미래의 양자 컴퓨터가 현재의 암호화 체계를 손쉽게 무력화할 수 있다는 보안 위협에 대한 인식이 기술 업계 전반에 빠르게 확산되고 있다. 이런 상황에서 애플이 아이폰과 맥의 포스트 양자 암호화 코드를 깃허브에 공개한 결정은 시사하는 바가 크다.

메모리얼 데이 연휴 보도의 혼잡 속에 묻혀버리기도 했지만, 이번 조치는 표준화된 양자 보안 알고리즘인 ML-KEM과 ML-DSA의 애플 구현 버전을 적용한 것이다. 새롭게 공개된 자료에는 애플의 시큐리티 프레임워크, 크립토킷(CryptoKit), 커먼크립토(CommonCrypto)에서 사용되는 암호화 라이브러리인 코어크립토(corecrypto)의 소스코드가 포함된다. 애플은 보호 기법에 대한 세부 내용과 자체 테스트 방식을 설명하는 백서도 함께 공개했다.

포스트 양자, 핵심 기반으로

애플은 수년에 걸쳐 포스트 양자 암호화 보호 기술을 개발해왔다. 처음으로 공식 발표한 것은 iOS 17.4에서 아이메시지(iMessage)의 PQ3 프로토콜을 도입하면서였다. 이 보호 기술은 대화 내용은 물론 암호화 키까지 미래의 양자 기반 공격으로부터 보호한다. 현재 아이메시지, 가상 사설망, TLS 네트워킹에 적용돼 있으며, 크립토킷을 통해 개발자들도 자체 앱에 양자 보안 암호화를 도입할 수 있다.

이번에 공개된 내용은 상당히 방대하다. 간략히 말하면, 애플이 코어크립토 라이브러리에 양자 저항성 보호 기능이 실제로 구현돼 있음을 공식 검증했다는 것이다. 코어크립토는 현재 25억 대 이상의 활성 기기에서 지속적으로 실행되며 암호화, 해싱, 난수 생성, 디지털 서명 기능을 담당하고 있다. 애플의 테스트는 고신뢰 보안 엔지니어링 및 컴플라이언스의 새로운 기준을 제시하기도 했다. 자체 검증 도구를 직접 개발했을 뿐만 아니라, 미국의 저명한 연구개발 기업 갈로이스(Galois)와 협력해 제3자가 코어크립토를 테스트할 수 있는 환경도 마련했다.

애플, 직접 검증해 보라 촉구

애플은 “2026년 5월 22일 코어크립토 소스코드 최신 공개를 통해, 응용 형식 검증 분야의 의미 있는 발전 내용을 글로벌 암호화 커뮤니티와 공유한다. 여기에는 우리의 접근 방식과 사용한 도구에 대한 세부 내용도 포함된다”라고 밝혔다.

이번 공개의 취지는 보안 연구자가 이 보호 기술을 철저히 검증해 양자 컴퓨팅이 실제 위협이 됐을 때 제대로 작동하는지 확인할 수 있도록 하는 데 있다. 애플은 또한 “더 넓은 채택을 장려하고, 우리 작업에 대한 비판적 검토를 지원하며, 핵심 소프트웨어 보증을 위한 기술 수준을 높이는 데 기여하고자 한다”라고 덧붙였다.

애플은 자사 보호 기술의 유효성에 상당한 확신을 갖고 있다. 이를 위해 코어크립토 라이브러리의 일부를 공식 검증하고, 핵심 암호화 구현이 의도한 대로 작동한다는 수학적 증명을 제시했다.

수학적 증명이 중요한 이유

수학적 증명의 의의는 크다. 기존 보안 모델이 경계 기반 방어에 초점을 맞추는 것과 달리, 애플의 수학적 접근 방식은 보호된 코드를 분석해 보안 기반 자체에 취약점이 전혀 없음을 보장한다. 적어도 양자 기반 공격에 관해서는 그렇다. 물론 “전혀 없음”이라는 표현은 강한 주장이지만, 현시점에서는 개발자들이 앱과 사용자 접근 보호의 양자 안전성에 집중할 수 있고, 기반 보호는 쿠퍼티노 보안팀에 맡길 수 있다는 의미이기도 하다.

이번 조치는 업계 전반의 기준을 높이는 계기가 될 것이다. 애플은 수학적 확실성으로 핵심 코드를 검증하는 것이 가능하다는 점을 사실상 입증했다. 애플이 자사 운영체제에서 이를 구현해냈다면, 다른 기업도 동일하게 할 수 있어야 한다. 크롬이 빠르게 뒤따를 것이라고 충분히 예상할 수 있지만, 다른 운영체제는 코드 일부가 애초에 다른 컴퓨팅 패러다임을 위해 설계됐다는 점 등의 이유로 양자 대응 과제를 계속 안고 갈 수도 있다.

애플은 백서에서 “형식 검증을 통해 기존 테스트로는 발견하지 못했을 문제를 탐지했고, 제품에 반영되기 전에 오류를 수정할 수 있었다”라고 밝혔다.

다만 한계도 존재한다. 수학적 증명은 도출 비용이 높기 때문에, 입증 범위는 애플이 보고서에서 언급한 양자 보호 기술에만 한정된다. 미래의 공격자가 노릴 수 있는 다른 공격 경로는 여전히 남아 있을 가능성이 높다. 애플 자체도 테스트에 결함이 있을 수 있다는 점을 인정하는 듯한 태도를 보이며, 연구자의 검증을 적극 권장하는 이유도 여기에 있다.

앞으로의 과제

어떤 플랫폼에서든 보안은 끝이 없는 싸움이다. 하나의 문제가 해결되면 또 다른 취약점이 드러난다. 국가 단위의 지원을 받는 적대 세력을 상대해야 하는 상황에서 방심은 금물이다. 애플이 다가오는 양자 컴퓨팅 위협에 맞서 보호 기술을 계속 강화하고 있다는 점은 긍정적이다. 검증 방식까지 공개한 것은 더욱 의미 있는 행보다. 자원이 부족한 개발자들이 다가오는 양자 위협에 대비한 보호 기술을 연구하고, 테스트하고, 구현하는 작업이 한층 수월해질 것이기 때문이다.
dl-itworldkorea@foundryco.com