양자내성암호 편집하기

'''양자내성암호'''<!--양자 내성 암호-->(PQC; post-quantum cryptography)란 [[양자컴퓨터]]의 모든 공격에 대해 안전한 내성이 있어 안전한 공개키 암호이다. 

== 개요 ==
[[양자]]와 관련된 [[암호기술]]은 크게 두 갈래로 나뉜다. 첫 번째는 양자를 이용해 키를 공유하는 암호기술인 [[양자키분배]]이고, 두 번째는 양자컴퓨팅 환경에서 안전한 암호 알고리즘인 양자내성암호이다. 그중에서도 암호의 원천 기술 중 하나인 공개키 암호는 인터넷 뱅킹, 전자 주식 거래, 인터넷 쇼핑 등 전자 거래 보안의 핵심으로서 전 세계인이 사용하고 있다. [[RSA]], [[디피-헬만 키교환]], [[타원곡선암호]] 등의 공개키 암호 기술을 활발하게 이용하고 있고, 이들은 인수분해나 이산대수 같은 수학적인 원리를 이용하여 개발됐다. 그러나 1994년, 쇼어는 양자 알고리즘을 이용해서 인수분해나 이산대수 문제를 모두 짧은 시간 안에 해결할 수 있다고 증명했고, 이를 통해 기존에 있던 대부분의 공개키 암호들이 해독될 수 있다는 사실이 밝혀졌다. 이전까지는 기술적인 어려움으로 양자컴퓨터를 실용화하지 못해서 크게 눈길을 끄는 문제가 아니었지만, 최근에 양자 컴퓨팅 기술의 발달로 양자 컴퓨터 실현 가능성이 증가함에 따라 해결책인 양자내성암호이 중요해졌다. 

양자내성암호는 영어를 번역하면 '양자컴퓨터가 도래한 이후의 암호기술'이라고 번역되지만, 국내에는 이를 대체할만한 마땅한 명칭이 없어 양자내성암호라고 불린다. 양자내성암호는 기존의 공개키 암호가 가지고 있던 문제를 해결하고 대체할 수 있는 암호로, 기존의 인수분해나 이산대수 문제가 아닌 전혀 새로운 문제에 안전성을 기반한다. 기반하는 분야에 따라 총 다섯 가지로 나눌 수 있는데, 다변수 기반(Multi-variate) 암호, 코드 기반(Code-based) 암호, 격자 기반(Lattice-based) 암호, 아이소제니 기반(Isogeny-based) 암호, 해시 기반 전자서명(Hash-based)으로 구분된다. 이 외에도 알고리즘의 기능에 따라 암호화 및 키교환 알고리즘과 전자서명 알고리즘으로 구분할 수 있다. 양자 컴퓨팅 기술의 발전으로 양자내성암호와 관련한 연구도 많이 증가했다. 2017년 11월 30일에는 미국 국립표준 기술연구소에서 양자내성암호에 관한 연방 표준화 사업을 진행했다.

== 종류 ==
=== 다변수 기반 암호 ===
유한체 위에서 계산하는 다변수함수 문제의 어려움에 기반하는 암호 시스템이다. 다변수 기반 암호는 안전성과 연산 효율성을 위하여 주로 이차함수를 사용한다. 암호화 및 복호화가 다항식의 계산이기 때문에 전력 분석의 부채널 공격에 강하여 안전하다는 장점이 있다. 하지만 키 사이즈가 크기 때문에 주로 서명 기법에 사용되는 편이며, 이러한 다변수 기반 암호 알고리즘의 예로는 HFE, ZHFE, UOV 등이 있다. ZHFE를 적용하면 역함수를 쉽게 계산할 수 있어서 효율적인 복호화 과정을 밟을 수 있지만, 개인 키를 생성하는 시간이 길다는 단점이 있다. 반면에 UOV는 키를 생성하는 속도가 빠르고, 필요한 저장 메모리의 양이 매우 적다. 그러나 큰 공개키 사이즈에는 부적합하기 때문에 유의해야 하며, 주로 서명 알고리즘에 적용되어 스마트카드에서 구현하기에 적합하다. 레인보우(Rainbow)는 UOV에 비해 키 사이즈가 작고 안전성이 높다.

