양자컴퓨터가 깨뜨릴 암호, SoC는 무엇을 준비해야 하나
암호 알고리즘의 흥망 · SoC 하드웨어 보안 · 표준 인증 기관 · 양자내성암호(PQC) 의무화 일정 종합
우리가 매일 쓰는 인터넷 뱅킹, 메신저, 전자서명은 모두 암호 알고리즘 위에 서 있습니다. 그런데 이 토대가 통째로 흔들리는 변곡점이 다가옵니다. 양자컴퓨터가 현재의 공개키 암호(RSA·ECC)를 무력화할 수 있다는 사실이 수학적으로 증명되면서, 각국 규제 기관은 양자내성암호(PQC)로의 전면 교체 시한을 못 박기 시작했습니다. 이 글은 암호가 왜 태어나고 사라지는지, 칩(SoC) 안에는 어떤 보안 장치가 숨어 있는지, 표준을 정하는 기관은 어디이며, 2035년까지 이어지는 퇴출·의무화 일정이 무엇인지를 한 번에 정리합니다. 동시에 “PQC는 만능”이라는 통념에 맞서는 강한 반론까지 균형 있게 다룹니다.
암호는 왜 태어나고 사라지는가
암호의 역사는 ‘뚫림 → 방어’의 반복입니다. 컴퓨터 연산력이 올라가면 어제의 강철 자물쇠가 오늘의 종잇장이 됩니다. 대표적인 예가 해시 함수의 세대 교체입니다. 1995년 등장한 SHA-1은 서로 다른 두 입력이 같은 해시값을 갖는 ‘충돌 공격’에 무너지면서 지금은 사용 금지(Disallowed) 상태가 됐습니다. 그 자리를 SHA-2(SHA-256/512)가 이어받아 현재 산업계 표준으로 가장 널리 쓰이고, 만일 SHA-2마저 위태로워질 경우를 대비한 구조적 대안으로 SHA-3(Keccak 기반, 2015년 승인)가 준비돼 있습니다. SHA-3는 SHA-2가 취약한 ‘길이 연장 공격’에 내성을 갖도록 설계가 다릅니다.
비밀키를 양쪽이 공유하는 대칭키 암호(AES)는 사정이 낫습니다. 특히 AES-256은 양자 공격을 가정해도 충분히 안전한 것으로 평가돼 미래에도 살아남습니다. 문제는 인터넷 보안의 근간인 비대칭키 암호(RSA·ECC)입니다. 소인수분해와 이산대수라는 수학 난제에 기대고 있는데, 양자컴퓨터 앞에서는 이 난제가 순식간에 풀려버립니다. 그래서 등장한 것이 격자(Lattice) 같은 양자컴퓨터로도 풀기 어려운 새 난제 위에 세운 PQC(양자내성암호)입니다.
SHA-1부터 PQC까지, 알고리즘 흥망 지도
주요 알고리즘의 현재 위상을 한눈에 정리하면 다음과 같습니다. 색이 진할수록 위험(퇴출), 녹색일수록 현역·미래 표준입니다.
| 알고리즘 | 역할 | 현재 상태 |
|---|---|---|
| SHA-1 | 해시 | 🔴 전면 퇴출 |
| SHA-2 | 해시 (현 표준) | 🟢 현역 |
| SHA-3 | 해시 (구조적 대안) | 🟢 예비 표준 |
| AES-256 | 대칭키 | 🟢 양자 안전 |
| RSA · ECC | 비대칭키 (현 인터넷 근간) | 🔴 2035 퇴출 예정 |
| PQC (ML-KEM 등) | 비대칭키 (차세대) | 🟢 신규 표준 |
칩 속의 보안 파수꾼 — SoC 신뢰 근원
많은 사람이 보안을 ‘소프트웨어 문제’로만 생각하지만, 진짜 토대는 칩(SoC, System on Chip) 안에 새겨진 신뢰 근원(Root of Trust)입니다. 소프트웨어는 변조될 수 있어도, 출고 시 실리콘에 박힌 비밀과 검증 회로는 바꾸기 어렵기 때문입니다. 개발자나 일반 사용자가 놓치기 쉬운 핵심 하드웨어 보안 기능 다섯 가지를 짚어봅니다.
