S3SSE2A: 하드웨어 PQC로 양자 시대의 보안을 강화하다

당신의 스마트폰에 어떤 정보가 저장되어 있는지 생각해보자. 로그인 정보, 금융 데이터, 심지어 생체 인식 정보까지, 모두 중요한 정보뿐이다. 스마트폰이 해킹당하면, 이 모든 정보가 위험에 처하게 되는 것이다. 물론 보안 솔루션은 빠르게 발전하고 있지만, 해킹 수법도 끊임없이 진화하는 것은 마찬가지이다. 실제로 최근 화제가 되고 있는 양자 컴퓨터는 기존 보안 시스템을 넘어서는 연산 속도로 무력화할 수 있는 강력한 위협이 될 것으로 예상된다. 글로벌 리스크 연구소 (Global Risk Institute, GRI)가 주요 전문가들을 대상으로 조사한 결과, 향후 15년 내 ‘혁신적인 양자 위협 (Disruptive Quantum Threat)’이 발생할 확률이 33~54%에 달한다고 한다. 이는 곧, 이미 수 많은 조직이 감당할 수 없는 수준의 위험에 직면해 있으며, 시급한 조치가 필요하다는 것을 의미한다.’¹ 다가오는 보안 위협이 현실이 될 것이 확실한 만큼, 지금부터 예방 조치를 시작해야 하는 것이다. 그리고 그 조치는 기술 혁신을 기반으로 이루어져야 한다. 이에 대응하여, 삼성전자 시스템 LSI사업부는 업계 최초로 하드웨어 기반 양자 내성 암호 (PQC, Post-Quantum Cryptography)를 탑재한 보안 칩 S3SSE2A를 개발했다. S3SSE2A를 통해 스마트폰에 저장된 중요한 데이터는 양자 컴퓨팅을 사용한 해킹의 위협으로부터 보호될 수 있다.
 

고도화되는 컴퓨팅, 더욱 정교해지는 위협

기기술이 발전할수록 위험도 커진다. 2030년 이후 상용화될 것으로 예상되는 양자 컴퓨터는 양자 역학적 원리를 활용해 복잡한 문제를 기존보다 훨씬 빠르게 해결할 수 있다. 양자 컴퓨터의 상용화는 여러 측면에서 생활을 더욱 편리하게 만들 것으로 예상되지만, 이와 함께 기존의 공개 키 암호화 기반 보안 시스템이 취약해질 수 있다. 2030년까지 기다릴 필요도 없이, 현재 양자 컴퓨터가 가장 빠르게 개발된다고 가정하면, 2028년, 즉 불과 3년 후부터 기존 보안 시스템과 알고리즘이 무력화될 가능성이 있다.
 

이를 자세히 설명하기 위해, 양자 컴퓨터의 성능을 측정하는 기본 단위인 큐비트 (qubit)를 가지고 생각해보자. 큐비트의 수가 7~9개월마다 두 배로 증가한다고 가정하면, 2028년까지 각각 10만 큐비트를 갖춘 10개의 모듈로 구성된 100만 큐비트의 양자 컴퓨터가 개발될 수 있다. 이러한 성능을 갖춘 양자 컴퓨터가 등장하면, 현재 사용되는 RSA-2048 암호화 알고리즘은 약 160시간 만에 해독될 가능성이 있다.² 하지만 이는 양자 보안 위협에 대한 대비를 3년 후부터 시작해도 된다는 의미가 아니다. 지금 데이터를 수집해 두고, 양자 컴퓨터를 확보한 후 해독하는 (Harvest Now, Decrypt Later, HNDL) 공격이 이미 현실적인 위협으로 존재하고 있기 때문이다. 즉, 해커들이 지금 당장은 훔친 정보를 해독할 수 없더라도, 미래에는 충분히 해독 가능할 수 있는 것이다. 이미 이러한 위험성이 이미 존재한다는 사실은, PQC 도입이 시급하다는 것을 의미한다.
 

