양자컴퓨팅 시대의 암호기술: AES, SHA-3, PQC, 그리고 지금 해야 할 준비

By PLURA 2026-04-04

양자컴퓨팅을 이야기할 때
가장 흔한 오해는 이것입니다.

양자컴퓨터가 완성되면 그때 가서 암호를 바꾸면 된다.

하지만 보안 관점에서 이 생각은 위험합니다.
공격자는 양자컴퓨터가 완성된 뒤에만 움직이는 것이 아니라,
지금 데이터를 수집해 두고 나중에 복호화할 수 있기 때문입니다.

이른바 Harvest Now, Decrypt Later(HNDL) 문제입니다.

그래서 양자 시대의 암호 대응은
“미래 기술 소개”가 아니라
지금 시작해야 하는 암호 전환 준비입니다.

NIST는 이미 2024년 8월 첫 번째 PQC 표준인 FIPS 203(ML-KEM), FIPS 204(ML-DSA), FIPS 205(SLH-DSA) 를 승인했고,
2025년 3월에는 백업 KEM으로 HQC 를 추가 선정했습니다.
즉, 이제 논점은 “표준이 나올까?”가 아니라
어떻게 전환할 것인가 입니다.

1. 양자컴퓨팅은 어떤 암호를 실제로 위협하는가

암호를 크게 나누면 두 부류입니다.

대칭키 암호 / 해시
- AES
- SHA-2, SHA-3
공개키 암호 / 전자서명
- RSA
- ECC
- ECDH
- ECDSA

양자컴퓨팅의 가장 큰 충격은
이 두 부류에 같은 강도로 오지 않는다는 점입니다.

1) AES는 약해지지만, 곧바로 붕괴하지는 않는다

양자컴퓨팅은 Grover 알고리즘을 통해
무차별 대입 탐색을 제곱근 수준으로 가속할 수 있습니다.

즉 개념적으로 보면:

AES-128 → 체감 보안 강도 감소
AES-256 → 여전히 충분한 안전 여유 확보 가능

그래서 실무적으로는
AES 자체를 버리는 것이 아니라, 더 긴 키 길이(AES-256)를 기본으로 가져가는 방향이 맞습니다.

2) SHA-3도 즉시 무너지는 것은 아니다

SHA-3 역시 Grover 계열 영향으로
공격 난이도가 줄어들 수 있지만,
출력 길이가 충분히 크면 여전히 안전 여유를 유지할 수 있습니다.

실무적으로는 다음과 같은 보수적 방향이 적절합니다.

SHA-3-256보다 더 긴 출력이 필요한 환경 검토
장기 무결성 검증에는 SHA-3-512 등 상위 옵션 고려

즉,
대칭키와 해시는 “강화”의 문제에 가깝습니다.

3) RSA와 ECC는 구조적으로 가장 위험하다

문제는 공개키 암호입니다.

Shor 알고리즘은
정수 소인수분해와 이산로그 문제를 효율적으로 풀 수 있는 것으로 알려져 있습니다.
이는 RSA와 ECC의 보안 가정을 정면으로 무너뜨립니다.

즉, 충분한 규모의 오류 정정 양자컴퓨터가 가능해지면:

RSA 기반 키 교환
ECC 기반 ECDH
ECDSA 서명
기존 공개키 PKI 체계

이 전반이 구조적으로 취약해질 수 있습니다.

그래서 양자 시대 암호 논의의 핵심은
사실상 한 문장으로 정리됩니다.

AES와 SHA-3는 강화해서 계속 쓸 수 있지만,
RSA와 ECC는 결국 교체 대상이다.

이 점이 PQC 전환이 필요한 이유입니다.

2. 왜 “지금” 준비해야 하는가: HNDL 문제

많은 조직은 이렇게 생각합니다.

“아직 양자컴퓨터가 실용 수준이 아니니 조금 더 기다려도 되지 않을까?”

하지만 장기 기밀성이 필요한 데이터는
이미 지금부터 위험합니다.

예를 들면 다음과 같습니다.

정부·공공 문서
금융 거래 데이터
의료 정보
기업 기밀
연구 자료
장기 보관 계약 문서
코드 서명 검증 체계
펌웨어 무결성 검증 체계

이 데이터는
오늘 탈취되어도 5년 뒤, 10년 뒤에도 가치가 있습니다.

CISA, NSA, NIST도
바로 이 이유 때문에 조직들이 지금부터 암호 자산 인벤토리와 PQC 마이그레이션 준비를 시작해야 한다고 권고합니다.
즉, 양자 위협은 “당장 내일 깨진다”의 문제가 아니라
전환에 오래 걸리므로 지금 출발해야 한다는 문제입니다.

