'양자 컴퓨터는 항상 10년 뒤에 있다'던 안일한 농담이 유통기한을 다했습니다. 2029년, 암호공학의 데드라인이 코앞으로 다가왔군요. 맨해튼 프로젝트의 비유는 섬뜩할 만큼 정확합니다. 이제 우리는 댐이 터지기 직전, 미세한 균열을 뚫어지게 응시하는 탐험가와 같습니다.
기술적 낙관론에 취해 '아직 멀었다'고 읊조리는 것은 직무 유기입니다. 하이브리드 암호 방식을 두고 효율성 논쟁을 벌이는 것도, 불완전한 새 수학을 신뢰하는 것도 위험한 도박이죠. 하지만 데이터 유목민으로서 제안합니다. 지금 당장 방패를 고쳐 쓰지 않는다면, 우리가 지켜온 모든 기록은 미래의 누군가에게 '보관된 전리품'이 될 것입니다. 완벽함을 기다리다간 완전한 멸종을 맞이하게 될 테니까요. 서두르십시오. 붕괴는 생각보다 훨씬 조용하고 빠르게 시작됩니다.
Original News: 양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점
[원본 링크]
최근 연구 결과로 암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨지며, 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
Google과 Oratomic의 연구는 256비트 타원곡선 공격에 필요한 자원 감소를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함
전문가들은 2029년을 PQC 마이그레이션 마감 시점으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함
대응 방안으로 ML-DSA와 ML-KEM의 즉시 도입, 비-PQ 체계의 단계적 폐기, 하이브리드 인증 배제가 제시됨
결론적으로, CRQC는 더 이상 가정이 아닌 실질적 위험이며, 2029년 이전 완전한 PQC 전환이 필수임
양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점
최근 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함
암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남
최근 공개된 두 연구 결과
Google 연구팀은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 논리 큐비트와 게이트 수를 크게 줄인 논문을 발표
초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시
논문은 암호화폐 맥락으로 작성되었지만, 실제로는 WebPKI 중간자 공격에 더 심각한 의미를 가짐
Oratomic 연구팀은 비국소적 연결(non-local connectivity) 을 가진 중성 원자 시스템에서 1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오를 제시
속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 치명적 결과를 초래할 수 있음
두 연구 모두 하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소라는 공통된 추세를 보여줌
전문가들의 경고와 시점 변화
Google의 Heather Adkins와 Sophie Schmieg는 “양자 경계가 예상보다 훨씬 가깝다”며 2029년을 마이그레이션 마감 시점으로 제시
이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정
Scott Aaronson은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, 공개되지 않은 급진적 진전 가능성을 경고
RWPQC 2026에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨
전문가들의 공통된 메시지는 “지금은 부정할 수 없는 위협 단계”라는 점
위험 인식과 대응 필요성
핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “2030년에 CRQC가 존재하지 않을 확신이 있는가?”임
사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음
“아직 멀었다”는 회의론은 전문성 부족의 신호로 간주됨
Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유
예측이 틀릴 수도 있지만 이제는 틀릴 가능성보다 맞을 가능성이 더 중요하며, 현 시점의 위험은 수용 불가능한 수준
지금 해야 할 일
즉시 배포(Ship Now) 가 필요
완벽하지 않더라도 현재 사용 가능한 PQC를 즉시 도입해야 함
ML-DSA 서명을 기존 ECDSA 자리에 적용하고, WebPKI용 Merkle Tree Certificates는 이미 충분히 진행 중
과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, 2029년 마감 시한으로는 더 이상 여유가 없음
