Decoy State Method: Key to Practical Quantum Cryptography

Yong-Su KIM and Yoon-Ho KIM

With the potential of quantum computers to compromise current public-key cryptosystems, Quantum Key Distribution (QKD), which is based on the physical laws of quantum mechanics, has garnered significant attention. However, while QKD security proofs typically assume ideal single-photon sources, realistic implementations rely on Weak Coherent Pulses (WCP) due to the difficulties associated with commercializing true single-photon sources. Unfortunately, the multi-photon components inherent in WCPs are vulnerable to Photon Number Splitting (PNS) attacks, which limits the secure transmission distance to a few tens of kilometers. This article introduces the Decoy State method, which effectively resolves this issue. Proposed by W.-Y. Hwang in 2003 and further advanced by H.-K. Lo and X.-B. Wang, this technique utilizes the random interleaving of pulses with different mean photon numbers during transmission. By doing so, it enables the accurate estimation of single-photon yield and error rates, thereby effectively detecting PNS attacks. Because it can be implemented using standard commercial lasers and intensity modulators, the Decoy State method has become the standard technology in most modern QKD systems. It serves as a core component for long-distance quantum communication, enabling major milestones reported recently. This article reviews the principles, mathematical analysis, and latest applications of the Decoy State method.

서론: 양자암호통신의 필요성

현대 정보통신의 보안은 대부분 공개키 암호체계에 의존한다. 대표적인 RSA 암호는 큰 합성수의 인수분해가 계산적으로 어렵다는 가정에 기반하는데, 1994년 Shor가 양자컴퓨터를 이용한 다항 시간 인수분해 알고리즘을 발표하면서 이러한 가정의 근간이 흔들리게 되었다.1) 최근 양자컴퓨터의 급속한 발전에 따라 현재의 공개키 암호체계가 무력화될 수 있다는 우려가 커지고 있으며, 이에 대응하는 근본적인 해결책으로 양자 키 분배(Quantum Key Distribution, QKD)가 주목받고 있다.

QKD는 기존 암호체계와 달리 계산적 가정이 아닌 양자역학의 물리 법칙에 기반하여, 미래에 어떤 계산 능력이 등장하더라도 보안성이 유지되는 정보이론적 보안(information-theoretic security)을 제공한다. 양자역학 세계에서는, 미지의 양자상태는 완벽하게 복제할 수 없고(복제 불가 정리),2) 양자상태를 측정하면 필연적으로 그 상태가 교란된다(불확정성 원리). 이러한 특성들로 인해 도청자가 양자채널에서 정보를 탈취하려 할 때 반드시 흔적을 남기게 된다.

이러한 원리를 실제 암호키 분배에 처음 적용한 것이 1984년 Bennett과 Brassard가 제안한 BB84 프로토콜이다.3) BB84에서 송신자(Alice)는 무작위로 선택한 기저(Z 또는 X)로 단일광자의 편광상태를 준비하여 전송하고, 수신자(Bob)도 무작위 기저로 측정한다. 이후 송수신자는 기저 정보만 공개하여 일치하는 경우의 비트를 암호키로 사용한다. 만약 도청자(Eve)가 가로채기-재전송 공격(Intercept-Resend Attack)을 시도하면, 불확정성 원리에 의해 양자상태가 교란되어 양자비트오류율(Quantum Bit Error Rate, QBER)이 25%까지 상승한다. 물론 도청자가 더 정교한 공격 전략을 사용하면 QBER 상승을 억제할 수 있다. 그러나 Shor와 Preskill의 보안성 증명에 따르면, 단일광자를 사용하는 이상적인 BB84에서는 양자역학이 허용하는 가장 일반적인 공격에서도 QBER이 약 11% 이하이면 암호키를 안전하게 추출할 수 있다.4)

