신뢰의 출발점: 엑시노스, 모바일 SoC의 신뢰 근원에서 포스트 양자(PQC) 보안을 확립하다

모바일 기기는 이제 결제, 인증, 업무, 개인 데이터가 한 대의 기기에 집중되는 플랫폼으로 진화했다. 운영체제와 펌웨어 또한 지속적으로 업데이트되는 환경에서, 기능과 데이터가 중앙화될수록 “무엇을 신뢰할 수 있는 것으로 판단하고, 무엇을 정당한 코드로 실행할 것인가”가 보안의 출발점이 된다. 이 출발점을 기술적으로 강제하는 핵심 기반이 시큐어 부트다. 시큐어 부트는 부팅 과정에서 코드의 정당성을 검증해 검증된 구성요소만 실행되도록 보장한다. 반대로 이 검증이 한 번 무너지면, 이후 단계에서 보안 기능을 아무리 덧붙이더라도 신뢰 사슬 자체가 붕괴할 수 있다.

2026년, 기술 산업은 양자 컴퓨팅이 더 이상 하드웨어 수준의 검증에 대한 이론적 위험이 아니라, 현실적인 위협으로 부상한 변곡점에 도달했다. 이러한 환경에서 신뢰를 하드웨어 레벨에서 어떻게 수립하고 유지할 것인지에 대한 기준을 제시해야 하는 주체로, 주요 디바이스 제조사와 기술 기업들에 시선이 집중되고 있다.

양자 위협에 대한 엑시노스의 대응

문제의 핵심은 양자 컴퓨팅이 장기적으로 부트 검증의 전제인 공개키 기반 서명 검증을 약화시킬 가능성이 있다는 점이다. 그 결과, 공개키 암호가 흔들릴 가능성은 단순히 알고리즘을 교체하는 수준을 넘어, 신뢰의 기준점을 어디에 두고 얼마나 오래 유지할 것인가라는 설계 문제로 확장된다. 특히 모바일 SoC는 EU 규제 등을 고려해 7년 이상 동작하도록 설계되는 경우가 많다. 또한 제품이 현장에 배포된 이후에도 OTA(Over-the-Air) 업데이트를 통해 기능과 보안 정책이 지속적으로 변경된다. 따라서 포스트-양자 보안으로의 전환은 ‘기능 하나를 추가하는’ 일회성 작업이 아니라, 신뢰 프레임워크 자체를 재설계하는 과제로 접근해야 한다.

이러한 양자 위협에 대비해 엑시노스는 Boot ROM 단계부터 즉시 양자내성암호(PQC) 기반 시큐어 부트 검증을 수행하도록 설계되어, 부트 신뢰 사슬과 키 보호를 강화한다. 이를 위해 Boot ROM과 보안 코어는 메인 시스템과 분리된 보안 프로세서/엔클레이브 내부에 배치된다. 그 결과, 부트 과정의 신뢰 기준점으로 동작하는 신뢰의 근원(Root of Trust, RoT)이 강화된다. 이 아키텍처는 메인 시스템의 복잡성과 잠재적 취약점으로부터 신뢰의 근원을 격리해, 신뢰 컴퓨팅 기반(Trusted Computing Base, TCB)과 공격 표면을 최소화하는 동시에, 부트 신뢰 사슬의 무결성과 키 보호를 한층 견고하게 한다. 더 나아가 부트 체인의 가장 첫 검증 지점부터 PQC 기반 검증을 기준으로 고정함으로써, 양자 시대에도 신뢰가 유지되도록 보장한다.
 

PQC 서명이 필요한 이유

현재 상용 디바이스의 코드 서명과 시큐어 부트는 주로 RSA 및 ECC(ECDSA) 기반 디지털 서명¹에 의존한다. 그러나 충분히 큰 규모의 양자 컴퓨터가 등장할 경우, Shor 알고리즘²이 정수 인수분해와 이산 로그 문제(Discrete Logarithm Problem, DLP)를 다항 시간(Polynomial Time)에 풀 수 있게 되어, RSA 및 ECC 기반 공개키 시스템이 구조적으로 취약해진다는 점이 널리 알려져 있다.

이에 따라 NIST는 기존의 인수분해/DLP 계열에 속하지 않으며, 양자 공격에 대해 상대적으로 견고하다고 평가되는 문제 클래스에 기반한 PQC 표준화를 추진해 왔다. 2024년 8월, NIST는 PQC FIPS 표준³을 발행 했다. 이 가운데 ML-DSA는 NIST가 주요 서명 알고리즘으로 제안한 모듈-격자 기반 디지털 서명으로, Shor 계열 공격이 직접 적용되는 인수분해/DLP 기반 서명과 달리 격자기반 문제를 보안 가정으로 사용한다. 이를 통해 포스트-양자 환경에서의 서명 검증을 위한 장기적인 기반을 제공한다.

