Cloudflare는 양자 컴퓨터를 이용한 미래의 암호 해독 공격(Harvest-now-decrypt-later)에 대응하기 위해 Cloudflare IPsec 서비스에 양자 내성 암호화(PQC)를 정식 출시했습니다. 이번 업데이트는 하이브리드 ML-KEM(FIPS 203) 표준을 채택하여 기존 하드웨어 교체 없이도 Cisco, Fortinet 등 주요 벤더 장비와 상호 운용이 가능한 보안 터널을 구축할 수 있게 합니다. 이는 2029년까지 모든 서비스에 양자 내성 보안을 적용하려는 Cloudflare의 로드맵에서 중요한 이정표가 될 것입니다.

IPsec 기반 양자 내성 암호화의 핵심 기술

하이브리드 ML-KEM 메커니즘: 고전적인 Diffie-Hellman(DH) 방식과 양자 내성 방식인 ML-KEM을 결합한 핸드셰이크를 사용합니다. DH 교환을 먼저 수행한 뒤 그 결과로 ML-KEM 교환을 암호화하며, 두 방식의 출력값을 혼합해 데이터 평면(ESP)을 보호하는 세션 키를 생성합니다.
소프트웨어 기반 구현: ML-KEM은 격자 기반(Lattice-based) 암호 알고리즘으로, 전용 물리적 링크나 특수 하드웨어가 필요한 양자 키 분배(QKD)와 달리 일반 프로세서의 소프트웨어 환경에서 구동됩니다.
주요 벤더 상호 운용성: IETF 드래프트(draft-ietf-ipsecme-ikev2-mlkem) 표준을 준수하여 Cisco 8000 시리즈 라우터(v26.1.1 이상) 및 Fortinet FortiOS(v7.6.6 이상) 장치와 성공적으로 연동됩니다.

IPsec 표준화가 TLS보다 늦어진 이유와 한계

QKD 기술에 대한 의존: IPsec 커뮤니티는 한동안 양자 키 분배(QKD) 기술에 집중했으나, 이는 특수 장비가 필요하고 인터넷 규모의 확장이 어려우며 능동적 공격자를 차단할 인증 기능이 부족하다는 한계가 있었습니다.
파편화된 표준화: 2023년 발표된 RFC 9370은 병렬 키 교환의 틀은 마련했지만 구체적인 암호 스위트를 지정하지 않았습니다. 이로 인해 초기 구현체들이 서로 다른 암호를 사용하게 되면서 Palo Alto Networks 등 일부 벤더 간의 호환성 문제가 발생했습니다.
산업계의 통합: 이번에 도입된 드래프트 표준은 RFC 9370의 빈틈을 메우며 하이브리드 ML-KEM을 명시함으로써, 벤더들이 단일한 표준으로 결집할 수 있는 토대를 마련했습니다.

안전한 네트워크 전환을 위한 권장 사항

현재의 업데이트는 데이터 '암호화'에 집중되어 있어, Q-Day 이후의 실시간 공격을 완벽히 방어하려면 향후 '양자 내성 인증' 표준 도입이 추가로 필요합니다. 기업들은 전용 회선이 필요한 QKD 방식보다는 기존 인프라에서 즉시 적용 가능한 소프트웨어 기반 PQC 표준을 우선적으로 검토해야 하며, 장비 업그레이드 시 draft-ietf-ipsecme-ikev2-mlkem 지원 여부를 확인하는 것이 권장됩니다.