키 교환 및 인증 체계 전환
ML-KEM 기반 PQ 키 교환은 순조롭게 진행 중이지만 다음 조치가 필요
비-PQ 키 교환은 즉시 활성 공격 위험으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함
비대화형 키 교환(NIKE) 은 당분간 포기하고, KEM 기반 단방향 인증 방식만 사용 가능
새로운 비-PQ 암호 체계 배포는 금지
ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음
하이브리드 인증(클래식+PQ) 은 불필요하며, 순수 ML-DSA-44로 전환해야 함
하이브리드 서명은 복잡성과 시간 낭비이며, ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음
단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능
대칭 암호와 Grover 알고리듬
대칭 암호는 변경 불필요
Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재
실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 병렬화 불가능
불필요한 256비트 요구는 상호운용성 저해 및 PQC 전환 지연 위험
소프트웨어 및 하드웨어 생태계 영향
Go 표준 라이브러리의 절반 이상이 곧 비안전 상태가 될 가능성
다운그레이드 공격과 하위 호환성 사이의 균형이 새로운 과제
SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상
TEE(신뢰 실행 환경)— Intel SGX, AMD SEV-SNP 등은PQ 키 미지원으로 신뢰 불가
하드웨어 수준의 속도 한계로 인해 PQ 전환 불가능, “깊이 방어(defense in depth)” 수준으로 격하 필요
암호 기반 생태계와 파일 암호화
암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요
CRQC 등장 전에 완료하지 못하면 사용자 손상 또는 계정 폐기 중 선택해야 하는 상황 발생
파일 암호화는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약
비-PQ age 수신자 타입에 대해 경고 및 차단 기능 도입 예정
PQ 수신자는 age 1.3.0 버전에서 처음 도입됨
교육 및 세대 전환
볼로냐 대학의 암호학 박사 과정 강의에서는 RSA, ECDSA, ECDH를 레거시 알고리듬으로만 다룸
학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임
PQC 전환이 세대적 전환점임을 상징
후원 및 오픈소스 유지
Geomys는 Go 생태계의 전문 유지보수 조직으로, Ava Labs, Teleport, Tailscale, Sentry의 후원을 받아 운영
이들은 오픈소스 암호 프로토콜의 지속 가능한 유지와 보안성 확보를 지원
Teleport는 사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화, Ava Labs는 블록체인 암호 프로토콜의 장기적 신뢰성 확보를 강조
결론
CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험
2029년 이전 완전한 PQC 전환이 필수
ML-KEM과 ML-DSA를 즉시 배포하고, 비-PQ 체계는 단계적 폐기해야 함
암호공학 실무자와 의사결정자 모두가 지금 행동해야 할 시점임
Google과 Oratomic의 연구는 256비트 타원곡선 공격에 필요한 자원 감소를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함
전문가들은 2029년을 PQC 마이그레이션 마감 시점으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함
대응 방안으로 ML-DSA와 ML-KEM의 즉시 도입, 비-PQ 체계의 단계적 폐기, 하이브리드 인증 배제가 제시됨
결론적으로, CRQC는 더 이상 가정이 아닌 실질적 위험이며, 2029년 이전 완전한 PQC 전환이 필수임
양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점
최근 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함
암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남
최근 공개된 두 연구 결과
Google 연구팀은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 논리 큐비트와 게이트 수를 크게 줄인 논문을 발표
초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시
논문은 암호화폐 맥락으로 작성되었지만, 실제로는 WebPKI 중간자 공격에 더 심각한 의미를 가짐
