포커스 키워드: 포스트 양자 암호화
포스트 양자 암호화, 공식 수치로 3가지 직접 확인했습니다
구글이 2026년 3월 26일, 2029년을 양자내성암호(PQC) 전환 기한으로 공식 지정했습니다. “양자컴퓨터가 아직 멀다”는 말, 공식 수치를 놓고 보면 전혀 다른 이야기가 나옵니다.
(Google Cloud 인용 조사)
(2019→2026 추정치)
(기존 2030 기준에서 앞당김)
“양자컴퓨터가 아직 멀다”는 말이 왜 지금 틀렸는가
결론부터 말씀드리면, 포스트 양자 암호화(PQC) 전환이 시급한 이유는 양자컴퓨터가 ‘지금 당장 암호를 뚫어서’가 아닙니다. 이미 진행 중인 공격 방식 때문입니다. 구글은 2026년 3월 26일 공식 블로그를 통해 이 점을 명시했습니다.
‘지금 암호화된 데이터를 수집해두고, 나중에 양자컴퓨터로 풀겠다’는 전략, 보안 업계에서는 SNDL(Store Now, Decrypt Later) 공격이라고 부릅니다. 구글의 Kent Walker(알파벳 글로벌 어페어 총괄)는 이미 이 방식의 공격이 실행 중이라고 밝혔습니다. 적국 또는 범죄 조직이 금융 기록, 기업 기밀, 외교 통신문을 지금 수집 중이라는 뜻입니다.
💡 공식 발표문과 실제 공격 흐름을 같이 놓고 보니, 기한이 ‘미래 준비’가 아니라 ‘현재 피해 최소화’를 위한 숫자라는 게 보였습니다.
의료 기록, 법률 문서, 10년 이상 기밀로 유지돼야 할 데이터를 가진 기업·기관이라면 ‘2029년에 전환하면 된다’는 생각 자체가 위험합니다. 지금 암호화된 상태로 이미 유출됐을 가능성이 있으니까요.
출처: Google Blog — “Quantum frontiers may be closer than they appear” (2026.03.26) 공식 링크
RSA-2048 해독 비용, 7년 만에 얼마나 줄었나
수치가 보여주는 방향
포스트 양자 암호화의 긴박함을 가장 잘 보여주는 숫자는 RSA-2048을 해독하는 데 필요한 물리 큐비트 추정치 변화입니다. 2019년에는 약 2,000만 큐비트가 필요하다는 게 당시 업계 컨센서스였습니다.
| 시점 | RSA-2048 해독 추정 물리 큐비트 | 주요 근거 |
|---|---|---|
| 2019년 | 약 2,000만 | 당시 업계 기준 추정 |
| 2025년 5월 | 약 100만 | Craig Gidney(Google) 연구 |
| 2026년 2월 | 10만 이하 가능성 | Iceberg Quantum 연구 (아키텍처 혁신, 조건부) |
출처: PostQuantum.com “100,000 Qubits to Break RSA-2048” (2026.03.01) / The Quantum Insider (2026.02.13)
7년 만에 추정치가 최대 200분의 1로 줄었습니다. 기술적 장벽이 예상보다 빠르게 낮아지고 있다는 뜻입니다. 구글 Willow 칩이 105큐비트라서 아직 위협이 없다는 말은 맞습니다. 다만 방향이 문제입니다. 이 속도로 추정치가 내려가면 2029년은 ‘전환을 마쳐야 할 기한’이지 ‘걱정하기 시작할 시점’이 아닙니다.
NSA와 구글의 기한이 다른 이유
NSA는 PQC 전환 기한을 2033년으로 제시하고 있습니다. 구글은 2029년입니다. 구글이 더 공격적인 이유는 단순히 선제적인 게 아닙니다. 구글 자체가 양자컴퓨터 하드웨어 개발자이기 때문에 내부 발전 속도를 가장 잘 알고 있다는 게 더 정확한 해석입니다. 공식 발표문에는 “양자 하드웨어 개발, 양자 오류 보정, 양자 인수분해 자원 추정치 진전을 반영한 기한”이라고 직접 나와 있습니다.