🛡️ Secure Boot(보안 부팅)
칩에 각인된 공개키로 부팅 단계마다 펌웨어 서명을 검증합니다. 변조된 OS나 루트킷이 실행되는 길을 원천 차단합니다.
🧬 PUF(물리적 복제 불가 함수)
제조 공정의 미세한 편차를 이용해 칩마다 다른 고유 키를 만들어내는 하드웨어 ‘지문’입니다. 키를 메모리에 저장하지 않으니 물리적으로 빼내는 것이 사실상 불가능합니다.
🎲 TRNG(진성 난수 생성기)
열 잡음 같은 물리 현상에서 진짜 무작위 숫자를 뽑아냅니다. 모든 키의 ‘재료’이며, TRNG의 품질이 곧 전체 암호 강도를 좌우합니다. 난수가 예측 가능하면 아무리 강한 알고리즘도 무용지물입니다.
🔒 TEE(신뢰 실행 환경)
ARM TrustZone으로 대표되는, 일반 OS와 하드웨어적으로 격리된 보안 실행 구역입니다. 생체정보나 결제 키처럼 민감한 데이터를 따로 보호합니다.
⚡ Crypto Accelerator(암호 가속기)
AES·SHA·PQC 연산을 CPU 대신 전담 처리하는 회로(IP)입니다. 성능과 전력 효율을 확보하는 핵심이며, PQC 시대에는 더 강력한 가속기가 필요해집니다.
이 부품들은 따로 노는 게 아니라 하나의 사슬로 이어집니다. 난수를 뽑아 키를 만들고, 그 키로 부팅을 검증하고, 검증된 환경 안에서 비밀을 다루는 흐름입니다.
🔗 다이어그램 요약: SoC 보안은 사슬처럼 이어진다 — TRNG가 진성 난수를 만들고, PUF가 그것으로 칩 고유키를 생성하며, Secure Boot가 서명을 검증한 뒤, TEE라는 격리 구역에서 비밀을 다룬다. 한 고리만 약해도 전체가 무너진다.
표준을 쥔 두 기관: NIST와 Common Criteria
“우리 제품이 안전하다”는 주장을 객관적으로 증명하려면 권위 있는 기관의 인증이 필요합니다. 글로벌 보안 표준을 주도하는 두 축은 미국 NIST와 국제 표준 Common Criteria입니다. 각 기관의 홈페이지, 핵심 문서, 그리고 자료를 내려받는 위치를 정리합니다.
| 기관 | 핵심 문서와 내용 | 다운로드 위치 |
|---|---|---|
| NIST 미 국립표준기술연구소 csrc.nist.gov |
FIPS 140-3 — 암호 모듈의 물리·논리 보안 요구사항(보안 레벨 1~4) FIPS 203/204/205 — 2024년 8월 최초 확정된 PQC 공식 표준 NIST IR 8547 — 레거시 알고리즘 퇴출 일정 가이드 |
CSRC 홈페이지 ‘Publications’ 메뉴 (무료 PDF) |
| CCRA 국제공통평가기준 commoncriteriaportal.org |
Common Criteria(ISO/IEC 15408) — 제품 전체의 보안 아키텍처·개발 과정 평가(EAL 1~7) Protection Profile(PP) — 모바일·방화벽 등 제품군별 필수 보안 요구사항 명세 |
CC Portal ‘Protection Profiles’ 및 ‘CC/CEM’ 메뉴 |
💡 인증은 무엇을 해야 받는가: FIPS 140-3 인증은 설계 단계부터 ① 알고리즘 정확성의 수학적 증명, ② 소스코드 리뷰, ③ 물리적 탬퍼링 방어 테스트, ④ NIST 공인 제3자 시험소(CSTL)의 수개월 검증을 모두 통과해야 합니다. Common Criteria는 EAL 등급이 높아질수록 형식 검증·문서화 부담이 기하급수로 커집니다. 즉, 인증은 한 번의 시험이 아니라 ‘설계부터 양산까지’ 따라붙는 긴 과정입니다.
