# 양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점 > Clean Markdown view of GeekNews topic #28284. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28284](https://news.hada.io/topic?id=28284) - GeekNews Markdown: [https://news.hada.io/topic/28284.md](https://news.hada.io/topic/28284.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-04-07T17:33:00+09:00 - Updated: 2026-04-07T17:33:00+09:00 - Original source: [words.filippo.io](https://words.filippo.io/crqc-timeline/) - Points: 6 - Comments: 1 ## Topic Body - 최근 연구 결과로 **암호적으로 의미 있는 양자 컴퓨터(CRQC)** 출현 가능성이 수년 내로 앞당겨지며, **양자 내성 암호(PQC)** 배포의 긴급성이 급격히 높아짐 - Google과 Oratomic의 연구는 **256비트 타원곡선 공격에 필요한 자원 감소**를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함 - 전문가들은 **2029년을 PQC 마이그레이션 마감 시점**으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함 - 대응 방안으로 **ML-DSA와 ML-KEM의 즉시 도입**, **비-PQ 체계의 단계적 폐기**, **하이브리드 인증 배제**가 제시됨 - 결론적으로, **CRQC는 더 이상 가정이 아닌 실질적 위험**이며, **2029년 이전 완전한 PQC 전환**이 필수임 --- ### 양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점 - 최근 **양자 내성 암호(PQC)** 배포의 긴급성이 급격히 높아짐 - 불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함 - **암호적으로 의미 있는 양자 컴퓨터(CRQC)** 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남 ### 최근 공개된 두 연구 결과 - **Google 연구팀**은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 **논리 큐비트와 게이트 수를 크게 줄인** 논문을 발표 - 초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시 - 논문은 암호화폐 맥락으로 작성되었지만, 실제로는 **WebPKI 중간자 공격**에 더 심각한 의미를 가짐 - **Oratomic 연구팀**은 **비국소적 연결(non-local connectivity)** 을 가진 중성 원자 시스템에서 **1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오**를 제시 - 속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 **치명적 결과**를 초래할 수 있음 - 두 연구 모두 **하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소**라는 공통된 추세를 보여줌 ### 전문가들의 경고와 시점 변화 - Google의 **Heather Adkins**와 **Sophie Schmieg**는 “**양자 경계가 예상보다 훨씬 가깝다**”며 **2029년을 마이그레이션 마감 시점**으로 제시 - 이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정 - **Scott Aaronson**은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, **공개되지 않은 급진적 진전 가능성**을 경고 - **RWPQC 2026**에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨 - 전문가들의 공통된 메시지는 “**지금은 부정할 수 없는 위협 단계**”라는 점 ### 위험 인식과 대응 필요성 - 핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “**2030년에 CRQC가 존재하지 않을 확신이 있는가?