공개키 암호 약점 극복할 양자 암호 체계 실현위해 양자광학·정보과학 발전 필요
공개키 암호 약점 극복할 양자 암호 체계 실현위해 양자광학·정보과학 발전 필요
  • 김재완 / 고등과학원 계산과학부 학부장
  • 승인 1970.01.01 09:00
  • 댓글 0
이 기사를 공유합니다

양자물리학과 암호통신은 ‘병(病) 주고 약(藥) 주는’ 관계에 있다. 앞으로 개발될 양자컴퓨터는 현재 널리 쓰이고 있는 공개키 암호체제를 위협하지만, 양자물리학적 원리를 사용하는 양자암호 통신기술은 도청이 원천적으로 불가능한 새로운 암호통신기술을 제공하기 때문이다.

1970년대에 개발된 공개키 암호체제는, 풀기 어려운 문제를 공개키(자물쇠)로 사용하여 암호문을 만들고, 그 문제의 해답을 비밀키(열쇠)로 사용하여 암호를 풀 수 있도록 되어 있다. 공개키로 많이 사용되는 풀기 어려운 문제는 큰 수의 소인수분해이다. 이 방식을 고안한 Rivest, Shamir, Adleman(RSA) 등 세 사람은 1977년 Scientific American에 129자리 자연수를 소인수분해하라는 100달러짜리 현상금 문제를 냈다. Rivest는 하드웨어의 발달까지 고려하여 4경(4×1016)년이 걸릴 것이라고 예상했으나, 1994년 25개국 600여 자원봉사자의 1600대에 달하는 각종 컴퓨터를 8개월간 동원한 노력 앞에 풀리고 말았다. 이는 정수론의 발달로 발견된 새로운 알고리듬 덕분에 가능했던 것이다. 그러나 여전히 소인수분해 문제는 문제의 크기에 거의 지수함수에 가까운 정도의 시간이 소요되는 어려운 문제이다. 한 계산에 의하면, 2000자리 자연수의 소인수분해는, 우주 전체의 입자들 수효(1080개)만큼의 컴퓨터를 우주의 나이(1018초) 동안 사용해도, 할 수 없다고 한다. 공개키 암호체제의 이렇게 굳건해 보이던 안전성은 양자컴퓨터의 출현가능성 앞에 허물어지게 되었다. 1994년 AT·T의 Shor는 양자컴퓨터를 사용하면 소인수분해 문제는 문제크기의 지수함수가 아니라 세제곱정도의 시간에 풀릴 수 있다는 걸 증명했다. 따라서 현재 이용되고 있는 RSA 방식 공개키 암호체제는 양자컴퓨터가 본격적으로 개발되는 그 날로 완전무장해제가 되는 셈이다.(양자컴퓨터가 아니라 하더라도, 아직 우리가 알지 못하는 새로운 알고리듬으로 공개키 암호체제가 무너질 가능성도 무시할 수 없다.)

양자컴퓨터가 공개키 암호체제에 치명적인 위협으로 등장하고 있지만, 양자물리학을 이용한 양자암호기술은 이를 극복할 절대적인 통신보안의 새로운 수단으로 증명되었다. 일회용 난수표를 열쇠와 자물쇠로 사용하는 대칭암호체제는 절대보안성이 증명되어 있긴 하지만, 그건 두 통신당사자가 일회용 난수표를 안전하게 나누어가지고 있을 경우에만 해당하는 이야기다. 난수표를 두 번 이상 사용하면 메시지는 물론 난수표까지 노출될 가능성이 있으므로, 통신당사자들은 계속하여 새로운 난수를 나누어가져야 한다. 요즘은 뜸해졌지만, 간첩수사발표에서 난수표가 단골메뉴로 등장하는 것처럼, 난수표를 통신당사자들이 절대적으로 안전하게 나눠가진다는 것은 기존의 방법으로는 불가능하다. 양자암호기술은 난수표를 두 통신당사자가 양자물리학을 이용하여 절대적으로 안전하게 나눠가질 수 있는 방법이다.

RSA연구소의 연구팀장인 Kaliski는 “양자암호기술은 암호기술의 주요한 패러다임 변혁”이라고 하면서, “기존암호기술과 양자암호기술의 결합은 더욱 안전한 통신체계를 실현하는 강력한 도구”라고 한다.

수학의 실수(real number)체계가 복소수(complex number)체계로 확장되는 것처럼, 비트(bit)로 표현되는 디지털 정보체계는 양자비트(quantum bit) 또는 큐비트(qubit)의 양자정보체계로 확장된다. 디지털정보와 양자정보의 다른 점을 비교해보자.