2024년 확정된 PQC 3대 표준
2024년 8월, NIST는 양자내성암호 표준 세 가지를 최초로 확정했습니다. 공모 당시 이름과 최종 표준 이름이 달라 혼동하기 쉬우므로 정리하면 다음과 같습니다.
| 표준 번호 | 정식 명칭 (구 이름) | 용도 |
|---|---|---|
| FIPS 203 | ML-KEM (구 Kyber) | 키 교환 (KEM) |
| FIPS 204 | ML-DSA (구 Dilithium) | 전자서명 |
| FIPS 205 | SLH-DSA | 해시 기반 서명 |
암호를 갈아엎게 만든 세 가지 힘
규제 기관이 멀쩡해 보이는 알고리즘을 굳이 퇴출시키는 데는 명확한 인과가 있습니다. 핵심은 세 가지입니다.
🔴 쇼어 알고리즘의 실존적 위협
양자컴퓨터가 상용화되면 RSA·ECC를 단시간에 붕괴시킬 수 있다는 사실이 수학적으로 증명됐습니다. ‘언젠가’가 아니라 ‘증명된 위협’이라는 점이 규제의 출발점입니다.
🔴 “지금 훔치고 나중에 해독한다”(HNDL)
국가 지원 해커 그룹은 지금 당장 해독하지 못하는 암호 트래픽도 미리 수집·저장해 둡니다. 양자컴퓨터가 완성되는 미래에 소급해서 풀어낼 작정입니다. 즉, 오래 보관해야 할 데이터는 양자컴퓨터를 기다릴 것도 없이 이미 위협에 노출돼 있습니다.
🔴 공급망 공격의 고도화
펌웨어 변조나 하드웨어 백도어 같은 공격이 급증하면서, 소프트웨어만으로는 신뢰를 보장할 수 없게 됐습니다. PUF·Secure Boot 같은 SoC 레벨 물리 신뢰가 불가피해진 배경입니다.
그런데 PQC는 정말 안전한가 — 빛과 그늘
여기서 균형이 필요합니다. PQC를 ‘만능 해법’으로 보는 시각에는 만만치 않은 반론이 존재합니다. 선제 대응의 정당성과 함께 다음 약점들도 반드시 함께 봐야 합니다.
표준 후보가 양자컴퓨터도 없이 무너진 사건들
NIST 공모 과정에서 유력 후보들이 양자컴퓨터가 나오기도 전에 고전 컴퓨터만으로 무너졌습니다. 다변수 서명 Rainbow는 2022년 2월 한 연구자(Ward Beullens)가 노트북으로 주말 동안 비밀키를 추출해 탈락했고, SIKE는 2022년 7월 두 연구자(Castryck·Decru)가 25년 전 수학 정리(Kani’s Theorem)를 끌어와 단일 코어로 약 1시간 만에 비밀키를 복구했습니다. PQC는 수학적 역사가 짧아 아직 발견되지 않은 내재적 결함의 위험이 상대적으로 크다는 비판의 강력한 근거입니다.
양자컴퓨터, 정말 언제 오는가
회의론자들은 기업이 발표하는 큐비트가 대부분 오류율 높은 ‘물리적 큐비트’일 뿐이라고 지적합니다. 실제 암호 해독에 필요한 수천 개의 안정적인 ‘논리적 큐비트’를 만들려면, 양자 오류 수정과 게이트 충실도라는 거대한 엔지니어링 장벽을 넘어야 한다는 것입니다. 다만 앞서 본 HNDL 관점에서는 도래 시기 자체가 무의미합니다. 데이터의 유효 기간(Shelf life)이 길면, 양자컴퓨터가 5년 뒤에 오든 15년 뒤에 오든 오늘 수집된 데이터는 위험하기 때문입니다.