Oratomic 연구팀은 비국소적 연결(non-local connectivity) 을 가진 중성 원자 시스템에서 1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오를 제시
속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 치명적 결과를 초래할 수 있음
두 연구 모두 하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소라는 공통된 추세를 보여줌
전문가들의 경고와 시점 변화
Google의 Heather Adkins와 Sophie Schmieg는 “양자 경계가 예상보다 훨씬 가깝다”며 2029년을 마이그레이션 마감 시점으로 제시
이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정
Scott Aaronson은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, 공개되지 않은 급진적 진전 가능성을 경고
RWPQC 2026에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨
전문가들의 공통된 메시지는 “지금은 부정할 수 없는 위협 단계”라는 점
위험 인식과 대응 필요성
핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “2030년에 CRQC가 존재하지 않을 확신이 있는가?”임
사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음
“아직 멀었다”는 회의론은 전문성 부족의 신호로 간주됨
Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유
예측이 틀릴 수도 있지만 이제는 틀릴 가능성보다 맞을 가능성이 더 중요하며, 현 시점의 위험은 수용 불가능한 수준
지금 해야 할 일
즉시 배포(Ship Now) 가 필요
완벽하지 않더라도 현재 사용 가능한 PQC를 즉시 도입해야 함
ML-DSA 서명을 기존 ECDSA 자리에 적용하고, WebPKI용 Merkle Tree Certificates는 이미 충분히 진행 중
과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, 2029년 마감 시한으로는 더 이상 여유가 없음
키 교환 및 인증 체계 전환
ML-KEM 기반 PQ 키 교환은 순조롭게 진행 중이지만 다음 조치가 필요
비-PQ 키 교환은 즉시 활성 공격 위험으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함
비대화형 키 교환(NIKE) 은 당분간 포기하고, KEM 기반 단방향 인증 방식만 사용 가능
새로운 비-PQ 암호 체계 배포는 금지
ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음
하이브리드 인증(클래식+PQ) 은 불필요하며, 순수 ML-DSA-44로 전환해야 함
하이브리드 서명은 복잡성과 시간 낭비이며, ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음
단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능
대칭 암호와 Grover 알고리듬
대칭 암호는 변경 불필요
Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재
실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 병렬화 불가능
불필요한 256비트 요구는 상호운용성 저해 및 PQC 전환 지연 위험
소프트웨어 및 하드웨어 생태계 영향
Go 표준 라이브러리의 절반 이상이 곧 비안전 상태가 될 가능성
다운그레이드 공격과 하위 호환성 사이의 균형이 새로운 과제
SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상
TEE(신뢰 실행 환경)— Intel SGX, AMD SEV-SNP 등은PQ 키 미지원으로 신뢰 불가
하드웨어 수준의 속도 한계로 인해 PQ 전환 불가능, “깊이 방어(defense in depth)” 수준으로 격하 필요
암호 기반 생태계와 파일 암호화
암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요
CRQC 등장 전에 완료하지 못하면 사용자 손상 또는 계정 폐기 중 선택해야 하는 상황 발생
파일 암호화는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약
비-PQ age 수신자 타입에 대해 경고 및 차단 기능 도입 예정
PQ 수신자는 age 1.3.0 버전에서 처음 도입됨
교육 및 세대 전환
볼로냐 대학의 암호학 박사 과정 강의에서는 RSA, ECDSA, ECDH를 레거시 알고리듬으로만 다룸
학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임
PQC 전환이 세대적 전환점임을 상징
후원 및 오픈소스 유지
