양자컴퓨터가 와도 AES-128은 안전합니다, 그 이유를 차근차근 풀어드릴게요

양자컴퓨터 공포 마케팅, 한 번쯤 걸러 들어야 하는 이유

요즘 보안 관련 기사 보면 "양자컴퓨터가 나오면 현재 암호는 다 뚫린다"는 이야기가 단골로 등장해요. 그래서 회사들이 포스트 퀀텀 암호(양자 내성 암호)로 마이그레이션을 준비하고 있는 것도 사실이고요. 그런데 이 "다 뚫린다"가 정확히 무슨 뜻인지는 의외로 제대로 설명되지 않는 경우가 많거든요. 암호학자 필리포 발소르다(Go 언어 crypto 팀 리드였던 분이에요)가 쓴 글이 바로 이 지점을 콕 집어서 정리해줍니다. 결론부터 말하면, 대칭키 암호(AES 같은 거요) 중에서도 128비트짜리는 양자컴퓨터가 나와도 실질적으로 안전하다는 거예요.

쇼어와 그로버, 두 알고리즘의 차이

이게 뭐냐면, 양자컴퓨터를 암호 깨는 데 쓰는 유명한 알고리즘이 두 개 있어요. 하나는 쇼어 알고리즘(Shor's algorithm)인데, 이건 RSA나 타원곡선 같은 공개키 암호를 정말로 박살 낼 수 있어요. 소인수분해를 지수적으로 빠르게 해버리거든요. 그래서 HTTPS에서 쓰는 키 교환이나 디지털 서명은 양자컴퓨터가 본격화되기 전에 바꿔야 합니다. 이건 진짜 위협이에요.

반면에 그로버 알고리즘(Grover's algorithm)은 대칭키 암호나 해시에 쓰이는데, 효과가 훨씬 제한적이에요. 보통 "키 길이의 절반만큼 안전성이 깎인다"고 설명되죠. 128비트 키라면 양자컴퓨터에서는 64비트 수준이 된다는 얘기. 그래서 다들 AES-256으로 넘어가야 한다고 말해왔던 거고요. 그런데 필리포는 이 "절반이 된다"는 게 이론적으로는 맞지만 실제로는 현실과 한참 동떨어진 계산이라고 짚습니다.

왜 64비트로 안 깎이냐면

그로버 알고리즘은 엄청나게 긴 시간 동안 양자 상태를 유지한 채 순차적으로 연산을 돌려야 효과를 봐요. 이게 핵심인데요, 고전 컴퓨터에서 브루트포스 공격할 때는 수십억 개의 CPU/GPU를 병렬로 돌릴 수 있잖아요. 근데 그로버는 병렬화가 거의 안 됩니다. 양자컴퓨터를 2대 쓴다고 속도가 2배 되는 게 아니라 루트(2)배밖에 안 되거든요. 10대를 써도 3배 남짓이에요.

그래서 실제로 128비트 키 하나를 그로버로 깨려면, 오류 정정된 논리 큐비트로 수천 개를 동원해서 수십억 년 동안 중단 없이 돌려야 한다는 계산이 나와요. NIST가 정리한 수치를 봐도 현실적인 공격 비용이 2^100 연산을 훌쩍 넘어갑니다. 이건 고전 컴퓨터로 2^128 브루트포스 돌리는 거랑 비용 측면에서 큰 차이가 없거나 오히려 더 비싸요. 태양의 에너지를 전부 끌어와도 불가능한 수준이라는 거죠.

업계의 흐름과 오해

NIST가 최근에 표준화한 포스트 퀀텀 알고리즘들(ML-KEM, ML-DSA 등)은 전부 공개키 영역에 집중돼 있어요. 대칭키는 AES-128 그대로 써도 된다는 게 업계의 실질적 컨센서스고요. 구글이 크롬에 적용한 하이브리드 키 교환, 애플의 iMessage PQ3, 시그널의 PQXDH도 전부 키 교환 부분만 교체하고 실제 메시지 암호화는 AES 계열 그대로입니다. 그런데 마케팅이나 컴플라이언스 문서에서는 "모든 암호를 업그레이드하세요"라고 뭉뚱그려 말하다 보니 AES-256으로 강제 이관하는 프로젝트가 꽤 많아요. 필리포는 이걸 "불필요한 공포"라고 표현합니다.

한국 개발자가 실무에서 챙길 포인트

당장 여러분이 작성하는 코드에서 AES-128-GCM을 쓰고 있다면, 양자 위협 때문에 굳이 256으로 바꿀 필요는 없다는 이야기예요. 성능도 AES-128이 약 40% 빠르거든요. 대신 진짜 신경 써야 할 건 TLS 1.3 키 교환, JWT 서명, mTLS 인증서 같은 공개키가 쓰이는 부분입니다. 여기는 RSA/ECDSA에서 포스트 퀀텀 또는 하이브리드로 옮기는 로드맵을 지금부터 준비하는 게 맞아요. 특히 "Harvest Now, Decrypt Later"라고, 지금 트래픽을 저장해뒀다가 미래에 복호화하겠다는 공격 모델이 있어서 장기 보존이 필요한 데이터는 우선순위가 높습니다.