양자 통신 네트워크: BB84부터 양자 인터넷까지 — QSecureNet 다중경로 키 합성 기반 300km 신뢰 릴레이 아키텍처

참고: 본 글은 AGEIUM Research가 게시하는 논문형 블로그입니다. 실험 결과 수치는 제시된 아키텍처의 **예시 시연(illustrative benchmark)**이며, 참고문헌에 인용된 외부 논문(arxiv·Nature·Science 등)은 실존 검증된 출처입니다.

1. 서론

양자암호분배(quantum key distribution, QKD)는 양자역학의 기본 원리를 활용하여 도청 불가능한 암호키를 생성·배포하는 기술로, 정보이론적 보안(information-theoretic security)을 제공한다는 점에서 고전 공개키 암호와 본질적으로 구별된다. 특히 2024년 미국 국립표준기술연구소(NIST)가 ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)과 ML-DSA(Module-Lattice-Based Digital Signature Algorithm)를 담은 양자내성암호(post-quantum cryptography, PQC) 표준(FIPS 203, 204)을 공식 공표함에 따라, 고전 공개키 암호 기반 인프라의 양자 내성 전환이 가속화되고 있다. 다만 NIST는 NISTIR 8309 등을 통해 QKD 단독 배포보다는 PQC와의 병용을 권고하고 있으며, 장기 기밀성(harvest-now-decrypt-later) 위협에 대응하기 위해 계산 복잡성 기반 보안과 정보이론적 보안을 병행하는 하이브리드 접근 방식의 실용적 가치를 인정하고 있다. 이는 정부 기관, 금융 인프라, 의료 기록 등 수십 년 이상 기밀 유지가 필요한 조직들의 보안 정책에 직접적인 영향을 미친다.

현재 상용 QKD 네트워크 대다수는 신뢰 릴레이(trusted-relay) 아키텍처에 의존한다. 이 구조에서 중간 노드들은 수신한 양자비트(qubit)를 측정한 후 고전 암호화 채널로 상위 계층에 암호키를 전달한다. 단거리 점-대-점(point-to-point) BB84 프로토콜의 검증된 보안을 네트워크 규모로 확장하는 실용적 접근으로 평가받지만, 두 가지 구조적 취약점을 내포한다. 첫째, 중간 노드의 물리적 침해(물리 접근, 부채널 공격, 내부자 협력)가 발생할 경우 해당 노드가 처리한 모든 암호키가 즉시 손상되는 단일 실패점(single point of failure) 문제가 있다. 둘째, 인접한 두 노드가 공모(collusion)할 경우 일반적인 XOR 기반 키 릴레이 구조에서 엔드포인트 간 최종 암호키를 재구성할 수 있다는 수학적 취약점이 존재한다. 공모 공격(collusion attack)의 가능성은 네트워크 노드 수가 증가할수록 통계적으로 커지므로, 도시간 장거리 QKD 네트워크 보안 모델에서 반드시 정량화되어야 하는 위협 요소이다.

기존 양자암호분배 연구는 크게 세 분야로 분화되어 있으나, 각각 제한된 범위에서만 문제를 다루고 있다. (1) 물리계층 연구: BB84, 디코이 상태(decoy-state) 프로토콜, 측정기 독립형 QKD(MDI-QKD) 등 단일 링크 보안 증명이 중심이며, 네트워크 규모 위협 모델은 상대적으로 소홀하다. (2) 아키텍처 연구: 양자 중계기(quantum repeater), 얽힘 교환(entanglement swapping), 순환 신뢰 토폴로지 등 이론적 구조가 제시되었으나, 실제 상용 도시권 네트워크(metropolitan area network, MAN) 배포 사례와의 연계가 미흡하다. (3) 표준화: ETSI의 GS QKD 시리즈(GS QKD 001~014)가 신뢰 릴레이 기반 아키텍처의 기능 및 인터페이스 요구사항을 규정했으나, 노드 공모 위협 모델 또는 형식 검증(formal verification) 방법론은 아직 미성숙한 단계다. NIST PQC 표준 공표 이후 QKD와 PQC를 통합한 하이브리드 키 교환 프로토콜의 형식 검증 사례 또한 극히 드물다.

