IT/AI · 사이버보안 · 2026년 3월 13일

포스트 양자 암호 PQC:
2035년 전에 안 바꾸면 데이터 털린다

지금 이 순간에도 누군가는 당신의 암호화된 데이터를 저장하고 있습니다. 양자 컴퓨터가 완성되는 날, 그 데이터를 한꺼번에 풀어낼 계획과 함께요. 이것이 단순한 공상이 아니라 이미 진행 중인 공격이라는 사실을 아는 사람은 많지 않습니다.

포스트 양자 암호란? — 왜 지금 이 이야기를 해야 하나

포스트 양자 암호(Post-Quantum Cryptography, PQC)는 양자 컴퓨터가 등장해도 해독할 수 없도록 설계된 차세대 암호 알고리즘입니다. 현재 인터넷 보안의 근간인 RSA와 타원 곡선 암호(ECC)는 고전 컴퓨터로는 수억 년이 걸리는 수학 문제에 기반하고 있습니다. 그런데 문제가 있습니다. 1994년 피터 쇼어(Peter Shor)가 개발한 알고리즘은 충분한 성능의 양자 컴퓨터만 있으면 이 문제를 몇 분 만에 풀어버린다는 것을 수학적으로 증명했습니다.

양자 컴퓨터는 0과 1을 동시에 처리하는 ‘큐비트(qubit)’를 이용해 고전 컴퓨터와는 차원이 다른 병렬 연산을 수행합니다. 구글의 ‘윌로우(Willow)’ 칩은 슈퍼컴퓨터가 10의 25제곱 년이 걸리는 연산을 단 5분 만에 완료했습니다. IBM은 2026년을 양자 기술의 산업 전반 합의 형성 시점으로 보고 있으며, IDC는 2030년까지 미국·EU·중국 정부가 암호 체계 해독을 포함한 복잡한 문제의 50%를 양자 가속 슈퍼컴퓨팅으로 해결할 것으로 전망합니다.

포스트 양자 암호는 이 위협에 대한 선제적 해답입니다. 쇼어 알고리즘이 뚫을 수 없는 수학적 구조, 즉 격자(Lattice), 해시(Hash), 코드(Code) 기반 문제를 활용해 양자 컴퓨터로도 해독이 불가능한 암호를 만드는 것입니다. 단순히 ‘기술자들의 이야기’가 아닙니다. 지금 당신이 쓰는 인터넷 뱅킹, 의료 기록, 기업 기밀문서 모두 현재의 RSA 암호로 보호되고 있기 때문에 이 이야기는 당신의 일입니다.

▲ 목차로 돌아가기

HNDL 공격: 이미 당신의 데이터는 저장됐을 수 있다

보안 전문가들이 가장 두려워하는 공격 시나리오가 있습니다. 바로 ‘지금 저장, 나중에 복호화(HNDL: Harvest Now, Decrypt Later)’ 공격입니다. 해킹 그룹이나 국가 수준의 공격자들이 지금 당장 암호를 풀지 못하더라도, 암호화된 트래픽을 대량으로 수집해 저장해 두었다가 미래의 양자 컴퓨터로 한꺼번에 해독하는 전략입니다.

사이버아크(CyberArk)의 혁신 담당 수석부사장 케빈 보섹은 “HNDL은 이미 존재하는 위험”이라고 단언합니다. 구글의 켄트 워커 사장도 2026년 2월 8일 공개 성명을 통해 “악의적 행위자들이 이미 금융 데이터와 기밀 통신을 선제적으로 수집하고 있다”고 경고했습니다. 이 공격이 특히 위험한 이유는, 공격이 진행되고 있다는 사실을 피해자가 전혀 눈치챌 수 없다는 점입니다.

모든 암호화가 동일하게 위험한 것은 아닙니다. 접근 인증 토큰처럼 수명이 짧은 데이터는 상대적으로 위험이 낮습니다. 반면 10년 이상 보호돼야 하는 정보 — 금융 거래 내역, 의료 기록, 기업 영업 비밀, 국가 안보 문서 — 는 즉각적인 위험 대상입니다. 특히 IoT 기기처럼 한 번 설치하면 10~20년 동안 운용되는 장비라면, 지금 당장 포스트 양자 암호를 염두에 두고 설계하지 않으면 이미 늦은 것입니다.

▲ 목차로 돌아가기

NIST가 확정한 PQC 표준 4종 — 뭐가 뭔지 한눈에

미국 국립표준기술연구소(NIST)는 2016년부터 8년에 걸친 국제 공모전을 통해 2024년 8월 세계 최초의 공식 양자내성암호 표준을 확정했습니다. 수십 개국, 수백 명의 암호학자가 제출한 알고리즘을 치열하게 검증한 결과물입니다. 2025년 3월에는 다섯 번째 알고리즘인 HQC가 추가로 선정되어 현재 표준화 작업이 진행 중입니다. 이 표준들은 단순한 권고가 아니라, 향후 전 세계 인터넷 보안 인프라의 기반이 될 사실상의 글로벌 표준입니다.

