양자 컴퓨터 대응 랜섬웨어 첫 확인
원제: In a first, a ransomware family is confirmed to be quantum-safe
왜 중요한가
랜섬웨어 그룹이 양자내성암호를 마케팅 도구로 활용하기 시작해 사이버보안 위협 트렌드 변화를 보여준다.
보안업체 Rapid7이 'Kyber' 랜섬웨어가 ML-KEM1024 양자내성암호(PQC) 표준을 사용한다고 23일 발표했다. 파일 암호화 키를 보호하는 데 활용되며, 랜섬웨어가 PQC를 사용한 첫 확인 사례다.
Rapid7은 작년 9월 등장한 Kyber 랜섬웨어를 역공학 분석한 결과, Windows 변종이 ML-KEM1024(Module Lattice-based Key Encapsulation Mechanism)를 사용한다고 확인했다. ML-KEM은 미국 표준기술연구소(NIST)가 관리하는 양자내성암호 표준으로, 격자 기반 수학 구조를 활용해 양자컴퓨터로도 해독이 어렵다. 이 랜섬웨어는 ML-KEM으로 AES-256 대칭키를 보호하여 피해자 파일을 암호화한다. FTI Consulting의 Brett Callow는 랜섬웨어가 PQC를 사용한 첫 확인 사례라고 밝혔다. 그러나 실용적 이점은 없다. 양자컴퓨터가 RSA와 ECC를 해독할 수 있는 Shor 알고리즘을 실행하려면 최소 3년은 더 걸리기 때문이다. VMware 대상 변종은 ML-KEM 사용을 주장했지만 실제로는 RSA 4096비트 키를 사용했다. Rapid7의 Anna Širokova 연구원은 'PQC 사용은 마케팅 전략'이라며 비기술적 의사결정자들에게 더 위협적으로 보이게 하려는 심리적 기법이라고 분석했다.