=== 코드 기반 암호 ===
코드 기반 암호는 일반적인 선형 코드를 디코딩하는 어려움에 기반하는 암호 시스템이다. 양자내성암호 중에서도 가장 오래된 분야에 해당한다. 코드 기반 암호화는 행렬 연산이기 때문에 연산 속도가 빠르다는 장점이 있으나, 복호화가 암호화보다 연산 속도가 느리고 키의 크기가 크다는 단점이 있다. 코드 기반 암호 설계의 주요 아이디어는 메시지에 의도적으로 오류를 주입해서 오류를 알고 있는 사용자만 메시지를 복원할 수 있도록 만드는 것이다. 코드 기반 암호 알고리즘에는 [[매켈리스]], 모던 매켈리스, [[니더레이터]], MCPC-매켈리스, 와일드 매켈리스, McBits 등이 있다. 

* '''매켈리스'''(McEliece) : 일반적인 코드 기반 암호는 암호화는 빠르지만, 복호화는 느린 단점이 있다. 매켈리스는 바로 이러한 단점을 극복하기 위하여 1978년에 맥켈리스에 의해 제안된 개념이다. 이항 고파(Goppa) 코드를 사용하여 패터슨의 복호화 알고리즘을 통해 효율적으로 복호화할 수 있도록 돕는다. 효율적인 디코딩 알고리즘을 이용하여 복호화할 수 있지만, 큰 키 사이즈를 가지고 있다는 단점이 있다.

* '''모던 매켈리스'''(Modern McEliece) : 매켈리스 알고리즘은 128비트 안전성에 대해 적어도 220KB의 공개키를 가지기 때문에 키 사이즈가 크다는 단점을 갖고 있다. 따라서 일반적인 제너레이터 행렬을 사용하기보다는 시맨틱 형태로 변형해서 저장 공간을 줄이는 방향이 제안된 것이 모던 매켈리스이다. 연산 중에 암호화 과정에서 시맨틱 형식을 사용하면 효율성을 높일 수 있는데, 특히 메시지가 항등 행렬과 연산 되는 부분이 존재하기 때문에 행렬 곱셈을 수행하는 대신에 메시지를 그대로 복사하면 된다. 개인 키 사이즈를 크게 줄이고 암호화 연산 과정에서 저장 공간을 줄여서 효율성을 크게 높인다.

* '''니더레이터'''(Niederreiter) : 1986년에 처음으로 제안되었다. 메켈리스와 달리 오류 벡터를 이용하여 메시지를 인코딩하는 알고리즘이다. 이 때문에 매켈리스 암호와 달리 평문으로부터 비트 유출은 오류 덧셈이 영향을 주지 못한다. 니더레이터 알고리즘은 신드롬을 암호문으로 사용해서 복호화 연상량이 감소한다. 그러나 신드롬 연산은 제너레이터 행렬은 제너레이터 행렬 대신에 홀짝성 검사 행렬을 공개키로 하여 연산하기 때문에 키의 크기에 큰 영향이 없다. 즉, 키 사이즈가 줄어들지 않는다. 

* '''MCPC-매켈리스''' : MCPC-매켈리스는 대수적인 구조를 이용한 공격 대응을 하는데, 키의 사이즈가 짧고 안전한 알고리즘이다. 2012년, 라파엘 미소츠키(Rafael Misoczki), 틸리히(Tillich), Sendrier, 바레토(Barreto)에 의해 제안되었다. 매켈리스 알고리즘은 키 사이즈가 크다는 단점이 있어서 이를 줄이기 위한 효율적인 해결책이 필요한데, 대표적인 방법이 준순환 코드처럼 큰 보형군을 가지는 코드를 선택하는 것이다. 기존의 알고리즘과는 달리 대수적인 특징을 가지지 않는 코드들은 대수적인 구조를 이용한 공격에 대응할 수 있다. 또, 안전하면서 키 사이즈가 작은 코드 기반 알고리즘 설계가 가능하다. 

* '''와일드 매켈리스''' : 와일드 매켈리스는 2010년, 피터, 렌지 등에 의해 제안되었다. 기존의 매켈리스 알고리즘의 정정 가능한 오류 수와 비교하면와일드 매켈리스가 동일한 안전성에 대해 더 짧은 키 사이즈를 가진다는 특징을 갖고 있다. 

