핵심 개념
QED 도구 체인은 양자 취약 API를 사용하는 소프트웨어 실행 파일을 정확하고 효율적으로 식별하여 조직의 양자 내성 암호화 마이그레이션을 지원한다.
초록
이 연구에서는 양자 컴퓨팅이 현재 널리 사용되는 보안 메커니즘에 심각한 위협을 가한다는 점에 주목하였다. 이에 따라 보안 전문가와 공공 부문에서는 조직이 소프트웨어를 양자 내성 암호화(PQC)로 마이그레이션하도록 권고하고 있다. 그러나 실행 파일 형태로 배포되는 소프트웨어의 경우 이를 지원하는 (반)자동 도구가 부족한 실정이다.
이를 해결하기 위해 연구진은 QED라는 도구 체인을 제안했다. QED는 3단계로 구성되며, 각 단계에서 점점 더 정교한 분석을 수행한다:
파일 수준 의존성 분석: 실행 파일이 양자 취약 암호화 라이브러리에 의존하는지 식별한다.
API 수준 의존성 분석: 실행 파일이 양자 취약 API를 호출하는지 확인한다.
정적 호출 흐름 분석: 실행 파일의 진입점에서 양자 취약 API로 이어지는 실행 경로를 정확하게 식별한다.
실험 결과, QED는 합성 데이터셋에서 100% 정확도로 양자 취약 실행 파일을 식별했다. 또한 실제 데이터셋에서도 평균 4초 만에 분석을 완료하고, 분석가의 수동 작업을 90% 이상 줄일 수 있었다. 이를 통해 QED가 조직의 PQC 마이그레이션 과정에서 중요한 도구가 될 것으로 기대된다.
통계
"양자 컴퓨터는 현재 널리 사용되는 RSA 암호화 시스템을 4,098개의 논리 큐비트로 해킹할 수 있다."
"양자 컴퓨터는 타원 곡선 암호화 시스템을 2,330개의 논리 큐비트로 해킹할 수 있다."
인용구
"양자 컴퓨팅의 발전으로 인해 악의적인 행위자들이 현재 널리 사용되는 보안 메커니즘, 특히 공개 키 암호 시스템을 무력화시킬 수 있다."
"NIST는 조직 내에 양자 준비 팀을 구성하여 소프트웨어 시스템을 PQC로 마이그레이션할 것을 권고하고 있다."