양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점

• 최근 연구 결과로 암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨지며, 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
• Google과 Oratomic의 연구는 256비트 타원곡선 공격에 필요한 자원 감소를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함
• 전문가들은 2029년을 PQC 마이그레이션 마감 시점으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함
• 대응 방안으로 ML-DSA와 ML-KEM의 즉시 도입, 비-PQ 체계의 단계적 폐기, 하이브리드 인증 배제가 제시됨
• 결론적으로, CRQC는 더 이상 가정이 아닌 실질적 위험이며, 2029년 이전 완전한 PQC 전환이 필수임

양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점

• 최근 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
  • 불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함
  • 암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남

최근 공개된 두 연구 결과

• Google 연구팀은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 논리 큐비트와 게이트 수를 크게 줄인 논문을 발표
  • 초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시
  • 논문은 암호화폐 맥락으로 작성되었지만, 실제로는 WebPKI 중간자 공격에 더 심각한 의미를 가짐
• Oratomic 연구팀은 비국소적 연결(non-local connectivity) 을 가진 중성 원자 시스템에서 1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오를 제시
  • 속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 치명적 결과를 초래할 수 있음
• 두 연구 모두 하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소라는 공통된 추세를 보여줌

전문가들의 경고와 시점 변화

• Google의 Heather Adkins와 Sophie Schmieg는 “양자 경계가 예상보다 훨씬 가깝다”며 2029년을 마이그레이션 마감 시점으로 제시
  • 이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정
• Scott Aaronson은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, 공개되지 않은 급진적 진전 가능성을 경고
• RWPQC 2026에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨
• 전문가들의 공통된 메시지는 “지금은 부정할 수 없는 위협 단계”라는 점

위험 인식과 대응 필요성

• 핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “2030년에 CRQC가 존재하지 않을 확신이 있는가?”임
  • 사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음
• “아직 멀었다”는 회의론은 전문성 부족의 신호로 간주됨
  • Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유
• 예측이 틀릴 수도 있지만 이제는 틀릴 가능성보다 맞을 가능성이 더 중요하며, 현 시점의 위험은 수용 불가능한 수준

지금 해야 할 일

• 즉시 배포(Ship Now) 가 필요
  • 완벽하지 않더라도 현재 사용 가능한 PQC를 즉시 도입해야 함
  • ML-DSA 서명을 기존 ECDSA 자리에 적용하고, WebPKI용 Merkle Tree Certificates는 이미 충분히 진행 중
• 과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, 2029년 마감 시한으로는 더 이상 여유가 없음

키 교환 및 인증 체계 전환

• ML-KEM 기반 PQ 키 교환은 순조롭게 진행 중이지만 다음 조치가 필요
  1. 비-PQ 키 교환은 즉시 활성 공격 위험으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함
  2. 비대화형 키 교환(NIKE) 은 당분간 포기하고, KEM 기반 단방향 인증 방식만 사용 가능

• 새로운 비-PQ 암호 체계 배포는 금지

  • ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음
  • 하이브리드 인증(클래식+PQ) 은 불필요하며, 순수 ML-DSA-44로 전환해야 함
  • 하이브리드 서명은 복잡성과 시간 낭비이며, ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음
  • 단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능

대칭 암호와 Grover 알고리듬

• 대칭 암호는 변경 불필요

  • Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재
  • 실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 병렬화 불가능
  • 불필요한 256비트 요구는 상호운용성 저해 및 PQC 전환 지연 위험

소프트웨어 및 하드웨어 생태계 영향

• Go 표준 라이브러리의 절반 이상이 곧 비안전 상태가 될 가능성
  • 다운그레이드 공격과 하위 호환성 사이의 균형이 새로운 과제
  • SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상

• TEE(신뢰 실행 환경)— Intel SGX, AMD SEV-SNP 등은PQ 키 미지원으로 신뢰 불가

  • 하드웨어 수준의 속도 한계로 인해 PQ 전환 불가능, “깊이 방어(defense in depth)” 수준으로 격하 필요

암호 기반 생태계와 파일 암호화

• 암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요

  • CRQC 등장 전에 완료하지 못하면 사용자 손상 또는 계정 폐기 중 선택해야 하는 상황 발생
  • 파일 암호화는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약
  • 비-PQ age 수신자 타입에 대해 경고 및 차단 기능 도입 예정
  • PQ 수신자는 age 1.3.0 버전에서 처음 도입됨

교육 및 세대 전환

• 볼로냐 대학의 암호학 박사 과정 강의에서는 RSA, ECDSA, ECDH를 레거시 알고리듬으로만 다룸
  • 학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임
  • PQC 전환이 세대적 전환점임을 상징

후원 및 오픈소스 유지

• Geomys는 Go 생태계의 전문 유지보수 조직으로, Ava Labs, Teleport, Tailscale, Sentry의 후원을 받아 운영
  • 이들은 오픈소스 암호 프로토콜의 지속 가능한 유지와 보안성 확보를 지원
  • Teleport는 사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화, Ava Labs는 블록체인 암호 프로토콜의 장기적 신뢰성 확보를 강조

결론

• CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험
• 2029년 이전 완전한 PQC 전환이 필수
• ML-KEM과 ML-DSA를 즉시 배포하고, 비-PQ 체계는 단계적 폐기해야 함
• 암호공학 실무자와 의사결정자 모두가 지금 행동해야 할 시점임