양자컴퓨터가 암호를 깨는 날, 정말 언제 오는 걸까

양자컴퓨터가 현재의 암호 체계를 무력화하는 시나리오. SF 소설이 아니라 각국 정보기관과 빅테크가 수조 원을 쏟아붓고 있는 현실의 문제입니다. 최근 구글이 양자 위협으로 인한 잠재적 피해 규모를 1,000억 달러 이상으로 경고하면서, 이 주제가 다시 한번 수면 위로 올라왔습니다. 그런데 정작 현직 암호학 엔지니어들 사이에서는 타임라인에 대한 시각이 꽤 갈립니다.

CRQC가 뭔데, 왜 난리인가

CRQC는 Cryptographically Relevant Quantum Computer의 약자입니다. 쉽게 말해 현재 우리가 쓰는 RSA, ECC 같은 공개키 암호를 실제로 깰 수 있을 만큼 강력한 양자컴퓨터를 뜻합니다. 지금 존재하는 양자컴퓨터로는 어림도 없습니다. RSA-2048을 깨려면 수천 개의 논리 큐비트가 필요한데, 현재 기술로는 물리 큐비트 수천 개를 겨우 다루는 수준이니까요.

문제는 쇼어 알고리즘(Shor’s Algorithm)입니다. 이 알고리즘은 충분한 큐비트를 가진 양자컴퓨터가 있으면 소인수분해와 이산로그 문제를 고전 컴퓨터 대비 기하급수적으로 빠르게 풀 수 있습니다. 현대 인터넷 보안의 근간인 TLS, 전자서명, 키 교환 프로토콜 대부분이 이 두 문제의 어려움에 기대고 있습니다.

타임라인 논쟁 — 10년 후인가, 30년 후인가

암호학 커뮤니티 내부에서 CRQC 등장 시점에 대한 예측은 크게 세 갈래로 나뉩니다.

낙관론(위협 관점에서의 비관론) 쪽은 2030년대 중반을 이야기합니다. 구글, IBM 등 양자 하드웨어 선두 기업들의 로드맵을 근거로, 오류 정정 기술의 급격한 발전이 이어지면 2035년 전후에 CRQC가 현실화될 수 있다는 입장입니다. 미국 NSA가 2015년부터 포스트양자 전환을 촉구해온 것도 이 시나리오를 염두에 둔 것이죠.

중립론은 2040년대를 봅니다. 현재의 기술 발전 속도를 선형적으로 외삽하면, 논리 큐비트 수천 개를 안정적으로 운용하는 것은 아직 갈 길이 멀다는 분석입니다. 오류율을 낮추는 문제가 단순히 큐비트 수를 늘리는 것보다 훨씬 어렵다는 점이 핵심 근거입니다.

회의론은 CRQC가 수십 년 내에는 불가능하거나, 아예 실현되지 않을 수 있다고 봅니다. CoinShares 같은 기관도 양자 위협이 과대평가되었다는 보고서를 내놓은 바 있습니다. 양자 오류 정정의 물리적 한계를 근거로 드는 경우가 많습니다.

현직 엔지니어들이 진짜 걱정하는 것

흥미로운 건, 실제 암호학 엔지니어들이 가장 걱정하는 시나리오는 CRQC의 등장 시점 자체가 아니라는 점입니다.

첫째, Harvest Now, Decrypt Later 공격입니다. 적대적 국가가 지금 암호화된 통신 데이터를 대량으로 수집해두고, CRQC가 나오면 한꺼번에 복호화하는 전략입니다. 외교 통신, 군사 기밀, 기업 비밀 같은 장기 보존 가치가 있는 데이터가 표적입니다. CRQC가 15년 후에 나오든 30년 후에 나오든, 지금 수집된 데이터는 어차피 위험합니다.

둘째, 마이그레이션에 걸리는 시간입니다. 대규모 시스템의 암호 체계를 교체하는 데는 보통 10~15년이 걸립니다. 미국 정부가 NIST 포스트양자 표준을 2024년에 확정하고 연방 기관에 2035년까지 전환을 요구한 것도 이 때문입니다. 만약 CRQC가 2040년에 온다면, 2025년에 시작해도 빠듯한 일정입니다.

NIST 표준화 이후, 지금 어디까지 왔나

2024년 8월, NIST는 최초의 포스트양자 암호 표준 3종을 공식 발표했습니다. ML-KEM(키 캡슐화), ML-DSA(전자서명), SLH-DSA(해시 기반 서명)가 그것입니다. 2025년에는 HQC라는 코드 기반 알고리즘이 추가 표준으로 선정되었습니다.

클라우드 업체들은 이미 움직이고 있습니다. 구글 크롬은 2024년부터 TLS 핸드셰이크에 ML-KEM을 실험적으로 적용하기 시작했고, 시그널 메신저는 PQXDH라는 포스트양자 키 교환 프로토콜을 도입했습니다. AWS, 클라우드플레어 등도 포스트양자 TLS를 단계적으로 지원하고 있습니다.

하지만 대다수 기업의 현실은 다릅니다. 자사 시스템에서 어떤 암호 알고리즘이 어디에 쓰이고 있는지조차 파악하지 못한 곳이 대부분입니다. 암호학 엔지니어들이 가장 먼저 권하는 작업이 크립토 인벤토리, 즉 암호 자산 목록 작성인 이유입니다.

비트코인은 괜찮을까

양자 위협 논의에서 빠지지 않는 주제가 암호화폐입니다. 비트코인은 ECDSA 서명과 SHA-256 해싱을 사용하는데, 쇼어 알고리즘이 위협하는 건 ECDSA 부분입니다. 공개키가 노출된 주소의 비트코인은 CRQC로 개인키를 역산해 탈취할 수 있다는 이야기입니다.

다만 현실적으로는 몇 가지 완충 장치가 있습니다. 비트코인 주소 대부분은 공개키 해시를 사용하므로, 코인을 전송하기 전까지는 공개키가 노출되지 않습니다. 또 비트코인 커뮤니티도 포스트양자 서명으로의 전환을 이미 논의 중입니다. 물론 수조 달러 규모의 자산이 걸린 문제인 만큼, 구글이 경고한 1,000억 달러 리스크가 과장만은 아닙니다.

그래서 지금 뭘 해야 하나

암호학 엔지니어들의 메시지는 놀라울 정도로 일관됩니다. CRQC가 정확히 언제 오는지는 아무도 모르지만, 준비는 지금 시작해야 한다는 것입니다.

타임라인 논쟁에 매몰되면 핵심을 놓칩니다. 양자컴퓨터가 2035년에 오든 2050년에 오든, 대규모 암호 마이그레이션은 어차피 10년 이상 걸리는 프로젝트입니다. 그리고 Harvest Now, Decrypt Later 공격은 이미 진행 중일 가능성이 높습니다. 결국 문제는 양자컴퓨터가 오느냐 마느냐가 아니라, 그때 우리가 준비되어 있느냐 아니냐입니다.