* '''McBits''' : McBits는 복호화의 속도를 올린다. 번스타인, 슈바베 등에 의해 제안되었다. 기존의 코드 기반 암호는 암호화보다 복호화의 속도가 느리다는 단점을 갖고 있는데, McBits는 FFT를 이용하여 빠른 근 계산을 통해서 복호화 과정의 속도를 높일 수 있다. 

=== 격자 기반 ===
격자 기반 암호는 격자 위에서 계산하는 문제의 어려움에 기반하는 암호 시스템이다. LWE 등의 문제를 푸는 어려움을 기반으로 설계되었다.<ref> 황정빈 기자, 〈[https://zdnet.co.kr/view/?no=20181105112228 KISA "양자컴퓨팅 시대, 양자내성암호로 대응해야"]〉, 《메가뉴스》, 2018-11-05 </ref> MP-hard라는 수학 문제에 안전성 기반을 두고 있기 때문에 안전성에 강점이 있다. 실제로 C 언어나 C++ 같은 프로그래밍 언어로 구현했을 때 모든 연산이 행렬끼리의 곱셈과 덧셈이기 때문에 계산 효율성이 높다. 공개키 암호, 완전 동형 암호, ID 기반 암호 등 다양한 암호를 격자 위에서 설계할 수 있는데, 격자 기반의 경량 공개키 암호를 설계해서 대칭키 암호와 비슷한 수준까지 계산 효율성을 극대화하면 사물인터넷 기기 등에서도 사용될 가능성이 있다. 격자 기반 암호의 가장 큰 특징 중 하나는 암호를 만들 때 수학에서 어려운 문제를 하나 선택해서 이를 기반으로 암호를 설계하는 것이다. 암호를 만들 때 인수분해 등의 어려운 수학을 쓰는 것이 아니라, 행렬처럼 쉬운 문제를 수학적으로 어렵게 만드는 일을 한다. 예를 들어 연립방정식을 푸는 문제는 쉽지만, 연립 방정식 문제에 약간에 오차를 두면 문제가 어려워진다. 연립방정식에서 변수가 세 개일 때 식도 세 개면 문제를 풀 수 있다. 그러나 여기서 끝자리를 조금씩 바꾸면, 제아무리 쉬운 문제라도 식을 100개를 줘도 못 풀 수 있다. 이를 바로 잡음을 준다고 표현한다. 쉬운 문제의 답을 조금씩 다르게 하는 것을 말하며, 200차원의 격차를 사용하기 때문에 답을 찾기 어렵다. 오늘날에는 암호화 및 복호화, 전자서명 외에도 동형암호, 함수암호, IBE 등 다양한 응용 분야에서 연구가 진행되고 있으며, 대표적으로 NTRU, SS-NTRU, BLISS, 뉴 홉, NTRU-프라임, LWE-Prodo 등을 예로 들 수 있다.<ref> 이경원 기자, 〈[http://imdarc.math.snu.ac.kr/board_apmJ27/3024 '양자내성 암호' 기술 개발 천정희 서울대 교수]〉, 《서울대학교수리과학부》, 2018-10-05 </ref> 

* '''NTRU''' : 1996년에 실버맨, 피퍼, 호프스타인이 설계한 공개키 알고리즘이다. 처음으로 다항식 링을 사용하여 설계하여, 연산 속도가 빠르고 키 사이즈가 작다는 장점이 있고, 여러 가지 공격 기법에 안전하다. 그러나 격자 문제로 인해 개발되지 않은 부분이 있어서 현재까지도 안전성을 증명할 수 없어서 안전성 증명 결과가 없다는 단점이 있다. 그런데도 NTRU는 2008년에 IEEE 스탠다드 1363.1의 표준으로 등록되었다.  

* '''SS-NTRU''' : NTRU를 변형한 알고리즘으로, 2011년에 슈텔레와 스타인필드가 제안했다. 기존의 NTRU는 안전성이 증명되지 않았기 때문에 안전성을 증명하기 위해 CVP 기반에서 설계된 NTRU를 R-LWE 기반의 설계로 변형시켰다. 연산속도가 빠른 것이 특징이다. 

