양자내성암호와 양자암호통신은 같은 건가요?

다릅니다. 양자내성암호는 일반 컴퓨터에서 실행되는 새 수학 암호이고, 양자키분배는 양자 물리로 키를 나누는 전용 하드웨어 통신 기술입니다.

AI 2026년 6월 5일 2026년 6월 5일 업데이트 약 13분 분량

내 비밀번호가 위험하다 — 양자내성암호 완전정복

Q: 제 비밀번호가 지금 당장 뚫리나요?

아닙니다. 현재 양자컴퓨터는 RSA·ECC를 대규모로 깰 수준이 아닙니다. 다만 수명이 긴 암호문은 지금 수집돼 미래에 복호화될 수 있어 전환 준비가 필요합니다.

Q: 양자내성암호는 제가 직접 설치하나요?

대부분 아닙니다. 운영체제, 브라우저, 메신저, 금융 앱 같은 서비스 제공자가 업데이트로 적용합니다. 개인은 기기와 앱을 최신 상태로 유지하는 것이 현실적입니다.

Q: 언제까지 암호를 바꿔야 하나요?

NIST IR 8547 초안은 양자취약 공개키 암호를 2035년까지 표준에서 제거하는 전환 방향을 제시합니다. 확정 법은 아니지만, 데이터 수명이 긴 조직일수록 더 일찍 움직여야 합니다.

충분히 강한 양자컴퓨터는 지금 인터넷 암호를 푼다. 미국 NIST는 2024년 새 표준 3종을 확정했고, '지금 훔쳐 두고 나중에 푸는' 위협 때문에 전환은 이미 시작됐다. 개인과 기업의 대응법까지.

당신이 지금 보내는 메신저 메시지가, 10년 뒤 누군가에게 통째로 읽힌다면 어떨까요? 황당한 가정 같지만, 보안 전문가들이 진지하게 대비하는 시나리오입니다. 이름하여 '지금 훔쳐 두고 나중에 푼다(harvest now, decrypt later)'. 공격자가 오늘의 암호문을 모아 뒀다가, 훗날 강력한 양자컴퓨터로 한꺼번에 푸는 겁니다.

양자컴퓨터 6부작에서 일반인에게 가장 현실적인 편이 이 편입니다. 양자컴퓨터가 신약을 만드는 건 먼 이야기지만, 암호 위협은 지금 당장 전 세계가 표준을 바꾸며 대비하는 사안이니까요. 이번 편은 왜 양자컴퓨터가 암호를 푸는지, 어떤 대비가 진행 중인지, 그리고 개인과 기업이 무엇을 해야 하는지를 정리합니다.

양자컴퓨터가 암호문을 복호화하려는 시도와 양자내성암호 방패가 민감 데이터를 보호하는 사이버보안 일러스트레이션 — 양자 보안의 핵심은 지금 수집되는 장기 민감 데이터를 미래의 양자 복호화 위협으로부터 지키는 일입니다. 이미지: AI 생성.

핵심 요약

오늘날 인터넷 보안의 핵심인 RSA 암호는 '큰 수의 소인수분해가 어렵다'에 기대는데, 충분히 강한 양자컴퓨터는 이를 빠르게 풉니다.
미국 NIST는 2024년 8월 13일, 양자컴퓨터로도 못 푸는 '양자내성암호' 표준 3종을 처음 확정했습니다 — NIST.
NIST는 기존 RSA·ECC 암호를 2030년 단계적 폐기, 2035년 금지하는 전환을 제안했습니다(확정 법 아님) — NIST.
'지금 훔쳐 두고 나중에 푼다' 위협 때문에, 지금 오가는 데이터도 미래에 노출될 수 있어 전환을 서두릅니다.
전문가 설문은 10년 내 암호를 위협할 양자컴퓨터 등장 확률을 약 19~34%로 봤고, 이 수치는 해마다 오르는 추세입니다 — 글로벌리스크연구소.

왜 양자컴퓨터가 암호를 푸나

답은 '소인수분해'에 있습니다. 오늘날 인터넷 보안(은행·로그인·메신저)의 큰 축인 RSA 암호는 단순한 사실 하나에 안전을 겁니다. 아주 큰 수를 두 소수의 곱으로 되돌리는 게 일반 컴퓨터로는 사실상 불가능하다는 것. 1편에서 본 자물쇠 비유 그대로, 경우의 수가 너무 많아 다 시도할 수 없습니다.

