# Cloudflare, 2029년까지 완전한 포스트양자 보안 목표 > Clean Markdown view of GeekNews topic #28306. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28306](https://news.hada.io/topic?id=28306) - GeekNews Markdown: [https://news.hada.io/topic/28306.md](https://news.hada.io/topic/28306.md) - Type: GN+ - Author: [xguru](https://news.hada.io/@xguru) - Published: 2026-04-08T10:31:01+09:00 - Updated: 2026-04-08T10:31:01+09:00 - Original source: [blog.cloudflare.com](https://blog.cloudflare.com/post-quantum-roadmap/) - Points: 5 - Comments: 1 ## Topic Body - Cloudflare는 **2029년까지 모든 제품의 인증과 암호화 체계를 포스트양자 보안으로 전환**하는 목표를 세우고, **Q-Day(양자컴퓨터가 기존 암호를 깨는 시점)에 대비한 일정을 가속화**함 - 현재 트래픽의 **65% 이상이 포스트양자 암호화**를 사용하지만, 인증 체계가 양자 안전하지 않으면 완전한 보호가 불가능하다고 명시함 - Google과 Oratomic의 연구로 **양자컴퓨터의 암호 해독 능력 향상이 예상보다 빠름**이 드러나며, Q-Day가 2030년 이전으로 앞당겨질 가능성이 제기됨 - Cloudflare는 **인증 시스템의 양자 안전성 확보**를 최우선 과제로 삼고, 단계별 마일스톤을 설정해 전체 제품군의 보안 전환을 추진 중임 - 모든 포스트양자 업그레이드는 **요금제와 무관하게 무료 제공**되며, Cloudflare는 이를 통해 “**더 나은 인터넷 구축**”이라는 사명을 강화함 --- ### Cloudflare의 2029년 완전한 포스트양자 보안 목표 - Cloudflare는 **2029년까지 전체 제품군을 포스트양자(PQ) 보안으로 전환**하는 목표를 설정하고, **인증(Authentication)** 영역까지 포함함 - 2014년 무료 SSL 인증서 제공을 시작으로, 2019년 포스트양자 전환 준비를 진행했으며 2022년에는 모든 웹사이트와 API에 포스트양자 암호화를 적용함 - 현재 Cloudflare 트래픽의 **65% 이상이 포스트양자 암호화**를 사용하지만, 인증 체계가 양자 안전하지 않으면 완전한 보호가 불가능하다고 명시함 - Google과 Oratomic의 최근 연구로 **양자컴퓨터의 암호 해독 능력 발전 속도가 예상보다 빠름**이 드러나며, Q-Day(양자컴퓨터가 기존 암호를 깨는 날)가 2030년 이전으로 앞당겨질 가능성이 제기됨 - 이에 따라 Cloudflare는 내부 Q-Day 대비 일정을 가속화하고, 인증 시스템 중심의 보안 전환을 추진 중임 ### 양자컴퓨팅 진전과 Q-Day 가속화 - Google은 타원곡선암호(ECC)를 깨는 **양자 알고리듬의 성능을 대폭 향상**시켰다고 발표했으며, 알고리듬 자체는 공개하지 않고 **영지식증명(Zero-Knowledge Proof)** 으로 존재를 입증함 - 같은 날 Oratomic은 **중성원자(Neutral Atom) 기반 양자컴퓨터**에서 RSA-2048과 P-256을 깨는 데 필요한 자원 추정치를 공개했으며, P-256의 경우 **1만 큐비트만으로 가능**하다고 제시함 - Google이 중성원자 접근법을 병행 개발하는 이유가 명확해졌으며, Oratomic은 일부 세부사항을 의도적으로 비공개 처리함 - Google은 이에 따라 **자사 포스트양자 전환 목표를 2029년으로 앞당김**, IBM Quantum Safe CTO는 2029년경 고가치 목표에 대한 “문샷 공격” 가능성을 배제할 수 없다고 언급함 - Scott Aaronson은 