양자 보안의 두 축: 사후양자암호와 양자키분배, 전환 시계가 돌기 시작했다
원제: Quantum Security: Threats, Solutions, and the Race to Protect Data
대규모 양자컴퓨터가 아직 수년 후의 일임에도, '지금 수집해 나중에 복호화(HNDL)' 전략을 구사하는 위협 행위자들로 인해 암호 전환의 시급성은 이미 현재 시제가 됐다. NIST의 사후양자암호 표준 제정과 물리 법칙을 활용하는 양자키분배 실용화가 맞물리면서, 조직들은 10~20년이 소요되는 암호 인프라 교체 작업의 출발점에 서 있다.
저자: Mohib Ur Rehman

현재 암호 체계가 직면한 위협
오늘날 온라인 뱅킹, 정부 통신, 의료 기록, 기업 인프라를 보호하는 대부분의 암호화는 공개키 암호 체계에 의존한다. RSA, 타원곡선 암호(ECC), 디피-헬만 키 교환이 그 근간이다. 이 체계들은 특정 수학 문제가 고전 컴퓨터로는 사실상 풀 수 없다는 전제 위에 세워져 있다.
쇼어 알고리즘을 구현할 수 있는 내결함성 양자컴퓨터가 등장하면 이 전제는 무너진다. RSA-2048 해독에 필요한 물리 큐비트 수 추정치는 약 2,000만 개에서 최근 연구들을 통해 10만 개 미만으로 급감했다. 2026년 3월까지 불과 12개월 사이 세 편의 논문이 이 수치를 연속으로 낮췄다는 점에서, '언제 가능해지느냐'의 문제가 '가능하냐 아니냐'를 대체하고 있다.
대칭키 암호인 AES는 그로버 알고리즘에 의해 유효 키 길이가 절반으로 줄어드는 영향을 받지만, AES-256으로 전환하는 것만으로도 충분한 대응이 가능하다. 반면 RSA·ECC·디피-헬만은 조정이 아닌 교체가 필요하다.
지금 당장의 위협: 지금 수집해 나중에 복호화
HNDL 공격은 양자컴퓨터가 상용화되기 전부터 이미 진행 중인 위협이다. 저장 비용이 충분히 낮아진 현재, 국가급 정보기관은 암호화된 데이터를 대규모로 수집·보관하는 것이 경제적으로 타당한 수준에 이르렀다. 2026년 4월 밴더빌트 양자포럼에서 밴더빌트 국가안보연구소의 Doug Adams는 이 현실을 간결하게 표현했다. 2030년대까지 기밀 유지가 필요한 데이터를 다루는 조직이라면 미래의 위협이 아닌 현재의 위협에 노출돼 있다고 봐야 한다.
2025년 연방준비제도 연구는 비트코인 거래 내역 전체가 공개·영구 저장돼 있으며 ECDSA 서명으로 보호된다는 점을 지적했다. 이미 공개된 데이터는 미래의 어떤 알고리즘도 소급 보호할 수 없다.
NIST 사후양자암호 표준: 수학 기반 방어선
NIST는 2016년부터 8년에 걸쳐 82개 후보 알고리즘을 검토한 끝에, 2024년 8월 세 가지 표준을 확정했다. ML-KEM(FIPS 203)은 TLS·VPN의 키 교환에서 디피-헬만과 RSA를 대체하고, ML-DSA(FIPS 204)는 디지털 서명에서 RSA·ECDSA를 대체한다. SLH-DSA(FIPS 205)는 격자 기반 접근법에 취약점이 발견될 경우를 대비한 해시 함수 기반 백업 서명 방식이다. FALCON 기반의 FN-DSA(FIPS 206)는 최종 표준화 단계에 있다.
격자 기반과 해시 기반이라는 수학적 계열을 병행 채택한 것은 의도적 다양성이다. 한 계열이 취약한 것으로 판명될 경우 다른 계열로의 전환이 가능하도록 설계됐다. 실용상 주요 트레이드오프로는 키 크기 증가가 있다. ML-KEM 공개키는 약 1,184바이트로, 32바이트 수준의 ECC 키에 비해 상당히 크다.
현장 적용도 진행 중이다. Apple은 2024년 초 iMessage에 PQ3 프로토콜을 적용했으며, Cloudflare는 2026년 4월 기준으로 자사 네트워크를 통과하는 사람 발생 트래픽의 65% 이상이 이미 사후양자 방식으로 보호되고 있다고 밝혔다. Cloudflare와 Google 모두 2029년을 내부 전면 전환 목표 시점으로 설정하고 있다.
양자키분배: 물리 법칙을 보안 기반으로
양자키분배(QKD)는 수학적 난제 대신 양자역학 법칙 자체를 보안 근거로 삼는다. 1984년 제안된 BB84 프로토콜은 개별 광자를 양자 상태로 인코딩해 전송하며, 도청 시도는 광자 상태를 교란해 정당한 통신 당사자가 이를 감지할 수 있다. 양자 상태 복제 불가 원리(no-cloning theorem)에 따라, 고전적·양자적 계산 능력과 무관하게 도청은 흔적을 남긴다.
현재 실용화의 한계도 명확하다. 광섬유 기반 QKD는 광자 손실로 인해 중계기 없이 약 100킬로미터 이내로 신뢰 가능 범위가 제한된다. 전용 양자 채널과 특수 장비가 필요하며, 키 분배만 담당할 뿐 데이터 암호화는 여전히 고전 알고리즘에 의존한다. 인터넷 규모의 범용 배포에는 적합하지 않다.
운영 사례는 늘어나고 있다. 중국은 베이징-상하이를 잇는 2,000킬로미터 지상망과 위성 기반 QKD를 병행 운용하며, 유럽연합은 EuroQCI 구축을 진행 중이다. 한국·일본·싱가포르는 정부·금융 통신용 도시권 규모 QKD 망을 운용한다. 미국에서는 채터누가의 EPB가 IonQ 하드웨어를 활용해 국내 최초의 상업용 양자 컴퓨팅·네트워킹 허브를 구축하고 있다.
전환 일정과 준비 과제
암호 체계의 전환은 역사적으로 전 세계 인프라 전반에 걸쳐 1020년이 소요됐다. 즉, 전환 작업은 위협이 현실화되기 훨씬 전에 시작돼야 한다. 미 NSA는 CNSA 2.0을 통해 국가안보시스템의 양자 내성 요건을 20252033년 범주별 일정으로 의무화했으며, 전체 시스템 완전 전환 목표 시점은 2035년이다.
대부분의 조직에서 실질적 전환 경로는 사후양자암호다. QKD는 기밀성 요구 수준이 높고 인프라 비용이 정당화될 수 있는 환경에서 보완적 역할을 맡을 가능성이 크다.
전문은 원문에서 읽으세요
이 페이지는 Claude 가 작성한 편집 요약입니다. 원문 기사의 전체 내용·이미지·저자 의도는 아래 링크에서 확인할 수 있습니다.
The Quantum Insider 에서 원문 읽기