이러한 배경에서 엑시노스는 PQC 서명 방식으로 ML-DSA를 채택했다. 더 중요한 점은, PQC로의 전환이 새로운 알고리즘을 선택하는 기술적 결정에 그치지 않고, “장기적으로 무엇을 정당한 것으로 인정할 것인가?”라는 신뢰의 문제로 이어진다는 점이다.

현재의 신뢰, 미래의 위조

양자 위협은 흔히 기밀성 관점에서 먼저 설명된다. 대표적인 예가 HNDL(Harvest Now, Decrypt Later)로, 오늘 암호문을 수집해 두었다가 향후 양자 컴퓨터가 등장하면 이를 복호화해 기밀성을 무너뜨리는 위협을 뜻한다. 그러나 서명 기반 시스템에서 더 근본적인 위험은 비밀 유출이 아니라 신뢰 자체의 붕괴이다. 이를 설명하는 대표 개념이 TNFL(Trust Now, Forge Later)로, 오늘 안전하다고 믿는 서명과 인증서가 미래에 위조될 수 있어 인증과 무결성에 기반한 신뢰가 깨질 수 있다는 위험을 의미한다.

현재 디바이스는 벤더의 RSA 또는 ECDSA 같은 고전적 서명 방식을 신뢰하고, 그 검증 결과에 따라 정당한 업데이트를 적용한다. 하지만 미래에 RSA/ECDSA 계열 서명 방식이 사실상 무력화되면, 공격자는 겉보기에는 정상으로 보이는 위조 서명을 생성할 수 있다. 그 결과 디바이스는 악성 부트 이미지나 업데이트를, 마치 정상적으로 서명된 것처럼 받아들일 수 있다. HNDL이 “과거의 비밀”을 열어버리는 위협이라면, TNFL은 “미래의 신뢰” 자체를 겨냥한다. 그리고 상용 디바이스에서 이 신뢰는 대체로 부팅 시점의 검증 경로를 따라 정의된다.

이 위협이 특히 심각한 이유는, 해당 검증 경로가 보통 부팅 단계에서 고정되어 운용 중에 쉽게 바꾸기 어렵기 때문이다. 운영체제나 애플리케이션은 빠르게 업데이트할 수 있더라도, 초기 부팅에서 실행되는 검증 경로에 양자 공격에 취약한 링크가 남아 있으면 공격자는 이를 악용해 정상 서명된 것처럼 보이는 악성 이미지’로 시큐어 부트를 통과할 수 있다. 이후에는 시스템 복구가 극도로 어려워진다. 결국 TNFL을 완화하는 핵심은 초기 부팅 단계에서 무엇을 “정당한 것”으로 판단할지에 대한 기준을 어디에, 어떻게 정의하느냐에 달려 있으며, 이 질문은 곧 Boot ROM 단계의 검증 설계로 직결된다.

Boot ROM부터 시작되는 PQC 시큐어 부트

상용 디바이스에서 신뢰 기준이 가장 강하게 규정되는 지점은 시큐어 부트의 첫 번째 검증 단계이며, 그 출발점은 Boot ROM이다. 이 단계에서 첫 검증 지점이 인식하는 서명 방식이 디바이스가 무엇을 “정당한 것”으로 받아들이는지를 정의한다. 따라서 PQC 시큐어 부트의 핵심은 이 초기 단계에서 PQC 서명 검증을 수행해 신뢰 기준을 최하위 레이어에 고정하는 데 있다. ROM이 고전 서명만 검증하도록 설계되어 있으면, 이후 단계에서 아무리 PQC를 도입하더라도 신뢰 사슬의 시작점은 고전 암호에 묶인 채로 남는다. 반대로 설계 단계에서부터 PQC 서명 검증을 구현하면, 부트 체인의 신뢰 기준선이 최하위 레이어부터 PQC로 전환되고 이후 검증 단계는 동일한 신뢰 축을 따라 누적된다.

문제는 Boot ROM이 제조 이후 사실상 변경 불가능하다는 점이다. 이 특성은 공격 표면을 줄이는 장점이 있지만, 운용 관점에서는 애플리케이션이나 서비스 레이어에서 통하던 “필요하면 나중에 고치자”라는 접근이 적용되지 않는다는 뜻이기도 하다. 따라서 시큐어 부트 관점에서 더 본질적인 쟁점은 “어떤 알고리즘을 쓸 것인가”가 아니라, “그 알고리즘을 어디에 고정할 것인가”다.
 

