우리가 이메일을 확인하거나 은행 계좌에 로그인하거나 시그널(Signal)에서 메시지를 주고받을 때 비밀번호와 인증 정보는 암호화(encryption)를 통해 보호된다. 암호화는 사이버 자물쇠처럼 작동하기 때문에 올바른 열쇠, 즉 자물쇠에 맞는 키(key)가 있으면 데이터의 잠금을 해제할 수 있다. 키가 없으면 쇠톱과 용접용 버너의 디지털 버전이라고 할 수 있는 무차별 대입(brute-force) 방식에 의존할 수밖에 없다.

온라인 보안에 대한 우리의 신뢰는 수학을 기반으로 한다. 암호화 체계는 일방향함수(one-way function)라고 하는 수학 문제를 바탕으로 하는데, 일방향함수(또는 단방향함수)란 한쪽 방향으로는 계산하기는 쉽지만 성능이 뛰어난 컴퓨터가 있다고 해도 효율적으로 역을 구하기는 거의 불가능한 함수를 말한다. 이 개념을 쉽게 이해하려면 미국 공항 렌터카 업체 출구에서 볼 수 있는 도로 스파이크를 떠올리면 된다. 도로 스파이크가 설치되어 있는 경우에 한 방향으로 운전하면 스파이크의 존재를 거의 알아차릴 수 없지만, 후진을 하면 멀리 갈 수 없을 뿐만 아니라 새 타이어가 필요해질 수 있다.

하지만 문제가 있다. 수학자들은 진정한 일방향함수가 존재한다고 생각하지만, 아직 이를 증명하지 못했다. 그리고 우리가 현재 암호화에 사용하고 있는 골치 아픈 문제들이 풀 수 없거나 풀기에 극도로 어렵다는 것도 증명하지 못했다. 다르게 말하면, 그런 어려운 문제를 해결할 수 있는 적절한 수학적 수단을 아직 찾지 못했다고 할 수도 있다. 이러한 난제는 모든 암호화에 적용된다. 결국 우리의 데이터는 데이터를 보호하는 암호 체계를 해독하는 방법을 아무도 모르기 때문에 안전하게 보호되고 있는 것이다. 적어도 아직은 그렇다.

그러나 우리가 걱정해야 하는 대상은 오늘날의 해커들뿐만이 아니다. 보안 전문가들은 아직 실현되지 않은 위협인 ‘양자컴퓨터(quantum computer)’에 대해 오랫동안 경고해 왔다. 미래에는 양자컴퓨터가 오늘날 최첨단 암호화의 기반이 되는 수학 문제를 빠르게 푸는 프로그램을 실행할 수 있을지도 모르기 때문이다. 이러한 위협은 우리의 개인적인 금융, 의료 및 기타 정보를 위험에 빠뜨릴 수 있다. 어쩌면 해커들이 오늘날의 암호화된 데이터를 훔쳐서 어딘가에 저장해 둔 다음, 암호를 풀 수 있는 신기술이 나오기만을 기다릴 수도 있다.

컴퓨터과학자, 수학자, 암호학자들은 오늘날의 기존 컴퓨터뿐 아니라 미래의 양자컴퓨터를 이용한 공격도 견딜 수 있는 새로운 암호화 알고리즘을 찾기 위해 노력하고 있다. 이들이 원하는 것은 기존 컴퓨터와 양자컴퓨터의 공격을 견딜 수 있을 만큼 견고하면서도 사이버공간에서 쉽게 구현할 수 있는 크고 까다로운 수학 문제이다.

안타깝게도 아직 기존 컴퓨터나 양자컴퓨터 중 어느 것으로도 풀기 어렵다고 증명된 단일 유형의 문제를 찾아낸 사람은 없다. (암호학에서 ‘어렵다’는 말은 해결하는 데 지나치게 많은 단계가 필요하거나 엄청난 연산 능력이 필요한 문제를 의미한다.) 일방향함수가 존재하지 않는 한, 결함을 찾아내고 영리한 해커를 차단하기 위해 더 강력한 암호 체계를 개발하는 암호학자들의 ‘두더지 잡기’ 게임 같은 과정이 무한히 지속될 것이다.

