"양자컴퓨터가 RSA를 깨는 날" 양자내성암호(PQC) 전환, 한국은 어디까지 왔나

"기존 암호만으론 부족하다, 하이브리드가 답이다." 4월 30일자 이데일리 기사 헤드라인입니다. 갑자기 양자내성암호 이야기가 왜 또 IT 뉴스 톱에 올라왔을까요? 양자컴퓨터가 RSA·ECC 같은 현대 암호 체계를 무력화시킬 수 있다는 'Q-Day(큐데이)' 시나리오가 이제는 학계의 가설이 아니라 정부 정책의 시간표가 됐기 때문입니다. 한국은 2035년 PQC 전환을 목표로 시범사업을 본격 확대 중이고, NIST는 올해 추가 표준화 후보를 공개합니다. 개발자라면 늦어도 내년부터는 라이브러리 선택에 영향을 받기 시작합니다. 오늘은 PQC가 무엇이고, 한국 어디까지 왔으며, 우리는 무엇을 준비해야 하는지 깊게 풀어보겠습니다.

---

1. 양자컴퓨터가 왜 암호를 위협하는가

현대 인터넷 보안의 99%는 두 종류의 공개키 암호에 기반합니다. RSA(소인수분해의 어려움)와 ECC(타원곡선 이산로그의 어려움). 그런데 1994년 피터 쇼어(Peter Shor)가 증명한 쇼어 알고리즘은 충분히 큰 양자컴퓨터에서 이 두 문제를 다항 시간 내에 푼다는 사실을 보였습니다.

암호 알고리즘	기반 문제	고전 컴퓨터	충분히 큰 양자컴퓨터
RSA-2048	소인수분해	수십억 년	몇 시간 (쇼어 알고리즘)
ECC P-256	타원곡선 이산로그	실질적 불가능	수 시간 (쇼어 알고리즘)
AES-256 (대칭)	키 탐색	2^256 시도	2^128 시도 (그로버 알고리즘)

다행히 AES 같은 대칭키 암호는 키 길이만 두 배로 늘리면 양자 시대에도 살아남습니다. 문제는 키 교환과 디지털 서명에 쓰이는 공개키 암호입니다. 인터넷 모든 HTTPS, 모든 인증서, 모든 보안 통신의 토대가 흔들린다는 뜻이죠.

2. HNDL - 지금 가장 무서운 위협

"양자컴퓨터 아직 실용화 안 됐잖아?"라고 안심하기엔 이미 늦었습니다. 보안 업계가 가장 경계하는 시나리오는 HNDL(Harvest Now, Decrypt Later), 즉 '지금 수집해 나중에 해독한다'입니다.

• 공격자가 현재 통신을 그대로 캡처해 저장
• 5~15년 뒤 양자컴퓨터로 RSA·ECC 해독
• 국가 기밀, 의료 기록, 영업비밀 등 장기 보관 데이터가 노출

한 번 노출되면 시간을 되돌릴 수 없는 데이터(외교 전문, 유전 정보, 핵심 IP 등)는 지금 당장 PQC로 보호해야 한다는 결론이 나옵니다. 이게 각국 정부가 PQC 전환을 서두르는 핵심 이유입니다.

3. NIST의 표준화 진행 상황

미국 표준기술연구소(NIST)는 2016년부터 PQC 표준화 공모를 진행해왔고, 2024년까지 1차 표준 알고리즘을 확정했습니다. 2025~2026년에는 추가 서명 알고리즘 표준화가 진행 중입니다.

NIST PQC 표준 알고리즘 (2024년 확정)

표준명	구 명칭	용도	기반
FIPS 203 / ML-KEM	CRYSTALS-Kyber	키 캡슐화 (KEM)	격자 기반
FIPS 204 / ML-DSA	CRYSTALS-Dilithium	디지털 서명	격자 기반
FIPS 205 / SLH-DSA	SPHINCS+	디지털 서명	해시 기반

NIST는 격자 기반에 너무 의존하는 위험을 줄이기 위해 2022년부터 다양한 수학적 기반의 추가 서명 알고리즘 공모를 시작했고, 2024년 10월 14개 알고리즘이 2라운드를 통과했으며 2026년에 최종 후보를 공개할 예정입니다.

4. 한국의 PQC 로드맵 - 2035년 전면 전환

한국은 2023년 'PQC 전환 마스터플랜'을 발표하며 명확한 시간표를 제시했습니다. 핵심은 "2035년까지 국가 주요 정보통신 기반시설에 PQC 기술 적용"입니다.

주요 추진 일정

시기	주요 액션
2023년	PQC 전환 마스터플랜 발표
2025년	에너지·행정·의료 3개 분야 시범전환 사업 실시
2026년 1월 28일	KISA 'PQC 시범전환 사업' 설명회, 200명 이상 참석
2026년	통신·국방·금융·우주·교통 5개 분야 확대, 분야별 9억 원씩 총 45억 원 예산
2026~2030년	과기정통부 R&D 종합시행계획, 암호 민첩성·암호 기반 사이버 위협 대응 과제 추진
2035년	국가 주요 정보통신 기반시설 PQC 전환 완료 목표

한국형 양자내성암호(KpqC)

한국은 NIST 표준에만 의존하지 않고 자체 양자내성암호 공모(KpqC)를 진행해 국산 알고리즘을 확보했습니다. 2025년 최종 선정된 알고리즘은 다음과 같습니다.

• AIMer (에이머): 삼성SDS와 KAIST 공동 개발, 디지털 서명
• SMAUG-T: 크립토랩 개발, 키 캡슐화
• HAETAE (해태): 크립토랩 개발, 디지털 서명

'에이머', '해태' 같은 작명 센스가 인상적입니다. 안보·외교 영역에서 외산 알고리즘에만 의존하는 리스크를 줄이고, 동시에 국내 기술 생태계를 키우려는 의도가 보입니다.