Geomys는 Go 생태계의 전문 유지보수 조직으로, Ava Labs, Teleport, Tailscale, Sentry의 후원을 받아 운영
이들은 오픈소스 암호 프로토콜의 지속 가능한 유지와 보안성 확보를 지원
Teleport는 사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화, Ava Labs는 블록체인 암호 프로토콜의 장기적 신뢰성 확보를 강조
결론
CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험
2029년 이전 완전한 PQC 전환이 필수
ML-KEM과 ML-DSA를 즉시 배포하고, 비-PQ 체계는 단계적 폐기해야 함
암호공학 실무자와 의사결정자 모두가 지금 행동해야 할 시점임
최근 연구 결과로 암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨지며, 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
Google과 Oratomic의 연구는 256비트 타원곡선 공격에 필요한 자원 감소를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함
전문가들은 2029년을 PQC 마이그레이션 마감 시점으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함
대응 방안으로 ML-DSA와 ML-KEM의 즉시 도입, 비-PQ 체계의 단계적 폐기, 하이브리드 인증 배제가 제시됨
결론적으로, CRQC는 더 이상 가정이 아닌 실질적 위험이며, 2029년 이전 완전한 PQC 전환이 필수임
양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점
최근 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함
암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남
최근 공개된 두 연구 결과
Google 연구팀은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 논리 큐비트와 게이트 수를 크게 줄인 논문을 발표
초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시
논문은 암호화폐 맥락으로 작성되었지만, 실제로는 WebPKI 중간자 공격에 더 심각한 의미를 가짐
Oratomic 연구팀은 비국소적 연결(non-local connectivity) 을 가진 중성 원자 시스템에서 1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오를 제시
속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 치명적 결과를 초래할 수 있음
두 연구 모두 하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소라는 공통된 추세를 보여줌
전문가들의 경고와 시점 변화
Google의 Heather Adkins와 Sophie Schmieg는 “양자 경계가 예상보다 훨씬 가깝다”며 2029년을 마이그레이션 마감 시점으로 제시
이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정
Scott Aaronson은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, 공개되지 않은 급진적 진전 가능성을 경고
RWPQC 2026에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨
전문가들의 공통된 메시지는 “지금은 부정할 수 없는 위협 단계”라는 점
위험 인식과 대응 필요성
핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “2030년에 CRQC가 존재하지 않을 확신이 있는가?”임
사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음
“아직 멀었다”는 회의론은 전문성 부족의 신호로 간주됨
Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유
예측이 틀릴 수도 있지만 이제는 틀릴 가능성보다 맞을 가능성이 더 중요하며, 현 시점의 위험은 수용 불가능한 수준
지금 해야 할 일
즉시 배포(Ship Now) 가 필요
완벽하지 않더라도 현재 사용 가능한 PQC를 즉시 도입해야 함
ML-DSA 서명을 기존 ECDSA 자리에 적용하고, WebPKI용 Merkle Tree Certificates는 이미 충분히 진행 중
과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, 2029년 마감 시한으로는 더 이상 여유가 없음
키 교환 및 인증 체계 전환
ML-KEM 기반 PQ 키 교환은 순조롭게 진행 중이지만 다음 조치가 필요
비-PQ 키 교환은 즉시 활성 공격 위험으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함