이스라엘 텔아비브 대학교(Tel Aviv University)의 이론 컴퓨터과학자 라파엘 패스(Rafael Pass)는 “일방향함수의 존재 여부가 가장 중요한 문제”라고 말한다. 일방향함수 문제는 현재 계산 복잡도 이론(computational complexity theory)이라고 알려진 연구 분야가 태동했던 1970년대부터 중요한 주제가 되었고, 그로부터 지난 50년간 이론가들과 암호학자들은 일방향함수의 존재를 증명할 방법을 모색해 왔다. 어쩌면 우리가 현재 일방향함수이기를 바라거나 일방향함수가 아닌지 의심하는 문제들은 더 쉽고 깨지기 쉬운 문제들일지도 모른다.

패스는 일방향함수가 다른 수많은 미해결 문제들과 어떻게 연결되어 있는지 탐구하고 있으며, 다른 이론가들도 이 문제에 뛰어들고 있다. 동시에 암호학의 실용적인 측면에 초점을 맞춘 사람들은 아주 어렵지는 않더라도 양자컴퓨터에 대항할 만큼 강력해 보이는 새로운 암호화 체계를 찾기 위해 노력하고 있다.

컴퓨터과학자들은 양자내성 알고리즘이 정말로 뚫리지 않는 것인지 아니면 그냥 그럴 거라고 믿고 있는 것뿐인지 확신할 수 없는 갈림길에 서 있다.

지난 7년 동안 최고의 후보를 찾는 작업을 주도한 곳은 공공 사용을 위한 암호화 알고리즘의 수집, 테스트, 표준화를 담당하는 미국 정부 기관인 국립표준기술연구소(National Institute of Standards and Technology, 이하 ‘NIST’)였다. NIST는 테스트를 통해 수십 개의 잠재적인 ‘양자내성(post-quantum)’ 알고리즘을 실행하고 외부에서 테스트할 수 있도록 공개해 왔다. 이 과정을 통해 최종 후보를 몇 개로 압축한 NIST는 지난 8월, 양자 공격에 대응할 수 있을 만큼 강력한 것으로 여겨지는 접근 방식을 취하는 ‘크리스털 카이버(CRYSTALS-Kyber)’가 2024년까지 공공 사용을 공식적으로 권장하는 첫 번째 알고리즘이 될 예정이라고 발표했다. 그 이후에 기업과 정부는 NIST의 권고에 따라 데이터 암호화를 위해 이 알고리즘을 채택할 것이다.

깨지지 않는 암호에 대한 오해와 현실

이 알고리즘은 정말 양자컴퓨터의 공격을 견딜 수 있을까? 이 질문에 대한 답은 단기적으로 사이버보안의 방향을 결정하는 데 도움을 줄 것이다. 하지만 이 알고리즘도 완전한 해결책과는 거리가 멀다. 역사를 살펴보면 어떤 암호화 방식이 깨지지 않으리라는 우리의 믿음은 잘못된 것이었던 적이 많고, 절대 뚫을 수 없을 것처럼 보이던 암호화 후보들도 몇 년이 지나면 놀라울 정도로 간단한 공격에 쉽게 깨지곤 했다. 컴퓨터과학자들은 양자내성 알고리즘이 정말로 뚫리지 않는 것인지 아니면 그냥 그럴 거라고 믿고 있는 것뿐인지 확신할 수 없는 갈림길에 서 있다. 이러한 의문이야말로 현대 암호화 보안의 핵심이다.