두 가지 보안 문제를 한번에 해결하는 S3SSE2A

삼성전자 시스템 LSI사업부는 2020년 모바일 기기용 SE (Secure Element) 턴키 솔루션 S3K250AF를 출시하며 과거부터 발전시켜온 보안 기술을 선보였다. 또한 업계 최초로 하드웨어 PQC를 탑재한 S3SSE2A를 개발하여 모바일 보안 시장에서의 입지를 더욱 강화하고 있다.
 

S3SSE2A는 하드웨어 PQC를 탑재하여 독립적인 보안 처리 및 정보 저장이 가능하기 때문에, 어플리케이션 프로세서 (AP)와 관계없이 더욱 안전한 보안 환경을 제공한다. 기존 솔루션인 S3K250AF는 AP의 보안 블록에서 보안 연산을 수행하고 키 정보를 내부에 저장하기 때문에, 사실상 안전한 형태의 비휘발성 메모리 (NVM)와 유사한 구조였다. 그러나 S3SSE2A는 보안 연산과 정보 저장을 모두 자체적으로 수행하고, AP에는 결과만 전달하기 때문에 더욱 강력한 보안을 제공할 수 있다. 삼성 시스템 LSI사업부는 이 혁신적인 제품의 개발을 완료했다.

또한, S3SSE2A는 PQC 연산을 처리하는 데 최적화된 독보적인 기능을 갖추고 있다. 미국 국립표준기술원 (NIST)은 현재 표준의 보안을 위협하는 양자 컴퓨터의 미래 공격에 저항하도록 설계된 주요 설정 및 디지털 서명 체계를 지정하는 연방정보처리표준 (FIPS) 203, 204 및 205의 세 가지 표준을 발표했다.

S3SSE2A는 위 표준 중 하드웨어에 모듈 격자 기반 알고리즘을 채택한 디지털 서명 표준인 FIPS 204 연산을 구현하고 있다. 이 방식의 장점은 하드웨어와 소프트웨어를 결합하여 PQC 연산을 수행함으로써, 소프트웨어만으로 PQC 연산을 실행할 때보다 연산 속도를 약 17배 향상³시킬 수 있다는 점이다.⁴
 

모듈 격자 기반 알고리즘은 격자 기반 암호화 기술의 한 분야로, 대규모 양자 컴퓨터에 대한 내성을 갖춘 암호화 기법을 제공한다. 숫자 격자 (numerical lattice)라고 불리는 수학적 구조를 기반으로 하며, 효율성과 확장성을 향상시키는 형태로 발전하여 모듈 격자가 된다.

격자 기반 암호화는 보안을 보장하기 위해 최단 벡터 문제 (SVP)와 가장 가까운 벡터 문제 (CVP)라는 두 가지 난제의 복잡성에 기반한다. SVP는 격자 내에서 원점에 가장 가까운 벡터를 찾는 문제이며, CVP 는 주어진 점에 가장 가까운 격자점을 찾는 문제이다. 이 문제들은 고전적 컴퓨터뿐만 아니라 양자 컴퓨터에서도 효율적으로 해결하기 어려운 난제이기에, 이를 활용하면 향후 보안 위협에 대비하는 데 도움이 될 수 있다.
 