단일광자의 필요성과 현실적 한계

앞서 언급한 BB84 프로토콜의 보안성 증명은 송신자가 매 펄스마다 정확히 하나의 광자를 전송한다는 가정에 기초한다. 단일광자 상태에서는 복제 불가 정리가 완벽하게 적용되어, 도청자가 광자를 가로채면 원본이 사라지고 수신자에게 도달하지 않는다. 그러나 한 펄스에 두 개 이상의 광자가 포함되어 있다면 상황이 달라진다. 두 광자는 완전히 동일한 양자상태(편광)를 가지므로, 도청자는 광자 하나를 가로채고 나머지를 수신자에게 보낼 수 있다. 나중에 공개되는 기저 정보를 이용하면 송수신자와 동일한 키를 얻을 수 있는데, 이를 광자 수 분리 공격(Photon-Number-Splitting Attack, PNS 공격)이라고 한다.5)

PNS 공격을 원천적으로 차단하려면 이상적인 단일광자 광원이 필요하다. 이상적인 단일광자 광원은 트리거 신호에 따라 정확히 하나의 광자만 방출하는 결정론적 장치로, 반도체 양자점(Quantum Dot), 다이아몬드 NV 센터, 자발적 파라메트릭 하향변환(SPDC) 등 다양한 방식이 연구되고 있다. 그러나 이들은 극저온 환경 요구, 낮은 광자 수집 효율, 통신파장대 호환성 문제, 확률적 동작 등의 기술적 한계가 있으며, 무엇보다 시스템 복잡도와 비용을 크게 증가시켜 상용 QKD 제품에 적용하기 어렵다.

이러한 이유로 현실적인 QKD 시스템에서는 감쇠된 레이저 펄스(Weak Coherent Pulse, WCP)를 사용한다. 상용 레이저의 출력을 감쇠시켜 평균 광자 수를 1 이하로 낮추는 방식으로, 비용 효율적이고 안정적이다. 그러나 레이저 광원은 코히런트 상태(coherent state)를 방출하며, 광자 수 \(\small n\)은 아래의 푸아송 분포를 따른다:

\[P(n| \mu) = \frac{e^{-\mu} \mu^n}{n!} \tag{1}\]

평균 광자 수 \(\small \mu =\) 0.1인 경우, 진공 확률이 약 \(\small P(0)=\) 90.5%, 단일광자 확률이 약 \(\small P(1)=\) 9.0%, 다중광자 확률이 약 \(\small P(n \ge 2)=\) 0.5%이다. 비록 다중광자 확률이 작아 보이지만, 이것이 바로 PNS 공격의 빌미가 된다.

PNS 공격은 그림 1과 같이 도식화할 수 있다. PNS 공격의 구체적인 메커니즘은 다음과 같다. 먼저 도청자는 양자채널을 지나는 각 펄스의 광자 수를 측정한다. 광자 수 연산자와 편광 연산자는 서로 교환(commute)하므로, 원리적으로 편광상태에 영향을 주지 않으면서 광자 수만 측정하는 것이 가능하다. 물론 이러한 양자 비파괴 측정(Quantum Non-Demolition measurement, QND)을 실제로 구현하는 것은 기술적으로 매우 어렵다. 그러나 QKD의 보안성 분석에서는 도청자가 양자역학이 허용하는 모든 작업을 수행할 수 있다고 가정한다.

Fig. 1. Cartoon schematic of the photon number-splitting (PNS) attack by a “K-pop demon.” Exploiting the commutation \(\small [\hat{N}, \hat{S}]=\) 0, the demon measures photon-number without disturbing polarization. Single-photon pulses are blocked, while one photon from multiphoton pulses is split off, stored, and later measured after basis announcement to obtain the key without errors. (Cartoon illustration by Kang-Hee Hong.)

광자 수 측정 결과를 바탕으로, 도청자는 단일광자 펄스는 차단하고 다중광자 펄스만 선택적으로 공격한다. 다중광자 펄스에서 광자 하나를 분리하여 양자 메모리에 저장하고, 나머지 광자는 수신자에게 전달한다. 다중광자 펄스 내의 모든 광자는 동일한 편광상태를 가지므로, 도청자가 저장한 광자와 수신자에게 전달된 광자는 같은 정보를 담고 있다.

