NIST가 9개의 새로운 양자 내성 서명 알고리즘 후보를 3차 평가 중이지만, Cloudflare 엔지니어들은 지금 당장 도입 가능한 서명 알고리즘은 ML-DSA뿐이라고 결론 내린다. 2029~2034년의 전환 목표 시점에 어떤 신규 후보도 광범위하게 배포될 준비를 마치지 못할 것이기 때문이다.
핵심 포인트- ML-DSA는 2024년 NIST 표준화를 완료한 유일한 범용 양자 내성 서명 방식이지만, 서명 크기 2,420바이트·공개키 1,312바이트로 TLS 오버헤드가 크다.
- FN-DSA(Falcon)는 666바이트 서명으로 더 작지만, 부동소수점 연산 의존성으로 인해 사이드채널 안전 구현이 극히 복잡하고 2033년은 돼야 광범위 배포가 현실화될 전망이다.
- SQIsign은 Ed25519에 근접한 148바이트 서명을 제공하지만 구현 복잡도와 느린 서명 속도, 풍부한 수학적 공격 표면 문제로 2035년 이전 배포가 어렵다.
- 다변수 방식인 MAYO는 1,600바이트 공개키+550바이트 서명으로 ML-DSA보다 합산 크기가 작고 구조 공격 사례가 없지만, NIST는 추가 2년 평가 라운드가 필요하다고 본다.
- 증명기반 방식(FAEST, MQOM, SDitH)은 블라인드 서명·익명 자격증명 같은 고급 기법으로 확장 가능하며, 가장 빠르게 성숙하는 분야다.
상세 정리- 표준화 현황: ML-KEM 암호화는 이미 Cloudflare 트래픽 대부분에 적용됐고, 서명 전환이 남은 과제다. Cloudflare의 목표는 2029년 완전한 양자 내성 보안 달성.
- ML-DSA 한계: RSA/ECC의 블라인드 서명, 임계값 서명, 배치 검증 같은 고급 기법을 직접 대체하지 못한다. 서명 크기도 월등히 크다.
- FN-DSA: 부동소수점 연산 순서와 FMA 명령어 사용에 따라 서로 다른 서명 값이 생성돼 결정론적 테스트가 어렵다. 고정소수점 구현으로 우회 가능하지만 복잡도가 높다. 2026년 드래프트 완성을 가정해도 2033년은 돼야 광범위 배포 가능.
- HAWK: 부동소수점 없는 빠른 서명을 제공하지만 격자 동형 문제(LIP)라는 새로운 보안 가정에 의존한다. 2024~2026년 사이 지속적인 암호 분석 공격이 제기됐다.
- SLH-DSA: 상태 관리가 불필요하지만 서명 크기 7,856~17,088바이트, 최소 파라미터셋은 서명에 700만 CPU 사이클이 필요해 실용성이 낮다.
- LMS/HSS: 상태형 해시 기반 서명으로 상태 재사용 시 개인키가 노출되고 사용 횟수가 약 100만 회로 제한된다.
- SQIsign: 검증 속도가 2024년 평가 대비 20배 개선됐지만 서명 생성이 여전히 느리다. SIKE 붕괴처럼 아이소제니 수학의 풍부한 구조가 예상치 못한 공격 경로가 될 위험이 있다.
- UOV: 96바이트 서명으로 가장 작지만, 256비트 보안을 위해 공개키가 446KB로 늘어나 WebPKI의 크로스 서명에 실용적이지 않다.
- MAYO: 174비트 보안에서 공개키 1,600바이트·서명 550바이트를 달성해 FN-DSA-1024보다 합산 크기가 작다. 설계 변경 없이 안정적으로 발전 중이다.
- SNOVA: 248바이트 서명·1,024바이트 공개키로 공격적 최적화를 달성했지만, 구조 특이적 공격이 반복 발견돼 여러 차례 설계 수정이 이뤄졌다.
- 타임라인: ML-DSA 표준화에 7년(2017→2024)이 소요됐다. FN-DSA는 2033년, 다변수 방식은 2034년, SQIsign은 2035년에야 광범위 배포가 현실화될 전망이다.
- 미래 가치: 신규 알고리즘 연구는 ML-DSA의 크기 제약 해결, 블라인드 서명·익명 자격증명의 양자 내성화, 단일 가정 실패 대비 다양성 확보에 필수적이다.
왜 읽나양자 내성 암호 전환을 준비 중인 보안·인프라 엔지니어에게 9개 후보 알고리즘의 성능·보안·타임라인을 한 번에 비교하고 ML-DSA 즉시 도입의 근거를 이해하는 실전 레퍼런스.