**”임 - 사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음 - “아직 멀었다”는 회의론은 **전문성 부족의 신호**로 간주됨 - Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유 - 예측이 틀릴 수도 있지만 **이제는 틀릴 가능성보다 맞을 가능성이 더 중요**하며, **현 시점의 위험은 수용 불가능한 수준** ### 지금 해야 할 일 - **즉시 배포(Ship Now)** 가 필요 - 완벽하지 않더라도 **현재 사용 가능한 PQC를 즉시 도입**해야 함 - **ML-DSA 서명**을 기존 **ECDSA** 자리에 적용하고, **WebPKI용 Merkle Tree Certificates**는 이미 충분히 진행 중 - 과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, **2029년 마감 시한**으로는 더 이상 여유가 없음 ### 키 교환 및 인증 체계 전환 - **ML-KEM 기반 PQ 키 교환**은 순조롭게 진행 중이지만 다음 조치가 필요 1. **비-PQ 키 교환**은 즉시 **활성 공격 위험**으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함 2. **비대화형 키 교환(NIKE)** 은 당분간 포기하고, **KEM 기반 단방향 인증 방식**만 사용 가능 - ## 새로운 비-PQ 암호 체계 배포는 금지 - ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음 - **하이브리드 인증(클래식+PQ)** 은 불필요하며, **순수 ML-DSA-44**로 전환해야 함 - 하이브리드 서명은 복잡성과 시간 낭비이며, **ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음** - 단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능 ### 대칭 암호와 Grover 알고리듬 - ## 대칭 암호는 변경 불필요 - Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재 - 실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 **병렬화 불가능** - 불필요한 256비트 요구는 **상호운용성 저해 및 PQC 전환 지연** 위험 ### 소프트웨어 및 하드웨어 생태계 영향 - **Go 표준 라이브러리의 절반 이상**이 곧 **비안전 상태**가 될 가능성 - **다운그레이드 공격**과 **하위 호환성** 사이의 균형이 새로운 과제 - SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상 - ## TEE(신뢰 실행 환경)**— Intel SGX, AMD SEV-SNP 등은**PQ 키 미지원으로 신뢰 불가 - 하드웨어 수준의 속도 한계로 인해 **PQ 전환 불가능**, “깊이 방어(defense in depth)” 수준으로 격하 필요 ### 암호 기반 생태계와 파일 암호화 - ## 암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요 - CRQC 등장 전에 완료하지 못하면 **사용자 손상 또는 계정 폐기 중 선택해야 하는 상황** 발생 - **파일 암호화**는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약 - **비-PQ age 수신자 타입**에 대해 경고 및 차단 기능 도입 예정 - PQ 수신자는 **age 1.3.0 버전**에서 처음 도입됨 ### 교육 및 세대 전환 - 볼로냐 대학의 **암호학 박사 과정 강의**에서는 **RSA, ECDSA, ECDH를 레거시 알고리듬**으로만 다룸 - 학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임 - PQC 전환이 **세대적 전환점**임을 상징 ### 후원 및 오픈소스 유지 - **Geomys**는 Go 생태계의 전문 유지보수 조직으로, **Ava