이러한 현실을 반영해 NSA의 CNSA 2.0(Commercial National Security Algorithm Suite 2.0)은 소프트웨어·펌웨어 서명 전환을 별도의 타임라인으로 다루며 이를 “더 시급한” 과제로 규정한다. 또한 전체 자산 기반 전반에 걸친 조기 도입과 마이그레이션을 권고한다.^[2] 이러한 강조는 단지 양자 위협의 도래 시점 때문만이 아니다. 서명 검증이 종종 RoT 또는 Boot ROM에 고정되어 있다는 점을 고려한 것으로, 전환을 미루면 현장 교체 비용과 운영 리스크가 급격히 커지기 때문이다. 결국 양자 시대에 대비한 RoT와 시큐어 부트는 제품 라이프사이클 전체를 염두에 두고, Boot ROM 단계부터 선제적으로 설계되어야 한다. 이를 위해 엑시노스는 부팅 직후 Boot ROM 단계에서부터 PQC 시큐어 부트를 선제 적용해, 양자 시대에도 신뢰가 유지되도록 한다.

PQC를 위한 하이브리드 접근

PQC 알고리즘은 RSA나 ECDSA에 비해 검증 기간과 성숙도가 훨씬 짧기 때문에, 양자 컴퓨터가 아니라 고전 컴퓨터 환경에서의 예기치 못한 취약점이 발견될 수 있다는 우려가 존재한다. 따라서 전환기에는 단일 알고리즘에만 전적으로 의존하기보다 하이브리드 전략이 필요하다. 다만 하이브리드가 단순히 서명 두 개를 “붙이는 것”을 의미하지는 않는다. 고전 알고리즘과 PQC 알고리즘을 함께 운용하는 전환 단계에서는, 보안 기준선을 유지하기 위한 검증 정책을 어떻게 정의하느냐가 핵심 쟁점이 된다. 가장 보수적인 접근은 AND 정책으로, 고전 서명과 PQC 서명이 둘 다 유효할 때만 부팅을 허용하는 방식이다. 현실적인 로드맵은 하이브리드 AND 모델에서 출발해, 이후 PQC 필수(PQC-mandatory) 정책으로 전환하고, 최종적으로 PQC 단독(PQC-only) 모델로 수렴한다.

구현 관점에서는 성능과 신뢰성을 동시에 만족해야 한다. 구현 방식에 따라 PQC 서명 검증은 부팅 시간과 전력 소모에 부담을 줄 수 있다. 모바일 SoC는 부팅 시간과 전력 예산이 촘촘하게 제한되므로, PQC 연산을 효율적으로 처리할 수 있도록 하드웨어 가속 또는 보안 서브시스템으로의 오프로딩을 병행해 고려해야 한다. 또한 하이브리드 검증에서 두 알고리즘을 순차 처리하면 지연이 크게 증가할 수 있으므로, 가능한 경우 병렬 검증을 통해 지연을 최소화하는 설계가 유리하다.

안전한 PQC 마이그레이션을 위해 엑시노스는 Boot ROM 단계부터 ECDSA와 ML-DSA를 함께 사용하는 하이브리드 서명 방식을 지원한다. ML-DSA는 레거시 서명 방식 대비 수십 KB 규모의 메모리를 요구하지만, 임베디드 시스템의 자원 제약을 고려해 메모리 사용을 최적화했다. 또한 NTT⁴연산과 관련 계산을 하드웨어 기반으로 가속해, 기존 ECDSA 구현과 동등한 수준의 성능을 달성했다. 더 나아가 하이브리드 서명 검증 과정에서는 ECDSA와 ML-DSA를 병렬 처리해 부팅 시간을 최적화한다.

신뢰의 근원(Root of Trust) 강화

PQC는 선택적 미래 업그레이드로 취급할 수 없으며, 시큐어 부트의 검증 경로가 변경 불가능한 Boot ROM에 고정되어 있기 때문에 배포 이후 변경은 대부분 불가능하다. 이러한 현실을 고려해 엑시노스는 Boot ROM 단계에서 PQC 기반 시큐어 부트를 하이브리드 구성으로 선제 반영해, 전환 기간에 발생할 수 있는 불확실성을 시스템 아키텍처 차원에서 흡수하도록 설계했다. 또한 하이브리드 검증은 AND 정책 기반 검증 모델로 구현해, 전환 기간에도 보안 기준이 완화되지 않도록 한다. 나아가 ROM에서 시작하는 하이브리드 접근을 삼성의 S3SSE2A 보안 칩과 함께 적용해, 스마트폰 사용 전반에서 PQC 위협에 대한 보안을 한층 강화한다.

결국 PQC의 효과는 “채택했는가”가 아니라 “어디에 적용했는가”에 달려 있다. 그리고 신뢰가 RoT에 고정되어 있으면, 시큐어 부트는 제품 라이프사이클 전반에 걸쳐 일관된 신뢰를 제공할 수 있다. 이러한 관점에서 엑시노스는 공격자 역량이 진화하는 흐름에 선제적으로 대응하면서, 지속적으로 RoT를 강화해 나가고자 한다.