[IT-최신기술] 양자내성암호(PQC)란? RSA·AES는 언제, 어떻게 바뀔까

양자내성암호(PQC)란? RSA·AES는 언제, 어떻게 바뀔까

양자컴퓨터가 현실화될수록 가장 먼저 영향을 받는 영역은 ‘보안’입니다. 특히 RSA/ECC 같은 공개키 암호는 쇼어(Shor) 알고리즘에 의해 구조적으로 취약해질 수 있고, 이는 “언젠가 바꾸자”가 아니라 지금부터 전환 계획을 세워야 하는 문제가 됩니다. 이 글에서는 양자 알고리즘이 기존 암호(RSA·AES)에 미치는 영향을 정리한 뒤, 대안으로 주목받는 양자내성암호(PQC)의 개념과 표준화 흐름, 그리고 실무에서 바로 적용 가능한 전환 로드맵(체크리스트)을 제공합니다.

 

목 차

1. 왜 양자내성암호(PQC)가 필요한가?
2. 양자 알고리즘이 기존 암호(RSA·AES)에 미치는 영향
3. 양자내성암호(PQC)의 핵심 개념과 종류
4. NIST 표준화 현황과 도입 일정(현실 기준)
5. 지금 준비해야 할 전환 로드맵(체크리스트) + FAQ

 

1. 왜 양자내성암호(PQC)가 필요한가?

1.1 “Harvest Now, Decrypt Later” 시나리오

양자컴퓨터가 당장 모든 암호를 깨지는 못하더라도, 공격자는 지금 암호문을 수집해 두었다가(저장) 미래에 해독할 수 있습니다. 이 시나리오를 흔히 “Harvest Now, Decrypt Later”라고 부릅니다.

따라서 장기 보관 가치가 있는 데이터(금융 거래기록, 의료/유전체 정보, 공공 문서, 산업 기밀 등)는 “지금 안전하면 끝”이 아니라, 몇 년 뒤에도 안전해야 하는 데이터로 분류해 전환 우선순위를 높게 잡는 것이 현실적인 접근입니다.

1.2 PQC는 ‘양자암호통신(QKD)’과 무엇이 다른가?

PQC는 기존 네트워크/프로토콜 환경에서 소프트웨어적으로 적용할 수 있는 “양자 공격에 강한 암호 알고리즘”을 말합니다. 반면 QKD는 통신 구간에 특수 장비/운영 조건이 필요하고, 적용 범위가 제한적일 수 있습니다. 즉 실무에서는 대체로 PQC 중심의 전환 로드맵을 먼저 세우고, 필요한 구간에 QKD를 보조적으로 검토하는 방식이 일반적입니다.

 

2. 양자 알고리즘이 기존 암호(RSA·AES)에 미치는 영향

2.1 핵심 결론: 공개키는 구조적으로 취약, 대칭키는 “키 길이”가 중요

구분	대표 예	양자 영향(요약)
공개키 암호	RSA, ECC(전자서명/키교환)	쇼어(Shor)로 인해 소인수분해/이산로그 기반이 약화 → 장기적으로 전환 필요
대칭키 암호	AES	그로버(Grover)의 영향은 “키 길이”로 완화 가능 → 실무는 AES-256 선호
해시	SHA-2, SHA-3	상대적으로 영향이 제한적(단, 보안강도/출력길이 정책 점검 필요)

정리하면, “RSA/AES 둘 다 당장 폐기”가 아니라, 공개키(특히 RSA/ECC) 전환이 우선이고, 대칭키는 키 길이/정책 강화로 현실 대응이 가능합니다.

2.2 실무에서 영향이 큰 지점: TLS, 코드서명, PKI

양자 전환은 “암호 라이브러리 하나 바꾸면 끝”이 아니라, TLS(웹/서버 통신), 코드서명(소프트웨어/펌웨어 신뢰), PKI(인증서 체계)처럼 인프라 전반과 연결된 구간부터 파급이 큽니다. 따라서 다음 장에서 PQC를 ‘종류별로’ 이해한 뒤, 표준화/도입 일정에 맞춰 로드맵을 짜는 것이 안전합니다.

 

3. 양자내성암호(PQC)의 핵심 개념과 종류

3.1 PQC는 어떤 수학 문제를 기반으로 하나?

PQC는 양자컴퓨터로도 풀기 어렵다고 여겨지는 수학 문제(격자, 코드, 해시 등)에 기반합니다. 중요한 포인트는 “양자컴퓨터가 있어도” 공격 비용이 높게 유지되도록 설계된다는 점입니다.

계열	개념(직관)	실무 포인트
격자 기반	고차원 격자에서의 “가까운 점 찾기” 류 문제가 어렵다는 성질 활용	성능/적용성이 좋아 ‘주력’으로 쓰이는 흐름
코드 기반	오류정정코드 관점의 복원 문제를 어렵게 만드는 방식	키 크기 등 트레이드오프가 존재
해시 기반	해시 함수의 보안 성질을 기반으로 서명 안전성을 확보	보수적이지만 서명 크기/속도 고려 필요

 

3.2 KEM(키 캡슐화)과 서명(Signature)을 구분해야 한다

PQC 도입에서 가장 흔한 혼동은 “암호 알고리즘을 하나만 고르면 된다”는 생각입니다. 실제로는 목적이 다릅니다.