비대화형 키 교환(NIKE) 은 당분간 포기하고, KEM 기반 단방향 인증 방식만 사용 가능
새로운 비-PQ 암호 체계 배포는 금지
ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음
하이브리드 인증(클래식+PQ) 은 불필요하며, 순수 ML-DSA-44로 전환해야 함
하이브리드 서명은 복잡성과 시간 낭비이며, ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음
단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능
대칭 암호와 Grover 알고리듬
대칭 암호는 변경 불필요
Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재
실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 병렬화 불가능
불필요한 256비트 요구는 상호운용성 저해 및 PQC 전환 지연 위험
소프트웨어 및 하드웨어 생태계 영향
Go 표준 라이브러리의 절반 이상이 곧 비안전 상태가 될 가능성
다운그레이드 공격과 하위 호환성 사이의 균형이 새로운 과제
SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상
TEE(신뢰 실행 환경)— Intel SGX, AMD SEV-SNP 등은PQ 키 미지원으로 신뢰 불가
하드웨어 수준의 속도 한계로 인해 PQ 전환 불가능, “깊이 방어(defense in depth)” 수준으로 격하 필요
암호 기반 생태계와 파일 암호화
암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요
CRQC 등장 전에 완료하지 못하면 사용자 손상 또는 계정 폐기 중 선택해야 하는 상황 발생
파일 암호화는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약
비-PQ age 수신자 타입에 대해 경고 및 차단 기능 도입 예정
PQ 수신자는 age 1.3.0 버전에서 처음 도입됨
교육 및 세대 전환
볼로냐 대학의 암호학 박사 과정 강의에서는 RSA, ECDSA, ECDH를 레거시 알고리듬으로만 다룸
학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임
PQC 전환이 세대적 전환점임을 상징
후원 및 오픈소스 유지
Geomys는 Go 생태계의 전문 유지보수 조직으로, Ava Labs, Teleport, Tailscale, Sentry의 후원을 받아 운영
이들은 오픈소스 암호 프로토콜의 지속 가능한 유지와 보안성 확보를 지원
Teleport는 사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화, Ava Labs는 블록체인 암호 프로토콜의 장기적 신뢰성 확보를 강조
결론
CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험
2029년 이전 완전한 PQC 전환이 필수
ML-KEM과 ML-DSA를 즉시 배포하고, 비-PQ 체계는 단계적 폐기해야 함
암호공학 실무자와 의사결정자 모두가 지금 행동해야 할 시점임
Google과 Oratomic의 연구는 256비트 타원곡선 공격에 필요한 자원 감소를 보여주며, 하드웨어와 알고리듬 효율이 빠르게 개선되는 추세를 확인함
전문가들은 2029년을 PQC 마이그레이션 마감 시점으로 제시하며, 지금은 “부정할 수 없는 위협 단계”에 진입했다고 경고함
대응 방안으로 ML-DSA와 ML-KEM의 즉시 도입, 비-PQ 체계의 단계적 폐기, 하이브리드 인증 배제가 제시됨
결론적으로, CRQC는 더 이상 가정이 아닌 실질적 위험이며, 2029년 이전 완전한 PQC 전환이 필수임
양자 컴퓨팅 시점에 대한 암호공학 엔지니어의 관점
최근 양자 내성 암호(PQC) 배포의 긴급성이 급격히 높아짐
불과 몇 달 전까지만 해도 여유가 있다고 여겨졌으나, 최근 연구 결과로 상황이 급변함
암호적으로 의미 있는 양자 컴퓨터(CRQC) 출현 가능성이 수년 내로 앞당겨졌다는 신호가 나타남
최근 공개된 두 연구 결과
Google 연구팀은 256비트 타원곡선(NIST P-256, secp256k1 등)을 깨는 데 필요한 논리 큐비트와 게이트 수를 크게 줄인 논문을 발표
초전도 큐비트 기반의 빠른 클록 아키텍처에서는 몇 분 만에 공격이 가능하다는 계산을 제시
논문은 암호화폐 맥락으로 작성되었지만, 실제로는 WebPKI 중간자 공격에 더 심각한 의미를 가짐
Oratomic 연구팀은 비국소적 연결(non-local connectivity) 을 가진 중성 원자 시스템에서 1만 개의 물리 큐비트만으로 256비트 타원곡선을 깨는 시나리오를 제시
속도는 느리지만, 한 달에 한 번이라도 키가 깨질 수 있다면 치명적 결과를 초래할 수 있음
두 연구 모두 하드웨어 성능 향상, 알고리듬 효율 개선, 오류 정정 요구 감소라는 공통된 추세를 보여줌
