동형암호의 미래: NIST는 왜 아직 AES나 PQC처럼 다루지 않는가
AES, SHA-3, PQC를 떠올리면
많은 사람들은 자연스럽게 이렇게 생각합니다.
중요한 암호 기술이라면 결국 NIST가 대표 알고리즘을 뽑고,
산업은 그 표준을 따라간다.
그렇다면 질문이 생깁니다.
동형암호는 왜 아직
AES, SHA-3, PQC 같은 흐름에 올라타지 못했을까요.
- 아직 기술이 덜 성숙해서일까요
- NIST 관심 밖의 분야라서일까요
- 아니면 애초에 표준화 대상의 성격이 다른 걸까요
현 단계는 세 번째에 가깝습니다.
동형암호는 NIST 관심 밖의 기술이 아니라,
AES나 PQC처럼 “우승자 한 개를 뽑는 방식”으로 다루기 어려운 기술입니다.
실제로 NIST는 FHE를 외면하지 않고 있습니다.
NIST의 Privacy-Enhancing Cryptography(PEC) 프로젝트에는 FHE 전용 페이지가 있고,
이 프로젝트는 PEC 도구의 이해를 돕는 참조 자료를 만들고
미래에 표준화가 적절할 수 있는 암호 기술을 식별하는 데 목적이 있다고 설명합니다.
즉, 질문의 핵심은
“왜 NIST가 FHE를 무시하느냐”가 아니라
“왜 FHE는 AES나 PQC와 같은 형식의 표준화 흐름으로 바로 가지 않느냐”입니다.
왜 이 질문이 중요한가
동형암호를 미래 기술로 이야기할 때
많은 글은 “가능성”만 강조합니다.
하지만 산업은 가능성만으로 움직이지 않습니다.
특히 보안 기술은 다음 질문을 통과해야 합니다.
- 무엇이 표준이 될 것인가
- 무엇이 상호운용성을 보장할 것인가
- 무엇이 조달·감사·제품 인증의 기준이 될 것인가
AES, SHA-3, PQC는
이 질문에 비교적 명확한 답을 주었습니다.
- AES는 대칭키 블록암호의 대표 표준이 되었고
- SHA-3는 해시 분야의 공인된 대안으로 자리 잡았으며
- PQC는 공개키 전환의 현실적 기준으로 빠르게 굳어지고 있습니다
그런데 동형암호는 아직
그 단계에 이르지 못했습니다.
이 차이를 이해하지 못하면
동형암호가 기술적으로 실패했다고 오해하거나,
반대로 곧 AES처럼 대표 표준이 나올 것이라고 착각하게 됩니다.
NIST는 정말 동형암호에 관심이 없는가
결론부터 말하면, 아닙니다.
NIST는 동형암호를
관심 밖 기술로 두고 있지 않습니다.
1) NIST PEC 프로젝트 안에 FHE가 별도로 있다
NIST PEC 프로젝트에는
FHE 전용 페이지가 있고,
해당 페이지는 WPEC 2024, MPTS 2026, 커뮤니티 표준화 활동 등
여러 정보원을 연결해 FHE 맥락을 정리하고 있습니다.
2) WPEC 2024에 FHE 세션이 별도로 있었다
NIST는 2024년 WPEC에서
FHE 전용 세션을 운영했고,
여기에는 FHE 개요, FPGA 기반 FHE, 구현 보안 가이드라인,
마무리 코멘트까지 포함됐습니다.
3) NIST는 FHE를 exploratory track으로 다루고 있다
NIST 발표 자료를 보면
PEC와 MPTC는 “reference materials” 중심의 탐색적 접근을 취하고 있으며,
이는 경쟁을 통해 단일 표준을 뽑는 구조가 아니라
분야를 정리하고 향후 보고서·권고·표준의 가능성을 준비하는 과정이라고 설명합니다.
즉, NIST의 태도는
“무관심”이 아니라
“아직 competition-style 표준화보다 정리와 축적이 먼저인 영역”에 가깝습니다.
그럼 왜 AES, SHA-3, PQC 같은 흐름이 아직 안 나왔는가
이 질문의 답은
동형암호의 기술적 성격에 있습니다.
1) 동형암호는 문제 정의가 너무 넓다
AES는
“대칭키 블록암호”라는 분명한 primitive였습니다.
SHA-3는
“해시 함수”라는 명확한 문제를 다뤘습니다.