Labs**, **Teleport**, **Tailscale**, **Sentry**의 후원을 받아 운영 - 이들은 오픈소스 암호 프로토콜의 **지속 가능한 유지와 보안성 확보**를 지원 - Teleport는 **사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화**, Ava Labs는 **블록체인 암호 프로토콜의 장기적 신뢰성 확보**를 강조 ### 결론 - **CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험** - **2029년 이전 완전한 PQC 전환**이 필수 - **ML-KEM과 ML-DSA를 즉시 배포**하고, **비-PQ 체계는 단계적 폐기**해야 함 - **암호공학 실무자와 의사결정자 모두**가 지금 행동해야 할 시점임 ## Comments ### Comment 54853 - Author: neo - Created: 2026-04-07T17:33:01+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47662234) - 양자컴퓨터가 실용화될 시점이 가까워진다면, **FIPS 203(ML-KEM)** 을 TLS나 SSH 같은 프로토콜의 세션 키 교환에 우선 적용해야 함 ML-KEM은 기존의 Diffie-Hellman(고전형 및 타원곡선형)을 대체할 예정임 이를 사용하지 않으면, 공격자가 지금 데이터를 저장해두었다가 나중에 복호화할 수 있음 반면, 인증서나 전자서명은 과거로 돌아가 위조할 수 없기 때문에 긴급성은 낮음 다만, **법적 효력을 가진 디지털 문서**처럼 위조가 의미 있는 경우에는 미래에도 안전한 서명 방식이 필요함 OpenSSH, OpenSSL 등 주요 라이브러리들은 이미 ML-KEM을 지원하므로, 인증 체계를 바꾸지 않고도 개인 서버 수준에서는 쉽게 적용 가능함 - 작년까진 나도 같은 입장이었고 업계의 **공통된 합의**였음 하지만 일정이 2035년이 아니라 2029년으로 앞당겨질 수 있어, 인증 체계 전환도 동시에 진행해야 할 시점이 됨 ML-KEM 배포는 이미 잘 진행 중이지만, 이제는 **비양자 키 교환**을 잠재적 위험으로 간주해야 함 즉, 3년 이상 보관되는 데이터가 있다면 경고 수준으로 취급해야 함 - 중요한 점은 기존 Diffie-Hellman을 완전히 **대체**하지 말고, **하이브리드 키 교환**으로 병행해야 함 이렇게 하면 고전 암호와 양자 내성 암호 둘 다 깨야 공격이 가능함 ML-KEM도 새 알고리즘이라 깨질 위험이 있으므로, 하이브리드가 현실적인 방어책임 Dan Bernstein(djb) 같은 전문가들도 하이브리드가 아닌 건 **무책임한 선택**이라 강조함 - 실제로 법적 문서나 **암호화 타임스탬프**는 이미 RSA나 EC 기반으로 서명되고 있음 이런 경우엔 미래 위조 방지를 위해 양자 내성 서명으로 전환할 필요가 있음 - 이 논의가 비선형적으로 느껴짐 RSA의 경우 8비트, 64비트, 256비트로 점진적으로 난이도가 올라갔는데, 양자컴퓨터는 지난 10년간 RSA나 EC에 아무 진전이 없었음 그런데 갑자기 몇 년 안에 모든 공개키 암호를 깰 수 있다고 하는 건 이상함 실제로 RSA-256이라도 실험실에서 깨는 걸 보기 전엔 섣불리 결론 내리기 어려움 - [Bas Westerbaan의 글](https://bas.westerbaan.name/notes/2026/04/02/factoring.html)과 [Scott Aaronson의 코멘트](https://scottaaronson.blog/?p=9665#comment-2029013)를 보면, 핵심은 **오류 정정(error correction)** 임 이게 가능해지는 순간, 32비트 RSA에서 2048비트 RSA로 가는 건 큰 차이가 없음 마치 핵연쇄반응이 자립적으로 일어나면 폭탄 크기를 키우는 건 어렵지 않은 것과 같음 전문가들이 이런 이유로 일정이 빠르다고 말하는 것임 - 실제로 지난 10년간 **게이트 정확도와 큐비트 수**가 수십 배 증가했고, 오류 정정 효율도 급격히 향상됨 최근 4년간 이 분야의 진전은 폭발적이었음 - 이 글의 요지는 공개키 교환이 위험하다는 것이지, 이후의 대칭 암호화 자체가 위험하다는 건 아님 - 참고로 지금까지 **양자컴퓨터로 인수분해된 가장 큰 수는 21**임 - 좋은 글이라 생각함 HPKE 하이브리드 수신자 