quantum wave

• 저자 Quantinuum 등
• 저널 Nature
• 게재일 2025. 03. 26
• 카테고리 양자 컴퓨터 / 기타 (양자 암호)
• DOI https://doi.org/10.1038/s41586-025-08737-1

양자 우월성 실험과 검증된 난수 생성

2019년 구글의 프로그래밍 가능한 양자컴퓨터 Sycamore를 통한 양자우월성 실험을 통해 양자컴퓨터의 강력한 힘이 최초로 실증되었다. 하지만 해당 실험에서는 랜덤양자회로의 측정결과를 샘플(quantum random circuit sampling)하는 문제를 주로 다루었는데, 이 문제는 처음부터 양자컴퓨터에게 유리하게 설계되었다는 한계가 있다. 자연스러운 다음 문제는 양자컴퓨터의 현실에 의미있는 응용을 찾는 것이다.  양자키분배(quantum key distribution)나 양자난수생성기(quantum random number generator) 등의 몇몇 응용은 이에 맞춰 제작된 기기를 통해 실험되고 있지만, 대부분의 이런 응용들은 대응되는 현실적인 고전적인 해법(공개키 암호, 유사난수생성기)이 존재한다. 고전컴퓨터로 불가능하지만 양자컴퓨터로 해결되는 응용, 특히 일반적인 양자연산이 가능하도록 설계된 프로그래밍 가능한 양자컴퓨터를 통한 응용은 양자우월성 실험 이후 가장 중요한 문제중 하나로 남았다.

이 글에서 다룰 논문에서는 프로그래밍 가능한 양자컴퓨터 Quantinuum H2-1을 통해 실증이 된 실험인 검증된 난수 생성에 대해 다룰 것이다. (Quantinuum H2-1은 이온트랩 기반 양자컴퓨터이지만, 이러한 사실이 이 글에서는 그다지 중요하지 않다.) 이 실험으로 생성된 난수는 정말로 생성기 입장에서도 의도하지 않고 만들어낸 난수임을 증명하는 검증이 가능하다. 이러한 검증된 난수는 양자컴퓨터 최초의 현실 응용 대상으로 생각되며, 블록체인, 영지식증명(zero-knowledge proof)등 많은 암호학적 프로토콜에 사용될 수 있다.

양자난수생성기의 한계

우선 간단하게 양자난수생성기(이하 QRNG)를 살펴보자. QRNG는 상태 |0>+|1>을 측정하여 0또는 1을 임의로 만들어낸다. 만약 QRNG를 정말로 사용한다면 이 난수는 물리학적으로 예측 불가능한 값이고, 암호학적 용도에 부합한다.

이미지 확대보기

그림 1. 양자난수생성기

만약 장치를 믿지 않는다면 어떨까? 예를 들어 장치 내부에 악성코드가 있어, 출력된 숫자들이 정말로 QRNG로 생성된 난수인지, 아니면 공격자가 악용하기 위한 숫자인지 구별하는 상황을 생각할 수 있다. 이러한 경우에는 QRNG 자체로는 출력된 수가 정말로 난수인지 검증할 수단을 제공하지 않는다. 만약 출력이 가짜 난수였다면 이를 백도어로 이용해 해당 난수를 사용한 암호 등이 공격 가능해져 보안에 취약점이 생긴다. 이러한 난수의 검증이 바로 우리가 다룰 문제이다.

랜덤회로샘플링과 엔트로피

검증된 난수 생성은 랜덤회로샘플링(이하 RCS) 기반의 양자우월성 실험을 반복해서 이루어진다. 이를 이해하기 위해 잠시 RCS 실험을 살펴보자.

이 실험은 고전적인 컴퓨터만을 사용할수 있는 검증자(verifier)와 양자컴퓨터를 가지고 있다고 주장하는 증명자(prover)사이의 고전적 통신으로 이해할 수 있다. 검증자는 구현가능할정도의 양자회로 (low-depth random quantum circuit) C를 골라 그 “회로의 설명”을 증명자에게 전송하고, 증명자는 C를 가진 양자컴퓨터로 구현해 C|0>을 여러번 계산해 그 “측정값”들을 모아 다시 검증자에게 전송한다. 만약 증명자가 정말 양자컴퓨터를 가지고 있다면, 그 구현에 에러가 있다고 해도 C|0>의 측정값에 어느정도 가까운 값들을 실제로 모을 수 있을 것이고, 검증자는 이를 통계적 검증(XEB Fidelity)을 통해 측정값들이 정말로 양자컴퓨터로 계산한것과 얼마나 가까운지 확인한다. 반면 고전컴퓨터만으로는 에러가 있는 양자컴퓨터와 비슷한 정도의 품질을 갖는 샘플들을 얻기 힘들다는 것이 이론적으로 밝혀져 있다.

이미지 확대보기

그림 2: trapped-ion 기반 quantum random circuit

여기서 주목할 점은, 만약 증명자의 샘플들이 통계 검증을 통과하는 경우 그 샘플들은 정말로 양자회로를 거쳤다는 것이다. 즉, 이 샘플들에 (QRNG와 비슷하게) 양자현상으로 인한 물리적으로 예측 불가능한 엔트로피가 생기게 된다. 따라서 엔트로피를 가진 샘플들을 난수로 쓰자는 아이디어로부터 검증된 난수 생성 실험이 시작된다.