* '''BLISS''' : 2013년에 듀카스 외 3인에 의해 제안된 격자 기반 전자서명 알고리즘이다. 샘플링의 변형을 통해 샘플링 거부 비율을 줄이고, 메모리 효율을 높였다. 

* '''뉴 홉''' : 키 교환 프로토콜 중 하나로, 128비트 양자내성 보안을 만족한다. 국내에서는 2017년 11월, 한국인터넷진흥원이 서울대학교, 울산과학기술대학교와 협력해서 격자 기반 양자내성암호 리자드를 개발했다. 리자드는 전체 모양을 알 수 없게 암호화된 정보를 수신자가 전체 모양을 알 수 있도록 복호화한다.

=== 아이소제니 기반 ===
순서가 같은 두 타원곡선 사이에 존재하는 아이소제니를 구하는 문제의 어려움에 기반을 두는 암호 시스템이다. 다시 말해, 주어진 두 타원 곡선들 사이에서 아이소제니 관계를 구하는 문제를 이용한 암호 알고리즘을 말한다. 아이소제니 기반 암호 알고리즘에는 디피-헬만같은 프로토콜, SIDH 등이 있다. 

디피-헬만같은 프로토콜은 큰 소수를 이용하기 때문에 연산 속도가 느려서 효율성이 떨어지고, 커널이 같은 아이소제니는 동치임을 이용한다. 

=== 해시 기반 ===
해시 함수의 안전성을 기반으로 한 전자 서명 시스템이다. 해시 기반 전자 서명은 암호학적 해시함수를 이용하여 전자서명 스킴을 구성하고, 사용되는 해시함수의 충돌 저항성에 의해 안전성을 보장한다. 양자컴퓨팅 환경에서도 해시함수는 출력의 길이를 늘여서 안전성을 보장할 수 있다. 해시 기반 암호 알고리즘은 W-OTS, W-OTS+, HORS, SPHINCS 등이 있다.

* '''W-OTS''' : 1989년에 처음 제안되었다. 이후 2013년에 W-OTS+ 등 W-OTS를 기반으로 한 해시 기반 서명 스킴이 제안되었다. W-OTS는 서명하려는 메시지에 따라 비밀 입력 값에 대해 반복적으로 함수를 적용하는 방식을 사용한다. 

* '''W-OTS+''' : 2013년에 헐싱(hulsing)에 의해 제안되었다. W-OTS에 비해 서명 값의 크기를 줄여서 안전성 레벨을 높인 스킴이다. 

* '''SPHINCS''' : 2015년에 번스타인, 호프우드, 헐싱, 니더하겐 등에 의해 제안되었다. 공개키와 개인키의 사이즈가 작다는 특징을 갖고 있지만, 서명 값의 크기가 보안 파라미터 <math>\gamma</math>에 대해 <math>\gamma^3</math>의 크기를 갖는 단점이 있다. 서명 값의 크기가 작은 서명 스킴을 목표로 하며, 이때 변형한 W-OTS+를 하이퍼트리를 구성하는 데 사용하는데 기존의 의사난수 키 생성을 추가하고 메시지 길이를 항상 n으로 고정한다. 또한 FTS인 HORS, HORST를 사용하여 동일한 안전성 레벨에서 작은 트리를 구성할 수 있도록 개발했다. 서명 값의 크기가 크다는 단점을 가지고 있지만, 공개키와 개인 키의 사이즈가 작다는 장점이 있다. 

* '''HORS''' : 공개키 사이즈가 크다는 단점이 있다.<ref> 차세대암호인증팀 김도원, 〈[https://www.kisa.or.kr/public/laws/laws3_View.jsp?mode=view&p_No=259&b_No=259&d_No=96&ST=total&SV= 양자컴퓨팅 환경에서의 암호기술 이용 안내서]〉, 《한국인터넷진흥원》, 2018-02-21 </ref> 