비밀 메시지 보호가 항상 어려운 수학 문제와 관련되어 있는 것은 아니었다. 꽤 최근까지도 암호화는 수학 문제와 큰 관련이 없었다. 고대 그리스에서는 군사 지도자들이 스키테일(scytale)이라는 원통형 장치를 사용해서 메시지를 암호화했는데, 이는 마구 뒤섞인 것처럼 보이는 텍스트가 적힌 가느다란 조각을 스키테일에 감으면 숨겨진 메시지가 드러나는 방식이었다. 그로부터 몇 세기 후에 로마의 역사가들은 메시지를 작성할 때 알파벳을 세 자리 앞의 문자로 치환하는 암호화 방식에 대해 설명했다. 예를 들어 알파벳 d를 세 자리 앞의 문자인 a로 적는 식이다. 이 암호화 방식은 율리우스 카이사르(Julius Caesar)가 고안한 것으로 여겨진다.

현대와 마찬가지로 역사 속에서도 비밀 암호는 자주 해독되곤 했다. 16세기, 사촌 엘리자베스 1세 여왕에 의해 감옥에 갇혀 있던 스코틀랜드의 메리 여왕은 감옥에서 보낸 수십 년 동안 자신의 자유와 왕좌를 되찾으려는 목적으로 정교한 기호 기반의 암호를 사용해서 수백 통의 편지를 암호화했다. 하지만 메리는 원하는 바를 이루지 못했다. 엘리자베스 1세의 첩자들과 암호 해독자들이 편지를 가로채서 암호를 풀고 모방했기 때문이었다. 메리는 자신의 운명을 결정지은 편지에서 엘리자베스를 암살하려는 계획을 단어 여섯 개(sett the six gentlemen to woork: 여섯 신사에게 일을 맡겨라)로 승인했고, 이에 엘리자베스는 결국 1587년에 메리를 교수형에 처하라고 명령했다.

1932년 폴란드의 암호 해독자들은 제1차 세계대전 말기에 발명된 독일의 초기 에니그마(Enigma) 기계의 암호를 해독했다. 이들은 이후에 영국의 암호 해독자들과 정보를 공유했고, 영국의 암호 해독자들은 제2차 세계대전 중에 더 발전된 버전의 에니그마를 해독했다.

텔아비브의 이론 컴퓨터과학자인 패스는 1970년대 이전에 모든 시간이 ‘암호의 암흑기’라고 반쯤 농담처럼 이야기한다.

그는 “암호학은 사실 과학적인 분야가 아니었다. 오히려 예술가 대 공격자의 대결에 가까웠다. 암호화 체계를 만들어 내려면 예술적인 기술이 필요했고, 그렇게 만들어진 암호화 체계는 어떤 영리한 사람이 나타나서 암호를 푸는 방법을 알아낼 때까지 사용되곤 했다. 그리고 이런 상황이 계속 반복됐다”고 설명한다.

패스는 그러다가 1976년에 상황이 바뀌었다고 말한다. 1976년 11월, 스탠퍼드 대학교(Stanford University)의 암호학자 휫필드 디피(Whitfield Diffie)와 마틴 헬먼(Martin Hellman)은 두 사람이 자신들만 알고 있는 키를 고안해서 비밀 메시지를 전달하는 데 사용할 수 있는 새로운 암호화 방식을 설명했다. 이 방법에서 결정적으로 중요한 것은 비밀 메시지를 주고받는 두 사람이 서로 직접 만날 필요가 없다는 점이었다. 이는 매우 획기적인 발상이었다. 이전에는 메시지의 발신자와 수신자 모두 암호화와 암호 해독을 위한 키를 물리적으로 가지고 있어야 했다. 예를 들어 에니그마 기계로 암호화한 메시지를 해독하려면 수신자는 초기 암호화 설정이 표시된 키 시트가 필요했다.

디피-헬먼 키 교환 방식의 비밀은 두 사람이 한 방향으로는 계산하기 쉽지만 반대 방향으로는 계산이 어려운 간단한 수학 문제를 사용해서 키를 만드는 것이었다. 방식은 다음과 같다. 비밀리에 대화하고 싶은 두 사람(보통 이러한 설정에서는 앨리스와 밥으로 지칭한다)이 비밀 숫자를 하나씩 선택한다. 그런 다음, 두 사람이 공개적으로 공유하기 위한 한 쌍의 숫자를 정한다(하나는 큰 소수여야 하고 다른 하나는 밑수가 된다). 그리고 각자 개인이 정한 비밀 숫자를 두 사람이 공개적으로 공유한 소수와 밑수에 결합해서 일련의 수학 연산을 수행한다.