이 중 ML-KEM이 가장 먼저 주목받는 이유는 키 교환 프로토콜의 핵심이기 때문입니다. 우리가 HTTPS로 웹사이트에 접속할 때, 서버와 브라우저 사이에서 암호 키를 주고받는 과정에 ML-KEM이 적용되면 양자 컴퓨터로도 그 키를 탈취할 수 없게 됩니다. 구글은 이미 자사의 모든 핵심 서비스와 구글 클라우드에 ML-KEM을 전면 도입 완료했습니다. 클라우드플레어도 2025년 10월 기준으로 자사 네트워크를 통하는 사람 발생 트래픽의 절반 이상이 이미 PQC로 암호화됐다고 발표했습니다.

▲ 목차로 돌아가기

구글·미국 연방정부가 2026년에 한 일

구글의 선제 마이그레이션: 경쟁사보다 18개월 앞서

구글은 2026년 2월 8일 Alphabet의 글로벌 업무 담당 사장 켄트 워커를 통해 충격적인 발표를 했습니다. 양자 위협이 이론적 단계를 지나 임박한 현실로 다가왔다고 경고하며, 정부와 산업계에 즉각적인 PQC 전환을 촉구한 것입니다. 더 중요한 것은, 구글은 이미 자사 내부 트래픽 전체에 ML-KEM을 전면 적용했다는 사실입니다. 경쟁사 대비 약 18개월 빠른 속도입니다.

구글이 제시한 5가지 정책 권고안은 구체적입니다. 전력·의료 등 핵심 인프라의 우선적 보호, 클라우드 우선 현대화, AI 시스템 구축 시 PQC 설계 내장, 글로벌 표준 단일화, 그리고 기업 전반의 암호 자산 목록화가 그것입니다. 단순한 기술 홍보가 아니라, 현재 글로벌 기업 중 양자 내성 로드맵을 보유한 조직이 9%에 불과하다는 현실적 위기감에서 나온 권고입니다.

미국 연방정부: 2026년부터 PQC 준수 의무화

미국 사이버보안 및 인프라 보안국(CISA)은 이미 2026년을 기점으로 모든 연방 정부 계약에 PQC 준수를 의무화했습니다. 이는 미국 정부에 납품하는 모든 민간 기업도 암호화 모듈을 전면 교체해야 한다는 의미입니다. EU 역시 2026년 말까지 회원국의 PQC 전환 시작을 공식 권고했으며, NIST는 RSA·ECDSA·ECC가 2030년부터 단계적으로 폐지되고 2035년에는 완전히 사용 금지된다는 일정을 공표했습니다.

▲ 목차로 돌아가기

한국의 대응: 범국가 마스터플랜의 현재 위치

한국도 이 흐름을 인식하고 있습니다. 2023년 7월, 과학기술정보통신부·국가정보원·행정안전부·KISA가 공동으로 「범국가 양자내성암호 전환 마스터플랜」을 공표했습니다. 2021년부터 진행된 국내 공모전(KpqC)을 통해 2025년 1월 4종의 알고리즘을 최종 선정했으며, 현재 에너지·의료·행정 분야를 대상으로 「양자내성암호 시범전환 지원사업」을 운영 중입니다.

한국이 자체 알고리즘을 보유하고 있다는 사실은 전략적으로 의미가 큽니다. 미국 NIST 표준을 그대로 따르면 특정 국가의 백도어 위험성에 노출될 수 있기 때문입니다. NTRU+, SMAUG-T(키 교환)와 HAETAE, AIMer(전자서명)는 이런 우려를 독립적으로 해소하기 위한 한국 고유의 자산입니다. 또한 CES 2026에서 삼성전자가 하드웨어 PQC 칩 ‘S3SSE2A’로 사이버보안 부문 혁신상을 수상하는 등, 한국 기업들도 글로벌 PQC 하드웨어 시장 선점에 적극 나서고 있습니다.

그러나 솔직히 말하면 속도는 충분하지 않습니다. 마스터플랜이 나왔어도 실제 민간 기업들이 체감할 수 있는 규제나 인센티브 구조는 아직 미흡합니다. 정부가 계획을 발표하는 속도와 기업들이 실제로 전환하는 속도 사이의 간극이 앞으로 한국의 사이버 안보에서 가장 큰 취약점이 될 수 있다고 생각합니다.