2025년 말, **양자 암호 해독 자원 추정치가 더 이상 공개되지 않을 시점이 도래했다**고 경고했으며, Cloudflare는 “그 시점이 이미 지났다”고 평가함 ### 양자컴퓨터 발전의 세 가지 축 - **하드웨어**: 중성원자, 초전도, 이온트랩, 광자, 위상 큐비트 등 다양한 접근법이 병행되고 있으며, 대부분의 연구소가 병렬로 개발 중임 - 과거에는 확장성에 의문이 있었으나, 최근 **중성원자 방식이 가장 빠르게 진전** - 아직 대규모 확장은 입증되지 않았지만, 여러 접근법이 임계점에 근접함 - **오류 정정(Error Correction)**: 모든 양자컴퓨터는 잡음이 많아 오류 정정 코드가 필수 - 초전도 방식은 논리 큐비트 1개당 약 1,000개의 물리 큐비트가 필요하지만, **중성원자 방식은 3~4개만으로 가능**하다고 Oratomic이 제시함 - **소프트웨어**: Google은 **P-256 해독 알고리듬의 속도를 대폭 향상**, Oratomic은 **재구성 가능한 큐비트에 최적화된 추가 개선**을 제시함 - 이 세 축의 동시 발전으로 Q-Day 예상 시점이 **2035년 이후에서 2030년 이전으로 단축**됨 ### 인증(Authentication) 중심의 보안 전환 필요성 - 기존 산업의 포스트양자 대응은 주로 **암호화(Encryption)** 중심으로, **Harvest-Now/Decrypt-Later(HNDL)** 공격 방어에 초점을 맞춰왔음 - HNDL 공격은 현재 데이터를 수집해 미래의 양자컴퓨터로 복호화하는 방식으로, Q-Day가 멀리 있을 때 주요 위협임 - 그러나 Q-Day가 임박하면 **인증 체계가 더 큰 위험**, 공격자는 서버를 위조하거나 접근 자격 증명을 위조할 수 있음 - **양자 취약 인증키 하나만 노출되어도 전체 시스템이 침해**될 수 있으며, 자동 업데이트 시스템은 원격 코드 실행(RCE) 경로가 됨 - 따라서 “암호화 데이터가 언제 위험해질까?”보다 “**언제 공격자가 양자 위조 키로 침입할까?**”가 더 중요한 질문이 됨 - ## 가장 취약한 시스템의 우선순위 - 초기 양자컴퓨터는 **비싸고 희소**하므로 공격자는 **루트 인증서, API 키, 코드서명 인증서** 등 고가치 장기 키를 우선 노림 - 장기 키는 공격 비용이 높을수록 우선순위가 높지만, **고속 CRQC(양자컴퓨터)** 가 등장하면 다시 HNDL 공격이 유리해짐 - Google의 Sophie Schmieg는 이를 **2차대전 중 Enigma 해독의 전략적 전환**에 비유함 - ## 다운그레이드 공격 방지 - PQ 암호화 지원만으로는 부족하며, **양자 취약 암호를 완전히 비활성화**해야 함 - 웹처럼 클라이언트 다양성이 큰 환경에서는 완전 비활성화가 어려움 - HTTPS에서는 **PQ HSTS** 또는 **인증서 투명성(Certificate Transparency)** 으로 부분적 보호 가능 - 모든 양자 취약 암호를 제거한 후에는 **기존 노출된 비밀번호·토큰 등 비밀정보를 교체**해야 함 - 인증 전환은 암호화보다 훨씬 복잡하며, **수년 단위의 이행 기간**이 필요함 - ## 서드파티 의존성 고려 - Q-Day는 모든 시스템에 영향을 미치므로, **직접 통신하는 파트너뿐 아니라 금융·인프라 등 간접 의존성**도 평가해야 함 - 장기 키 우선 교체, 서드파티 협력, 전체 생태계의 동시 전환이 필요함 ### Cloudflare의 포스트양자 로드맵 - 현재 Cloudflare는 대부분의 제품에서 **포스트양자 암호화를 기본 적용**, HNDL 공격을 완화함 - 2029년까지 **인증을 포함한 전체 제품군의 완전한 포스트양자 보안 달성**을 목표로 함 - 위험 인식과 배포 난이도에 따라 **중간 단계별 마일스톤**을 설정하고, 상황에 따라 조정 예정임 ### 조직별 권장 사항 - ## 기업 - **포스트양자 지원을 조달 요건으로 포함**할 것을 권장 - 소프트웨어 최신화, 인증서 자동 발급 등 기본 보안 관행이 중요 - **핵심 공급업체의 대응 미비가 비즈니스에 미칠 