그러고 나서 계산 결과를 교환한 후 새로운 숫자에 대해서 또 다른 수학 연산을 수행한다. 그러면 결국 앨리스와 밥은 순서는 다르더라도 같은 숫자에 대해 같은 연산을 수행하여 동일한 답에 도달하게 된다. 그 답이 되는 숫자가 바로 암호가 된다. 그리고 전송을 가로채는 도청자(흔히 이브라고 한다)는 두 사람이 개인적으로 정한 비밀 숫자 중 하나라도 알지 못하면 뒤죽박죽인 이 수학 문제를 쉽게 풀 수 없다. 무차별 대입 방식으로 숫자를 하나씩 찾아볼 수도 있지만, 그러려면 엄청난 양의 계산이 필요할 것이다.

이브가 풀어야 하는 복잡한 문제를 이산대수 찾기라고 한다. 디피-헬먼 방식은 오늘날에도 일부 VPN 보안 등에 사용되고 있으며, 일부 양자내성 체계에서도 필수적인 부분을 담당한다.

디피와 헬먼은 논문에서 이산대수 문제를 적당한 시간 내에 해결할 수 있는 기존의 알고리즘이 존재하지 않는다고 지적했다. 그리고 그런 알고리즘은 아직도 존재하지 않는다. 두 사람은 보안 암호화의 기본이 되는 일방향함수 개념을 처음으로 도입했다.

오늘날 인증이나 전자서명 등과 관련된 온라인 보안은 이러한 일반적인 아이디어를 기반으로 한다. 하지만 이들이 사용하는 문제가 일방향함수라는 수학적 증명이 없는 한, 누군가가 이를 해독하는 효율적인 체계를 발견할 가능성이 여전히 남아있다고 할 수 있다.

양자컴퓨터의 위협

오늘날 온라인 거래는 일종의 ‘디지털 악수’로 시작되며, 이 과정의 보안을 주로 책임지는 것은 어려운 문제로 여겨지는 또 다른 수학 문제이다. 오늘날 가장 널리 사용되는 암호화 체계는 디피와 헬먼이 1976년에 발표한 논문에서 영감을 받은 세 명의 젊은 컴퓨터과학자가 1977년에 도입한 방식이며, 이 과학자들(론 리베스트(Ron Rivest), 아디 샤미르(Adi Shamir), 레너드 애들먼(Leonard Adleman))은 자신들의 성을 따서 이 방식을 ‘RSA’라고 불렀다.

소인수 곱셈은 간단하지만 소인수 찾기는 어렵다는 점을 기반으로 하는 RSA는 디피-헬먼 키 교환 방식과 약간 다르다. 디피-헬먼 방식은 비밀을 공유하는 방식을 사용한다. 다시 말해서 디피-헬먼 방식을 사용하는 두 사용자는 인터넷처럼 안전하지 않은 채널에서 키를 고안하고, 그 키를 이용해서 메시지를 위장한다. RSA 방식에서는 앨리스가 큰 소수를 기반으로 하는 밥의 키를 사용해서 메시지를 암호화하면, 밥만이 메시지의 잠금을 해제할 수 있다. RSA로는 한 사람이 다른 사람에게 전송하는 데이터를 보호할 수 있다.