5. "단독 도입은 위험" - 하이브리드 전환이 정답인 이유

4월 말 보도의 핵심 메시지는 "PQC만으로는 부족하다, 기존 암호와 병행해야 한다"였습니다. 왜 그럴까요?

PQC 단독 적용의 위험

1. 알고리즘 자체가 아직 '실전 검증' 부족 - 격자 기반은 1996년 이후 30년 가까운 연구가 있지만, 실제 공격 시나리오가 다 알려진 RSA만큼 검증되진 않음
2. 표준 변경 가능성 - NIST가 SIKE 알고리즘을 표준 후보까지 올렸다가 공격이 발견돼 폐기한 사례(2022)
3. 구현 취약점 - 새 알고리즘 구현체에 부채널 공격 가능성
4. 성능 이슈 - 키와 서명 크기가 기존 대비 수십 배까지 커지는 경우도 있음

하이브리드 모델의 작동 원리

하이브리드 키 교환은 RSA/ECC 같은 기존 알고리즘과 ML-KEM 같은 PQC 알고리즘을 결합해 두 알고리즘 모두를 깨야 보안이 무너지도록 설계합니다. 한쪽이 깨져도 다른 쪽이 남으니 안전한 방어선이 두 겹이 되는 거죠.

# 하이브리드 키 캡슐화 의사 코드
def hybrid_encapsulate(peer_classical_pk, peer_pqc_pk):
    # 1. 기존 X25519로 공유 비밀 ss_classical 생성
    ss_classical, ct_classical = x25519_kem_encap(peer_classical_pk)

    # 2. ML-KEM으로 공유 비밀 ss_pqc 생성
    ss_pqc, ct_pqc = mlkem_encap(peer_pqc_pk)

    # 3. 두 공유 비밀을 결합 (KDF로 결합)
    combined_secret = HKDF(ss_classical || ss_pqc, info="hybrid")

    return combined_secret, (ct_classical, ct_pqc)

6. 개발자가 지금 알아둬야 할 것들

"나는 보안 전문가가 아닌데?"라고 생각하시는 분들도 무관하지 않습니다. PQC 전환은 결국 라이브러리·SDK·인프라 전반에 영향을 줍니다.

OpenSSL/BoringSSL 진영의 흐름

• OpenSSL 3.x: OQS-Provider를 통해 PQC 알고리즘 실험적 지원
• BoringSSL: ML-KEM(Kyber768) 기반 하이브리드 X25519MLKEM768 그룹을 크롬에서 기본 활성화
• Cloudflare: 모든 엣지에서 PQC 하이브리드 TLS 운영 중
• AWS KMS: PQC 하이브리드 키 교환 지원 시작

개발자 체크리스트

1. 현재 우리 시스템이 어떤 암호를 어디서 쓰고 있는지 인벤토리 확보 (KISA 김준섭 팀장이 강조한 핵심 메시지)
2. 장기 보존 데이터(10년 이상)는 우선순위 상단 - HNDL 위협 대응
3. 인증서 발급·갱신 시스템에 알고리즘 민첩성(crypto agility) 반영
4. 의존하는 라이브러리·SDK의 PQC 로드맵 확인
5. 하드웨어 보안 모듈(HSM) 벤더의 PQC 지원 일정 확인

7. 정리 - "선언이 아니라 인벤토리부터"

NetSec-KR 2026 행사에서 KISA 김준섭 팀장은 핵심 메시지를 한 문장으로 정리했습니다. "PQC 전환은 선언으로 되는 일이 아니다. 먼저 현재 시스템 안의 암호를 찾고, 중요한 자산부터 순서를 정해 바꾸고, 그 일을 할 사람과 산업 기반까지 같이 준비해야 한다." PQC 전환의 시작은 새 기술 도입이 아니라 현재 상태 파악입니다.

 

2035년이 멀어 보이지만 IT에서 10년은 결코 길지 않습니다. 카드사 인증서 갱신 한 번 하는 데도 몇 년이 걸리는데, 인터넷 전체 암호 체계를 바꾸는 작업이라면 지금 시작해도 빠듯합니다. 양자컴퓨터가 RSA를 깨는 날을 기다리지 말고, 그날이 오기 전에 우리 시스템을 점검해두는 것이 진짜 준비입니다.

---

참고 자료

• 이데일리, "양자내성암호만으론 부족"…기존 암호와 '병행'이 답 (2026.4.30)
• 보안뉴스, [2026 양자보안 솔루션 리포트] 2035년 양자내성암호 체계 전환, 지금부터 대비해야 - https://www.pentasecurity.co.kr/in-the-news/2026-quantum-security-solution-report/
• 펜타시큐리티, 양자내성암호 확산… 정부·업계는 하이브리드 선택 [보안 아웃룩] - [펜타시큐리티 링크]
• 드림시큐리티, 양자내성암호(PQC), 지금 준비하지 않으면 늦는 이유 - https://www.dreamsecurity.com/pr/news/1079
• 테크데일리, 양자내성암호(PQC) 전환 본격화...글로벌 경쟁 속 한국 로드맵은 - https://www.techdaily.co.kr/news/articleView.html?idxno=28143
• 데일리시큐, [NetSec-KR 2026] "PQC 전환, 기술 도입보다 현황 파악이 먼저" - https://www.dailysecu.com/news/articleView.html?idxno=206317
• KISA 암호이용활성화, 차세대 암호 - 양자내성암호 - https://seed.kisa.or.kr/kisa/ngc/pqc.do
• 양자내성암호연구단(KpqC) - https://kpqc.or.kr/