RCS를 이용한 검증된 난수 생성

물론 여러가지 문제가 남아있다. 가장 중요한 이론적 허들은, RCS 양자우월성 실험에서는 증명자가 만든 샘플이 통계적 테스트를 통과하면 양자컴퓨터를 썼다는 사실만을 증명하지, 실제로 샘플들이 회로 C를 통해 만들어졌거나, 엔트로피를 가진다는 사실은 증명하지 않는다는 것이다. 이를 해결하기 위해 새로운, 더 강한 가정(하지만 본질적으로 앞선 RCS 실험들과 관계 있는 가정) 하에서 저자들은 다음과 같은 이론적 결과를 증명했다: “만약 증명자가 만든 샘플이 RCS 실험의 통계 검증을 통과한다면, 대부분의 회로 C에 대해 생성된 샘플들은 양자적으로 만들어졌고, 또 엔트로피가 정말로 존재한다!”

위를 통해 RCS 실험결과에 엔트로피가 존재한다는 사실은 보장할 수 있다. 하지만 검증된 난수생성을 위해 남은 중요한 문제들이 조금 더 있다. 첫째로는 RCS의 양자회로 C를 고르는데 이미 난수가 필요하다는 것이다. 둘째로, 위 명제는 실험에 사용한 구체적인 C에 대해서는 엔트로피를 보장하지 못할 가능성이 생긴다.

이 문제들을 해결하는 기본적인 아이디어는 간단하다. 하나의 회로 C에 대한 RCS 실험 대신, 여러 개의 회로 C1,…,Cm에 대해 샘플들 x1,…,xm을 얻는다. 이제 x1,…,xm에 대한 통계적 검증을 거쳐 정말로 양자현상을 거친 실험인지를 확인하는 것이다. 높은 확률로 x1,…,xm중 대부분은 엔트로피를 가지고 있기에 이들을 난수로 사용할 수 있어 두 번째 문제는 해결된다.

첫 번째 문제를 해결하기 위해서는 암호학적 유사난수생성기 (pseudorandom generator)를 사용한다. 유사난수생성기란, 작은 난수 씨앗 (randomness seed)를 제한된 컴퓨팅 시간을 가진 알고리즘에게는 큰 엔트로피를 가진 난수처럼 보이도록 만드는 도구이다. 이를 이용해 아주 작은 난수 씨앗(randomness seed)를 큰 난수로 만들어 여러 개의 양자회로 C1,…,Cm을 샘플한다. 증명자는 (제한된 시간 내에) 샘플을 만드는 동안 C1,…,Cm이 유사난수생성기를 통해 만들어졌다는 사실을 이용할 수 없어 샘플 x1,…,xm은 충분한 엔트로피를 가지게 된다. 즉, 만들어진 샘플들은 모두 양자컴퓨터를 통해 얻은 샘플이여야 하고, 따라서 세상 누구도 미리 예측할 수 없는 난수가 된다.

이미지 확대보기

그림 3: RCS를 이용한 검증된 난수 생성 실험

최종적으로 이 실험에서는 56큐비트 양자컴퓨터와 32비트의 난수씨앗을 통해  통해 30,100개의 샘플을 얻고, 이를 통해 검증된, 물리적으로 예측 불가능한 71,313 비트의 난수를 만드는데 성공했다.

숨겨진 추가 디테일: 난수 추출기, 효율적 실험

마지막으로 다루지 않은 디테일들을 살짝 언급하자. RCS를 통한 샘플은 예측 불가능한 엔트로피가 있지만 균일한 난수(uniform random)은 아니다. 이는 컴퓨터과학 분야에서 이미 잘 공부된 문제로, 난수추출기(randomness extractor)를 통해 RCS 샘플들을 최종적으로 결과값인 균일한 난수로 바꾼다.

또한 실제 실험에서는 작은 수의 회로를 여러 번 반복해서 사용하고, 전체 샘플들 중 임의로 고른 아주 적은 수의 샘플을 통계적 테스트로 확인해 검증자와 증명자의 효율성을 모두 높인다. 이 경우 증명자는 어떤 샘플이 테스트를 거칠지 미리 알지 못하므로, 모든 샘플을 양자실험을 통해 만들어야 한다.

마지막으로 공격자가 정말 강한 양자알고리즘으로 회로 C1,…,Cm사이에 얽힘을 만들어 곤란을 줄 수도 있다. 저자들은 이러한 복잡한 상황에서도 앞서 말한 결과들이 성립함을 이론적으로 증명했다.

연구 그룹 소개 및 연구 전망

연구 성과에 대한 perspective / 수행 연구 그룹 소개 및 국제 연구  동향 / 국내 관련 연구 및 기술 동향 등 해당 연구의 실험적인 부분은 Quantinuum의 양자컴퓨터를 사용하였고, 이론적 기반은 UT Austin의 Scott Aaronson 교수와 National Taiwan University의 Shih-Han Hung 교수가 발전시켰다.

양자컴퓨터의 암호학적 영향은 이미 다양하게 밝혀져 있다. Shor의 알고리즘 등을 통한 양자공격에 대응하기 위해 양자내성암호 분야가 새로 발전되었고, 양자컴퓨터를 사용한 양자화폐 등 새로운 암호학적 기술도 발달하고 있다. 이 논문은 특히 NISQ의 암호학적 응용을 밝혀 양자컴퓨터의 암호학에 대한 긍정적 영향을 최초로 실험시켰다. 고전적으로 불가능한 양자현상들을 통해 새로운 암호학을 실현시키는 것은 새롭게 발전하는 분야로, 가까운 미래에 더 다양한 응용을 보기를 기대한다.