▲ 목차로 돌아가기

내 서비스·데이터, 지금 당장 점검할 수 있는 방법

1단계: 암호 자산 목록화 — 뭘 쓰고 있는지 모르면 시작도 안 된다

IBM과 클라우드 시큐리티 얼라이언스의 조사에 따르면 연매출 2,500억 원 이상 기업 중에서도 완전한 암호 자산 목록을 보유한 곳은 30%에 불과합니다. 첫걸음은 현재 자신의 서비스나 시스템이 어떤 암호화 프로토콜(TLS 1.2/1.3, RSA-2048, ECDSA 등)을 사용하는지 파악하는 것입니다. 운영 암호화, 소프트웨어 암호화, 네트워크 암호화, 하드웨어 암호화 전 영역을 점검해야 합니다.

2단계: 위험 우선순위 분류 — 전부 당장 바꿀 필요는 없다

수명이 짧은 인증 토큰이나 세션 키는 우선순위가 낮습니다. 반면 5년 이상 보존해야 하는 금융 데이터, 의료 정보, 계약서 등은 즉각 PQC 전환 검토가 필요합니다. 특히 TLS 인증서 관리 시스템을 정비할 계획이 있다면 지금이 PQC를 함께 도입할 최적의 타이밍입니다. 2029년까지 TLS 인증서 유효기간이 현재 1년 이상에서 47일로 단축되기 때문에, 어차피 인증서 관리 체계를 바꿔야 하는 상황입니다.

3단계: 하이브리드 암호화 전략 — 한 번에 바꾸지 않아도 된다

현재 업계에서 권장하는 전환 전략은 기존 암호(RSA/ECC)와 새 PQC 알고리즘을 병렬로 사용하는 하이브리드 암호화입니다. 어느 한쪽이 뚫려도 다른 쪽이 버텨주는 구조입니다. 클라우드플레어도 이 방식을 채택했으며, 현재 네트워크 트래픽의 50% 이상이 이미 PQC 하이브리드 방식으로 보호되고 있습니다. 레거시 시스템과의 호환성을 유지하면서도 점진적으로 양자 안전 체계로 전환할 수 있는 현실적인 방법입니다.

▲ 목차로 돌아가기

모스카의 정리: 당신이 생각하는 것보다 시간이 없다

PQC 전문가들이 기업의 위험도를 계산할 때 쓰는 공식이 있습니다. 모스카의 정리(Mosca’s Theorem)입니다. 공식은 단순합니다.

예를 들어 설명해 보겠습니다. 양자 컴퓨터가 7년 뒤 등장할 것으로 예상되고(미 GAO 추정 10~20년의 낙관 시나리오), 데이터는 5년간 보호돼야 하며, 암호화 전환에 3년이 걸린다고 가정해 봅니다. 5+3=8이 7보다 크므로, 이미 지금 전환을 시작해도 늦을 수 있다는 결론이 나옵니다. 탈레스의 블레어 캐너번은 업계 전문가들 사이에서 “크립토칼립스(Cryptocalypse)까지 5년 이내에 와 있다”는 인식이 이미 확산됐다고 전했습니다.

IBM의 설문조사에서 대기업 임원들은 양자 안전 표준을 전사에 통합하는 데 평균 12년이 걸릴 것으로 내다봤습니다. 2026년에 시작해서 12년이면 2038년입니다. 미국 NIST가 구형 암호 완전 폐지 시점으로 못 박은 2035년을 훌쩍 넘기는 것입니다. ‘지금 당장 시작해도 늦을 수 있다’는 전문가들의 경고가 단순한 과장이 아닌 이유가 바로 여기에 있습니다.

외부 링크: NIST 포스트 양자 암호 공식 프로젝트 페이지 →

▲ 목차로 돌아가기

자주 묻는 질문 (Q&A)

▲ 목차로 돌아가기

마치며 — 총평

포스트 양자 암호는 여전히 많은 사람들에게 ‘먼 미래 이야기’로 느껴집니다. 그게 문제입니다. HNDL 공격은 이미 진행 중이고, NIST는 표준을 확정했으며, 구글은 전환을 마쳤고, 미국 정부는 의무화를 선언했습니다. 그런데도 전 세계 기업의 91%는 아직 로드맵도 없습니다.

이 글에서 가장 강조하고 싶은 것은 하나입니다. 포스트 양자 암호 전환은 기술 문제가 아니라 의사결정 문제라는 것입니다. 기술은 이미 있습니다. NIST 표준도 있고, 오픈소스 라이브러리도 있으며, 구글·클라우드플레어의 선례도 있습니다. 부족한 것은 경영진의 관심과 예산 우선순위, 그리고 ‘지금 당장 해야 한다’는 긴박감입니다.

모스카의 정리가 말해 주듯이, 전환에 12년이 걸린다면 2026년에 시작해도 2038년에야 완료됩니다. RSA·ECC가 완전 폐지되는 2035년을 이미 3년이나 초과합니다. 지금이 아니면 정말로 늦습니다. 포스트 양자 암호, 더 이상 나중으로 미룰 수 없는 이유입니다.

참고 출처:
KISA 양자내성암호 공식 페이지 |
NIST PQC 공식 프로젝트

▲ 목차로 돌아가기