신뢰 릴레이 기반 QKD 네트워크의 또 다른 과제는 거리 확장의 물리적 한계이다. 트윈-필드 QKD(twin-field QKD, TF-QKD) 기술은 검출기-독립형 특성으로 인해 디코이 상태 방식 대비 약 2배의 거리 연장이 가능하며, 실험 환경에서 600km 이상, 현실적 운용 환경에서 약 300km의 실용 거리가 시연되었다. 그러나 500km 이상 도시간 링크(예: 서울-부산)를 지원하기 위해서는 중간 중계 노드의 개입이 불가피하며, 신뢰도 증가는 필연적으로 보안 수준 감소를 초래한다. Pirandola, Laurenza, Ottaviani, Banchi(PLOB) 한계식은 신뢰 릴레이의 정량적 비용을 표현하는 핵심 이론 도구이나, 구체적 물리 파라미터(광자 손실률, 노드 측정 오류율, 키 합성 전략)를 포함한 실용 로드맵과의 통합은 아직 충분히 이루어지지 않았다.

본 연구는 위의 세 가지 공백을 동시에 해소하기 위해 QSecureNet이라는 3계층 하이브리드 QKD 아키텍처를 제안한다. 첫째, 신뢰 릴레이 기반 네트워크에서 인접 노드 공모 위협을 정량화하고, Shamir (t,k) 비밀분산과 다중경로 키 합성(multi-path key synthesis)을 결합한 공모 내성(collusion-resistant) 아키텍처를 설계하여, 노드 공모 공격에 대한 확률적 보안 한계(security bound) 분석 틀을 제시한다. 둘째, PLOB 한계를 현실적 물리 파라미터로 재해석하고, 현재 TF-QKD 달성 거리와 2030년 목표인 500km+ 확장을 단계적 진화 프레임워크로 통합하여 기술 로드맵 및 투자 의사결정을 지원하는 분석 도구를 제공한다. 셋째, NIST FIPS 203 및 204 표준 공표 이후 QKD와 PQC를 결합한 하이브리드 키 교환 프로토콜의 Rust 구현과 ProVerif 형식 검증 결과를 공개하여 산업계의 통합 배포에 필요한 참조 구현 및 검증 방법론을 제시한다.

본 논문의 구성은 다음과 같다. 2절은 BB84 및 TF-QKD 프로토콜과 PLOB 한계의 수학적 배경을 정리하고, 3절은 신뢰 릴레이 아키텍처의 위협 모델과 ETSI 표준의 한계를 분석한다. 4절은 공모 내성 아키텍처와 다중경로 키 합성 알고리즘 및 보안 분석을 제시하며, 5절은 PLOB 기반 거리 확장 로드맵을 전개한다. 6절은 QKD+PQC 하이브리드 프로토콜 설계 및 형식 검증을 기술하고, 7절은 실제 배포 시나리오를 사례 분석한다. 8절에서 결론 및 향후 연구 방향을 제시한다.

2. 관련 연구

양자 암호화 기술의 발전 경로는 프로토콜의 단계적 개선과 물리적 보안 한계의 극복이라는 두 가지 축으로 전개되어 왔다. 양자 암호 분야의 역사는 1984년 Bennett과 Brassard의 BB84 프로토콜(Bennett & Brassard, 1984) 발표에서 출발한다. BB84는 단광자 편광 상태를 이용해 두 당사자가 도감청 탐지 기능을 갖춘 비밀 암호를 공유할 수 있음을 최초로 입증했으며, 이후 약 40년간의 양자 통신 연구에 이론적 기초를 제공했다. 그러나 초기 프로토콜은 실제 광자원의 결함에 취약했는데, 특히 다중 광자 펄스가 강도 한계 공격(photon number splitting, PNS 공격)에 노출되는 문제가 있었다. 2005년경 Lo와 동료들이 제시한 디코이 상태 방식은 감지기에 도달하는 광자 수를 확률적으로 변화시킴으로써 PNS 공격의 위협을 유의미하게 완화했으며, 이는 실제 QKD 시스템의 상용화를 향한 첫 번째 중요한 진전으로 평가된다.

2010년대 초반, 양자 암호 연구는 송신자 및 수신자 장비의 내재 결함뿐 아니라 측정 장치 자체의 신뢰성 문제에 주목하기 시작했다. Lo, Curty, Qi(2012)가 제시한 측정-장치-독립 양자 암호(Measurement-Device-Independent QKD, MDI-QKD)는 이 문제에 대한 원칙적 해결책을 제안했다. MDI-QKD 프레임워크에서는 제3자(예를 들어 신뢰 서비스 제공자)의 측정 장비 부채널까지 제거 가능하도록 프로토콜을 재설계했으며, 이론적으로 송수신자가 완전히 신뢰할 수 없는 상황에서도 정보 이론적 안전성을 보장할 수 있음을 증명했다(Lo, H.-K., Curty, M., & Qi, B., 2012). 이러한 접근은 양자 암호의 보안 기초를 물리적 결함과 분리하는 패러다임 전환으로, 이후 양자 인터넷 기반 시설 설계에 중대한 영향을 미쳤다.

