양자 컴퓨터가 암호를 깨는 날은 언제 올까? 암호학 엔지니어의 현실적인 전망

양자 컴퓨터, 정말 걱정해야 할까

"양자 컴퓨터가 현재의 암호화를 다 깨버릴 수 있다"는 이야기, 한 번쯤은 들어보셨을 거예요. 그런데 그게 정확히 언제인지에 대해서는 의견이 정말 다양하거든요. "10년 안에 온다"는 사람도 있고, "30년 넘게 걸린다"는 사람도 있고, "영원히 안 올 수도 있다"는 회의론자도 있어요.

Filippo Valsorda라는 암호학 엔지니어가 이 주제에 대해 아주 현실적인 분석을 내놨는데요. Filippo는 Go 언어의 암호화 라이브러리를 관리했고, age(에이지)라는 파일 암호화 도구를 만든 분이에요. 암호학 분야에서 실무 경험이 깊은 전문가의 시각이라 신뢰도가 높아요.

먼저 용어 정리: CRQC가 뭔가요

Filippo가 쓰는 핵심 용어가 CRQC(Cryptographically Relevant Quantum Computer)인데요, 직역하면 "암호학적으로 유의미한 양자 컴퓨터"예요. 쉽게 말하면, 현재 우리가 쓰는 RSA나 ECC(타원곡선) 같은 공개키 암호를 실제로 깰 수 있을 만큼 강력한 양자 컴퓨터를 뜻해요.

지금 존재하는 양자 컴퓨터들, 예를 들어 IBM이나 Google이 발표하는 것들은 아직 CRQC가 아니에요. 현재 양자 컴퓨터는 큐빗(양자 비트) 수도 부족하고, 오류율도 너무 높아서 RSA-2048 같은 실용적인 암호를 깨는 건 불가능하거든요. RSA-2048을 깨려면 오류 보정이 된 논리적 큐빗이 수천 개 필요한데, 현재 기술로는 물리적 큐빗 수천 개로 논리적 큐빗 하나를 겨우 만드는 수준이에요.

Filippo의 핵심 주장: 2030년대 중반 이전은 어렵다

Filippo는 여러 기술적 근거를 들어서 CRQC가 2035년 이전에 등장하기는 매우 어렵다고 분석해요. 그 이유를 살펴보면요.

첫째, 큐빗 품질과 수량의 문제가 있어요. 현재 최고 수준의 양자 컴퓨터도 논리적 큐빗을 충분히 만들려면 물리적 큐빗이 수백만 개 필요한데, 지금은 수천 개 수준이거든요. 매년 발전하고 있지만, 수백만 개까지 도달하려면 지수적인 발전 속도가 아니라 꾸준한 공학적 개선이 수년간 이어져야 해요.

둘째, 오류 보정 오버헤드가 엄청나요. 양자 컴퓨터는 주변 환경의 아주 작은 변화에도 계산이 망가지는데(이걸 "디코히어런스"라고 해요), 이걸 극복하기 위해 여러 물리적 큐빗으로 하나의 논리적 큐빗을 만들어야 해요. 현재 기술로는 그 비율이 너무 높아서, 암호를 깰 수 있는 규모의 계산을 하려면 엄청나게 큰 양자 컴퓨터가 필요해요.

셋째, 알고리즘 개선만으로는 부족하다는 점이에요. Shor의 알고리즘(양자 컴퓨터로 소인수분해를 빠르게 하는 알고리즘)에 대한 개선 연구가 계속 나오고 있지만, 필요한 큐빗 수를 획기적으로 줄이는 수준의 돌파구는 아직 없어요.

그렇다고 안심해도 되는 건 아니다

여기서 중요한 포인트가 있어요. CRQC가 당장은 안 오더라도, "지금 준비를 시작해야 한다"는 게 Filippo를 포함한 암호학 커뮤니티의 공통된 의견이에요. 이유가 있거든요.

"수확 후 해독(Harvest Now, Decrypt Later)" 공격이라는 게 있어요. 지금 당장 해독은 못하지만, 현재 암호화된 통신 데이터를 미리 수집해 놓고, 나중에 양자 컴퓨터가 나오면 그때 해독하겠다는 전략이에요. 국가 기관 수준에서는 이미 이런 걸 하고 있을 가능성이 높아요. 그래서 기밀성이 10~20년 이상 유지되어야 하는 데이터(국가 기밀, 의료 기록, 금융 데이터 등)는 지금부터 양자 내성 암호(Post-Quantum Cryptography, PQC)로 전환해야 해요.

NIST(미국 국립표준기술연구소)는 이미 2024년에 ML-KEM(구 CRYSTALS-Kyber), ML-DSA(구 CRYSTALS-Dilithium) 같은 양자 내성 암호 표준을 확정했어요. Google Chrome, Cloudflare, Signal 같은 서비스들은 이미 양자 내성 암호를 적용하기 시작했고요.

한국 개발자에게 주는 시사점

한국에서도 KISA(한국인터넷진흥원)와 국정원이 양자 내성 암호 전환 가이드라인을 발표하고 있어요. 특히 공공기관이나 금융권에서는 앞으로 몇 년 안에 PQC 전환이 의무화될 가능성이 높아요.

실무적으로 당장 할 수 있는 것들이 있어요. TLS 설정에서 하이브리드 키 교환(기존 ECDH + ML-KEM)을 지원하는지 확인해 보세요. 최신 버전의 OpenSSL(3.5+)이나 BoringSSL에서는 이미 지원하고 있어요. 그리고 자체 프로토콜에서 암호화를 직접 구현한 경우가 있다면, 나중에 알고리즘을 교체할 수 있도록 "크립토 어질리티(crypto agility)" — 암호 알고리즘을 쉽게 바꿀 수 있는 구조 — 를 확보해 두는 게 중요해요.

정리

양자 컴퓨터가 암호를 깨는 날은 아직 멀지만, 준비는 지금 시작해야 한다. 핵심은 "언제 오느냐"가 아니라 "내 시스템이 준비됐느냐"예요. 여러분이 다루는 시스템에서 암호화 알고리즘을 교체하려면 얼마나 걸릴 것 같으세요? 그 답이 "오래 걸린다"라면, 지금이 준비를 시작할 때예요.