ml-kem

Cloudflare IPsec용 양자 내성 암호 정식 출시 (새 탭에서 열림)

Cloudflare는 양자 컴퓨터를 이용한 미래의 암호 해독 공격(Harvest-now-decrypt-later)에 대응하기 위해 Cloudflare IPsec 서비스에 양자 내성 암호화(PQC)를 정식 출시했습니다. 이번 업데이트는 하이브리드 ML-KEM(FIPS 203) 표준을 채택하여 기존 하드웨어 교체 없이도 Cisco, Fortinet 등 주요 벤더 장비와 상호 운용이 가능한 보안 터널을 구축할 수 있게 합니다. 이는 2029년까지 모든 서비스에 양자 내성 보안을 적용하려는 Cloudflare의 로드맵에서 중요한 이정표가 될 것입니다. ### IPsec 기반 양자 내성 암호화의 핵심 기술 * **하이브리드 ML-KEM 메커니즘**: 고전적인 Diffie-Hellman(DH) 방식과 양자 내성 방식인 ML-KEM을 결합한 핸드셰이크를 사용합니다. DH 교환을 먼저 수행한 뒤 그 결과로 ML-KEM 교환을 암호화하며, 두 방식의 출력값을 혼합해 데이터 평면(ESP)을 보호하는 세션 키를 생성합니다. * **소프트웨어 기반 구현**: ML-KEM은 격자 기반(Lattice-based) 암호 알고리즘으로, 전용 물리적 링크나 특수 하드웨어가 필요한 양자 키 분배(QKD)와 달리 일반 프로세서의 소프트웨어 환경에서 구동됩니다. * **주요 벤더 상호 운용성**: IETF 드래프트(`draft-ietf-ipsecme-ikev2-mlkem`) 표준을 준수하여 Cisco 8000 시리즈 라우터(v26.1.1 이상) 및 Fortinet FortiOS(v7.6.6 이상) 장치와 성공적으로 연동됩니다. ### IPsec 표준화가 TLS보다 늦어진 이유와 한계 * **QKD 기술에 대한 의존**: IPsec 커뮤니티는 한동안 양자 키 분배(QKD) 기술에 집중했으나, 이는 특수 장비가 필요하고 인터넷 규모의 확장이 어려우며 능동적 공격자를 차단할 인증 기능이 부족하다는 한계가 있었습니다. * **파편화된 표준화**: 2023년 발표된 RFC 9370은 병렬 키 교환의 틀은 마련했지만 구체적인 암호 스위트를 지정하지 않았습니다. 이로 인해 초기 구현체들이 서로 다른 암호를 사용하게 되면서 Palo Alto Networks 등 일부 벤더 간의 호환성 문제가 발생했습니다. * **산업계의 통합**: 이번에 도입된 드래프트 표준은 RFC 9370의 빈틈을 메우며 하이브리드 ML-KEM을 명시함으로써, 벤더들이 단일한 표준으로 결집할 수 있는 토대를 마련했습니다. ### 안전한 네트워크 전환을 위한 권장 사항 현재의 업데이트는 데이터 '암호화'에 집중되어 있어, Q-Day 이후의 실시간 공격을 완벽히 방어하려면 향후 '양자 내성 인증' 표준 도입이 추가로 필요합니다. 기업들은 전용 회선이 필요한 QKD 방식보다는 기존 인프라에서 즉시 적용 가능한 소프트웨어 기반 PQC 표준을 우선적으로 검토해야 하며, 장비 업그레이드 시 `draft-ietf-ipsecme-ikev2-mlkem` 지원 여부를 확인하는 것이 권장됩니다.

Cloudflare One은 플랫폼 전반에 (새 탭에서 열림)

Cloudflare One은 보안 웹 게이트웨이(SWG), Zero Trust, WAN 솔루션을 포함한 전체 SASE 플랫폼에 현대적인 양자 내성 암호(PQC)를 도입하며 업계 최초의 완결된 보안 체계를 구축했습니다. 표준 기반의 하이브리드 ML-KEM 방식을 채택하여 기존 인프라의 성능 저하 없이 미래의 양자 컴퓨터 위협으로부터 기업 데이터를 선제적으로 보호합니다. 이는 단순한 기술 시연을 넘어 2030년 NIST 암호 표준 전환 마감 시한에 대비한 구체적인 실행 방안을 제시합니다. **양자 내성 암호 도입의 시급성** - **NIST 표준 준수:** 미국 국립표준기술연구소(NIST)는 2030년까지 기존 RSA 및 타원곡선 암호(ECC)를 폐기할 것을 권고하고 있어, 조직의 컴플라이언스 유지를 위한 마이그레이션이 필수적입니다. - **"선수집 후복호화" 차단:** 공격자가 현재 암호화된 데이터를 미리 수집한 뒤, 미래에 고성능 양자 컴퓨터가 개발되면 이를 복호화하려는 시도(Harvest Now, Decrypt Later)에 대응해야 합니다. - **암호화 민첩성(Crypto Agility):** 암호 알고리즘 교체는 수십 년이 걸릴 수 있는 어려운 작업이므로, 플랫폼 레벨에서 알고리즘을 손쉽게 교체할 수 있는 구조를 미리 갖추는 것이 중요합니다. **하이브리드 ML-KEM 기반의 암호화 체계** - **키 교환 방식의 혁신:** 표준 기반의 격자 구조 암호인 ML-KEM을 기존 타원곡선 디피-헬먼(ECDHE)과 혼합한 '하이브리드 ML-KEM' 방식을 사용하여 보안성을 극대화했습니다. - **하드웨어 제약 해소:** 양자 키 분배(QKD)와 달리 특수한 물리적 장치 없이 소프트웨어 업데이트만으로 구현 가능하며, 일반적인 TLS 통신 환경에서도 성능 저하가 거의 없습니다. - **단계적 마이그레이션 전략:** 현재는 양자 컴퓨터의 '수동적 공격'을 막기 위한 키 교환(Key Establishment) 단계의 업그레이드에 집중하고 있으며, 향후 디지털 서명 분야로 확대할 계획입니다. **IPsec 및 WAN 보안 강화** - **표준 기반 IPsec 구현:** 상호운용성이 낮은 기존 방식 대신 RFC 9370(다중 키 교환) 표준을 지원하여 IPsec 터널 구간에서의 양자 내성 보안을 실현했습니다. - **Cloudflare One 어플라이언스 업데이트:** 물리적·가상 WAN 어플라이언스 버전 2026.2.0부터 하이브리드 ML-KEM을 정식 지원하여 사이트 간(Site-to-site) 연결을 보호합니다. - **클라우드 네이티브 WAN 서비스:** Cloudflare IPsec 베타를 통해 고객 네트워크에서 Cloudflare 글로벌 네트워크로 이어지는 모든 경로에 양자 내성 암호를 적용할 수 있습니다. **실용적인 결론 및 추천** 데이터의 유효 기간이 수년 이상 지속되어 장기적인 기밀 유지가 필요한 기업은 Cloudflare One Appliance를 최신 버전으로 업데이트할 것을 권장합니다. 특히 규제 준수가 중요한 금융, 의료, 공공 부문은 현재 제공되는 IPsec PQC 베타 프로그램에 참여하여 인프라의 암호화 민첩성을 미리 점검하고 양자 컴퓨팅 시대의 위협에 선제적으로 대응해야 합니다.