그런데 양자컴퓨터는 바로 이런 종류의 문제에 강합니다. '쇼어 알고리즘'이라 불리는 방법으로, 중첩과 얽힘을 활용해 큰 수의 소인수분해를 효율적으로 풀 수 있습니다. RSA의 안전을 떠받치던 '불가능'이 '가능'으로 바뀌는 거죠. 암호의 빗장이 풀리는 순간입니다.

오늘날 인터넷 보안의 핵심인 RSA 암호는 '큰 수를 소인수분해하기 어렵다'는 수학적 난제에 안전성을 둔다. 충분히 강력한 양자컴퓨터는 중첩·얽힘을 이용해 이 소인수분해를 효율적으로 풀 수 있어, RSA·ECC 같은 현행 공개키 암호가 무력화될 수 있다. 이것이 전 세계가 새 암호 표준으로 전환하는 근본 이유다.

주의할 점은 '오늘의 양자컴퓨터'로는 아직 못 푼다는 사실입니다. 2~3편에서 봤듯 현재 양자컴퓨터는 수십~수백 큐비트 규모이고, RSA를 깨려면 오류를 보정한 큐비트가 훨씬 많이 필요합니다. 위협은 '지금'이 아니라 '머지않은 미래'입니다. 문제는, 그 미래를 위해 지금부터 움직여야 한다는 데 있습니다.

이미 시작된 대비 — NIST 양자내성암호 표준

세계는 이미 움직였습니다. 미국 표준기술연구소(NIST)는 2024년 8월 13일, 양자컴퓨터의 공격을 견디는 새 암호 표준 3종을 확정 발표했습니다 — NIST. 이른바 '양자내성암호(PQC)'입니다. 소인수분해 같은 약점이 없는, 다른 수학 문제에 기반한 암호죠.

세 표준은 역할이 다릅니다. ML-KEM(FIPS 203)은 일반적인 데이터 암호화를 맡고, ML-DSA(FIPS 204)와 SLH-DSA(FIPS 205)는 전자서명을 담당합니다 — NIST. 핵심은 이 암호들이 지금의 컴퓨터에서도 잘 돌아간다는 점입니다. 양자컴퓨터가 있어야 쓰는 게 아니라, 양자컴퓨터를 막기 위해 일반 기기에 까는 소프트웨어 업데이트에 가깝습니다.

미국 NIST는 2024년 8월 13일, 양자컴퓨터로도 풀 수 없는 양자내성암호 표준 3종(ML-KEM, ML-DSA, SLH-DSA)을 처음으로 확정했다 — NIST. ML-KEM은 일반 암호화, 나머지 둘은 전자서명용이다. 이 암호들은 일반 컴퓨터에서 작동하며, 기관들은 즉각적인 전환 준비를 권고받았다.

전환 일정도 나왔습니다. NIST는 기존 RSA·ECC 암호를 2030년부터 단계적으로 폐기하고 2035년에는 금지하는 안을 제시했습니다 — NIST. 다만 이 날짜는 확정된 법이 아니라 전환 목표라는 점은 짚어둘 필요가 있습니다. 한국에서도 양자보안은 일찍 시작됐습니다. SK텔레콤은 2018년 양자암호 기업 IDQ를 인수해 양자키분배(QKD) 기반 통신 보안을 상용화해 왔습니다 — SK텔레콤.

'지금 훔쳐 두고 나중에 푼다'는 위협

가장 헷갈리는 질문은 이겁니다. "양자컴퓨터가 아직 약한데 왜 벌써 암호를 바꾸나?" 답은 시간의 비대칭에 있습니다. 데이터에는 수명이 있습니다. 의료 기록, 국가 기밀, 기업 영업비밀, 금융 정보는 10년 뒤에도 값집니다. 공격자가 지금 암호문을 긁어모아 보관하면, 훗날 양자컴퓨터가 강해졌을 때 한꺼번에 복호화할 수 있습니다.

