양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점

 (words.filippo.io)
1P by GN⁺ 9시간전 | ★ favorite | 댓글 1개
  • 최근 연구 결과로 암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨지며, 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
  • Google과 Oratomic의 연구는 256비트 타원곡선 공격에 필요한 자원 감소를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함
  • 전문가들은 2029년을 PQC 마이그레이션 마감 시점으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함
  • 대응 방안으로 ML-DSA와 ML-KEM의 즉시 도입, 비-PQ 체계의 단계적 폐기, 하이브리드 인증 배제가 제시됨
  • 결론적으로, CRQC는 더 이상 가정이 아닌 실질적 위험이며, 2029년 이전 완전한 PQC 전환이 필수임

양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점

  • 최근 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
    • 불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함
    • 암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남

최근 공개된 두 연구 결과

  • Google 연구팀은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 논리 큐비트와 게이트 수를 크게 줄인 논문을 발표
    • 초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시
    • 논문은 암호화폐 맥락으로 작성되었지만, 실제로는 WebPKI 중간자 공격에 더 심각한 의미를 가짐
  • Oratomic 연구팀비국소적 연결(non-local connectivity) 을 가진 중성 원자 시스템에서 1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오를 제시
    • 속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 치명적 결과를 초래할 수 있음
  • 두 연구 모두 하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소라는 공통된 추세를 보여줌

전문가들의 경고와 시점 변화

  • Google의 Heather AdkinsSophie Schmieg는 “양자 경계가 예상보다 훨씬 가깝다”며 2029년을 마이그레이션 마감 시점으로 제시
    • 이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정
  • Scott Aaronson은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, 공개되지 않은 급진적 진전 가능성을 경고
  • RWPQC 2026에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨
  • 전문가들의 공통된 메시지는 “지금은 부정할 수 없는 위협 단계”라는 점

위험 인식과 대응 필요성

  • 핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “2030년에 CRQC가 존재하지 않을 확신이 있는가?”임
    • 사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음
  • “아직 멀었다”는 회의론은 전문성 부족의 신호로 간주됨
    • Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유
  • 예측이 틀릴 수도 있지만 이제는 틀릴 가능성보다 맞을 가능성이 더 중요하며, 현 시점의 위험은 수용 불가능한 수준

지금 해야 할 일

  • 즉시 배포(Ship Now) 가 필요
    • 완벽하지 않더라도 현재 사용 가능한 PQC를 즉시 도입해야 함
    • ML-DSA 서명을 기존 ECDSA 자리에 적용하고, WebPKI용 Merkle Tree Certificates는 이미 충분히 진행 중
  • 과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, 2029년 마감 시한으로는 더 이상 여유가 없음

키 교환 및 인증 체계 전환

  • ML-KEM 기반 PQ 키 교환은 순조롭게 진행 중이지만 다음 조치가 필요
    1. 비-PQ 키 교환은 즉시 활성 공격 위험으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함
    2. 비대화형 키 교환(NIKE) 은 당분간 포기하고, KEM 기반 단방향 인증 방식만 사용 가능

  • 새로운 비-PQ 암호 체계 배포는 금지

    • ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음
    • 하이브리드 인증(클래식+PQ) 은 불필요하며, 순수 ML-DSA-44로 전환해야 함
    • 하이브리드 서명은 복잡성과 시간 낭비이며, ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음
    • 단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능

대칭 암호와 Grover 알고리듬

  • 대칭 암호는 변경 불필요

    • Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재
    • 실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 병렬화 불가능
    • 불필요한 256비트 요구는 상호운용성 저해 및 PQC 전환 지연 위험

소프트웨어 및 하드웨어 생태계 영향

  • Go 표준 라이브러리의 절반 이상이 곧 비안전 상태가 될 가능성
    • 다운그레이드 공격하위 호환성 사이의 균형이 새로운 과제
    • SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상

  • TEE(신뢰 실행 환경)— Intel SGX, AMD SEV-SNP 등은PQ 키 미지원으로 신뢰 불가

    • 하드웨어 수준의 속도 한계로 인해 PQ 전환 불가능, “깊이 방어(defense in depth)” 수준으로 격하 필요

암호 기반 생태계와 파일 암호화

  • 암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요

    • CRQC 등장 전에 완료하지 못하면 사용자 손상 또는 계정 폐기 중 선택해야 하는 상황 발생
    • 파일 암호화는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약
    • 비-PQ age 수신자 타입에 대해 경고 및 차단 기능 도입 예정
    • PQ 수신자는 age 1.3.0 버전에서 처음 도입됨

교육 및 세대 전환

  • 볼로냐 대학의 암호학 박사 과정 강의에서는 RSA, ECDSA, ECDH를 레거시 알고리듬으로만 다룸
    • 학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임
    • PQC 전환이 세대적 전환점임을 상징