RSA는 곧 가장 널리 사용되는 공개 키 암호화 방법 중 하나가 되었다. RSA는 사용과 적용이 쉽다. 시간이 지남에 따라 더 빠른 속도로 인수분해할 수 있는 새 알고리즘이 등장하고 컴퓨터 성능이 더 좋아지면서, NIST는 보안을 위해 점점 더 큰 숫자를 사용할 것을 권장했다. 여기서 숫자는 1과 0을 사용하는 이진법 형식으로 표시되며, 이러한 이진수는 ‘bit(비트)’라는 이름으로 잘 알려져 있다. 예를 들어 숫자 13은 이진수로 1101이며, 이는 4bit에 해당한다. 현재 NIST는 2,048bit 이상으로 표시되는 키 사용을 권장하는데, 2,048bit는 600자릿수가 넘는 숫자에 해당한다. (지금까지 소수 두 개로 인수분해되는 숫자 중에 가장 큰 숫자는 250자릿수로 이루어져 있었으며, 계산 과정에는 약 3,000시간이 소요됐다.) RSA의 장점은 해독이 불가능하지는 않더라도 이와 같이 점점 숫자의 크기를 키워서 계산을 통해 해독하기 어렵게 만들기 쉽다는 점이다.

그러나 1994년, 당시 벨연구소(Bell Labs)에 근무하던 미국 수학자 피터 쇼어(Peter Shor)가 적당한 시간 내에 인수분해 문제를 해결할 수 있는 양자컴퓨터용 알고리즘을 고안하면서 새로운 유형의 위협이 등장했다. (이는 두 암호화 방식 모두에 위협이 됐다. 쇼어의 방식은 디피-헬먼 방식의 이산대수 문제도 해결할 수 있었다.)

쇼어의 논문은 양자컴퓨터를 구축하려는 사람들과 양자컴퓨터가 사이버보안에 미칠 위협을 인식한 사람들 모두에게 흥분과 불안을 불러일으켰다. 하지만 암호학자들에게는 다행히도, 모든 양자컴퓨터가 암호를 풀 수 있는 것은 아니다.

지난 30년간 사이버보안은 점점 더 복잡한 게임처럼 진행되어 왔으며, 그 과정에서 연구자들은 끊임없이 새로운 후보를 구축한 다음 깨뜨리거나 깨뜨리려고 시도해 왔다.

몇 년 전, 구글과 스웨덴 왕립 공과대학교(KTH Royal Institute of Technology)의 연구자들은 2,000만 개의 양자비트, 즉 큐비트(qubit)로 구성된 양자컴퓨터가 오늘날의 2,048bit RSA 보안을 뚫으려면 약 8시간이 걸릴 것으로 추정했다. 그러나 현재 최첨단 기기는 이 정도 수준에 근접하지 못한다. 현재 가장 규모가 큰 양자컴퓨터는 IBM이 지난해 선보인 433큐비트의 양자컴퓨터이다.

사이버보안 회사 키팩터(Keyfactor)를 공동 설립한 컴퓨터과학자 테드 쇼터(Ted Shorter)는 RSA가 양자 공격으로 인해 즉각적인 위험에 처해 있다고 볼 수 있는지는 누구에게 물어보느냐에 따라 크게 달라질 수 있다고 말한다. 쇼터는 암호화 수학을 연구하는 이론가와 이를 구현하는 암호학자들 사이에 문화격차가 있다고 생각한다.

어떤 사람들은 끝이 가까웠다고 생각한다. 쇼터는 “이론 컴퓨터과학자와 이야기를 나누면 그들은 RSA의 종말을 상상할 수 있기 때문에 RSA는 이미 끝났다고 대답할 것”이라고 말한다. 쇼터에 따르면 그들은 쇼어의 알고리즘의 존재 자체가 우리가 알고 있는 암호화의 종말을 의미한다고 생각한다.

실제 보안 시스템을 구현하고 있는 많은 암호학자들은 양자컴퓨터보다 오늘날의 가장 영리한 해커들을 더 걱정한다. 사람들은 수천 년 동안 효율적인 인수분해를 시도해 왔지만, 현재 알려진 유일한 방법을 실행하려면 현재로서는 존재하지 않는 컴퓨터가 필요하기 때문에 양자컴퓨터를 당장 우려할 이유가 없다는 것이다.