:{|class=wikitable width=1000 style="background-color:#ffffee"
|+<big>'''양자내성암호의 유형과 장단점'''</big>
!align=center style="background-color:#ffeecc"|유형
!align=center style="background-color:#ffeecc"|알고리즘
!align=center style="background-color:#ffeecc"|장점
!align=center style="background-color:#ffeecc"|단점
|-
|align=center|다변수 기반(Multivariate-based)
|align=center|레인보우, Gui
|align=center|작은 서명 크기, 빠른 계산
|align=center|큰 키 사이즈
|-
|align=center|코드 기반(Code-based)
|align=center|QC-MDPC, Wild McEliece
|align=center|빠른 암호화 및 복호화 속도
|align=center|큰 키 사이즈
|-
|align=center|격자 기반(Lattice-based)
|align=center|SS-NTRU, NTRU Prime, LWE-Frodo
|align=center|다양한 응용환경 지원, 빠른 속도의 구현
|align=center|변수 설정 어려움
|-
|align=center|아이소제니 기반(Isogeny-based)
|align=center|SIDH
|align=center|구현의 편리성, 작은 키 사이즈
|align=center|연산속도가 느림
|-
|align=center|해시 기반(Hash-based)
|align=center|XMSS, SPHINCS
|align=center|안전성 증명 가능
|align=center|큰 서명 사이즈
|}

== 특징 ==
오늘날의 IT 사회는 AES나 RSA와 같은 현대 암호들로 필요한 기능들이 충분히 제공되고 있지만, 점점 4차 산업혁명 시대가 다가오면서 사회적으로 문제를 일으킬 수 있는 새로운 보안 문제들도 함께 등장하고 있다. 사회의 변화에 발맞추어 고성능 양자 컴퓨터가 개발된다면 외부로부터의 보안 위협을 대비하기 위해서 양자내성암호가 필요하다. 양자 컴퓨터가 개발된다면 양자 기반 알고리즘인 쇼어 알고리즘에 의해서 기존의 공개키 암호 알고리즘을 이 이상 사용할 수 없다. 또한, 그로버 알고리즘으로 인해서 대칭키 암호의 키 사이즈를 두 배, 해시 함수의 출력 길이를 세 배 정도 증가시켜야 기존의 안전성을 가질 수 있다. 2020년 초, 데이터 3법이 개정되면서 개인정보 활용과 관련된 데이터 산업이 주목받았다. 데이터를 활용하는 과정에서 개인의 프라이버시는 보호되어야 하고, 이러한 프라이버시 보호 기술로는 동형암호, 차분 프라이버시, 다자간계산 등이 있다. 동형암호는 데이터를 복호화 없이 연산할 수 있는 기술로, 데이터 처리 속도가 느려지면 다른 제약 없이 모든 분야에서 활용할 수 있는데, 양자내성암호와 함께 주목받고 있다. 기존의 양자 알고리즘 중 대표적인 예시의 특징과 안전성은 다음과 같다.<ref>도리, 〈[http://blog.skby.net/%EC%96%91%EC%9E%90-%EC%95%94%ED%98%B8-%EA%B8%B0%EC%88%A0%EA%B3%BC-%EC%96%91%EC%9E%90%EB%82%B4%EC%84%B1%EC%95%94%ED%98%B8pqc-%EC%95%8C%EA%B3%A0%EB%A6%AC%EC%A6%98/ 양자 암호 기술과 양자내성암호(PQC) 알고리즘]〉, 《개인블로그》, 2019-07-16</ref><ref name='동형암호'> 김도원, 〈[차세대 암호기술 '양자내성암호'와 '동형암호']〉, 《한국인터넷진흥원》, 2020-06 </ref>

:{|class=wikitable width=1000 style="background-color:#ffffee"
!align=center style="background-color:#ffeecc"|양자 알고리즘
!align=center style="background-color:#ffeecc"|특징 
!align=center style="background-color:#ffeecc"|기존 암호
!align=center style="background-color:#ffeecc"|안전성
|-
|align=center|쇼어 알고리즘
|align=center|인수분해 문제 해결 속도 감소
|align=center|공개키
|align=center|이 이상 안전하지 않다.
|-
|align=center rowspan=2|그로버 알고리즘
|align=center rowspan=2|정렬되지 않은 데이터베이스의 원소를 검색하는 속도 향상
|align=center|대칭키
|align=center|키 사이즈 증가가 필요하다.
|-
|align=center|해시
|align=center|암호 알고리즘의 출력 길이가 늘어날 필요가 있다.
|}