장거리 양자 통신의 본질적 제약은 신호 감쇠로 인한 채널 용량 한계에 있다. 2017년 Pirandola와 동료들은 "반복기 없는 양자 통신의 근본적 한계(Fundamental Limits of Repeaterless Quantum Communications)"라는 논문에서 PLOB 한계로 알려진 상한선을 도출했다(Pirandola et al., 2017). 이 한계는 중계(repeater)를 사용하지 않고 직접 채널을 통해 전송될 수 있는 양자 정보의 최대량을 거리와 채널 효율의 함수로 표현하는데, 장거리에서는 대역폭이 지수적으로 감소함을 의미한다. 이 이론적 한계는 글로벌 양자 인터넷 구축의 가장 심각한 도전 과제로 인식되었다. 2018년 Lucamarini와 동료들의 쌍-필드 양자 암호(Twin-Field QKD, TF-QKD) 제시는 이 지평을 타개하는 획기적 진전이었다. TF-QKD는 기존의 수신자 단독 측정 방식을 포기하고, 중간 지점의 측정 시설에서 송신자로부터 온 두 신호를 간섭시키는 구조로 재설계함으로써 PLOB 한계의 지수 감쇠를 √η로 개선할 수 있음을 증명했다(Lucamarini et al., 2018). 이는 현실적으로 수백 킬로미터 이상의 무중계 양자 암호 통신을 가능하게 하는 이론적 토대를 제공했다.

양자 통신 인프라의 실제 배포는 중국을 중심으로 진행되었다. 2016년 8월 발사된 Micius 위성을 이용한 후속 실험 결과들은 2017년 이후 일련의 논문으로 발표되었으며, 위성을 매개로 한 대륙 간 양자 암호 배포를 시연함으로써(Yin et al., 2017) 양자 인터넷이 지구적 규모에서 기술적 실현 가능성을 보유함을 증명했다. 동시에 베이징과 상하이를 연결하는 2,000km 규모의 양자 암호 백본은 신뢰 중계(trusted relay) 구조를 이용한 상용화 첫 사례로 기록되었다. 그러나 신뢰 중계 방식의 고유한 취약성, 즉 중계자가 타협될 경우 암호 안전성이 붕괴되는 "공모 위협(collusion threat)"은 여전히 미해결 과제로 남아 있다. 이 문제는 양자 반복기(quantum repeater) 기반 아키텍처로만 원칙적 해결이 가능하나, 현재 기술 수준에서 장거리 양자 반복기의 실현은 10년 이상의 추가 개발을 요구할 것으로 예상된다.

양자 안전성과 고전 암호화의 융합은 향후 전환기 기술로 부상하고 있다. 미국 국립표준기술연구소(NIST)의 양자 내성 암호화(Post-Quantum Cryptography) 표준화 프로젝트는 2016년 공모를 통해 시작되었으며, 2024년 FIPS 203 표준으로 격자 기반 핵심 캡슐화 메커니즘(Module-Lattice-Based Key-Encapsulation Mechanism, ML-KEM)을 채택하기에 이르렀다(National Institute of Standards and Technology, 2024). 이는 양자 컴퓨터의 위협이 실화 단계에 진입했음을 의미하며, 기존 공개 암호 시스템의 교체가 실무적 긴급성을 갖게 되었음을 시사한다. 양자 암호와 양자 내성 암호 간의 상호보완 관계, 즉 양자 암호가 제공하는 정보 이론적 무조건 안전성과 양자 내성 암호가 제공하는 수학적 경계 조건 하의 계산 안전성의 이중 계층 방어(dual-layer defense) 아키텍처는 다음 세대 글로벌 통신 기반 시설의 설계 원리로 기대되고 있다.

3. 배경

양자 암호 통신의 무조건적 보안성은 복사 불가 정리(no-cloning theorem)와 측정 교란 불가피성이라는 양자역학의 근본 원리에 기반하므로, 계산 능력의 증가나 알고리즘의 발전에 따른 구식화 위험이 없다는 점에서 고전 암호화 기술과 근본적으로 구별된다. 이러한 이론적 우월성에도 불구하고, 현존 QKD 시스템들은 실제 배포 환경에서 채널 손실, 장치의 불완전성, 전송 거리 제한이라는 삼중 제약에 직면해 있으며, 이를 극복하기 위한 기술적 접근이 40여 년에 걸쳐 단계적으로 진화해왔다.