벨기에 루벤 가톨릭 대학교(KU Leuven)의 암호학자 토머스 데크루(Thomas Decru)는 양자컴퓨터로 인한 위협을 심각하게 받아들여야 하지만, RSA가 양자컴퓨터에 무너지려면 5년이 걸릴지 그보다 더 오랜 시간이 걸릴지, 아니면 아예 영원히 무너지지 않을지 알기 어렵다고 말한다. 그는 “양자컴퓨터가 존재하지 않는 상황에서 양자컴퓨터에 관한 얘기는 결국 모두 추측일 뿐”이라고 말한다. 하지만 패스는 위협에 대해서는 조금 더 확신한다. 그는 “이러한 양자 알고리즘이 존재한다는 것 자체가 암호화 문제에 균열이 있다는 것을 의미한다고 해도 과언이 아니다”라고 말한다.

구현의 어려움

하지만 NIST의 암호화 기술 그룹(Cryptographic Technology Group)을 관리하면서 양자내성 암호화 표준을 만들기 위해 계속해서 노력을 기울이고 있는 수학자 릴리 첸(Lily Chen)은 우리가 모든 상황에 대비해야 한다고 말한다. 3년 후든 30년 후든 양자컴퓨터가 등장할 날이 머지않은 상황에서 RSA, 디피-헬먼 및 기타 암호화 체계가 취약해지는 것도 시간문제이기 때문이다.

양자내성 암호화 체계를 찾는 일은 쉽지 않다. 계산하기 어려운 수학 문제 없이도 지난 30년간 사이버보안은 점점 더 복잡한 게임처럼 진행되어 왔으며, 그 과정에서 연구자들은 끊임없이 새로운 후보를 구축한 다음 깨뜨리거나 깨뜨리려고 시도해 왔다.

이러한 현상은 이미 NIST의 양자내성 프로그램에서도 나타난 바 있다. 2022년 2월, 암호학자들은 세 차례에 걸친 NIST의 분석에서 살아남은 알고리즘인 ‘레인보우(Rainbow)’에서 치명적인 결함을 발견했다. 몇 달 후, NIST에서 다시 테스트를 진행한 후에 데크루와 루벤 대학교의 동료 바우터 캐스트릭(Wouter Castryck)은 사이크(SIKE)라는 이름의 다른 최종 후보 알고리즘도 깨뜨렸다고 발표했다.

몇 년 전에 개발된 사이크는 아마존, 마이크로소프트, 베르사유 대학교(University of Versailles) 등의 연구자와 엔지니어가 협력하여 개발한 알고리즘이다. 이 알고리즘은 타원곡선 사이의 연결로 이루어진 아이소제니(isogeny)라는 특수한 함수를 기반으로 한다. 아이소제니는 통신을 위한 암호로 전환될 수 있으며, 외부인은 아이소제니를 알지 못하면 이 암호를 도청할 수 없다.

루벤 대학교에서 데크루와 캐스트릭은 아이소제니를 사용해서 새롭고 빠른 암호화 접근 방식을 구축하는 방법을 고안했다. 그리고 두 사람은 일반적인 데스크톱 컴퓨터로 단 몇 시간 만에 가장 어려운 버전의 사이크 암호를 해독했다. (그 이후로 다른 그룹에서는 더 빠른 방법을 찾아냈다.) 게다가 데크루와 캐스트릭이 사이크 암호를 해독한 시점은 우연히도 사이크가 NIST의 새로운 최종 후보로 선정된 지 불과 몇 주밖에 지나지 않았을 때였다. 데크루는 “우리는 그 암호를 깨뜨리려고 했던 것이 아니다. 단지 일반화하려고 했을 뿐이다”라고 계속해서 주장한다.