PQC도
최종적으로는 KEM과 전자서명이라는 비교적 명확한 범주로 수렴했습니다.
반면 동형암호는 다릅니다.
- 정확 계산과 근사 계산이 다르고
- BGV, BFV, CKKS, TFHE 등 스킴이 다르며
- 부트스트래핑 여부와 방식이 다르고
- 연산 깊이, 정밀도, 응용 목적이 다릅니다
즉, “대표 알고리즘 하나”를 뽑는 순간
오히려 기술 현실을 잘못 반영할 수 있습니다.
2) 동형암호는 primitive보다 framework에 가깝다
AES는
암호화 primitive 그 자체였습니다.
하지만 동형암호는
알고리즘 하나만으로 끝나지 않습니다.
실제 구현에서 중요한 것은 다음입니다.
- 어떤 연산을 허용할 것인가
- 어떤 파라미터를 쓸 것인가
- 어떤 보안 수준을 목표로 할 것인가
- 어떤 직렬화와 키 컨텍스트를 공유할 것인가
- 어떤 응용을 염두에 둘 것인가
즉, 동형암호는
단일 알고리즘보다
파라미터, 프로파일, API, 워크로드 모델까지 포함한 응용 프레임워크에 가깝습니다.
3) 성능과 구현이 아직 너무 빠르게 변한다
동형암호는 지금도 계속 변하고 있습니다.
- 라이브러리 최적화
- 부트스트래핑 개선
- threshold FHE
- 스킴 전환
- FPGA/ASIC/GPU 가속
- AI 추론 최적화
최근 NIST와 커뮤니티 행사 흐름을 봐도
FHE 논의는 여전히 “정리 중인 기술”의 성격이 강합니다.
이 단계에서
너무 이른 단일 표준 고정은
오히려 산업 발전을 묶을 수 있습니다.
그래서 동형암호는 “기반 기술”인가, “응용 분야”인가
이 질문은 매우 중요합니다.
내 답은 이렇습니다.
동형암호는 기반 암호 primitive의 성격도 있지만,
산업적으로는 응용 기술로 나타나는 비중이 훨씬 크다.
즉, 수학적으로는 분명 암호 primitive 계열이지만,
실무와 제품 관점에서는
- 프라이버시 보존 분석
- 금융 데이터 결합
- 의료 협력
- 암호화된 AI 추론
같은 응용 문제를 푸는 기술 묶음으로 등장합니다.
바로 이 점 때문에
NIST도 FHE를 AES처럼 바로 competition으로 다루기보다
PEC라는 상위 프레임에서 다루는 것으로 보입니다.
즉,
동형암호는 단순 primitive라기보다
응용 지향성이 강한 advanced cryptography로 보는 편이 더 정확합니다.
이미 커뮤니티 표준화는 움직이고 있다
흥미로운 점은
국가 표준 경쟁은 아직 없지만,
커뮤니티 표준화는 이미 꽤 오래 진행돼 왔다는 사실입니다.
HomomorphicEncryption.org는
정기 Standards Meeting을 열고 있고,
2026년 3월에는 서울에서 9번째 Standards Meeting을 개최했습니다.
또 FHE 구현 보안 가이드 발표 자료는
ISO/IEC 표준화 과정이 2020년부터 진행 중이며,
community standard가 ISO/IEC 과정을 지원하는 흐름으로 이어지고 있다고 설명합니다.
이 사실이 중요합니다.
즉, 동형암호는
표준화가 전혀 없는 기술이 아니라
국가 경쟁 표준 이전 단계의 다층적 표준화가 이미 진행 중인 기술입니다.
향후 가능성은 있는가
있습니다. 다만 형태가 다를 가능성이 큽니다.
동형암호의 미래 표준화는
AES나 PQC처럼 “최종 우승자 한 개”를 뽑는 구조보다
다음에 가까울 가능성이 큽니다.
1) 보안 수준과 파라미터 프로파일
어떤 스킴이든 공통적으로 필요한 것은
보안 수준, 파라미터 등급, 직렬화 규칙, 키 컨텍스트 표현입니다.
2) 용도별 가이드라인
정확 계산용, 근사 계산용, threshold FHE, AI 추론용 등
목적에 따라 다른 프로파일이 필요할 수 있습니다.
