AWS - ALB/NLB 양자 내성 TLS 구성 및 테스트
today keys : aws, alb, nlb, tls, quantum, pqc, key exchange, post-quantum, security, 양자내성
이번 포스팅에서는 AWS ALB의 양자 내성(Post-Quantum) TLS 구성 및 검증을 하는 내용입니다.
양자 내성 키 교환(PQ Key Exchange) 배경
기존의 RSA나 ECC 암호 체계는 강력한 양자 컴퓨터가 등장할 경우 해독될 위험이 있습니다.
AWS는 이를 방어하기 위해 기존 타원 곡선 암호(X25519)와 양자 내성 알고리즘(ML-KEM)을 결합한 '하이브리드 키 교환' 방식을 도입했습니다.
>> 관련 기존 포스팅 : https://zigispace.net/1350
AWS - ALB/NLB : TLS용 양자 내성 키 교환 지원
Today Keys : aws, alb, nlb, tls, quantum, pqc, key exchange, post-quantum, security, 양자내성 이번 포스팅에서는 AWS 네트워크 보안의 ALB(Application Load Balancer) 및 NLB(Network Load Balancer)의 TLS용 양자 내성 키 교환(Post-Qua
zigispace.net
[Lab] ALB 양자 내성 TLS 구성 및 검증
Step 1: AWS ALB(로드 밸런서)의 Listener 보안 정책 설정
애플리케이션 로드 밸런서(ALB) 새성 시에, Listener가 양자 내성 알고리즘을 사용하도록 설정하거나,
현재 구성된 ALB의 Listener 설정에서 'Edit Listenr' 메뉴로 들어가서 Security policy 설정을 변경.
Security policy의 'Policy name'에서 PQ(Post Quantum)가 포함된 최신 정책 선택
예: ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09
이후, 설정 및 저장을 합니다.
Step 2: 클라이언트(브라우저) 에서 확인
Chrome 브라우저로 ALB를 통해서 사이트 접속 후,
개발자 도구를 실행하고, 상단 탭에서 보안(Security) 탭 선택하며,
아래와 같이 우측의 보안 개요의 '연결-보안 연결 설정' 란에
'이 사이트와 연결은 암호화되어 있으며 TLS 1.3, X25519MLKEM768 및 AES_128_GCM을(를) 사용하여 인증되었습니다'
라는 메시지가 출력됩니다 .
여기에서 X25519MLKEM768 부분이
- X25519 : 기존에 사용하던 ECC 기반의 키교환 방식
- MLKEM768 : 양자 내성 알고리즘(ML-KEM, 기존 명칭은 Kyber)
입니다.
즉, 하이브리드(hybrid) 키 교환을 통해서 정상적으로 연결된 것을 알 수 있습니다.
즉, 현재 클라이언트(브라우저)와 AWS ALB 간의 세션은 양자 내성 암호로 보호되고 있다는 것을 알 수 있습니다.
단, 하이브리드 키 방식의 경우 Key 사이즈가 커져서 패킷 단편화 이슈가 나올 수 있으므로,
대규모 서비스 적용 전에는 네트워크 성능 점검이 필요할 수 있습니다.