클라우드플레어(Cloudflare), 2029년까지 양자 보안(Post-Quantum Security) 완성을 목표로!

클라우드플레어(Cloudflare)는 2029년까지 양자 보안(Post-Quantum Security)을 목표로, 특히 인증(Authentication) 시스템의 보안 강화를 강조한다. 구글(Google)의 알고리즘 개선 발표와 오라토믹(Oratomic)의 연구를 통해 양자 컴퓨터의 위협이 예상보다 빠르게 현실화될 수 있음을 인지했다. 이에 따라, 수확 후 복호화 공격(Harvest-Now/Decrypt-Later Attack) 방어뿐 아니라, 인증 시스템의 취약점을 해결하는 것이 시급하다는 점을 강조한다. 특히, 장기적인 키(Long-lived Keys)가 우선적인 보안 강화 대상이 될 것이다.

클라우드플레어(Cloudflare)는 2022년부터 양자 암호화(Post-Quantum Encryption)를 기본으로 제공하며, 현재 대부분의 제품에서 HNDL 공격을 방어하고 있다. 2029년까지 인증(Authentication) 시스템을 포함한 완전한 양자 보안(Post-Quantum Security)을 목표로, 단계별 이정표를 설정하고 있다. 특히, PQ HSTS 및 인증 투명성(Certificate Transparency)을 통해 다운그레이드 공격(Downgrade Attacks)을 방지하고, 모든 비밀번호 및 액세스 토큰을 로테이션(Rotation)하는 등, 다각적인 보안 조치를 취할 예정이다.

커뮤니티에서는 클라우드플레어(Cloudflare)와 같은 CDN(Content Delivery Network)에서 양자 보안(Post-Quantum Security)을 기본으로 설정하는 것이 중요하다고 강조한다. 이는 개발자들이 별도로 TLS 설정을 변경할 필요 없이, 수백만 개의 웹사이트가 자동으로 보안을 강화할 수 있도록 하기 때문이다. 또한, 웹사이트 업데이트(Website Update)보다 다른 시스템(예: 비트코인, 데이터 저장 시스템, 하드웨어)의 보안 업데이트가 훨씬 더 어렵다는 점을 지적하며, CDN 레벨의 접근 방식이 효율적임을 강조한다.

양자 보안(Post-Quantum Security)으로의 전환은 단순히 새로운 알고리즘을 추가하는 것 이상을 의미한다. 양자 취약 암호화(Quantum-Vulnerable Cryptography)를 비활성화하여 다운그레이드 공격(Downgrade Attacks)을 방지해야 한다. 하지만, 모든 클라이언트(Client)가 양자 보안(Post-Quantum Security) 인증서를 지원하지 않기 때문에, HTTPS의 다운그레이드 보호는 PQ HSTS 또는 인증 투명성(Certificate Transparency)을 통해 구현해야 한다. 또한, 내부 서비스 메시(Service Mesh) 및 mTLS와 같은 인프라(Infra)는 CDN보다 더 긴 인증서 수명과 오래된 TLS 스택을 사용하는 경향이 있어, 보안 강화에 더 많은 노력이 필요하다.