이후 송수신자가 고전채널을 통해 측정 기저 정보를 공개하면, 도청자는 이를 엿듣고 양자 메모리에 저장해둔 광자를 동일한 기저로 측정한다. 이렇게 하면 도청자는 수신자와 정확히 같은 측정 결과를 얻을 수 있다. 게다가 수신자에게 전달된 광자는 도청자의 측정을 거치지 않았으므로 양자상태가 교란되지 않아 QBER이 증가하지 않는다. 단일광자 차단으로 인해 전체 수신율은 감소하지만, 이는 장거리 전송에서 발생하는 자연적인 채널 손실과 구별하기 어렵다. 결과적으로 PNS 공격이 가능한 상황에서 WCP 기반 BB84의 보안 전송 거리는 수십 km로 제한된다.

미끼 상태(Decoy State) 기법

1. 핵심 아이디어와 발전 과정

앞 절에서 살펴본 PNS 공격의 핵심 문제는, 도청자가 다중광자 펄스를 선택적으로 공격하더라도 송수신자가 이를 탐지할 방법이 없다는 점이었다. 2003년 W.-Y. Hwang(황원영)은 이 문제를 해결하는 혁신적인 방법을 제안하였다.6) 핵심 아이디어는 WCP의 통계적 특성을 역으로 이용하는 것이다. 이후 H.-K. Lo7)과 X.-B. Wang8) 등에 의해 미끼 상태 기법의 보안성이 보다 엄밀하게 증명되고 실용적인 프로토콜로 발전되었다. 본 절에서는 이렇게 발전된 미끼 상태 기법을 설명한다.

Fig. 2. Schematic of the three-pulse decoy-state method. Alice randomly sends signal (\(\small\mu=\) 0.5), decoy (\(\small\nu=\) 0.1), and vacuum (\(\small\mu=\) 0) pulses through the quantum channel. While Eve may measure the photon number of each pulse, she cannot distinguish its type. After transmission, Alice and Bob announce the pulse types and compare gains: in a normal channel the signal-to-decoy gain ratio remains constant, whereas under a photon-number-splitting (PNS) attack the decoy gain is strongly suppressed, revealing the attack.

그림 2는 미끼 상태 기법을 도식화한 것이다. 미끼 상태 기법에서 송신자는 서로 다른 평균 광자 수를 가진 펄스들을 무작위로 섞어 전송한다:

• 신호 펄스: 상대적으로 높은 평균 광자 수 \(\small\mu\) (약 0.4—0.6)
• 미끼 펄스: 낮은 평균 광자 수 \(\small\nu\) (약 0.1—0.2)
• 진공 펄스: 평균 광자 수 0

여기서 중요한 점은 도청자가 양자채널에서 측정할 수 있는 것은 각 펄스에 포함된 광자의 개수(1개, 2개, 3개 등)뿐이며, 이 정보만으로는 해당 펄스가 신호인지 미끼인지 구별할 수 없다는 것이다. 모든 펄스는 동일한 코히런트 상태의 형태를 가지며, 단지 평균 광자 수만 다르기 때문이다.

이제 도청자가 PNS 공격을 시도하는 상황을 생각해보자. 도청자는 단일광자 펄스를 차단하고 다중광자 펄스만 통과시킨다. 그런데 신호 펄스는 평균 광자 수가 높아 다중광자 비율이 상대적으로 높은 반면, 미끼 펄스는 평균 광자 수가 낮아 다중광자 비율이 낮다. 따라서 PNS 공격이 있더라도 신호 펄스의 수신율은 어느 정도 유지되지만, 미끼 펄스의 수신율은 급격히 감소한다. 송수신자는 양자 전송이 완료된 후 각 펄스가 신호인지 미끼인지를 공개하고, 이들의 수신율을 비교하여 PNS 공격에 의한 통계적 불일치를 탐지할 수 있다.