BB84 프로토콜과 준비-측정 방식의 발전

Bennett과 Brassard가 1984년 제안한 BB84 프로토콜은 양자 키 분배의 원형으로, 두 개의 직교하지 않는 기저(rectilinear 및 diagonal)를 이용한 준비-측정(prepare-and-measure) 방식을 채택한다. 송신자(Alice)가 무작위 기저로 큐비트를 부호화하고, 수신자(Bob)가 독립적으로 기저를 선택해 측정한 후, 공개 채널에서의 기저 비교(sifting)를 통해 공유 키를 확립한다. 이 과정에서 도청자(Eve)의 개입은 필연적으로 양자 비트 오류율(QBER)을 상승시켜 탐지 가능해진다. 실용화 단계에서는 약한 코히어런트 펄스(weak coherent pulse)와 디코이 상태(decoy-state) 방식을 결합하여 광자 수 분리(photon-number-splitting) 공격에 대한 보안성이 확립되었다. 근년의 개선 연구들은 유한-키(finite-key) 보안 분석의 정밀화, 인공지능 기반 파라미터 최적화, 실전 배포 경로 간소화에 집중하고 있으며, BB84와 E91 엔탱글먼트 기반 프로토콜을 결합한 하이브리드 구성도 연구되고 있다. 그러나 상용 규모 배포에서는 디코이-상태 BB84가 여전히 가장 널리 검증된 방식이다.

측정-장치-독립 QKD: 검출 부채널 위협의 구조적 제거

BB84의 실용적 취약점 중 가장 심각한 것은 검출기 측 부채널 공격(detection side-channel attack)이다. 트로이 목마 공격, 시간 이동 공격(time-shift attack) 등은 이상적 프로토콜의 보안성과 현실 장치 사이의 간극을 악용한다. 이 문제를 구조적으로 해결한 접근이 Lo, Curty, Qi가 2012년 제안한 측정-장치-독립(measurement-device-independent, MDI) QKD이다. MDI-QKD는 Alice와 Bob이 각각 독립적으로 광자를 준비하여 신뢰할 수 없는 중앙 노드 Charlie에게 전송하고, Charlie가 Bell 상태 측정(BSM)을 수행하는 구조를 취한다. 이 설계에서 검출 측의 모든 부채널 취약성이 원리적으로 제거되며, 보안 증명이 비신뢰 측정 장치를 전제하므로 현실 배포 환경의 악성 장치 위험을 원천 차단한다. 최근에는 집적 광주파수 빗살(integrated frequency comb)을 활용한 완전 연결 다중 사용자 MDI-QKD 네트워크가 실증되었으나, 상대적으로 낮은 안전 키 생성률(secure key rate)과 높은 구현 복잡도는 여전히 실용화의 주요 과제로 남아 있다.

Twin-Field QKD: PLOB 한계의 돌파

장거리 통신의 근본적 장벽은 Pirandola, Laurenza, Ottaviani, Banchi가 도출한 PLOB 한계(PLOB bound)이다. 이 한계는 양방향 고전 통신을 보조로 허용하더라도 신뢰 중계 노드 없이 달성 가능한 비밀 키 용량(secret-key capacity)의 상한을 채널 투과율 η의 함수로 규정하며, 광섬유 고유의 감쇠 특성상 장거리 구간에서 키 생성률이 급속도로 실용 한계 이하로 떨어진다. Twin-field QKD(TF-QKD)는 Lucamarini 등이 2018년 제안한 기법으로, 두 송신자가 각자 위상 부호화된 위크-코히어런트 펄스를 중앙 노드로 전송하고, 중앙 노드에서의 단일-광자 간섭 측정으로 키 정보를 추출함으로써 이론적으로 PLOB 한계를 √η 스케일링으로 초과할 수 있음을 보인다. 실험적으로는 2023년 1002km 파이버 전송 조건에서 유한-키 분석을 포함한 PLOB 한계 초월이 확인되었으며, 2024년에는 파장 전환 공격(wavelength-switching attack) 등 실전 위협에 대한 저항성 분석을 포함한 강화된 보안 증명이 발표되어 TF-QKD의 이론적 견고성이 한층 강화되었다.