표준화가 **CFRG의 지연**으로 2년이나 걸렸다는 점이 인상적임 이런 프로세스 문제를 IETF가 내부적으로 되돌아봐야 함 - 글에서 주장하는 **반(反)하이브리드 논리**는 틀렸다고 봄 CRQC가 지금 존재하더라도, 하이브리드 알고리즘은 공격 비용을 최소 **100만 달러 수준**으로 높여줌 PQC 3단계 후보 중 일부는 노트북으로도 깨질 수 있었던 걸 생각하면 훨씬 낫다고 봄 - 최근 CRFG 회의에서 당신을 못 봐서 아쉬웠음 - 이 글 덕분에 “양자컴퓨터는 아직 멀었고 RSA는 괜찮다”는 내 입장을 조금 바꾸게 됨 회의적인 사람도 이해할 수 있게 **위험을 현실적으로 설명**해줘서 고마움 - Scott Aaronson의 말이 특히 인상 깊었음 “양자 오류 내성을 이해하면, ‘언제 35를 인수분해할 거냐’는 질문은 1943년 맨해튼 프로젝트 과학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”는 비유가 내 생각을 완전히 바꿔줌 - **하이브리드 키를 생략하자는 주장**은 위험함 새 알고리즘들은 아직 실전 검증이 부족하므로, 단순한 결함 하나로도 대규모 피해가 날 수 있음 - 양자컴퓨팅이 **LLM 학습 가속**에도 쓰일 수 있으므로, Google이 여기에 투자하는 건 현명함 Google과 SoftBank가 작년에 2억 3천만 달러를 투자했고, Microsoft·IBM·Google이 지난 20년간 총 150억 달러를 썼음 하지만 Google의 연간 데이터센터 투자액이 1500억 달러인 걸 보면, **아직 실용화는 멀었다는 신호**일 수도 있음 - 암호를 깨는 슈퍼컴퓨터를 정부가 개발 중일 가능성은 충분히 있음 맨해튼 프로젝트처럼, 원리는 이미 알려져 있고 **공학적 문제만 남은 상태**임 정부는 돈을 모으는 데 능하므로, 실제로 추진 중일 수도 있음 - 당시 **우라늄형 폭탄(Little Boy)** 은 실험 없이도 성공을 확신할 만큼 단순한 구조였음 반면 **플루토늄형(Fat Man)** 은 훨씬 복잡했지만 효율이 높았고, 핵미사일 기술의 기반이 됨 [Little Boy](https://en.wikipedia.org/wiki/Little_Boy), [Fat Man](https://en.wikipedia.org/wiki/Fat_Man) 설계는 지금 봐도 흥미로움 - 양자컴퓨터는 **궁극의 제로데이**와 같음 지금 바로 쓰지 않고, 결정적 순간을 위해 비축하는 기술임 - 정부가 비밀리에 기술을 개발하지 않는다고 믿기 어렵다고 생각함 예를 들어 [XKeyscore](https://en.wikipedia.org/wiki/XKeyscore) 같은 사례가 이미 있었음 - 다만 맨해튼 프로젝트는 미국 인구의 상당 비율이 참여한 초대형 산업 프로젝트였음 그런 규모의 동원은 다시는 보기 어려울 것임 - 이 글을 읽고 **대칭 암호화의 중요성**을 새삼 느꼈음 PQE가 완전히 자리 잡기 전까지, 일부 중요 시스템은 **사전 공유 키(PSK)** 기반의 대칭 암호로 보완할 수 있음 예를 들어 WireGuard VPN을 PSK로 운영하면, 수동으로 키를 배포해야 하지만 수집된 트래픽은 무의미해짐 이런 접근은 확장성은 없지만, **즉시 적용 가능한 현실적 보안층**이 될 수 있음 결국 PQE가 최선이지만, 새 수학과 시스템은 아직 검증이 덜 되었기에 병행 대비가 필요함 - 왜 저자가 **AES-128**을 고집하는지 모르겠음 AES-256은 비용 차이도 거의 없고, **저장 후 복호(store-now-decrypt-later)** 공격에도 더 안전함 업계 표준은 256비트 키를 권장하므로 그대로 따르면 됨 Age 같은 도구도 256비트 파일 키를 기본으로 써야 함 - 하지만 NIST와 BSI는 AES-128, 196, 256 모두를 **양자 이후에도 안전**하다고 명시함 AES-128도 충분하다는 게 업계의 일반적 합의임 CRQC가 대칭 암호를 위협할 시나리오는 존재하지 않음 - 저자는 AES-128이 당장 위험하지 않다고 명확히 말했음 256으로 강제 전환하면 오히려 **진짜 중요한 전환 작업**에서 주의를 분산시킬 수 있음 - 양자컴퓨팅이 **얽힘(entanglement)** 에 기반해 빛보다 빠른 효과를 내는 것처럼 보이지만, 실제로는 **물리 법칙을 위반하지 않음** 따라서 공상이라기보다, 매우 어려운 **공학적 도전 과제**로 보는 게 맞음