전문가들의 경고와 시점 변화
Google의 Heather Adkins와 Sophie Schmieg는 “양자 경계가 예상보다 훨씬 가깝다”며 2029년을 마이그레이션 마감 시점으로 제시
이는 불과 33개월 남은 일정으로, 지금까지 제시된 가장 공격적인 일정
Scott Aaronson은 “핵분열 연구가 1939~1940년에 공개적으로 중단된 시기”에 비유하며, 공개되지 않은 급진적 진전 가능성을 경고
RWPQC 2026에서 제시된 일정도 불과 몇 주 만에 구식이 되었으며, “양자 컴퓨터는 항상 10년 뒤”라는 농담이 더 이상 통하지 않게 됨
전문가들의 공통된 메시지는 “지금은 부정할 수 없는 위협 단계”라는 점
위험 인식과 대응 필요성
핵심 질문은 “2030년에 CRQC가 존재할 가능성이 있는가?”가 아니라 “2030년에 CRQC가 존재하지 않을 확신이 있는가?”임
사용자 보안을 책임지는 입장에서, 1% 미만의 가능성이라도 무시할 수 없음
“아직 멀었다”는 회의론은 전문성 부족의 신호로 간주됨
Scott Aaronson은 “양자 오류 내성을 이해한 후 ‘언제 35를 인수분해할 거냐’고 묻는 것은 1943년 맨해튼 프로젝트 물리학자에게 ‘언제 작은 핵폭발을 만들 거냐’고 묻는 것과 같다”고 비유
예측이 틀릴 수도 있지만 이제는 틀릴 가능성보다 맞을 가능성이 더 중요하며, 현 시점의 위험은 수용 불가능한 수준
지금 해야 할 일
즉시 배포(Ship Now) 가 필요
완벽하지 않더라도 현재 사용 가능한 PQC를 즉시 도입해야 함
ML-DSA 서명을 기존 ECDSA 자리에 적용하고, WebPKI용 Merkle Tree Certificates는 이미 충분히 진행 중
과거에는 “프로토콜을 서명 크기에 맞게 조정할 시간은 있다”고 판단했으나, 2029년 마감 시한으로는 더 이상 여유가 없음
키 교환 및 인증 체계 전환
ML-KEM 기반 PQ 키 교환은 순조롭게 진행 중이지만 다음 조치가 필요
비-PQ 키 교환은 즉시 활성 공격 위험으로 간주하고, OpenSSH처럼 사용자에게 경고해야 함
비대화형 키 교환(NIKE) 은 당분간 포기하고, KEM 기반 단방향 인증 방식만 사용 가능
새로운 비-PQ 암호 체계 배포는 금지
ECDSA, 페어링, ID 기반 암호 등은 더 이상 실용적이지 않음
하이브리드 인증(클래식+PQ) 은 불필요하며, 순수 ML-DSA-44로 전환해야 함
하이브리드 서명은 복잡성과 시간 낭비이며, ML-DSA가 고전적으로 깨질 가능성보다 CRQC 등장 가능성이 더 높음
단, 이미 다중 서명 구조를 지원하는 프로토콜에서는 예외적으로 “2-of-2” 방식의 단순 하이브리드 서명 가능
대칭 암호와 Grover 알고리듬
대칭 암호는 변경 불필요
Grover 알고리듬에 대한 단순화로 인해 “256비트 키가 필요하다”는 오해가 존재
실제로는 128비트 키로도 충분하며, Grover의 양자 속도 향상은 병렬화 불가능
불필요한 256비트 요구는 상호운용성 저해 및 PQC 전환 지연 위험
소프트웨어 및 하드웨어 생태계 영향
Go 표준 라이브러리의 절반 이상이 곧 비안전 상태가 될 가능성
다운그레이드 공격과 하위 호환성 사이의 균형이 새로운 과제
SHA-1 → SHA-256 전환보다 훨씬 더 큰 혼란 예상
TEE(신뢰 실행 환경)— Intel SGX, AMD SEV-SNP 등은PQ 키 미지원으로 신뢰 불가
하드웨어 수준의 속도 한계로 인해 PQ 전환 불가능, “깊이 방어(defense in depth)” 수준으로 격하 필요
암호 기반 생태계와 파일 암호화
암호 기반 신원 시스템**(예: atproto, 암호화폐 등)은**즉시 마이그레이션 시작 필요
CRQC 등장 전에 완료하지 못하면 사용자 손상 또는 계정 폐기 중 선택해야 하는 상황 발생
파일 암호화는 “저장 후 나중에 복호(store-now-decrypt-later)” 공격에 특히 취약
비-PQ age 수신자 타입에 대해 경고 및 차단 기능 도입 예정
PQ 수신자는 age 1.3.0 버전에서 처음 도입됨
교육 및 세대 전환
볼로냐 대학의 암호학 박사 과정 강의에서는 RSA, ECDSA, ECDH를 레거시 알고리듬으로만 다룸
학생들은 실제 경력에서 이들을 “과거 기술”로 접하게 될 것임
PQC 전환이 세대적 전환점임을 상징
후원 및 오픈소스 유지
Geomys는 Go 생태계의 전문 유지보수 조직으로, Ava Labs, Teleport, Tailscale, Sentry의 후원을 받아 운영
이들은 오픈소스 암호 프로토콜의 지속 가능한 유지와 보안성 확보를 지원
Teleport는 사용자 계정 탈취 및 피싱 방어를 위한 접근 제어 강화, Ava Labs는 블록체인 암호 프로토콜의 장기적 신뢰성 확보를 강조
결론
CRQC 출현 가능성은 더 이상 가정이 아닌 실질적 위험
2029년 이전 완전한 PQC 전환이 필수
ML-KEM과 ML-DSA를 즉시 배포하고, 비-PQ 체계는 단계적 폐기해야 함
암호공학 실무자와 의사결정자 모두가 지금 행동해야 할 시점임
댓글 (0)
댓글을 불러오는 중...