비트는 0 또는 1 두 상태 중 하나이지만, 큐비트는 l0>과 l1>이 중첩된 상태에 있게 된다. N개의 비트는 00...0부터 11...1까지 2N가지의 가능성 중 하나만 나타낼 수 있지만, N개의 큐비트는 l00...0>부터 l11...1>까지 2N가지 모두가 중첩된 상태를 나타낼 수 있다. 이렇게 큐비트 개수에 대해 지수함수적으로 늘어나는 기억 및 계산공간 덕분에 양자컴퓨터는 디지털 컴퓨터보다 더 크고 더 빠른 계산을 할 수 있다.

디지털정보는 얼마든지 복사가 가능하지만, 양자정보는 복사가 불가능하다.

예를 들어 lα>와lβ> 를 각각 복사하여 각각 lα>lα>와 lβ>lβ>가 된다고 가정하면, lα>+lβ>를 복사하려고 할 때에 (lα>+lβ>)(lα>+lβ>)처럼 복사가 되지 않고, 양자물리학의 선형성 때문에 lα>lα>+lβ>lβ>로 되어 양자 얽힘 상태가 된다. 얽힘 상태는 두 개별 상태의 곱으로 표시될 수 없는 상태를 가리킨다.

만약에 양자정보를 복사할 수 있게 되면 20세기 물리학의 두 기둥, 양자물리학과 상대성이론이 무너지게 된다. 우선 모르는 양자상태를 무수히 복사하여 원하는 대로 측정하면 그 양자상태에 대해서 정확히 알 수 있게 되는데, 이는 양자물리학의 불확정성 원리에 어긋난다. 또한 양자얽힘의 비국소적인 성질을 이용하고 양자정보를 복사할 수 있으면, 빛보다 빠른 통신이 가능해지는데, 이는 상대성이론에 정면으로 모순이 된다.

디지털정보는 읽힐 때에 그 상태가 변하지 않지만, 양자정보는 읽힐 때에 즉 측정될 때에 돌이킬 수 없게 그 상태가 달라질 수 있다. 예를 들어, l±> = (l0>±l1)/√2상태를 l+>나 l->상태 둘 중 어느 상태인지 알아내기 위해 읽는다면(측정한다면) l0>또는 l1>상태 그대로 머물러 있지만, 또는 둘 중에 어느 상태인지 알아내기 위해 읽는다면 원래대로 l+>나 l->상태가 아니라, 각각 50%의 확률로 l0>또는 l1>의 상태로 측정되고 측정된 직후에도 그 변한 상태대로 있게 된다.

양자정보의 복사불가능성과 양자측정의 비가역성을 이용하면 양자암호기술을 이해할 수 있다. 갑돌이가 을순이에게 양자정보를 보낼 때에 중간에서 도청하는 방법은 두 가지로 생각해 볼 수 있다. 하나는 통신채널로 지나가는 양자정보를 복사하는 것인데, 이는 앞에서 밝힌 대로 불가능하다. 다른 방법은 지나가는 양자정보를 살짝 끄집어내어 읽어(측정해) 보고 도로 통신채널에 집어넣어 을순이에게 가도록 하는 것인데, 이렇게 하면 갑돌이가 보낸 양자정보와 을순이가 받는 양자정보가 달라질 수 있다. 갑돌이와 을순이는 주고 받은 양자상태 중 일부를 공개적으로 비교해 봄으로써 도청 가능성을 알아낼 수 있다.

IBM의 Bennett과 몬트리올대학교의 Brassard가 1984년에 고안한 BB84로 불리는 양자암호기술(양자암호키전송)은 다음과 같다.

갑돌이가 을순이에게 단일광자(single photon)를 보내는데, →, ↓(+방식:수평 또는 수직 편광방식), 쭲, ↘(×방식:45도 또는 135도 대각선 편광방식) 등 네 가지 편광상태 중에서 하나로 만들어 보낸다. 이렇게 하기 위해 갑돌이는 각각 50% 확률로 0 또는 1이 나오게 하는 난수발생기(random number generator) 두 개를 사용한다. 첫 번째 난수발생기는 을순이에게 보낼 비트 0 또는 1을 결정하고, 두 번째 난수발생기는 이 비트를 코딩할 편광방식 +방식 또는 ×방식을 결정한다. 예를 들어, 갑돌이의 두 난수가 0과 0이라면 비트 0을 +방식으로 코딩하여 →편광의 단일광자를 을순이에게 보내게 된다. 01은 0을 ×방식으로 코딩하여 ↗편광을, 10은 1을 +방식으로 코딩하여 ↓편광을, 11은 1을 ×방식으로 코딩하여 ↘편광을 보낸다.