표준이 됐는데도 새는 비밀 — 부채널 공격
표준으로 채택된 ML-KEM·ML-DSA조차 안전지대가 아닙니다. 격자 기반 암호는 수론 변환(NTT) 같은 복잡한 연산을 거치는데, 그 과정의 전력 소비나 전자기파 방출 패턴으로 비밀키 힌트가 새어 나갑니다(부채널 공격, SCA). 최근에는 CNN 같은 머신러닝으로 단 한 번의 측정(Single-trace)만으로 키를 탈취하는 기법까지 발전 중입니다. 이를 막는 마스킹·하이딩 방어는 효과적이지만, 가뜩이나 무거운 PQC 연산을 더욱 느리게 만든다는 딜레마가 있습니다.
산업 현장에 닥칠 다섯 가지 변화
PQC 전환은 알고리즘 한 줄 바꾸는 일이 아닙니다. 하드웨어 설계부터 사업 자격까지 산업 전반을 뒤흔듭니다.
1. 하드웨어 설계 변화 — PQC는 RSA·ECC보다 키와 서명 크기가 수 배에서 수십 배 큽니다. 더 큰 온칩 SRAM, 더 넓은 대역폭, 더 강력한 암호 가속기가 필요해져 칩 면적과 단가 상승으로 직결됩니다.
2. 리소스 제약 환경의 한계 — KB 단위 RAM·플래시로 도는 IoT, 스마트카드, 차량 제어 시스템은 PQC를 아예 못 싣거나 구조를 통째로 개편해야 합니다. TLS 핸드셰이크 지연 증가는 응답성이 중요한 환경에서 병목이 됩니다.
3. 하이브리드 암호의 양면성 — SIKE 사태 같은 붕괴를 막으려 고전 암호(ECC/X25519)와 PQC를 겹쳐 쓰는 하이브리드가 권장됩니다. 하지만 코드가 복잡해져 구현 버그라는 새 공격 표면이 늘고, 완전한 양자 전환을 미루는 ‘안일한 타협’이라는 비판도 동시에 존재합니다.
4. 암호 민첩성(Crypto-Agility) 의무화 — 특정 알고리즘을 하드코딩하는 방식은 도태됩니다. 취약점이 발견돼도 펌웨어 업데이트만으로 즉시 교체할 수 있는 유연 아키텍처가 필수가 됐습니다.
5. 사업적 진입 장벽 — 규제 일정을 못 맞춘 벤더·제조사는 미국 연방·국방, 그리고 그에 준하는 글로벌 금융·엔터프라이즈 시장에서 입찰 자격을 잃습니다. 기술 문제가 곧 매출 문제가 됩니다.
2024 → 2035, 퇴출과 의무화 일정표
미 NSA의 CNSA 2.0 로드맵과 NIST IR 8547 가이드라인이 제시하는 주요 일정은 다음과 같습니다. 미국 국가안보시스템(NSS) 기준이지만, 사실상 글로벌 민간 표준의 실질적 데드라인으로 작동합니다.
PQC 의무
전면 금지
전환 완료
완전 제거
특히 SoC 제조사에 가장 시급한 것은 2027년 1월입니다. 국가 안보 시스템용 신규 장비는 PQC를 지원해야 하고, 펌웨어 서명은 기존 알고리즘을 금지하고 PQC 서명으로 전환해야 합니다. 이는 곧 하드웨어 Secure Boot의 데드라인입니다. 이어 2030년 말에는 보안 강도 112비트 수준 알고리즘이 전면 금지(Disallowed)되고 최소 128비트 이상으로 이행해야 하며, 2035년에는 국가안보각서 10호(NSM-10)에 따라 취약 비대칭 알고리즘(RSA·ECC)이 완전히 제거됩니다.
데드라인을 둘러싼 정반대의 두 비판
흥미롭게도 이 일정은 양쪽에서 동시에 비판받습니다. 한쪽에서는 “너무 빠듯하다”고 봅니다. 대부분의 조직은 자사 소프트웨어 어디에 어떤 암호가 쓰이는지조차 모릅니다(암호 자재 명세서, CBOM의 부재). 서드파티 라이브러리와 레거시 펌웨어에 하드코딩된 암호를 모두 찾아 바꾸는 ‘빅뱅 마이그레이션은 불가능’하다는 것입니다. 다른 한쪽에서는 HNDL 방어 관점에서 “2035년조차 너무 늦다”고 봅니다. 지금 수집된 장기 보존 데이터가 그때면 이미 해독될 수 있기 때문입니다.