양자 릴레이: 대규모 메시 네트워크를 향한 핵심 기제

단일 QKD 링크만으로는 대규모 광대역 네트워크를 지원하기 어렵다. 양자 릴레이(quantum repeater)는 긴 광섬유 구간을 다수의 짧은 구간으로 분할하고, 각 구간에서 엔탱글먼트를 확립한 후 엔탱글먼트 스와핑(entanglement swapping)으로 끝점 간 장거리 엔탱글먼트를 생성한다. 양자 메모리(quantum memory)에 의한 저장-전송 구조가 필수적이며, 근년 갇힌 이온(trapped-ion) 메모리와 원격통신 파장 인터페이스 연구의 진전으로 10km 이상 광섬유를 매개로 한 메모리-메모리 엔탱글먼트가 실증되었다. 또한 확률적 다중경로 라우팅(stochastic multipath routing) 알고리즘의 도입으로 엔탱글먼트 분배 처리량의 최적화가 이루어지고 있다.

계층적 통합과 현재의 연구 수렴 방향

현재의 연구 동향은 단일 프로토콜의 성능 극한 추구를 넘어, 거리·환경·신뢰도 조건에 따라 서로 다른 프로토콜을 유기적으로 결합하는 계층화 방향으로 수렴하고 있다. 근거리 고신뢰 구간(≤80km)에서는 디코이-상태 BB84의 실전 검증된 단순성이, 중거리 비신뢰 노드 환경(80–300km)에서는 MDI-QKD의 구조적 장치 독립성이, 초장거리 구간(300km 이상)에서는 TF-QKD의 PLOB 초월 특성이, 대규모 메시 네트워크 확장 단계에서는 양자 릴레이와 비밀분산 기법의 조합이 각각 최적 역할을 담당한다. 한편, NIST가 2024년 8월 최종 확정한 포스트-양자 암호화(post-quantum cryptography) 표준(FIPS 203/204/205)의 공포 이후, QKD와 PQC를 조합한 하이브리드 키 관리 체계—특히 ETSI GS QKD 014 기반 API를 통한 키 병합 전략—가 상용 배포의 표준 접근으로 자리 잡고 있다. QSecureNet은 이러한 다층적 발전을 통합하는 설계 지향점 위에서, 기존 연구의 검증된 강점을 상속하는 동시에 신뢰 노드 구성, 이질적 환경 적응, 하이브리드 암호화라는 현실적 배포 제약을 동시에 해결하는 데 초점을 맞춘다.

4. 방법론

QSecureNet의 방법론은 물리 계층, 네트워크 계층, 응용 계층의 세 수준에 걸쳐 체계적으로 설계되며, 각 계층은 독립적으로 검증 가능한 보안 가정을 기반으로 구축된다. 이 다층 설계 철학의 핵심은 단일 취약점이 전체 시스템의 비밀성을 붕괴시킬 수 없도록 계층 간 의존 관계를 최소화하면서도, 운용 효율을 유지하기 위한 표준화된 인터페이스로 상위 계층과 연결하는 데 있다.

물리 계층에서는 링크 거리와 배치 환경에 따라 세 가지 QKD 프로토콜을 차등 적용하는 하이브리드 전략을 채택한다. 도심 구간, 즉 링크 거리가 약 80킬로미터 이하인 환경에서는 BB84 디코이 상태 프로토콜을 기반으로 한다. 디코이 상태 기법은 광자 수 분할 공격에 대한 취약성을 이론적으로 봉쇄하며, 단일 광자 에뮬레이션을 위해 세기가 다른 복수의 코히런트 펄스를 무작위로 삽입함으로써 도청자가 채널 투과율 정보를 불완전하게만 습득하도록 강제한다. 중간 거리, 즉 노드 간 신뢰 관계를 보장하기 어려운 복잡한 도시 간 구간에서는 MDI-QKD가 채택된다. 이 프로토콜은 측정을 수행하는 중간 노드가 완전히 비신뢰 상태에 있더라도 양 끝단의 정보이론적 보안을 유지할 수 있는 구조로, Bell 상태 측정 결과만을 공개 채널로 공표함으로써 중간 노드에 대한 사이드 채널 공격 표면을 원천적으로 제거한다. 장거리 구간, 구체적으로 80킬로미터에서 300킬로미터에 달하는 대도시 간 간선 링크에는 TF-QKD, 즉 Twin-Field QKD를 배치한다. TF-QKD는 광자 전송 손실이 거리에 지수적으로 증가하는 환경에서 이른바 PLOB 한계로 알려진 반복기 없는 양자 채널의 이론적 키 생성률 상한을 초월하는 특성을 지닌다. 위상 잠금 간섭계 구조를 활용해 두 송신자가 중간 노드에서 단일 광자 간섭을 일으키도록 설계되며, 이를 통해 단순 점대점 구성으로는 불가능한 장거리 보안 키 생성을 현실화한다.