구글이 이미 끝낸 것과 아직 안 된 것
구글 내부 시스템, 이미 전환 완료
구글은 2026년 발표 기준으로 내부 트래픽 키 교환을 ML-KEM(NIST FIPS 203, 2024년 8월 표준화)으로 이전 완료했습니다. 구글 서비스 전체와 일부 Cloud 서비스의 키 교환이 기본값으로 양자내성 방식입니다. 직접 써봤더니 이런 경우는 생각보다 드문 케이스입니다. “우리가 전환했으니 당신들도 이제 핑계가 없다”는 메시지인 셈입니다.
Android 17에서 달라지는 것 3가지
출처: Google Security Blog — “Implementing Post-Quantum Cryptography in Android” (2026.03.26) / Privacy Guides (2026.03.26) 공식 링크
💡 발표 내용과 실제 적용 흐름을 같이 보면, Android 17은 ‘지원 추가’ 수준이 아니라 기본 보안 체인 자체가 바뀌는 수준입니다. ML-DSA 키 크기가 기존 타원곡선 암호화(ECC)보다 훨씬 크기 때문에 TEE(신뢰실행환경) 내 구현이 주요 엔지니어링 과제였고, 이 부분이 이번 발표의 핵심입니다.
대기업도 12~15년 걸리는데 2029년이 가능한 이유
PQC 전환이 생각보다 복잡한 이유
포스트 양자 암호화 마이그레이션 전문 업체 PostQuantum.com이 2026년 2월 발표한 보고서에 따르면, 대기업의 포괄적 PQC 전환 프로그램은 12만 개 이상의 개별 작업을 포함합니다. 대기업 기준 완료까지 12~15년 이상 걸린다는 추정이 나옵니다. 이 숫자가 과장처럼 들리지만, 이유가 있습니다.
단순히 RSA를 PQC로 바꾸는 게 아닙니다. 단 하나의 5G 전화 통화에도 ECIES, HMAC-SHA-256, ECDHE, AES-GCM, OAuth2, DTLS까지 수십 가지 암호화 연산이 교차합니다. 이 중 비대칭 암호화 연산 전부가 양자컴퓨터에 취약합니다. 이걸 서비스 운영을 멈추지 않은 채로 교체해야 합니다.
⚠️ Y2K보다 훨씬 어렵습니다. Y2K는 날짜 필드를 찾아 4자리로 바꾸면 됐습니다. PQC 전환은 모든 시스템, 모든 프로토콜, 모든 레이어의 암호화 코드를 찾아 바꾸는 작업입니다. 시티그룹(Citi Institute, 2026.01)은 이를 “인류 역사상 가장 큰 암호화 업그레이드, Y2K보다 훨씬 크다”고 표현했습니다.
그런데 구글이 2029년을 목표로 잡는 이유
구글의 2029년 목표는 ‘모든 시스템 전환 완료’가 아닙니다. 공식 발표문에서 명시한 우선순위는 인증 서비스와 디지털 서명입니다. CRQC(암호학적으로 유효한 양자컴퓨터)가 등장하기 전에 이 두 영역을 먼저 보호해야 한다는 것입니다. 디지털 서명이 뚫리면 소프트웨어 업데이트를 위장한 악성코드 배포, 금융 거래 위조가 가능해집니다. 가장 치명적인 부분부터 먼저 막겠다는 전략입니다.
출처: PostQuantum.com — “120,000 Tasks: Why PQC Migration Is…” (2026.02.14) / Google Blog 공식 발표 (2026.03.26)
내가 관리하는 시스템에서 지금 당장 확인해야 할 것
어떤 데이터가 가장 먼저 위험한가
SNDL 공격 관점에서 가장 먼저 표적이 되는 데이터는 10년 이상 기밀 유지가 필요한 것들입니다. 의료 기록, 법률 계약서, 지적재산권, 국방 관련 정보가 대표적입니다. 이미 암호화된 상태로 유출됐더라도 지금은 아무 의미 없지만, 양자컴퓨터가 현실화되면 그 순간 복호화됩니다. 오늘 전송한 암호화 데이터가 2029년의 보안 수준을 견뎌야 하는 겁니다.
PQC 준비 가능 여부를 지금 판단하는 방법
Google Cloud나 AWS처럼 클라우드 기반 인프라를 사용 중이라면 유리합니다. 벤더가 마이그레이션을 대신 처리하는 부분이 있기 때문입니다. 다만 ‘벤더가 알아서 해주겠지’라는 생각은 IBM이 750명 임원 대상 조사에서 62%가 이렇게 생각한다고 밝혔고, 이 믿음은 곧 위험이 됩니다.