영향**을 조기에 평가해야 함 - ## 정부 및 규제 기관 - **명확한 일정 제시와 주도 기관 지정**이 산업 전반의 전환을 가속화함 - 국가 간 표준 분열은 위험 요소이므로, **국제 표준 기반의 일관된 추진**이 필요 - 공포보다는 **신뢰 기반의 선제적 전환 리더십**이 중요함 - ## Cloudflare 고객 - Cloudflare는 **자동으로 포스트양자 보안을 기본 적용**하므로 별도 조치 불필요 - 단, 브라우저·애플리케이션·오리진 서버 등 **외부 구성요소의 업그레이드 필요성**은 존재 - **Cloudflare One**은 터널링을 통해 **엔드투엔드 포스트양자 암호화 보호**를 제공함 ### Cloudflare의 철학과 무료 제공 정책 - **프라이버시와 보안은 인터넷의 기본 요소**로, 모든 포스트양자 업그레이드는 **모든 요금제 고객에게 무료 제공** - 과거 **무료 TLS**가 웹 암호화를 확산시켰듯, **무료 포스트양자 암호화**가 차세대 인터넷 보안을 견인할 것임 - Cloudflare의 **Connectivity Cloud**는 기업 네트워크 보호, 대규모 애플리케이션 구축, 웹 성능 가속, DDoS 방어, 제로트러스트 구현을 지원함 - 사용자는 [1.1.1.1](https://one.one.one.one/) 앱을 통해 더 빠르고 안전한 인터넷을 이용할 수 있음 - Cloudflare는 **“더 나은 인터넷 구축”** 이라는 사명을 기반으로, 포스트양자 시대의 보안을 선도함 ## Comments ### Comment 54897 - Author: neo - Created: 2026-04-08T10:31:01+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47675625) - PQ(양자내성) 암호화의 도입 과정을 과거 **HTTPS 보급**과 비교해보면 흥미로울 것 같음 Cloudflare는 브라우저나 사용자 단말의 업그레이드 주기와 백엔드 업그레이드를 분리할 수 있어서 이런 전환을 쉽게 추진할 수 있는 위치에 있음 일부 사이트에서 선택적으로 PQ를 적용하고, 점차 필수화되면 브라우저가 경고나 **UX 기반의 유도**를 통해 사용자를 전환시키는 식으로 진행될 것이라 봄 예전에는 ‘성급한 업그레이드의 위험이 양자 공격의 위험보다 크다’고 생각했지만, 최근 정보로는 빠른 전환이 더 낫다는 쪽으로 무게가 옮겨졌음 웹사이트 업데이트는 다른 시스템(특히 **비트코인**, 저장 데이터, 하드웨어 등)에 비해 훨씬 쉬울 것이라 생각함 - 만약 진짜 **양자컴퓨터의 증거**가 드러난다면, 브라우저가 비-PQ 암호를 ‘안전하지 않음’으로 표시해 웹사이트 전환을 강제할 수 있을 것임 TLS 1.4나 QUIC 2 같은 새 버전에서 암호 스펙만 바꾸는 식으로 2~3년 내 가능할지도 모름 문제는 펌웨어 업데이트가 끊긴 오래된 기기들이 새 프로토콜을 지원하지 못해 대량으로 연결이 끊길 수 있다는 점임 - 지금 기다리면 나중에 더 급하게 움직여야 함 Cloudflare Radar에 [원본 서버의 PQ 지원 통계](https://radar.cloudflare.com/post-quantum)를 추가했는데, 브라우저보다는 낮지만 예상보다 괜찮은 수준임 아직 인증(Authentication) 문제 등 갈 길이 멀음 - 웹사이트 업데이트보다 어려운 시스템으로 **IPv6 전환**도 빼놓을 수 없음 - 우리 서비스 [qi.rt.ht](https://qi.rt.ht/?pq={api.,}{stripe,paypal}.com)에서 PQ 쿼리를 직접 해볼 수 있음 어떤 도메인이 PQ 보안이 적용되어 있는지 확인 가능함 - 정말 **아름다운 API**라고 생각함 - Cloudflare의 [post-quantum TLS 테스트](https://radar.cloudflare.com/post-quantum) 결과, news.ycombinator.com:443은 X25519를 사용 중이라 PQ 보안이 아님 이미 마이그레이션 계획이 있기를 바람 최신 도구들 덕분에 전환은 어렵지 않을 듯함. 