2. 정량적 분석

앞서 설명한 미끼 상태 기법의 동작 원리를 정량적으로 이해하기 위해, \(\small n\)-광자 수율(yield) \(\small Y _{n}\)을 도입하자. 이는 송신자가 \(\small n\)개의 광자를 포함한 펄스를 보냈을 때 수신자의 검출기가 클릭할 조건부 확률이다. 채널 투과율을 \(\small \eta\), 단일광자 검출기의 게이트당 암계수 확률을 \(\small p _{d}\)라 하면, \(\small n\)-광자 수율은 다음과 같다:

\[\begin{align} &Y_0 = p_d \tag{2}\\&Y _{1} =1-(1- \eta )(1-p _{d}) \approx \eta + p _{d} \approx \eta \tag{3}\\&Y_2 = 1-(1-\eta)^2 (1-p_d ) \approx 2 \eta - \eta^2 + p_d \approx 2 \eta \tag{4}\end{align}\]

\(\small Y_0\)는 광자가 없을 때 검출기가 클릭할 확률이므로 정확히 암계수와 같다. \(\small Y_1\)과 \(\small Y_2\)의 근사는 장거리 전송에서 \(\small \eta \ll \) 1이고, 일반적인 작동 조건에서 \(\small p_d \ll \eta\)임을 이용한 것이다. 참고로 통신파장대에서 사용되는 InGaAs APD의 경우 게이트당 암계수는 \(\small p_d \sim\) 10^‑7 수준이며, 100 km 광섬유(손실 약 0.2 dB/km)를 통과한 후 채널 투과율은 \(\small \eta \sim\) 10^‑2 정도이다.

여기서 핵심적인 내용은 \(\small n\)-광자 수율 \(\small Y_n\)이 펄스 생성 시 설정한 평균 광자 수(\(\small\mu\) 또는 \(\small\nu\))에 무관하다는 점이다. 즉, 신호 펄스에서 방출된 단일광자나 미끼 펄스에서 방출된 단일광자는 모두 동일한 수율 \(\small Y_1\)을 가진다. 이는 도청자가 개별 펄스의 광자 수는 측정할 수 있어도, 그 펄스가 어떤 평균 광자 수로 생성되었는지는 알 수 없기 때문이다. 이 성질을 이용하면 PNS 공격을 탐지할 수 있다. 정상적인 채널에서는 \(\small Y_2 /Y_1 \approx\) 2의 관계가 유지되지만, PNS 공격이 있으면 단일광자가 차단되어 \(\small Y_1 \to\) 0이 되고, 다중광자는 손실 없이 전달되어 \(\small Y_2 \rightarrow\) 1이 되므로 \(\small Y_2 /Y_1 \rightarrow \infty\)로 발산한다. 이러한 수율 비의 급격한 변화가 PNS 공격의 흔적이다.

그런데 실험에서 \(\small Y_1\)이나 \(\small Y_2\)를 직접 측정할 수는 없다. 송신자는 특정 광자 수를 가진 펄스를 골라서 보낼 수 없기 때문이다. 실험에서 직접 측정 가능한 양은 전체 이득(gain) \(\small Q_\mu\)로, 이는 평균 광자 수 \(\small\mu\)인 펄스를 보냈을 때 수신자가 검출할 전체 확률이다:

\[Q_\mu = \sum_{n=0}^{\infty} P(n| \mu) Y_n \approx e^{-\mu} \left( Y_0 + \mu Y_1 + \frac{\mu^2}{2} Y_2 \right) \tag{5}\]

여기서 \(\small P(n| \mu)\)는 앞서 소개한 푸아송 분포이다. 이 식은 전체 이득이 각 광자 수 성분의 수율을 푸아송 확률로 가중 평균한 것임을 보여준다.

미끼 상태 기법은 바로 이 점을 활용한다. 서로 다른 평균 광자 수 \(\small\mu\), \(\small\nu\), 0을 가진 펄스들의 이득을 각각 측정하면, 다음과 같은 연립방정식을 얻는다:

\[\begin{align} & Q _{\mu } \approx e^{-\mu} \left(Y _{0} + \mu Y _{1} + \frac{\mu ^{2}}{2} Y _{2} \right) \tag{6}\\& Q_\nu \approx e^{-\nu} \left( Y_0 + \nu Y_1 + \frac{\nu^2}{2} Y_2 \right) \tag{7}\\& Q_0 = Y_0 \tag{8}\end{align}\]

세 개의 측정값 \(\small Q_\mu\), \(\small Q_\nu\), \(\small Q_0\)로부터 세 개의 미지수 \(\small Y_0\), \(\small Y_1\), \(\small Y_2\)를 구할 수 있다. 특히 단일광자 수율 \(\small Y_1\)을 정확히 추정할 수 있다는 점이 핵심이다.