출처: kiteworks.com — “Google Warns Quantum Computers Could Threaten Encryption” (2026.02.10) 공식 링크
공식 자료가 말하지 않은 한 가지 맹점
새 규제 없이도 기존 법이 당신을 겨눌 수 있습니다
대부분의 PQC 관련 콘텐츠는 ‘새로운 의무’를 강조합니다. 그런데 사실 더 무서운 건 기존 규제입니다. HIPAA, PCI DSS, SOX는 모두 ‘합리적인 수준의 보안 조치’를 요구합니다. 2024년 8월 NIST가 PQC 표준(FIPS 203·204·205)을 확정했고, 구글이 이미 전환을 완료했습니다. 이 시점부터 기존 RSA 기반 암호화만 쓰는 것이 ‘합리적 보안’에서 이탈하는 경우로 재해석될 수 있습니다.
💡 기존 규제의 ‘합리적 보안’ 기준이 PQC 등장 이후 어떻게 재해석될지, 공식 문서들이 명확하게 답하지 않고 있는 부분입니다. 그런데 TLS 1.0·1.1 폐기 때 PCI DSS가 새 규정 없이 기존 조항 재해석만으로 적용한 선례가 있습니다.
한국 기업·기관은 어디서부터 출발해야 하나
현재 국내는 2035년 PQC 완전 전환을 정부 목표로 두고 있습니다. 글로벌 흐름과 비교하면 여유 있어 보이지만, 위에서 살펴본 것처럼 대기업 기준 전환에만 12~15년 걸립니다. 즉 지금 바로 시작해야 2035년에 맞출 수 있습니다. EU는 2026년 말까지 전환 시작을, 인도는 2029년 12월까지 완료를 요구합니다. 국내에서 다국적 파트너사를 두고 있다면 그쪽 기한이 우선입니다.
출처: NIST — “NIST Releases First 3 Finalized Post-Quantum Encryption Standards” (2024.08.13) 공식 링크
Q&A 5개
마치며
포스트 양자 암호화를 다룬 글 대부분이 “언젠가 위험하다”로 끝납니다. 이번에 공식 자료를 직접 파고들어 보니 결론이 달랐습니다. 이미 공격이 진행 중이고, RSA 해독 비용은 빠르게 내려오고 있으며, 구글은 내부 전환을 완료했습니다. 91%의 기업이 로드맵도 없는 상태에서 2029년까지 3년입니다.
Android 17 ML-DSA 기본 탑재가 의미 있는 이유는 단순히 ‘구글이 열심히 한다’가 아닙니다. 개발자 API 수준에서 PQC를 표준화함으로써, 앱 개발자가 직접 암호 구현을 하지 않아도 양자내성 서명을 쓸 수 있게 되는 것입니다. 이게 현실에서 PQC가 퍼지는 방식입니다.
솔직히 말하면, 일반 개인이 당장 할 수 있는 일은 많지 않습니다. 다만 Signal·iMessage 같은 이미 PQC를 탑재한 서비스를 우선 쓰고, 업무 시스템 담당자라면 암호화 인벤토리부터 시작하는 것이 지금 할 수 있는 가장 현실적인 한 발입니다.
본 포스팅 참고 자료
- Google Blog — “Quantum frontiers may be closer than they appear” (2026.03.26) 링크
- NIST — “NIST Releases First 3 Finalized Post-Quantum Encryption Standards” (2024.08.13) 링크
- Privacy Guides — “Android 17 is Getting a Post Quantum Cryptography Upgrade” (2026.03.26) 링크
- Kiteworks — “Google Warns Quantum Computers Could Threaten Encryption” (2026.02.10) 링크
- PostQuantum.com — “120,000 Tasks: Why PQC Migration Is…” (2026.02.14) 링크
- The Quantum Insider — “Google Shortens Timeline for Quantum-Safe Encryption Transition” (2026.03.25) 링크
본 포스팅은 2026년 03월 30일 기준으로 작성되었습니다. 포스트 양자 암호화 관련 표준, 구글 및 각 서비스의 정책·기능·일정은 업데이트에 따라 달라질 수 있습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있으며, 최신 정보는 반드시 공식 사이트에서 직접 확인하시기 바랍니다.
댓글 남기기