두 비판이 만나는 공통 결론은 분명합니다. 고정된 알고리즘이 아니라, 언제든 교체 가능한 암호 민첩성(Crypto-Agility) 아키텍처로의 전면 개편 없이는 어느 기한도 맞출 수 없다는 것입니다.
SoC 벤더가 지금 해야 할 일
SoC는 실리콘 설계에서 양산, 배포까지 수년의 리드 타임이 듭니다. 2027년 펌웨어 서명 의무화와 2030년 레거시 퇴출을 맞추려면, 지금 설계 중인 차세대 SoC IP부터 PUF·TRNG·대용량 SRAM·유연한 Secure Boot를 결합한 ‘PQC-Ready’ 아키텍처를 반영해야 시장에서 살아남을 수 있습니다.
전환 판단의 합리적 기준은 ‘양자컴퓨터가 언제 오느냐’가 아니라 ‘내 데이터가 얼마나 오래 보호돼야 하느냐’입니다. 데이터 수명을 기준으로 한 의사결정 흐름은 다음과 같습니다.
🔁 다이어그램 요약: PQC 전환 시점은 데이터 수명으로 갈린다 — 2030년 이후까지 보관·유효해야 하는 데이터라면 HNDL 위협에 이미 노출됐으니 지금 전환하고, 그렇지 않으면 모니터링하며 단계적으로 전환한다.
🧠 핵심 정리: PQC는 미래의 위협을 막는 방패지만, 그 자체가 완벽한 정답은 아닙니다. 부채널 방어, 하이브리드 운용, 그리고 알고리즘이 파훼되면 즉각 교체할 수 있는 민첩성을 함께 설계해야 진정한 양자 내성에 도달합니다. 양자컴퓨터의 도래 시점은 전문가 사이에서도 이견이 큰 영역이므로, 특정 연도를 전제로 한 투자보다 ‘데이터 수명 기준’ 리스크 평가가 훨씬 합리적입니다.
자주 묻는 질문
Q. AES-256도 양자컴퓨터에 뚫리나요?
아닙니다. 대칭키 암호는 양자컴퓨터의 그로버 알고리즘으로도 사실상 키 길이만 절반 수준으로 약화되는 정도라, AES-256은 여전히 충분히 안전합니다. 위험한 것은 RSA·ECC 같은 비대칭키입니다.
Q. 표준이 된 PQC가 또 뚫릴 수도 있나요?
가능성을 배제할 수 없습니다. 그래서 고전 암호와 겹쳐 쓰는 하이브리드와, 문제가 생기면 바로 갈아끼우는 암호 민첩성이 함께 강조됩니다. ‘하나의 알고리즘에 모든 걸 거는’ 방식이 가장 위험합니다.
Q. 우리 회사는 NSS도 아닌데 일정을 신경 써야 하나요?
네. 미국 정부 조달 기준이 글로벌 금융·엔터프라이즈의 사실상 표준으로 번지기 때문입니다. 공급망 한 단계라도 미 정부망과 닿아 있다면 같은 데드라인이 사실상 적용됩니다.
참고 자료
• NIST Computer Security Resource Center
• Common Criteria Portal
• Schneier on Security — SIKE·Rainbow 파훼 분석
• PQShield — HNDL·CRQC 위협 분석
• Secure-IC / Ledger — 격자 기반 PQC 부채널 공격 연구
• RedHat — PQC 마이그레이션 과제
※ 본 글은 공개된 표준 문서와 보안 연구를 바탕으로 한 기술 정보 정리입니다. 인증·규제 요건은 기관 발표에 따라 갱신될 수 있으므로, 실제 적용 시에는 각 기관의 최신 원문을 확인하시기 바랍니다.
본 글은 공개된 데이터와 출처를 바탕으로 작성했습니다. 최종 업데이트: 2026-06-13