨터의 모든 식량 (메모리) 을 다 써버립니다.
- 그 결과, 서버가 멈추고 **서비스가 마비 (Denial of Service)**됩니다.
- 특이점: 파이썬은 숫자가 너무 커져도 터지지 않지만, 컴퓨터의 물리적인 메모리가 부족해져서 죽습니다.
🎭 결함 3: "가짜 신분증"으로 해킹 (역직렬화 및 코드 주입)
- 상황: 하버드 Tequila, 텐센트 TensorCircuit 등.
- 비유: 우편물 (파일) 을 받는 상황입니다.
- 프로그램은 "이 우편물을 열어봐"라고 하면, 우편물 안에 있는 명령어까지 실행해 버립니다.
- 해커는 악성 코드가 담긴 가짜 우편물 (파일) 을 연구실 서버에 넣어둡니다.
- 연구원이 그 파일을 열자마자, 해커의 명령어가 실행되어 해커가 연구실 컴퓨터를 완전히 장악합니다.
- 하버드 연구소의 프로그램에서는 이 구멍이 10 개나나 있었습니다.
📜 결함 4: 양자만의 새로운 공격 (QASM 주입)
- 상황: IBM Qiskit, Quantinuum tket 등.
- 비유: 새로운 언어 (양자어) 로 된 주문서입니다.
- 기존 컴퓨터 해킹은 SQL 주입이나 명령어 주입이 있었지만, 양자 컴퓨터에는 **'QASM (양자 어셈블리 언어)'**이라는 고유한 주문서가 있습니다.
- 해커는 이 주문서에 **"이 명령은 무시하고, 내 명령을 실행해"**라는 문장을 끼워 넣을 수 있습니다.
- 이는 고전 컴퓨터에는 없는, 양자 컴퓨터만의 고유한 해킹 방법입니다.
🌐 4. 공급망의 연쇄 폭발 (공포의 전파)
이 연구에서 가장 놀라운 점은 결함이 어떻게 퍼졌는지입니다.
- IBM이 만든 프로그램에 구멍이 있었습니다.
- **미국 국립연구소 (Oak Ridge)**는 IBM 의 코드를 그대로 가져다 썼습니다 (Vendoring).
- 그 결과, 미국 정부와 국방 관련 연구소까지 IBM 의 보안 구멍을 그대로 물려받게 되었습니다.
- 마치 한 식당에서 식중독이 났는데, 그 식당의 레시피를 그대로 쓴 다른 4 개 식당도 모두 식중독에 걸린 것과 같습니다.
🛡️ 5. 해결책과 결론
- 해결책은 간단합니다: "사용자가 입력한 숫자가 너무 크면, 실행하기 전에 거부하세요." (입력값 검증)
- 성공 사례: ETH 취리히, 후아웨이, 오XFORD 등 일부 기관은 이 간단한 규칙을 지켜 100 점 만점을 받았습니다.
- 결론: 양자 컴퓨터 기술이 발전하기 전에, 그 기초를 다지는 보안 시스템이 너무 허술합니다. 전 세계 45 개 프로그램 중 36 개가 '부러진 (Broken)' 상태입니다.
한 줄 요약:
"양자 컴퓨터의 미래를 꿈꾸며 만든 프로그램들이, 사용자가 '너무 큰 숫자'를 입력하면 컴퓨터가 폭발하거나 해커에게 넘어가는 치명적 구멍을 가지고 있었습니다. 이제 그 구멍을 막는 '방화벽'을 설치해야 할 때입니다."
이 연구는 2026 년 4 월에 발표되었으며, 관련 기업들과 협력하여 90 일간의 비밀 유지 기간을 거쳐 공개될 예정입니다.
연구 분야의 논문에 파묻히고 계신가요?
연구 키워드에 맞는 최신 논문의 일일 다이제스트를 받아보세요 — 기술 요약 포함, 당신의 언어로.