클라우드플레어(Cloudflare) One, 양자 내성 암호화(Post-Quantum Encryption)로 SASE 보안 강화
클라우드플레어(Cloudflare)는 자사의 SASE 플랫폼(SASE Platform) Cloudflare One에 양자 내성 암호화(Post-Quantum Encryption)를 전면 도입하여 보안 강화
하이브리드 ML-KEM(Hybrid ML-KEM)을 Secure Web Gateway, Zero Trust, WAN(Wide Area Network) 등 다양한 환경에서 지원하며 데이터 보호(Data Protection)를 실현
Cloudflare IPsec 및 Cloudflare One Appliance에 Post-Quantum 암호화(Post-Quantum Encryption)를 적용하여, IPsec 기반 WAN(WAN) 연결 보안을 강화
NIST(National Institute of Standards and Technology)의 2030년 양자 내성 암호화(Post-Quantum Encryption) 전환 권고에 따라 선제적 대응(Proactive Response)
Cloudflare IPsec 업그레이드는 현재 베타(Beta) 단계이며, Cloudflare One Appliance는 2026.2.0 버전부터 정식 지원
양자 내성 암호화(Post-Quantum Encryption)의 필요성
본문에 따르면 양자 컴퓨터(Quantum Computer)의 발전으로 인해 기존 암호화 방식이 무력화될 위험이 커짐에 따라, 양자 내성 암호화(Post-Quantum Encryption)의 도입이 시급하다.
Harvest Now, Decrypt Later 공격: 현재 암호화된 데이터를 탈취하여 양자 컴퓨터(Quantum Computer)가 등장할 때까지 보관 후 해독하는 공격
NIST(National Institute of Standards and Technology) 권고: 2030년까지 RSA(RSA) 및 ECC(Elliptic Curve Cryptography)를 PQC(Post-Quantum Cryptography)로 전환 권고
암호화 알고리즘(Cryptographic Algorithm) 업그레이드의 어려움: MD5(MD5)의 사례처럼, 암호화 방식 변경에는 오랜 시간이 소요
결과적으로, 데이터의 장기적인 안전성(Long-term Security)을 확보하기 위해 양자 내성 암호화(Post-Quantum Encryption)로의 전환은 선택이 아닌 필수이다.
하이브리드 ML-KEM(Hybrid ML-KEM)의 기술적 특징
클라우드플레어(Cloudflare)는 하이브리드 ML-KEM(Hybrid ML-KEM)을 자사 제품에 적용하여 양자 내성 암호화(Post-Quantum Encryption)를 구현했다.
ML-KEM(Module-Lattice-based Key-Encapsulation Mechanism): TLS(Transport Layer Security)에서 널리 사용되는 PQ(Post-Quantum) 키 합의 프로토콜
ECDHE(Elliptic Curve Diffie Hellman)와의 병행 사용: 기존 ECDHE(Elliptic Curve Diffie Hellman)와 ML-KEM(Module-Lattice-based Key-Encapsulation Mechanism)을 혼합하여 안전성(Security) 및 호환성(Compatibility) 확보
성능 영향 최소화: 단일 ML-KEM(Module-Lattice-based Key-Encapsulation Mechanism) 사용 대비 성능 저하가 거의 없음
하이브리드 방식은 Harvest Now, Decrypt Later 공격 방어(Defense against Harvest Now, Decrypt Later attacks)에 효과적이며, 기존 시스템과의 점진적 통합(Gradual Integration)을 가능하게 한다.
Cloudflare IPsec의 양자 내성 암호화(Post-Quantum Encryption) 구현
클라우드플레어(Cloudflare)는 IPsec(IPsec) 제품에 하이브리드 ML-KEM(Hybrid ML-KEM)을 적용하여 WAN(Wide Area Network) 연결 보안을 강화했다.
IKEv2(Internet Key Exchange v2) 프로토콜: IPsec(IPsec)에서 사용되는 키 교환 프로토콜로, 하이브리드 ML-KEM(Hybrid ML-KEM) 지원
Cloudflare IPsec IKEv2 Responder: IKEv2(Internet Key Exchange v2) Responder에서 하이브리드 ML-KEM(Hybrid ML-KEM) 지원 구현
ESP(Encapsulating Security Payload) 모드: 대칭 암호화(Symmetric Cryptography)를 사용하므로 추가적인 업그레이드 없이 양자 안전성(Quantum Safety) 확보
클라우드플레어(Cloudflare)는 strongswan(strongswan) 레퍼런스 구현을 통해 IPsec Initiator와의 상호 운용성을 테스트했다.
Cloudflare One Appliance의 양자 내성 암호화(Post-Quantum Encryption) 지원
클라우드플레어(Cloudflare)는 Cloudflare One Appliance에도 양자 내성 암호화(Post-Quantum Encryption)를 적용하여 엔드 투 엔드(End-to-End) 보안을 제공한다.
TLS 1.3(Transport Layer Security 1.3) 사용: Cloudflare One Appliance는 IKEv2(Internet Key Exchange v2) 대신 TLS(Transport Layer Security)를 사용하여 키 합의 및 세션 설정
하이브리드 ML-KEM(Hybrid ML-KEM) 적용: TLS 1.2(Transport Layer Security 1.2)에서 TLS 1.3(Transport Layer Security 1.3)으로 업그레이드하여 하이브리드 ML-KEM(Hybrid ML-KEM) 지원
자동 업데이트: Cloudflare One Appliance는 별도의 사용자 작업 없이 자동으로 PQC(Post-Quantum Cryptography) 업그레이드
결과적으로, Cloudflare One Appliance를 사용하는 고객은 별도의 설정 없이 향상된 보안(Enhanced Security)을 누릴 수 있다.
상호 운용성(Interoperability) 확보 노력
클라우드플레어(Cloudflare)는 양자 내성 암호화(Post-Quantum Encryption)의 완전한 가치를 실현하기 위해 상호 운용성(Interoperability) 확보에 힘쓰고 있다.
draft-ietf-ipsecme-ikev2-mlkem 표준 준수: IPsec Initiator를 구축하는 다른 벤더(Vendor)와의 상호 운용성 테스트를 위해 노력
베타 프로그램(Beta Program) 운영: 타사 Branch Connector와의 상호 운용성 테스트를 위한 베타 프로그램 운영
ciphersuite bloat 방지: TLS(Transport Layer Security)와 유사하게, 불필요한 ciphersuite(Cipher Suite) 증가를 지양
결과적으로, 클라우드플레어(Cloudflare)는 개방형 표준(Open Standard) 준수를 통해 생태계 확장을 도모하고 있다.
관련 추천 글
클라우드플레어(Cloudflare), 양자 내성 암호화(Post-quantum encryption) IPsec 정식 출시
Cloudflare One, IP 중복 문제 해결하는 ARR 출시!
Cloudflare One, 제로 트러스트(Zero Trust) 기반의 안전하고 빠른 네트워크 환경 구축
Cloudflare One, 데이터 보안 강화: 엔드포인트부터 AI 프롬프트까지 보호
Cloudflare One, Project Helix로 제로 트러스트(Zero Trust) 환경 구축을 간편하게!
Cloudflare, MCP 보안 아키텍처 공개: 안전하고 비용 효율적인 AI 워크플로우 구축