'하베스트 나우, 디크립트 레이터' 개념도. 그래서 전환은 지금 시작해야 한다.

그렇다면 그날은 언제 올까요? 아무도 확언하지 못합니다. 전문가 설문에서는 10년 안에 암호를 위협할 양자컴퓨터가 나올 확률을 약 19~34%로 봤습니다 — 글로벌리스크연구소. 그리고 이 확률은 조사를 거듭할수록 올라가는 추세입니다. 고정된 'D-데이'가 아니라 점점 짙어지는 확률의 문제라는 게 핵심입니다. 확률이 낮아 보여도, 한 번 새면 되돌릴 수 없는 데이터라면 대비가 합리적입니다.

그래서 나는 무엇을 해야 하나

개인이 당장 암호를 직접 바꿀 일은 거의 없습니다. 대부분은 우리가 쓰는 서비스가 알아서 전환합니다. 다만 흐름을 알면 대응이 보입니다. 아래는 입장별로 지금 할 수 있는 것들입니다.

개인 — 따로 할 일은 적지만, 운영체제·메신저·브라우저를 최신으로 유지하세요. 양자내성암호는 대개 업데이트로 조용히 적용됩니다. '양자보안 적용' 같은 안내가 뜨면 그 배경을 이제 이해할 수 있습니다.
기업·기관 — 시급합니다. 먼저 '우리가 어떤 암호를, 어디에 쓰는지'를 목록화(암호 자산 인벤토리)하고, 수명이 긴 민감 데이터부터 양자내성암호로 전환 계획을 세워야 합니다. NIST는 즉각적인 준비를 권고했습니다 — NIST.
개발자 — NIST 표준(ML-KEM 등)을 지원하는 라이브러리로 옮기고, 기존 암호와 병행하는 '하이브리드' 방식부터 적용하는 게 현실적입니다.

핵심은 '나중에 한 번에'가 아니라 '지금부터 단계적으로'입니다. 암호 전환은 한 회사의 시스템 전체를 바꾸는 일이라 수년이 걸립니다. 2030~2035년 일정이 멀어 보여도, 긴 데이터를 다루는 곳일수록 이미 늦지 않게 시작해야 합니다.

META TOUR의 관점

양자컴퓨터 뉴스 중 일반인에게 가장 먼저, 가장 조용히 닿을 것이 이 암호 교체입니다. 어느 날 은행 앱이나 메신저가 '보안 강화' 업데이트를 하면, 그 안에 양자내성암호가 들어 있을 가능성이 큽니다. 화려한 큐비트 기록보다, 내 데이터를 지키는 이 전환이 당신의 삶에 먼저 도착합니다.

RSA는 어떻게 작동하고 왜 무너지나

조금 더 깊이 들어가 볼까요? RSA 암호의 원리는 의외로 단순합니다. 두 개의 큰 소수를 곱해 거대한 수를 만든 뒤, 그 곱셈 결과는 공개하고(공개키) 원래의 두 소수는 숨깁니다(개인키). 곱하기는 쉽지만, 그 결과만 보고 원래 두 소수를 되찾는 '소인수분해'는 일반 컴퓨터로는 현실적으로 불가능합니다. 이 비대칭이 암호의 핵심입니다.

비유하자면 페인트를 섞는 것과 같습니다. 두 색을 섞기는 쉽지만, 섞인 색만 보고 원래 두 색을 정확히 되돌리긴 어렵죠. RSA는 이 '되돌리기 어려움'에 전 세계의 통신 보안을 걸어 왔습니다. 수십 년간 안전했던 가정입니다.

RSA 암호는 두 큰 소수의 곱은 공개하고 원래 소수는 숨기는 방식이다. 곱셈은 쉽지만 결과를 소인수분해해 원래 소수를 찾는 일은 일반 컴퓨터로 사실상 불가능하다. 이 계산의 비대칭이 인터넷 보안의 토대이며, 양자컴퓨터는 바로 이 토대를 흔든다.