== 동향 ==
IBM에서는 2019년 1월 세계 최초로 회로 기반 상업용 양자 컴퓨터인 IBM Q를 발표했다. 양자 컴퓨터에 대한 상업적인 접근성은 아직 약하지만, 사람들은 양자 컴퓨팅이 기존의 디지털 컴퓨터가 하지 못했던 어려운 일을 쉽게 해결할 것이라 기대하고 있다. 하지만 미국 표준기술 연구소와 전문가들은 미래의 양자 컴퓨팅이 약 10년 후, 기존의 정교한 암호화 알고리즘들은 무효화하고 보안상에서 심각한 문제를 일으키리라 예측한다. 업계는 그런 사태를 막기 위해, 양자 컴퓨팅 위협에 대응하기 위한 양자내성암호를 개발하고 있다. 그러나 양자내성암호를 개발한다고 해서 완전히 해결될 일이 아니다. 

미국의 디지털 보안 기술 회사 디지서트(DigiCert)는 양자 컴퓨팅에 대한 기대와 위험성에 대해서 미국과 독일, 일본의 400여 개의 기업과 천 명 이상의 IT 전문가를 대상으로 설문 조사를 했다. 설문은 주로 금융, 헬스케어, 운송, 제조업 4가지 핵심 산업에 중점을 두고 진행되었다. 그중 양자 컴퓨팅이 언제쯤 기존의 암호화 알고리즘을 깰 정도로 발전할 것 같냐는 설문 조사에서 전체의 18%가 2022년, 17%가 2025년이라고 답했다. 그리고 전체의 26%이자 4분의 1은 2025년 이후에 양자내성암호를 이용하게 될 것이라고 답했으며, 디지서트는 설문 조사를 통해 양자내성암호가 필요한 시기가 대략 2022년이라고 전망을 예측했다.

;양자 컴퓨팅의 장점
* 보안을 개선한다.
* 암호화 민첩성을 개선한다.
* 현재의 커뮤니케이션을 미래의 암호 해독으로부터 보호한다.

;양자컴퓨팅의 난제 
* 비용의 부담이 있다.
* 현 TLS 공급 업체는 양자내성암호 인증서를 제공하고 있지 않다.
* 담당자의 지식 부족으로 문제가 발생할 수 있다.

;양자 컴퓨팅의 위험 부담
* 공격을 해결하는 데 드는 비용 부담이 매우 크다.
* 기기 및 사용자 제품에 내장된 애플리케이션의 암호화가 취약하게 될 것이다.
* 기존의 암호화는 깨질 것이고 현재의 기밀 데이터가 미래의 어느 시점에 노출될 가능성이 있다.<ref> 디지시트, 〈[양자 컴퓨팅에 대한 기대와 위험성 2019 DIGICERT 양자내성암호(PQC) 조사 보고서]〉, 《디지시트》, 2019 </ref>

양자내성암호는 2006년에 PQCrypto 학회에서부터 본격적인 논의가 시작되었다. 2016년 미국 국립표준 기술연구소에서 양자내성암호 표준 공모를 시작함에 따라, 전 세계적으로 양자내성암호에 대한 연구 개발이 진행되고 있다. 미국 국립표준 기술연구소 양자내성암호 표준 알고리즘을 선정하기 위해 표준 공모를 시작했다. 2017년도 12월에 1라운드에 제출된 총 69개의 알고리즘이 공개되었고, 그중 국내에서 제안한 알고리즘은 5개이다. 1라운드의 평가 기준은 알고리즘의 안전성에 관한 부분이 비율을 많이 차지했고, 2019년 1월에 2라운드로 제출된 26개의 알고리즘이 공개되었다. 통과한 알고리즘의 대부분은 미국이나 유럽의 비중이 높았고, 아시아에서는 중국에서 제안한 하나뿐인 알고리즘만 2라운드에 남았다. 2라운드의 평가 기준은 1라운드의 안전성과 함께 성능도 본격적으로 평가될 예정이고, 2024년 이전까지 드래프트 표준이 완료될 예정이다. 국제표준화 기구 ISO/IEC에서도 양자내성암호 표준화를 준비 및 진행 중이다. 격자 기반, 코드 기반 등 기반을 두는 문제에 따라 표준 파트가 구분되고, 많은 검증이 이루어진 해시 기반 전자서명을 가장 먼저 표준화할 예정이다. 국내의 알고리즘 출품작은 미국 국립표준 기술연구소의 표준 공모의 2라운드 진출에 실패했다. 그러나 NIMS에서 개발한 MIMQ와 서울대학교에서 개발한 격자 기반 양자내성암호 링-리자드는 TTA 표준으로 등록되어 있다.<ref name='동형암호'></ref>