다양한 공격을 방어하는 보안 솔루션

앞서 언급했듯이, S3SSE2A는 단순한 칩이 아니라 하드웨어와 소프트웨어를 포괄하는 SE턴키 솔루션이다. 이처럼 통합된 보안 솔루션이 필요한 이유는 해커들이 사용자 정보를 탈취하기 위해 하드웨어와 소프트웨어를 동시에 공격하기 때문이다. 사이드 채널 공격 (Side Channel Attack)의 한 예로, 전자 서명 알고리즘이 IoT 디바이스나 집적회로(IC)가 포함된 전자여권에서 실행될 때, 소비 전력량과 전자기 신호를 분석하여 전자 서명 암호화 키를 탈취하는 방법이 있다. 하드웨어 리버스 공격 (Hardware Reverse Attack)에서는 해커가 하드웨어를 분해하여 설계, 기능, 구조를 분석함으로써, 암호화 키, 독점 알고리즘, 백엔드 서버 접근 경로와 같은 민감한 정보에 접근하는 것을 목표로 합니다. 결함 주입 공격 (Fault Injection Attack)은 또 다른 현재의 위협으로, 시스템에 의도적으로 오류를 발생시켜 정상적인 동작을 방해하는 방식으로 수행된다. 이 공격은 비트 플립 (Bit Flip), 연산 누락 (Operation Skip), 반복 (Repeat)과 같은 일시적인 오류를 유발하며, 보안 기능을 우회하여 보안을 유지하는 데 사용되는 데이터를 변조하는 데 활용된다. 

이러한 다양한 유형의 공격이 존재한다는 사실은 우려될 수 있지만, 삼성 시스템 LSI사업부의 독자적인 방어 시스템은 이러한 공격을 차단하도록 설계되었다.
 

스마트폰은 단순한 기기가 아니라 우리의 일부가 되었다. 어떤 면에서는 우리보다 더 많은 것을 알고 있기도 하다. 우리가 기억하지 못할 수도 있는 3주 전 친구에게 보낸 문자 내용, 그날 어디에 갔었는지, 스마트폰에서 어떤 작업을 했는지 스마트폰은 다 기억하고 있다. 물론, 이 정도 수준의 개인 정보에 접근할 수 있다는 사실만으로도 보안이 가장 중요한 문제임을 의미한다. 또한 세상이 점점 더 연결되고 일상의 더 많은 부분이 디지털화될수록, 보안의 중요성은 더욱 커질 수밖에 없다. 이에 따라 인공지능, 양자 컴퓨팅, 그리고 예측할 수 없는 기술 발전을 기반으로 한 더욱 정교한 공격은 불가피하다. 따라서 기업들은 해커보다 한 발 앞서 나가 보안을 지킬 책임이 있는 것이다. S3SSE2A를 통해 삼성 시스템 LSI사업부는 스마트폰을 포함한 다양한 디바이스의 보안 혁신의 한계를 지속적으로 확장해 나갈 것이다.

* 표시된 이미지는 예시용으로만 제공되며, 제품 자체 또는 해당 제품과 함께 촬영된 이미지를 정확하게 재현하지 않을 수 있습니다. 모든 이미지는 디지털 방식으로 편집, 수정 또는 보정되었습니다.

* 모든 제품 사양은 내부 테스트 결과를 반영하며 사용자의 시스템 구성에 따라 변동이 있을 수 있습니다. 실제 성능은 사용 조건과 환경에 따라 다를 수 있습니다. 

_{¹⁾ 양자 위협 타임라인 보고서 2023 (2024년 1월), 글로벌 리스크 연구소(GRI). 링크: https://globalriskinstitute.org/mp-files/executive-summary-quantum-threat-timeline-report-2023.pdf/
²⁾ 국제 보안 표준(CC) 인증에서, EAL 4+ 이상의 집적회로 보안 인증을 받기 위해 요구되는 최소 공격 저항 시간은 1주(168시간)로 규정되어 있음. 이 요구 사항을 충족하지 못할 경우, 해당 보안 인증 수준을 준수하지 않는 것으로 간주됨.
³⁾ FIPS 204의 ML_DSA65 서명 기준으로, 소프트웨어만 사용했을 때 연산 속도는 335.97ms이며, 하드웨어와 소프트웨어를 결합했을 때는 19.02ms(200MHz 기준)로 단축됨.
⁴⁾ 데니사 O. C. 그레초니치, 마티아스 J. 칸비셔, 앰버 스프렌켈스. 2021년. Cortex-M3 및 Cortex-M4에서의 Compact Dilithium(소형 딜리튬) 구현. IACR 암호화 하드웨어 및 임베디드 시스템 논문집, 2021(1):1–24, 2020년 12월.}