문제는 양자컴퓨터를 위한 '쇼어 알고리즘'입니다. 1994년 수학자 피터 쇼어가 고안한 이 방법은, 충분히 강한 양자컴퓨터가 큰 수의 소인수분해를 효율적으로 풀 수 있음을 보였습니다. '사실상 불가능'이 '시간문제'로 바뀌는 거죠. 다만 1편에서 봤듯 이를 실제로 깨려면 오류를 보정한 큐비트가 아주 많이 필요해, 위협은 '오늘'이 아니라 '머지않은 미래'입니다.

전 세계는 지금 어떻게 옮겨가나

전환은 이미 국가 단위로 굴러갑니다. 미국 국가안보국(NSA)은 'CNSA 2.0'을 통해 2035년까지 국가 안보 시스템을 양자내성암호로 옮기는 일정을 제시했습니다 — NIST. 정부가 표준을 정하면 그 표준이 민간 기업과 글로벌 IT 서비스로 퍼지는 구조입니다. 우리가 매일 쓰는 앱과 웹이 그 흐름을 따라 조용히 바뀝니다.

현실적인 전환 방식은 '하이브리드'입니다. 기존 암호와 새 양자내성암호를 한동안 함께 써서, 둘 중 하나가 뚫려도 다른 하나가 버티게 하는 거죠. 한 번에 갈아엎는 대신 단계적으로 옮기는 안전장치입니다. 큰 조직일수록 '우리가 어떤 암호를 어디에 쓰는지'부터 목록화하는 작업(암호 자산 인벤토리)이 출발점이 됩니다.

미국 NSA의 'CNSA 2.0'은 2035년까지 국가 안보 시스템을 양자내성암호로 전환하는 일정을 제시했다 — NIST. 현실적 전환은 기존 암호와 새 암호를 함께 쓰는 '하이브리드' 방식으로, 조직은 먼저 자신이 어떤 암호를 어디에 쓰는지 목록화(암호 자산 인벤토리)하는 데서 시작한다.

전환이 어려운 이유는 암호가 '보이지 않는 곳에 깊이' 박혀 있기 때문입니다. 웹사이트, 메신저, 금융 거래, 사물인터넷 기기, 심지어 자동차 안에도 암호가 있습니다. 이 모두를 바꾸는 건 수년짜리 대공사죠. 2030~2035년 일정이 멀어 보여도 지금 시작해야 하는 이유입니다. 암호 전환은 '발등에 불'이 아니라 '미리 놓는 주춧돌'에 가깝습니다.

양자내성암호 vs 양자암호통신 — 헷갈리지 말자

이름이 비슷해 자주 섞이는 두 기술을 갈라둘 필요가 있습니다. 양자 시대 보안에는 서로 다른 두 갈래가 있습니다. 하나는 '양자내성암호(PQC)', 다른 하나는 '양자암호통신(QKD)'입니다. 둘 다 양자 시대에 대비하지만 작동 원리가 전혀 다릅니다.

양자내성암호는 지금까지 본 그대로입니다. 일반 컴퓨터에서 도는 새로운 수학 암호로, 양자컴퓨터로도 못 푸는 어려운 문제에 기댑니다. 소프트웨어 업데이트로 기존 시스템에 적용할 수 있어 전환이 상대적으로 쉽습니다. NIST가 2024년 표준화한 게 바로 이쪽입니다 — NIST.

양자내성암호(PQC)는 일반 컴퓨터에서 도는 새 수학 암호로, 소프트웨어 업데이트로 적용한다. 양자암호통신(QKD)은 빛 알갱이의 양자 성질로 암호 키를 나누는 별도의 하드웨어 기술이다. 전자는 NIST가 표준화했고 — NIST, 후자는 SK텔레콤 등이 통신망에 상용화했다 — SK텔레콤. 둘은 경쟁이 아니라 보완 관계다.

양자암호통신(QKD)은 접근이 다릅니다. 빛 알갱이(광자)의 양자 성질을 이용해 암호 키를 나누는 하드웨어 기술입니다. 누군가 중간에서 엿보면 양자 상태가 교란돼 도청 자체가 들통나는 원리죠. 다만 전용 장비와 광케이블이 필요해 적용 범위가 제한적입니다. SK텔레콤은 이 QKD를 통신망에 상용화해 왔습니다 — SK텔레콤. 정리하면, 소프트웨어로 널리 퍼질 PQC와 하드웨어로 핵심망을 지킬 QKD가 역할을 나눠 맡는 구도입니다.