같은 방법으로 단일광자 QBER(\(\small e_1\))도 추정할 수 있다. 평균광자수 \(\small \mu\) 상태의 QBER(\(\small E_\mu\))와 \(\small \nu\) 상태의 QBER(\(\small E_\nu\))를 측정하고, 이를 \(\small n\)-광자 QBER(\(\small e_n\))의 가중 평균으로 표현한 연립방정식을 풀면 \(\small e_1\)을 구할 수 있다. 이렇게 미끼 상태 분석을 통해 \(\small Y_1\)과 \(\small e_1\)을 모두 추정할 수 있다.

이제 이 정보들이 보안성 분석에서 어떻게 활용되는지 살펴보자. 먼저 단일광자 수율 \(\small Y_1\)으로부터 단일광자 이득 \(\small Q_1\)을 계산할 수 있다:

\[Q_1 = P(1| \mu) Y_1 = \mu e^{-\mu} Y_1 \tag{9}\]

이는 평균 광자 수 \(\small \mu\)인 펄스에서 단일광자가 방출될 확률 \(\small P(1| \mu) = \mu e^{-\mu}\)와 그 단일광자가 검출될 확률 \(\small Y_1\)의 곱이다. 안전한 키 생성률은 GLLP (Gottesman, Lo, Lütkenhaus, and Preskill) 공식으로 주어진다9):

\[R \geq q \left\{ -Q_\mu f(E_\mu ) H(E_\mu ) + Q_1^L [1 - H(e_1^U )] \right\} \tag{10}\]

여기서 \(\small q\)는 프로토콜 효율(BB84의 경우 1/2), \(\small f(E_\mu )\)는 오류 정정 효율, \(\small H(x) = -x \log_2 x - (1-x) \log_2 (1-x) \)는 이진 엔트로피 함수이다. 첫 번째 항 \(\small Q_\mu f(E_\mu ) H(E_\mu )\)는 오류 정정에 소모되는 정보량이고, 두 번째 항 \(\small Q_1^L [1 - H(e_1^U )]\)는 단일광자 펄스에서 추출 가능한 안전한 키 정보량이다.

이 공식에서 \(\small Q_1^L\)과 \(\small e_1^U\)는 각각 단일광자 이득의 하한과 단일광자 QBER의 상한으로, 미끼 상태 분석을 통해 추정된다. 미끼 상태 기법이 없으면 도청자가 다중광자 펄스에서 얼마나 많은 정보를 획득했는지 알 수 없으므로, 최악의 경우를 가정해야 한다. 그러나 미끼 상태 분석을 통해 단일광자 성분의 기여를 정확히 분리해내면, 다중광자 펄스에서 누출될 수 있는 정보량을 정확히 계산하고 비밀 증폭(privacy amplification) 과정에서 이를 제거할 수 있다. 결과적으로 평균 광자 수 \(\small \mu\)를 더 높게 설정하면서도 보안성을 유지할 수 있어, 키 생성률과 전송 거리가 크게 향상된다.

미끼 상태 기법의 효과를 정량적으로 확인하기 위해 수치 시뮬레이션을 수행하였다. 그림 3은 최신 InGaAs APD 기술을 반영한 비밀키 생성률 계산 결과이다. 최근 GHz 게이팅 기술의 발전으로 검출기 양자효율 \(\small \eta_{\mathrm{det}} =\) 25%, 암계수율 \(\small Y_0 =\) 10^‑7, 검출기 오류율 \(\small e_{\mathrm{det}} =\) 1.5%, 오류 정정 효율 \(\small f=\) 1.10의 파라미터가 달성 가능하다. 광섬유 손실은 표준 단일모드 광섬유(SMF-28) 기준 \(\small\alpha =\) 0.2 dB/km를 사용하였으며, 미끼 상태 프로토콜의 신호 펄스 평균 광자 수는 \(\small\mu =\) 0.5이다.