== 연구 개발 ==
* '''[[㈜엘지유플러스]]''' : 2019년 12월, ㈜엘지유플러스는 서울대 산업수학센터와 크립토랩과 유무선 양자내성암호 분야 업무협약을 체결했다. 그리고 2020년 6월, ㈜엘지유플러스와 서울대학교 산업 수학센터, 크립토랩이 서로 협력하여 양자 내성암호 기술을 개발하는 데 성공했으며, 이에 그치지 않고 고객전용망장비, 즉 광통신전송 장비에도 성공적으로 적용했다. ㈜엘지유플러스가 양자내성암호 기술을 개발한 것은 양자컴퓨팅 기술의 발전으로 양자컴퓨터가 상용화된다면 기존의 암호체계는 취약해질 수 있기 때문이다. 양자내성암호는 기존의 암호체계와는 달리 양자컴퓨터로도 풀어내는 데 수십억 년이 걸리는 수학 알고리즘을 활용하여 암호키 교환, 데이터의 암호화 및 복호화, 무결성 인증 등 보안의 핵심요소와 관련한 보안 서비스를 제공할 수 있게 한다. 별도의 장비 없이 소프트웨어만으로도 구현할 수 있어서 스마트폰 같은 소형 사물인터넷 기기까지 유연하게 적용하여 유무선에 상관없이 모든 영역에 안전한 보안을 제공할 수 있다. 새로운 양자내성암호 기술은 미국 국립표준기술 연구소의 주도로 IBM, 아마존, 구글, 마이크로소프트 등 글로벌 기업들과 함께 표준화 작업을 진행하고 있다. 또한, 수많은 IT 업계와 보안연구소들이 연합한 오픈 퀀텀 세이프 프로젝트 같은 보안 기술 생태계를 통하여 연구 개발을 꾸준히 진행하고 있다. 세계 최초로 고객전용망 장비에 대한 양자내성암호를 적용한 사례이며, ㈜엘지유플러스는 앞으로 5G 서비스와 유무선 가입자 서비스에도 적용할 예정이다.<ref> 임춘호 기자, 〈[http://news.kbiz.or.kr/news/articleView.html?idxno=68473 양자컴퓨팅 시대에도 끄떡없는 '양자내성암호 기술' 세계 최초 적용]〉, 《중소기업뉴스》, 2020-06-10 </ref> 

* '''[[구글]]''' : 기업에서 차후에 개발될 양자컴퓨터들에 대비하기 위해 양자내성암호 기술을 적용하여 안전성을 높인 대표적인 사례로는 구글의 카나리아(Canary)를 예로 들 수 있다. 구글은 격자 기반 암호인 뉴 홉의 키 교환 프로토콜을 자사의 웹브라우저인 카나리아에 적용했다. 구글의 최신 브라우저인 카나리아는 뉴 홉과 타원곡선 디피헬만 키교환(ECDHE)를 결합한 CECPQ1이라는 키 교환 프로토콜을 적용했다. 

* '''[[인피니온 테크놀로지스]]''' : 독일의 인피니온 테크놀로지스는 뉴 홉 알고리즘이 구현된 보안 칩을 출시했다. 뉴 홉 알고리즘의 키 교환 방식을 적용함으로써 두 당사자 간의 암호화된 채널을 설정할 수 있게 되었다. 칩의 크기를 키워서 추가 메모리 없이 오직 칩 내부의 공간만을 통해 고전 컴퓨팅 분야에서 RSA와 ECC가 제공하는 수준의 안전성을 제공하면서 양자 계산 능력을 견딜 수 있도록 설계했다. 