을순이도 난수발생기를 사용하여, 0이 나오면 +방식, 1이 나오면 ×방식으로 갑돌이가 보내온 단일광자의 편광을 측정한다. 을순이의 편광 측정 결과가 →또는 ↗이면 을순이는 갑돌이가 보낸 비트를 0으로 해석하고, ↑ 또는 ↘이면 1로 해석한다.

갑돌이가 보낸 편광방식과 을순이가 측정하는 편광방식이 같으면, 갑돌이가 보낸 비트와 을순이가 해석한 비트는 똑같은 것이 되고, 두 사람의 편광방식이 다르면 두 사람의 비트는 50%의 확률로 같을 수도 있고 다를 수도 있다. 예를 들어, 갑돌이의 난수쌍이 01이면 갑돌이는 ↗편광을 보낸다. 이 때에 을순이의 난수가 1이라서 갑돌이와 똑같은 편광방식인 ×방식으로 측정하면 100%의 확률로 ↗편광을 얻게 되고, 을순이는 이를 갑돌이가 보낸 비트와 같은 0으로 해석하게 된다. 그렇지만 을순이의 난수가 0이라면 을순이는 +방식으로 측정하게 되는데, ↗편광은 +방식으로 측정할 때에 50%의 확률로 →로 측정되기도 하고 ↑로 측정되기도 한다. 을순이는 이를 0 또는 1로 해석하게 되어, 갑돌이가 보낸 비트를 맞출 확률이 50% 밖에 되지 않는다.

두 사람 사이의 단일광자 전송이 끝나면, 두 사람은 보낸 상태나 읽은 상태, 즉 비트는 공개하지 않고, 보낸 방식과 읽은 방식만을 공개적으로 비교한다. 갑돌이가 보낸 방식과 을순이가 읽은 방식이 같으면 두 사람은 똑같은 양자상태를 인식하게 되므로 이를 이용하여 대칭비밀키를 만들면 된다.

앞에서 말한 대로 양자통신채널을 도청하기 위해 통신채널로 지나가는 양자상태를 복사하는 것은 불가능하다. 또 다른 도청방식으로 도청자가 중간에서 양자상태를 읽는다면, 갑이 보낸 편광방식과 을이 읽는 편광방식은 같고 도청자의 편광방식만 다르다면, 50%의 확률로 같아야 할 갑돌이와 을순이의 비트가 달라지게 된다. 따라서 갑돌이와 을순이는 두 사람의 편광방식이 같은 것들 중에서 몇몇을 골라 정말로 두 사람의 비트가 같은지 확인해 봄으로써 도청여부를 가늠해 볼 수 있다. 서로 다른 경우가 너무 많으면 통신채널의 이상이나 도청가능성을 의심해보아야 한다. 보낸 방식과 읽는 방식이 다를 경우에는 두 사람이 인식하는 양자상태 사이에 아무런 상관관계가 생기지 않으므로 무시한다.

Bennett 등은 1989년 32cm 거리에서 최초의 양자암호 통신실험에 성공했다. 최근 도시바는 광섬유로 100 km 거리에 양자암호키를 전송하는 데에 성공했다. 유럽의 Rarity 등과 미국 로스알라모스연구소의 Hughes 등은 각각 23km와 10km 대기 중에서 양자암호키전송에 성공하였는데, 이는 장차 위성통신에 양자암호기술을 적용할 전단계 실험에 해당한다. 한편 미국의 벤처회사인 MagiQ와 스위스의 벤처회사인 IDQuantique은 상업용 양자암호시스템을 2003년 현재 시판 중이라고 광고하고 있다. 특히 IDQuantique의 Gisin교수는 스위스 텔레콤과 제네바 대학교에서 현재 제네바와 로잔 사이에 설치되어 있는 광통신용 광섬유를 이용하여 67km의 거리에서 양자암호통신을 하는 데에 성공한 바 있다.

양자암호기술은 양자정보처리 분야에서 가장 일찍 실현될 수 있는 기술로서, 양자컴퓨터를 비롯한 더 광범위한 양자정보과학기술의 기초가 된다. 양자암호기술을 실현하기 위해서는 단일광자나 기타 양자광 상태의 발생·조작·전송·측정 등을 비롯한 양자광학적인 기술의 발달과 양자오차수정을 비롯한 양자정보과학의 발전이 절실히 요구된다. 지난 십수년간 IT 강국으로 발돋움한 우리나라가 앞으로 다가올 양자정보분야에서도 기술적 우위를 지키기 위해서는 이 분야 연구에 대해 많은 관심이 필요하다.