양자컴퓨터 시대 대비, Let's Encrypt의 새로운 보안 전략!

댓글에서는 ML-DSA-44와 같은 양자내성암호(PQC) 서명 알고리즘이 기존 RSA-2048(256바이트) 및 ECDSA-P256(64바이트) 대비 서명 크기가 2,420바이트로 훨씬 크다는 점을 지적한다. 이는 TLS 핸드셰이크 시 데이터 전송량을 10KB 이상으로 증가시켜 연결 실패율을 높이고 속도를 저하시킬 수 있다는 우려를 낳는다. 이에 대한 대안으로 제안된 머클 트리 인증서(Merkle Tree Certificates, MTCs)는 배치(Batch) 단위 서명을 통해 이 문제를 해결하려 한다.

커뮤니티에서는 MTCs가 인증서 발급 자체에 투명성(Transparency)을 내장한다는 점을 높이 평가한다. 기존 방식은 인증서 발급 후 별도로 투명성 로그에 기록하는 반면, MTCs는 모든 인증서가 머클 트리의 일부이므로 인증서 투명성(Certificate Transparency)이 내장된다. 또한, 일반적인 경우 TLS 핸드셰이크 시 서명, 공개 키, 포함 증명(Inclusion Proof) 단 1회만으로 인증이 가능해져, 양자내성 알고리즘을 사용함에도 불구하고 기존보다 작은 핸드셰이크 크기를 달성할 수 있다는 점이 장점으로 언급된다.

일부 사용자는 MTCs의 배치(Batch) 처리 방식이 신규 서버에 대한 초기 인증서 발급 지연 문제를 야기할 수 있다고 우려한다. 배치 빈도가 너무 잦으면 클라이언트가 유지해야 할 데이터베이스가 커지고, 너무 드물면 첫 인증서 발급까지 기다려야 하는 문제가 발생할 수 있다는 것이다. 이에 대한 구체적인 해결책이나 완화 방안은 본문에서 명확히 제시되지 않아 추가적인 논의가 필요하다는 의견이 있다.

논의에서는 'Harvest-Now-Decrypt-Later' 위협 외에도 실시간 서명 위조 가능성이 존재하며, 양자 컴퓨터의 출현 시점을 예측하기 어렵다는 점을 강조한다. 특히 NSA와 EU의 마이그레이션 일정(2030-2035년)과 Google, Cloudflare의 조기 전환 움직임(2029년)은 인증서와 같은 장기 키의 양자내성 전환이 더 이상 지연될 수 없음을 시사한다. Go 1.27에 ML-DSA가 추가된 것은 실질적인 인프라 전환의 시작을 알리는 신호로 해석된다.

일부 댓글에서는 ed25519 및 RSA와 같은 기존 서명 알고리즘이 여전히 안전하며, 검증되지 않은 양자내성 알고리즘으로의 교체는 불필요하고 의심스럽다는 주장이 제기된다. 그러나 이는 양자 컴퓨터의 실시간 서명 위조 능력과 예측 불가능한 위협 시점을 간과한 의견으로, Let's Encrypt와 같은 기관의 선제적 전환 노력의 중요성을 간과하고 있다는 비판이 따른다.