* '''[[국가수리연구소]]''' : 2020년 4월, 국가수리연구소의 암호기술연구팀이 양자컴퓨터를 이용한 공격에도 안전한 다변수 이차식 문제 기반 공개키 암호 알고리즘을 개발했다. 국제 표준 공개키 암호인 RSA나 ECDSA는 소인수분해 및 이상 대수의 문제에 기반을 두고 있기 때문에 양자 컴퓨터 개발이 완료되면 양자 컴퓨터의 쇼어 알고리즘으로 실시간 해독을 할 수 있다. 국가수리연구소에서 새로 개발한 양자내성암호는 다변수 이차식 시스템의 해를 구하는 난제에 기반을 둔 공개키 암호 알고리즘이다. 즉, 다변수 이차식 연립방정식의 해를 구할 수 없다면 사용자의 전자서명 값을 위조할 수 없도록 설계되었다. 쇼어 알고리즘에 적용되지 않기 때문에 양자 컴퓨터에 대한 안정성 또한 보장받을 수 있다. 공개키 암호의 속도는 8비트 중앙처리장치 기기에서 국제표준 대비 30배 이상 빨라졌다. 경량기기에서 속도가 유독 느린 국제표준 공개키 암호의 기술적인 한계를 극복하고, 사물인터넷 소형기기에서 구현이 가능하다. 현재 국내 공개키 암호는 대부분 해외의 암호를 사용하고 있지만, 연구를 통해 인증, 무결성, 부인방지 기능을 제공하는 국산 공개키 암호 기술을 확보하게 되어 기대받고 있다.<ref> 이종현 기자, 〈[http://www.ddaily.co.kr/news/article/?no=194786 수리연, 양자 컴퓨터에도 뚫리지 않는 ‘양자내성암호 알고리즘’ 개발]〉, 《디지털데일리》, 2020-04-27 </ref> 

{{각주}}

== 참고자료 ==
* 차세대암호인증팀 김도원, 〈[https://www.kisa.or.kr/public/laws/laws3_View.jsp?mode=view&p_No=259&b_No=259&d_No=96&ST=total&SV= 양자컴퓨팅 환경에서의 암호기술 이용 안내서]〉, 《한국인터넷진흥원》, 2018-02-21
* 박태환, 김호원, 〈[http://www.ndsl.kr/ndsl/commons/util/ndslOriginalView.do?cn=JAKO201834736521489&oCn=JAKO201834736521489&dbt=JAKO&journal=NJOU00291864 양자내성암호 표준화, 연구 동향 및 전망]〉, 《국가과학기술정보센터》, 2018-10 
* 이경원 기자, 〈[http://imdarc.math.snu.ac.kr/board_apmJ27/3024 '양자내성 암호' 기술 개발 천정희 서울대 교수]〉, 《서울대학교수리과학부》, 2018-10-05 
* 황정빈 기자, 〈[https://zdnet.co.kr/view/?no=20181105112228 KISA "양자컴퓨팅 시대, 양자내성암호로 대응해야"]〉, 《메가뉴스》, 2018-11-05
* 디지시트, 〈[양자 컴퓨팅에 대한 기대와 위험성 2019 DIGICERT 양자내성암호(PQC) 조사 보고서]〉, 《디지시트》, 2019
* 도리, 〈[http://blog.skby.net/%EC%96%91%EC%9E%90-%EC%95%94%ED%98%B8-%EA%B8%B0%EC%88%A0%EA%B3%BC-%EC%96%91%EC%9E%90%EB%82%B4%EC%84%B1%EC%95%94%ED%98%B8pqc-%EC%95%8C%EA%B3%A0%EB%A6%AC%EC%A6%98/ 양자 암호 기술과 양자내성암호(PQC) 알고리즘]〉, 《개인블로그》, 2019-07-16
* 이종현 기자, 〈[http://www.ddaily.co.kr/news/article/?no=194786 수리연, 양자 컴퓨터에도 뚫리지 않는 ‘양자내성암호 알고리즘’ 개발]〉, 《디지털데일리》, 2020-04-27
* 임춘호 기자, 〈[http://news.kbiz.or.kr/news/articleView.html?idxno=68473 양자컴퓨팅 시대에도 끄떡없는 '양자내성암호 기술' 세계 최초 적용]〉, 《중소기업뉴스》, 2020-06-10

== 같이 보기 ==
* [[양자]]
* [[양자역학]]
* [[양자컴퓨터]]
* [[양자얽힘]]
* [[양자통신]]

{{암호 알고리즘|검토 필요}}