3) 구현·상호운용성 기준
라이브러리 간 상호운용성, API 수준 표현, 구현 보안 가이드가
실제 산업 표준의 핵심이 될 수 있습니다.
즉, 동형암호의 표준화는
“암호 알고리즘 하나”보다
응용과 구현을 포함한 표준 묶음으로 갈 가능성이 큽니다.
비교하면 더 분명하다
| 구분 | AES / SHA-3 / PQC | 동형암호(FHE) |
|---|---|---|
| 문제 정의 | 비교적 명확한 primitive | 매우 넓고 응용 지향적 |
| 표준화 방식 | 경쟁 → 선정 → 대표 표준 | 탐색 → 참조 자료 → 프로파일/가이드 가능성 |
| 핵심 질문 | 어떤 알고리즘이 대표가 될 것인가 | 어떤 스킴·파라미터·응용 조합이 안전하고 실용적인가 |
| 산업 적용 | 범용 인프라 전반 | 특정 워크로드와 산업 중심 |
| NIST 현재 태도 | 이미 대표 표준 확정 경험 다수 | PEC 안에서 탐색·정리·미래 표준 가능성 검토 |
이 표가 보여주는 메시지는 단순합니다.
동형암호는 중요하지 않아서 늦은 것이 아니라,
표준화해야 할 대상이 더 복잡해서 느린 것입니다.
실무자가 기억해야 할 포인트
이 주제를 실무적으로 정리하면 다음과 같습니다.
- 동형암호는 NIST 관심 밖이 아니다
- 다만 아직 AES나 PQC처럼 competition-style 표준화 단계는 아니다
- 이유는 동형암호가 단일 primitive보다 응용 프레임워크에 가깝기 때문이다
- 향후 표준화는 단일 우승자보다 프로파일, 가이드, 구현 기준 형태가 더 유력하다
- 그래서 지금은 “왜 아직 대표 표준이 없나”보다 “어떤 방향으로 정리되고 있나”를 보는 것이 중요하다
결론
AES, SHA-3, PQC는
NIST 주도로 대표 표준 흐름이 형성됐습니다.
그런데 동형암호는 아직
그 단계에 이르지 못했습니다.
이 차이를 두고
동형암호가 덜 중요하다고 보면 틀립니다.
정확한 해석은 오히려 반대에 가깝습니다.
동형암호는 너무 단순해서 표준화가 늦은 것이 아니라,
너무 복합적이어서 표준화 방식 자체가 달라야 하는 기술이다.
NIST는 동형암호를 외면하고 있지 않습니다.
이미 PEC 프레임 안에서 FHE를 다루고 있고,
커뮤니티 표준화와 참조 자료, 워크숍, threshold 논의를 통해
미래 표준의 길을 준비하고 있습니다.
따라서 지금 던져야 할 질문은
“왜 동형암호는 아직 AES가 아니냐”가 아닙니다.
더 정확한 질문은 이것입니다.
동형암호는 어떤 형태의 표준이 되어야
실제 산업에서 살아 움직일 수 있는가
2026년 현재 실무 관점에서 보면
지금 당장 기다려야 할 것은 “FHE 대표 알고리즘 발표”가 아니라
다음 세 가지입니다.
-
응용별 프로파일 정리
어떤 분야에서 어떤 스킴과 파라미터가 현실적인지 명확해져야 합니다. -
구현 보안과 상호운용성 기준 축적
라이브러리마다 다르게 구현되는 상태로는 산업 표준이 되기 어렵습니다. -
조달·검증 가능한 가이드라인 등장
기업과 공공기관은 결국 “무엇을 써도 되는가”를 문서로 확인하길 원합니다.
즉,
동형암호 표준화의 미래는
단일 우승자 알고리즘보다
응용별 프로파일, 구현 기준, 상호운용성 가이드의 조합에 더 가까울 것입니다.
그래서 실무자가 지금 해야 할 일도 분명합니다.
- “왜 아직 AES 같은 표준이 없나”를 아쉬워할 것이 아니라
- 동형암호가 어떤 응용에서 먼저 정리될지
- NIST PEC와 커뮤니티 표준화가 어떤 기준을 쌓아 가는지
- 우리 조직의 요구가 정확 계산, 근사 계산, threshold, AI 추론 중 어디에 해당하는지
를 먼저 구분해야 합니다.
동형암호의 미래는
표준이 없어서 어두운 것이 아닙니다.
오히려 반대입니다.