첸은 사이크와 그 이전에 레인보우의 사례가 양자내성 알고리즘을 찾으려는 노력의 원동력이 되고 있는 현실 세계의 긴장감을 잘 보여준다고 지적한다. 첸은 “한편으로는 양자컴퓨터와 기존의 컴퓨터가 모두 풀기 어려운 문제를 찾아야 한다”고 말한다. 다른 한편은 구현이다. 다시 말해서 그렇게 찾아낸 어려운 문제를 현실 세계의 암호화 시스템에서 사용할 수 있는 문제로 변환하는 것이다. 쇼터는 오늘날 잘 정의된 그런 문제들이 있다고 해도 현재 시중에 나와 있는 모든 운영 체제와 장치의 모든 허점을 예측하고 방지하는 일은 매우 어렵다고 말한다. 쇼터는 “상호운용성 테스트와 인증과 기타 테스트도 거쳐야 한다. 그렇게 해야 암호 체계가 올바르고 안전하게 구현되도록 할 수 있다”고 설명한다.

사이크의 기반의 되는 수학 문제는 곡선 사이를 구성하는 방식이 매우 다양하기 때문에 계산하기 어렵게 느껴질 수 있다. 이 문제는 일방향 문제이기 때문에 양자내성도 가능하다. 그러나 결함은 설계상에 있었다. 전송되는 정보가 지나치게 많이 노출되었기 때문이다. 데크루와 캐스트릭은 우연히도 연결 지점을 충분히 노출시켜서 전체 정보를 드러내는 방법을 발견한 덕분에 이 암호를 깨뜨릴 수 있었다.

다른 암호 체계들은 이보다 더 나은 성과를 보였다. 표준화될 예정인 최초의 양자내성 암호화 알고리즘 크리스털 카이버는 점의 배열로 모델링할 수 있는 수학적 객체인 격자(lattice)에 대한 문제를 이용한 접근 방식을 통해 보안을 제공한다. (양자내성 암호화 방식에는 크게 다섯 가지 종류가 있고, 아이소제니 접근 방식과 격자 접근 방식도 그 안에 포함된다.)

크리스털 카이버는 RSA처럼 일반적인 암호화 체계로, 온라인 통신 보안과 같은 작업에 사용될 수 있다. 승인된 다른 세 가지 알고리즘은 전자서명을 인증하여 디지털 문서가 위조되지 않았는지 확인할 수 있도록 설계됐다. NIST는 2024년 봄까지 이러한 방식을 표준화할 계획이다. 나머지 세 가지 방식(사이크가 깨지기 전까지는 네 가지였다)도 추가 테스트를 통과할 경우 향후 몇 년 내에 표준화될 수 있다.

그러나 패스는 수학자들이 일방향함수의 존재를 증명하지 못한다면 암호화를 특징지어 온 양상이 앞으로도 계속될 것이라고 지적한다. 패스는 “새로운 후보 구조를 제안하는 알고리즘 설계자와 이를 깨뜨리려는 다른 설계자 간의 쫓고 쫓기는 게임으로 되돌아가게 될 것”이라고 말한다. 이를 막으려면 그를 비롯한 누군가가 암호화 문제를 영원히 해결할 수 있는 구현 가능하고 증명 가능한 일방향함수를 찾아내야 할 것이다.

그전까지 암호학자들은 견고해 보이는 암호화 체계를 깨질 때까지만 신뢰해야 하는 답답한 상태에 머물러야 할 것이다.

완벽한 수학 문제를 찾으면 이런 답답한 상태에서 벗어날 수 있겠지만, 그 문제가 지나치게 까다로워서는 안 된다. 암호화에 활용할 수 있는 완벽한 수학 문제는 반드시 수학과 암호학 사이에서 균형을 유지해야 하며, 계산은 어렵지만 구현은 쉬워야 한다. 이러한 두 가지 속성 중 한쪽에서 너무 멀리 벗어나면 지금은 아니더라도 미래에는 취약해질 수 있다. 모든 곳의 모든 사람에 대한 과거, 현재, 미래 데이터의 보안이 균형에 달려 있다.

이 글을 쓴 스티븐 오네스(Stephen Ornes)는 미국 내슈빌에 거주하는 과학 작가이다.