후원 및 오픈소스 유지

  • Geomys는 Go 생태계의 전문 유지보수 조직으로, Ava Labs, Teleport, Tailscale, Sentry의 후원을 받아 운영
    • 이들은 오픈소스 암호 프로토콜의 지속 가능한 유지와 보안성 확보를 지원
    • Teleport는 사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화, Ava Labs는 블록체인 암호 프로토콜의 장기적 신뢰성 확보를 강조

결론

  • CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험
  • 2029년 이전 완전한 PQC 전환이 필수
  • ML-KEM과 ML-DSA를 즉시 배포하고, 비-PQ 체계는 단계적 폐기해야 함
  • 암호공학 실무자와 의사결정자 모두가 지금 행동해야 할 시점임

함께 보면 좋은 글 β

GN⁺ 9시간전  [-]
Hacker News 의견들

  • 양자컴퓨터가 실용화될 시점이 가까워진다면, FIPS 203(ML-KEM) 을 TLS나 SSH 같은 프로토콜의 세션 키 교환에 우선 적용해야 함
    ML-KEM은 기존의 Diffie-Hellman(고전형 및 타원곡선형)을 대체할 예정임
    이를 사용하지 않으면, 공격자가 지금 데이터를 저장해두었다가 나중에 복호화할 수 있음
    반면, 인증서나 전자서명은 과거로 돌아가 위조할 수 없기 때문에 긴급성은 낮음
    다만, 법적 효력을 가진 디지털 문서처럼 위조가 의미 있는 경우에는 미래에도 안전한 서명 방식이 필요함
    OpenSSH, OpenSSL 등 주요 라이브러리들은 이미 ML-KEM을 지원하므로, 인증 체계를 바꾸지 않고도 개인 서버 수준에서는 쉽게 적용 가능함

    • 작년까진 나도 같은 입장이었고 업계의 공통된 합의였음
      하지만 일정이 2035년이 아니라 2029년으로 앞당겨질 수 있어, 인증 체계 전환도 동시에 진행해야 할 시점이 됨
      ML-KEM 배포는 이미 잘 진행 중이지만, 이제는 비양자 키 교환을 잠재적 위험으로 간주해야 함
      즉, 3년 이상 보관되는 데이터가 있다면 경고 수준으로 취급해야 함
    • 중요한 점은 기존 Diffie-Hellman을 완전히 대체하지 말고, 하이브리드 키 교환으로 병행해야 함
      이렇게 하면 고전 암호와 양자 내성 암호 둘 다 깨야 공격이 가능함
      ML-KEM도 새 알고리즘이라 깨질 위험이 있으므로, 하이브리드가 현실적인 방어책임
      Dan Bernstein(djb) 같은 전문가들도 하이브리드가 아닌 건 무책임한 선택이라 강조함
    • 실제로 법적 문서나 암호화 타임스탬프는 이미 RSA나 EC 기반으로 서명되고 있음
      이런 경우엔 미래 위조 방지를 위해 양자 내성 서명으로 전환할 필요가 있음

  • 이 논의가 비선형적으로 느껴짐
    RSA의 경우 8비트, 64비트, 256비트로 점진적으로 난이도가 올라갔는데, 양자컴퓨터는 지난 10년간 RSA나 EC에 아무 진전이 없었음
    그런데 갑자기 몇 년 안에 모든 공개키 암호를 깰 수 있다고 하는 건 이상함
    실제로 RSA-256이라도 실험실에서 깨는 걸 보기 전엔 섣불리 결론 내리기 어려움

    • Bas Westerbaan의 글Scott Aaronson의 코멘트를 보면, 핵심은 오류 정정(error correction)
      이게 가능해지는 순간, 32비트 RSA에서 2048비트 RSA로 가는 건 큰 차이가 없음
      마치 핵연쇄반응이 자립적으로 일어나면 폭탄 크기를 키우는 건 어렵지 않은 것과 같음
      전문가들이 이런 이유로 일정이 빠르다고 말하는 것임
    • 실제로 지난 10년간 게이트 정확도와 큐비트 수가 수십 배 증가했고, 오류 정정 효율도 급격히 향상됨
      최근 4년간 이 분야의 진전은 폭발적이었음
    • 이 글의 요지는 공개키 교환이 위험하다는 것이지, 이후의 대칭 암호화 자체가 위험하다는 건 아님
    • 참고로 지금까지 양자컴퓨터로 인수분해된 가장 큰 수는 21

  • 좋은 글이라 생각함
    HPKE 하이브리드 수신자 표준화가 CFRG의 지연으로 2년이나 걸렸다는 점이 인상적임
    이런 프로세스 문제를 IETF가 내부적으로 되돌아봐야 함