- KEM: 통신에서 안전하게 세션 키를 합의/교환(예: TLS 키교환)
- 서명: 소프트웨어/문서/인증서의 “진짜 출처” 증명(예: 코드서명, 인증서 서명)

 

4. NIST 표준화 현황과 도입 일정(현실 기준)

4.1 NIST의 ‘첫 PQC 표준’은 이미 확정(2024)

NIST는 2024년 8월에 첫 번째 PQC 표준(FIPS)을 공개했습니다. 핵심은 다음 3가지입니다.

표준	용도	알고리즘/명칭(요약)
FIPS 203	키교환(KEM)	CRYSTALS-Kyber 기반 → ML-KEM
FIPS 204	디지털 서명	CRYSTALS-Dilithium 기반 → ML-DSA
FIPS 205	디지털 서명	SPHINCS+ 기반 → SLH-DSA

또한 NIST는 FALCON을 추가 서명 표준으로 선정했고, 해당 표준은 FIPS 206(개발 중)으로 진행되고 있습니다.

4.2 “언제 바꿔야 하나?”에 대한 현실적 답

많은 조직이 “표준이 나왔으니 당장 전면 교체?”를 고민하지만, 현실적으로는 다음 3단계가 가장 안전합니다.

1) 인벤토리: RSA/ECC가 어디에 쓰이는지 목록화(TLS, PKI, 코드서명 등)
2) 하이브리드/병행: 기존 알고리즘 + PQC를 같이 쓰는 구간부터 도입(호환성 확보)
3) 점진적 전환: 신규 시스템은 PQC 우선, 레거시는 리스크 기반으로 순차 교체

 

5. 지금 준비해야 할 전환 로드맵(체크리스트) + FAQ

5.1 (체크리스트) PQC 전환 실무 로드맵 10단계

No	체크 항목
1	RSA/ECC 사용 구간 인벤토리 작성(TLS, VPN, PKI, 코드서명, API 인증 등)
2	데이터 분류: “장기 기밀(5~10년+)” 데이터 식별(금융/의료/공공/산업기밀)
3	외부 연동 파트너/고객 시스템의 암호 호환성 요구사항 수집
4	암호 라이브러리/장비/보안제품의 PQC 지원 여부 점검(업데이트 가능성 포함)
5	KEM(키교환) 도입 후보 선정: ML-KEM 중심으로 PoC 범위 정의
6	서명(Signature) 전환 후보 선정: ML-DSA/SLH-DSA 및 코드서명 영향 분석
7	성능 테스트: CPU/메모리/패킷 크기/핸드셰이크 지연 등 측정 지표 정의
8	하이브리드 적용 전략 수립(기존 + PQC 병행으로 롤백/호환성 확보)
9	운영/감사 항목 정리: 키 관리, 로그, 인증서 수명, 취약점 대응 프로세스
10	단계적 전환 일정 수립: 신규부터 적용 → 중요 시스템 순차 교체 → 레거시 대체

포인트: PQC는 “암호팀만의 일”이 아니라, 인증서/배포/네트워크/서버/클라이언트/레거시까지 엮입니다. 그래서 전환 성공의 핵심은 ‘기술 선택’보다 인벤토리 + 단계적 적용입니다.

 

5.2 FAQ

Q1. 그럼 RSA는 지금 당장 폐기해야 하나요?
A. “당장 폐기”보다는, 어디에 RSA/ECC가 쓰이는지 파악하고, 장기 기밀 데이터가 걸린 구간부터 PQC 전환(또는 하이브리드)을 준비하는 것이 현실적입니다.

Q2. AES는 위험한가요?
A. 대칭키는 그로버 알고리즘의 영향이 “키 길이”로 완화될 수 있어, 실무에서는 AES-256 같은 정책 강화가 자주 권장됩니다.

Q3. PQC는 성능이 많이 느려지나요?
A. 알고리즘/구현/환경에 따라 차이가 큽니다. 그래서 “전면 교체” 전에 PoC + 성능 측정 지표를 먼저 잡는 것이 안전합니다.

Q4. QKD(양자암호통신)만 쓰면 PQC는 필요 없나요?
A. QKD는 적용 조건/비용/운영 제약이 있어 모든 구간에 쓰기 어렵습니다. 대부분의 조직은 PQC를 기본 전략으로 두고, 특정 구간에 QKD를 선택적으로 검토합니다.

 

마무리: “공포”가 아니라 “전환 계획”의 문제

양자내성암호(PQC)는 과장된 공포 마케팅이 아니라, 장기 보안이 필요한 시스템의 ‘전환 계획’에 관한 이야기입니다. 지금 당장 전면 교체를 하기보다, 인벤토리 → PoC → 하이브리드 적용 → 단계적 전환의 흐름으로 접근하면 비용과 리스크를 함께 줄일 수 있습니다.