무엇부터 지킬까 — 데이터마다 다른 위험

모든 데이터를 한꺼번에 지킬 수는 없습니다. 그래서 우선순위가 중요합니다. 핵심 기준은 '이 데이터가 얼마나 오래 값진가'입니다. '지금 훔쳐 두고 나중에 푸는' 위협은 수명이 긴 데이터일수록 치명적이니까요. 10년 뒤엔 무의미해질 정보보다, 수십 년 값질 정보가 먼저입니다.

예를 들어 의료 기록, 주민등록·금융 정보, 국가 기밀, 기업의 장기 영업비밀은 수십 년 뒤에도 민감합니다. 이런 데이터는 지금 새어 나가 보관되면 미래에 통째로 노출될 수 있어, 가장 먼저 양자내성암호로 옮겨야 합니다. 반대로 오늘 지나면 값이 사라지는 일회성 정보는 상대적으로 급하지 않습니다.

양자내성암호 전환의 우선순위는 '데이터 수명'이 가른다. 의료·금융·국가기밀처럼 수십 년 값진 정보는 '지금 훔쳐 두고 나중에 푸는' 위협에 가장 취약해 먼저 전환해야 한다. 단기에 값이 사라지는 정보는 후순위다. 무엇을 먼저 지킬지 가르는 것이 현실적 전환의 출발점이다.

이 '데이터 분류'가 기업 전환의 진짜 첫 단추입니다. 거창한 기술 도입보다, '우리가 가진 데이터 중 무엇이 가장 오래·가장 민감한가'를 가려내는 일이 먼저죠. 개인도 마찬가지 원리를 적용할 수 있습니다. 평생 쓰는 계정·금융 정보의 보안은 신경 쓰되, 가벼운 정보까지 과하게 걱정할 필요는 없습니다. 위험의 크기에 맞춰 대비하는 게 합리적입니다.

양자내성암호를 둘러싼 흔한 오해 5가지

마지막으로 자주 퍼지는 오해를 모아 정리하겠습니다. 양자 보안만큼 과장과 혼동이 많은 주제도 드물거든요. 하나씩 짚어봅니다.

오해 1: "양자컴퓨터가 나오면 모든 암호가 한순간에 무너진다." 아닙니다. 위협받는 건 주로 RSA·ECC 같은 공개키 암호입니다. 우리가 흔히 쓰는 대칭키 암호(AES 등)는 키 길이를 늘리면 양자 시대에도 상당히 견딜 수 있다고 평가됩니다. '모든 암호'가 아니라 '특정 방식의 암호'가 표적입니다.

오해 2: "지금 양자컴퓨터가 이미 내 비밀번호를 푼다." 아닙니다. 현재 양자컴퓨터는 RSA를 깰 수준과 거리가 멉니다. 위협은 미래형이며, 전문가들도 10년 내 등장 확률을 약 19~34%로 봅니다 — 글로벌리스크연구소. 다만 '지금 훔쳐 두고 나중에 푸는' 위협 때문에 대비를 미리 하는 것뿐입니다.

오해 3: "2035년이 법으로 정해진 마감일이다." 아닙니다. NIST의 2030·2035년 일정은 제안이자 전환 목표이지 확정된 법이 아닙니다 — NIST. 데이터 수명이 긴 기관일수록 더 일찍 움직이는 게 권고될 뿐, 모두에게 똑같이 강제되는 날짜는 아닙니다.

양자내성암호의 가장 흔한 오해는 '모든 암호가 한순간에 무너진다'는 것이다. 실제 표적은 RSA·ECC 같은 공개키 암호이며, 대칭키 암호(AES)는 키를 늘리면 견딘다. 위협은 미래형(10년 내 확률 28~49% — 글로벌리스크연구소)이고, NIST의 2035년 일정도 법이 아닌 전환 목표다 — NIST.

오해 4: "개인이 직접 뭔가 설치하고 설정해야 한다." 대부분 아닙니다. 양자내성암호는 운영체제·앱·브라우저 업데이트로 조용히 적용됩니다. 개인이 할 일은 기기를 최신으로 유지하는 정도입니다. 실제 전환의 주체는 서비스를 제공하는 기업과 기관입니다.