    • 글에서 주장하는 반(反)하이브리드 논리는 틀렸다고 봄
      CRQC가 지금 존재하더라도, 하이브리드 알고리즘은 공격 비용을 최소 100만 달러 수준으로 높여줌
      PQC 3단계 후보 중 일부는 노트북으로도 깨질 수 있었던 걸 생각하면 훨씬 낫다고 봄
    • 최근 CRFG 회의에서 당신을 못 봐서 아쉬웠음

  • 이 글 덕분에 “양자컴퓨터는 아직 멀었고 RSA는 괜찮다”는 내 입장을 조금 바꾸게 됨
    회의적인 사람도 이해할 수 있게 위험을 현실적으로 설명해줘서 고마움

    • Scott Aaronson의 말이 특히 인상 깊었음
      “양자 오류 내성을 이해하면, ‘언제 35를 인수분해할 거냐’는 질문은 1943년 맨해튼 프로젝트 과학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”는 비유가 내 생각을 완전히 바꿔줌

  • 하이브리드 키를 생략하자는 주장은 위험함
    새 알고리즘들은 아직 실전 검증이 부족하므로, 단순한 결함 하나로도 대규모 피해가 날 수 있음

  • 양자컴퓨팅이 LLM 학습 가속에도 쓰일 수 있으므로, Google이 여기에 투자하는 건 현명함
    Google과 SoftBank가 작년에 2억 3천만 달러를 투자했고, Microsoft·IBM·Google이 지난 20년간 총 150억 달러를 썼음
    하지만 Google의 연간 데이터센터 투자액이 1500억 달러인 걸 보면, 아직 실용화는 멀었다는 신호일 수도 있음

  • 암호를 깨는 슈퍼컴퓨터를 정부가 개발 중일 가능성은 충분히 있음
    맨해튼 프로젝트처럼, 원리는 이미 알려져 있고 공학적 문제만 남은 상태
    정부는 돈을 모으는 데 능하므로, 실제로 추진 중일 수도 있음

    • 당시 우라늄형 폭탄(Little Boy) 은 실험 없이도 성공을 확신할 만큼 단순한 구조였음
      반면 플루토늄형(Fat Man) 은 훨씬 복잡했지만 효율이 높았고, 핵미사일 기술의 기반이 됨
      Little Boy, Fat Man 설계는 지금 봐도 흥미로움
    • 양자컴퓨터는 궁극의 제로데이와 같음
      지금 바로 쓰지 않고, 결정적 순간을 위해 비축하는 기술임
    • 정부가 비밀리에 기술을 개발하지 않는다고 믿기 어렵다고 생각함
      예를 들어 XKeyscore 같은 사례가 이미 있었음
    • 다만 맨해튼 프로젝트는 미국 인구의 상당 비율이 참여한 초대형 산업 프로젝트였음
      그런 규모의 동원은 다시는 보기 어려울 것임

  • 이 글을 읽고 대칭 암호화의 중요성을 새삼 느꼈음
    PQE가 완전히 자리 잡기 전까지, 일부 중요 시스템은 사전 공유 키(PSK) 기반의 대칭 암호로 보완할 수 있음
    예를 들어 WireGuard VPN을 PSK로 운영하면, 수동으로 키를 배포해야 하지만 수집된 트래픽은 무의미해짐
    이런 접근은 확장성은 없지만, 즉시 적용 가능한 현실적 보안층이 될 수 있음
    결국 PQE가 최선이지만, 새 수학과 시스템은 아직 검증이 덜 되었기에 병행 대비가 필요함

  • 왜 저자가 AES-128을 고집하는지 모르겠음
    AES-256은 비용 차이도 거의 없고, 저장 후 복호(store-now-decrypt-later) 공격에도 더 안전함
    업계 표준은 256비트 키를 권장하므로 그대로 따르면 됨
    Age 같은 도구도 256비트 파일 키를 기본으로 써야 함

    • 하지만 NIST와 BSI는 AES-128, 196, 256 모두를 양자 이후에도 안전하다고 명시함
      AES-128도 충분하다는 게 업계의 일반적 합의임
      CRQC가 대칭 암호를 위협할 시나리오는 존재하지 않음
    • 저자는 AES-128이 당장 위험하지 않다고 명확히 말했음
      256으로 강제 전환하면 오히려 진짜 중요한 전환 작업에서 주의를 분산시킬 수 있음

  • 양자컴퓨팅이 얽힘(entanglement) 에 기반해 빛보다 빠른 효과를 내는 것처럼 보이지만, 실제로는 물리 법칙을 위반하지 않음
    따라서 공상이라기보다, 매우 어려운 공학적 도전 과제로 보는 게 맞음

답변달기