혹시 HN이 어떤 스택을 쓰는지 아는 사람 있음? - 생각보다 **브라우저 지원률**이 훨씬 좋다는 점이 놀라움 - Mozilla가 최근 서버 측 TLS 설정 가이드를 업데이트해 **X25519MLKEM768** PQ 키 교환을 권장함 [공식 문서](https://wiki.mozilla.org/Security/Server_Side_TLS)에 따르면, 오래된 클라이언트 호환 프로필은 제거되었고, IE11/Win7용 폴백도 사라져 이제 Win10 이상이 최소 기준이 됨 - 실제로 **양자 시스템이 암호를 깬 사례**가 있는지 궁금함 - 최근 2개월 사이 암호공학자들 사이에서 분위기가 급격히 바뀌었음 여러 논문과 루머가 맞물리며, 실제 **CRQC(암호 해독 가능한 양자컴퓨터)** 등장 시점이 훨씬 앞당겨졌다는 공감대가 형성됨 일부 전문가들은 ‘임박했다’는 수준까지 보고 있음 - 아직은 이론 단계임 다만 NSA 같은 기관이 비밀리에 양자컴퓨터를 확보할 가능성을 우려해, 연구자들이 조기 경고를 보내는 상황임 명확한 증거를 기다리면 이미 늦을 수 있음 - 여전히 이론이지만, **실제 공격 가능한 수준의 양자 시스템**이 예상보다 빨리 올 것이라는 합의가 생기고 있음 Golang 암호 패키지 관리자 Filippo Valsorda가 [요약 글](https://words.filippo.io/crqc-timeline/)을 올렸는데, “2029년까지 대비해야 한다”는 결론임 - 아직 아무것도 깨지지 않았지만, 지금 데이터를 수집해두면 나중에 양자컴퓨터로 복호화할 수 있기 때문에 지금부터 대비해야 함 - PQ 알고리즘 자체의 **안전성 검증**도 아직 완전하지 않음 - 향후 CPU에서 **PQC 하드웨어 가속**을 지원할 계획이 있는지 궁금함 PQC가 표준이 되면 구형 기기들이 느려질까 걱정됨 - PQC는 비대칭 암호(핸드셰이크 단계)에만 필요함 이후의 대칭 암호(AES, ChaCha20 등)는 양자 영향이 적어 당분간 교체되지 않음 일반 CPU에는 비대칭 암호 가속이 원래 없기 때문에 큰 차이는 없을 것임 - 사실 하드웨어 가속이 없어도 **벡터 연산**으로 충분히 빠르게 처리 가능함 새 알고리즘은 대부분 **모듈러 선형대수** 기반이라 최적화 여지가 많음 - 지금 **SSH 키를 PQ 암호로 바꿔야 하는지** 궁금함 - OpenSSH는 2022년부터 PQ 키 교환을 지원함 10.1 버전(2025년 10월)부터는 PQ를 쓰지 않으면 경고가 표시됨 키를 새로 만들 필요는 없고, 양쪽 소프트웨어만 업그레이드하면 됨 다만 PQ 서명으로 전환할 때는 키 교체가 필요하지만 긴급하지는 않음 - PQ 알고리즘으로 전환할 때 단점이 있는지 궁금함 양자컴퓨터가 실패로 끝나더라도 그냥 쓰면 안 될 이유가 있을까? - 오히려 PQ 알고리즘은 **기존 방식보다 더 철저히 검증**되었음 다만 타원곡선 암호(ECC)는 키와 서명이 작아 대역폭 효율이 좋고, 수학적 난이도에 대한 신뢰도도 높음 반면 PQ 알고리즘은 구현이 단순해 **보안 취약 구현** 가능성이 낮고, 약한 인스턴스를 고르기 어려움 ML-DSA, ML-KEM은 안정적이며 속도도 빠름 - PQ 인증서는 현재보다 **길이가 훨씬 김** 정확한 수치는 모르지만 저장 공간과 전송량이 늘어남 - PQ 알고리즘은 기존 ECC보다 **속도는 느리고 데이터 교환량은 많음**, 하지만 보안 수준은 동일함 - **Mullvad**는 이미 PQ 암호화를 지원 중임 개인적으로 10점 만점에 10점짜리 회사라 추천함 - 한 가지 다른 질문임 모두가 양자내성 암호로 전환한 뒤에는 **양자컴퓨터의 의미**가 무엇일까? 지금은 암호 해독 얘기만 나오는데, 그 외의 용도는 단백질 접힘, 물류 최적화 같은 연구용일까? 만약 1시간에 256비트 키 하나를 깰 수 있는 1천만 달러짜리 양자컴퓨터가 생겨도, 모든 시스템이 PQ로 바뀌면 그건 단지 **파괴적 도구**일 뿐임 ECC를 깨는 건 인류에 도움이 되지 않음 그렇다면 양자컴퓨터는 그 이후 **무엇에 쓰일 수 있을까** 하는 의문이 남음