Fig. 3. Simulated secret key rate as a function of fiber transmission distance using state-of-the-art InGaAs APD parameters (\(\small \eta_{\mathrm{det}}=\) 25%, GHz gating). The blue dashed line represents WCP without decoy states, the red solid line represents WCP with decoy states, and the green dotted line represents an ideal single-photon source. The decoy state method extends the secure transmission distance from approximately 50 km to 260 km.

그림에서 볼 수 있듯이, 미끼 상태 없는 WCP(파란 점선)는 약 50 km에서 비밀키 생성률이 0으로 떨어지는 반면, 미끼 상태를 적용한 WCP(빨간 실선)는 약 260 km까지 양의 키 생성률을 유지한다. 이상적인 단일광자 광원(초록 점선)의 경우 약 290 km까지 가능하므로, 미끼 상태 기법이 WCP의 성능을 이상적인 광원에 근접하게 향상시킴을 알 수 있다. 이러한 극적인 개선은 미끼 상태 분석을 통해 단일광자 성분의 기여를 정확히 추정함으로써, 다중광자 펄스에 대한 비관적 가정 없이 더 높은 평균 광자 수(\(\small \mu=\) 0.5)를 사용할 수 있기 때문이다.

미끼 상태 기법의 발전과 응용

미끼 상태 기법은 양자암호통신의 실용화에 결정적인 역할을 하였다. 이 기법 덕분에 단일광자 광원과 같은 복잡하고 비용이 많이 드는 기술 없이도 보안성 있는 QKD를 구현할 수 있게 되었다. 상용 레이저를 광원으로 사용하고 광세기 변조기만 추가하면 되므로, 현재 기술로도 비교적 쉽게 구현할 수 있다. 이러한 장점 덕분에 미끼 상태 기법은 매우 광범위하게 활용되고 있으며, 현재는 WCP 기반 QKD 시스템의 사실상 표준 기술로 자리잡았다.

미끼 상태 기법은 제안 직후부터 활발하게 실험적 검증이 이루어졌다. 2006년 토론토 대학 연구팀은 15 km 광섬유에서 미끼 상태 BB84를 최초로 시연하였다.10) 이듬해 미국 Los Alamos 국립연구소와 NIST 공동 연구팀은 107 km까지 전송 거리를 확장하였고,11) 이후 전송 거리 기록은 꾸준히 갱신되었다. 특히 자유공간 QKD에서 미끼 상태 기법은 눈부신 성과를 보여주고 있다. 2007년 독일-오스트리아 연구팀은 144 km 자유공간 링크에서 미끼 상태 BB84를 시연하였으며,12) 2017년 중국과학기술대학(USTC) 연구팀은 묵자(Micius) 위성을 이용하여 1,200 km 거리에서 위성-지상 간 미끼 상태 BB84 양자 키 분배에 성공하였다.13)

미끼 상태 기법은 BB84뿐 아니라 차세대 QKD 프로토콜에서도 핵심적인 역할을 한다. 실제 QKD 시스템에서 단일광자 검출기는 암맹 공격(Blind attack)을 포함한 다양한 부채널 공격에 취약한 것으로 알려져 있다.14) 이러한 검출기에 대한 부채널 공격을 차단하기 위해 2012년 토론토 대학 연구팀은 측정장치 독립 QKD (Measurement-Device-Independent QKD, MDI-QKD)를 제안하였다.15) MDI-QKD에서는 Alice와 Bob이 각자 WCP를 중간 노드로 전송하여 벨 상태 측정을 수행하는 구조로, 중간 노드가 도청자에 의해 제어되더라도 보안성이 유지된다. MDI-QKD에서도 Alice와 Bob 양쪽 모두 WCP를 사용하므로 다중광자 펄스로 인한 보안 허점이 존재하며, 이를 막기 위해 미끼 상태 기법이 필수적으로 사용된다. 2023년에는 중국과학기술대학(USTC) 연구팀은 미끼 상태 MDI-QKD를 442 km 초저손실 광섬유에서 시연하여 MDI-QKD의 최장 거리 기록을 달성하였다.16)