오해 5: "양자내성암호와 양자암호통신(QKD)은 같은 것이다." 다릅니다. 앞서 봤듯 양자내성암호는 일반 컴퓨터에서 도는 새 수학 암호이고, QKD는 빛으로 키를 나누는 별도의 하드웨어 기술입니다 — SK텔레콤. 이름이 비슷해 섞이지만 작동 방식이 전혀 다릅니다. 이 다섯 가지만 구분해도 양자 보안 뉴스의 혼동은 대부분 사라집니다.

자주 묻는 질문

제 비밀번호가 지금 당장 뚫리나요?

아닙니다. 현재 양자컴퓨터는 RSA를 깰 수준이 아닙니다. 위협은 미래형입니다. 다만 '지금 훔쳐 두고 나중에 푸는' 방식 때문에, 수명이 긴 민감 데이터는 지금부터 보호해야 합니다. 그래서 NIST가 2024년 표준을 확정했습니다 — NIST.

양자내성암호는 제가 직접 설치하나요?

대부분 아닙니다. 운영체제·앱·브라우저 업데이트로 자동 적용됩니다. 개인이 할 일은 기기를 최신 상태로 유지하는 것 정도입니다. 실제 전환의 주체는 서비스 제공 기업과 기관입니다 — NIST.

언제까지 암호를 바꿔야 하나요?

NIST는 기존 RSA·ECC를 2030년 단계적 폐기, 2035년 금지하는 안을 제안했습니다 — NIST. 확정 법은 아니지만 글로벌 전환 목표로 통합니다. 데이터 수명이 긴 기관일수록 더 일찍 움직이는 게 안전합니다.

양자내성암호와 양자암호통신(QKD)은 같은 건가요?

다릅니다. 양자내성암호는 일반 컴퓨터에서 도는 새 수학 암호이고, 양자키분배(QKD)는 양자 물리로 키를 나누는 별도 기술입니다. SK텔레콤은 2018년 IDQ 인수 후 QKD 기반 보안을 상용화했습니다 — SK텔레콤. 두 갈래가 함께 양자 시대 보안을 떠받칩니다.

결론

양자컴퓨터의 가장 현실적인 영향은 '꿈의 계산기'가 아니라 '암호 교체'입니다. 당장 뚫리진 않지만, 지금 새는 데이터가 미래에 읽힐 수 있다는 비대칭 때문에 세계는 이미 표준을 바꾸기 시작했습니다.

오늘 할 일은 간단합니다. 기기와 앱을 최신으로 유지하고, 만약 당신이 조직의 데이터를 책임진다면 '우리가 어떤 암호를 어디에 쓰는지'부터 점검하세요. 전환은 길고, 시작이 빠를수록 안전합니다.

한 발 더 보면, 이 거대한 전환은 국가 경쟁이기도 합니다. 양자컴퓨터를 만드는 힘과 막는 힘을 모두 가진 나라가 다음 시대의 보안을 쥡니다. 그렇다면 한국은 어디쯤 와 있을까요? 다음 편에서 우리 이야기를 봅니다.

참고 자료

NIST(미국 표준기술연구소) — 2024년 8월 13일 양자내성암호 표준 3종(FIPS 203 ML-KEM, FIPS 204 ML-DSA, FIPS 205 SLH-DSA) 확정, 즉각적 전환 권고, 2026-06-05 확인. 자료 보기
NIST IR 8547(전환 보고서 초안) — 기존 RSA·ECC 2030년 단계적 폐기, 2035년 사용 금지 제안, 2026-06-05 확인. 자료 보기
evolutionQ·글로벌리스크연구소(Global Risk Institute) — Quantum Threat Timeline Research Report 2025 — 전문가 설문: 10년 내 암호 위협 양자컴퓨터 등장 확률 28~49%(해마다 상승 추세), 2026-06-05 확인. 자료 보기
SK텔레콤 뉴스룸 — 2018년 IDQ 인수, 양자키분배(QKD)·양자난수생성(QRNG) 기반 보안 상용화, 2026-06-05 확인. 자료 보기