2018년 도시바 유럽연구소에서 제안한 쌍둥이장 QKD (Twin-Field QKD, TF-QKD)는 양자암호통신의 새로운 지평을 열었다.17) 기존 QKD 프로토콜의 키 생성률은 채널 투과율 \(\small\eta\)에 비례하여 \(\small O(\eta)\)로 감소하는데, 이는 양자 중계기 없는 QKD의 근본적인 한계(PLOB bound)로 알려져 있다.18) TF-QKD는 키 생성률이 \(\small O(\sqrt{\eta})\)에 비례하여 이 한계를 돌파한다. Alice와 Bob이 위상을 안정화한 WCP를 중간 노드로 전송하여 단일광자 간섭을 일으키는 방식으로, 광자가 전체 채널이 아닌 절반 거리만 이동하면 되기 때문에 이러한 스케일링 개선이 가능하다. TF-QKD에서도 WCP를 사용하므로 미끼 상태 기법이 필수적이며, 다양한 세기 조합의 미끼 상태 프로토콜이 개발되었다. 2023년 중국과학기술대학(USTC) 연구팀은 TF-QKD에 미끼 상태 기법을 결합하고, 초전도 나노와이어 단일광자 검출기(SNSPD)를 사용하여 시스템 잡음을 극도로 낮춤으로써 1,002 km 광섬유에서 양자 키 분배에 성공하였다.19) 이는 신뢰 중계노드(Trusted node) 없이 달성한 광섬유 채널 기반 세계 최장 거리 기록으로, 미끼 상태 기법이 차세대 QKD 프로토콜에서도 필수적임을 입증하였다.

이처럼 미끼 상태 기법은 전통적인 BB84부터 MDI-QKD, TF-QKD에 이르기까지 거의 모든 WCP 기반 QKD 프로토콜의 핵심 구성요소로 자리잡았다. 현재 상용화된 대부분의 QKD 시스템에서 미끼 상태 기법이 사실상 표준 기술로 사용되고 있으며, 앞으로도 양자암호통신 기술의 발전과 함께 그 중요성은 계속될 것이다.

결 론

미끼 상태 기법은 양자암호통신의 실용화를 가능하게 한 핵심 기술이다. 2003년 W.-Y. Hwang(황원영: 현 전남대학교 교수)의 제안과 H.-K. Lo, X.-B. Wang 등의 발전을 통해, 이상적인 단일광자 광원 없이도 상용 레이저만으로 정보이론적 보안성을 갖춘 장거리 QKD가 가능해졌다.

흥미로운 점은 미끼 상태 QKD 실험을 살펴보면 단일광자 광원과 같은 명시적인 ‘양자’ 광학 요소가 없다는 것이다. 레이저는 코히런트 상태를 방출하는 고전 광원으로 분류되며, 광세기 변조기나 광섬유, 단일광자 검출기 역시 그 자체로는 양자역학 특유의 장치가 아니다. 그럼에도 불구하고 우리는 미끼 상태 기법을 통해 ‘양자역학적 보안성’을 확보할 수 있다. 이는 미끼 상태 분석을 통해 코히런트 상태 내에 확률적으로 존재하는 단일광자 성분의 기여를 정량적으로 분리해내고, 이 단일광자 성분에 대해 복제 불가 정리와 불확정성 원리가 적용되기 때문이다. 다시 말해, 미끼 상태 기법은 고전 광원 속에 숨어있는 양자적 성분을 드러내어 양자 보안성을 구현하는 기술이라 할 수 있다.

미끼 상태 기법은 BB84와 같은 전통적인 프로토콜뿐 아니라 MDI-QKD, TF-QKD 등 차세대 프로토콜의 핵심 구성요소가 되었다. 2023년 1,002 km 광섬유 QKD 달성은 이 기법의 성숙도를 보여주는 이정표이며, 현재 대부분의 상용 QKD 시스템에서 표준적으로 사용되고 있다. 미끼 상태 기법의 성공은 기술의 본질적 특성에 대한 깊은 물리적 통찰이 공학적 한계를 극복하고 양자정보과학의 실용화를 앞당기는 열쇠가 될 수 있다는 교훈을 준다.