3. 2026년 현재 PQC 표준은 어디까지 왔는가

PQC는 더 이상 연구실 용어가 아닙니다.
표준화는 이미 시작됐고, 구현과 상호운용성 검토 단계로 넘어가고 있습니다.

NIST 기준 핵심 표준

구분	표준	계열	용도	특징
KEM	FIPS 203 / ML-KEM	격자 기반	키 교환	현재 주력 PQ KEM
서명	FIPS 204 / ML-DSA	격자 기반	전자서명	범용 서명 표준
서명	FIPS 205 / SLH-DSA	해시 기반	전자서명	보수적 대안
예정	FIPS 206 / FN-DSA	격자 기반	전자서명	작은 서명이 장점
추가 선정	HQC	코드 기반	KEM	ML-KEM 백업 후보

여기서 중요한 포인트는 세 가지입니다.

ML-KEM 이 현재 공개키 교환 대체의 중심입니다.
ML-DSA 와 SLH-DSA 는 서명 용도로 이미 표준화되었습니다.
NIST는 2025년 3월 HQC 를 추가 선정해, ML-KEM에 문제가 생길 경우를 대비한 백업 KEM 도 준비하고 있습니다.

4. PQC 알고리즘은 무엇이 다르고, 무엇을 봐야 하는가

평가에서 지적된 대로
실무자는 단순히 이름만 아는 것으로는 부족합니다.

중요한 것은
어떤 알고리즘이 어떤 장단점을 갖는가 입니다.

주요 PQC 알고리즘 비교

알고리즘	계열	용도	장점	단점	실무 관점
ML-KEM (Kyber 계열)	격자 기반	키 교환	성능이 좋고 구현 생태계가 빠르게 확산	신규 구현 검증 필요	현재 가장 현실적인 주력
HQC	코드 기반	키 교환	ML-KEM과 다른 수학 기반의 백업	생태계와 적용 사례가 아직 적음	백업 표준 가치 큼
ML-DSA (Dilithium 계열)	격자 기반	서명	균형 잡힌 성능과 보안	서명/키 크기가 기존 ECC보다 큼	일반 목적 서명에 유력
SLH-DSA (SPHINCS+ 계열)	해시 기반	서명	매우 보수적 접근	서명이 크고 느린 편	고신뢰 백업 서명
FN-DSA (Falcon 계열)	격자 기반	서명	작은 서명 크기	구현 난이도가 높음	성능·복잡성 균형 검토 필요

한 문장으로 요약하면

ML-KEM: 현재 가장 현실적인 키 교환 후보
ML-DSA: 범용 서명의 주력 후보
SLH-DSA: 느리지만 보수적인 대안
FN-DSA: 효율적이지만 구현이 까다로움
HQC: 주력보다는 백업 성격

특히 NIST는 공식 자료에서
ML-KEM은 일반적인 선택,
HQC는 백업 표준,
FN-DSA는 작은 서명과 공개키가 장점이지만 구현이 어렵다고 설명하고 있습니다.

5. 하이브리드 방식이 왜 현실적인가

많은 조직은 PQC를
“기존 것을 다 버리고 한 번에 바꾸는 일”로 오해합니다.

하지만 실제 현장에서는
하이브리드 방식이 훨씬 현실적입니다.

하이브리드 방식이란
기존 공개키 방식(ECDHE 등)과 PQC(ML-KEM 등)를 함께 사용해
둘 중 하나가 예상보다 약해져도 전체 보안을 유지하도록 하는 접근입니다.

즉:

기존 방식의 호환성 유지
PQC 전환 리스크 분산
상호운용성 테스트 가능
운영 이슈를 조기 확인 가능

이 방식은 이미 이론이 아니라
실제 프로토콜 초안과 상용 서비스에서 사용되고 있습니다.

실제 예시 1: TLS 1.3 하이브리드

IETF에는 ECDHE-MLKEM 및 TLS용 ML-KEM 관련 초안이 진행 중입니다.
즉, TLS 1.3에서 기존 ECDHE와 PQC를 결합하는 방식이
공식 표준 트랙 논의 단계에 있습니다.

실제 예시 2: 브라우저 및 인터넷 서비스

Chrome은 과거 X25519Kyber768 하이브리드 키 교환을 실험적으로 도입한 바 있으며,
Cloudflare는 2025년 기준 인터넷 트래픽 상당 부분에 포스트 양자 하이브리드 키 합의를 확대 적용했다고 밝혔습니다.
또 2026년에는 SASE·WARP·IPsec·MASQUE 터널 등으로도 PQ 하이브리드 적용을 확대하고 있습니다.

실무적으로 왜 중요한가

PQC 전환은 단순히 알고리즘 이름을 바꾸는 일이 아닙니다.

패킷 크기 증가
핸드셰이크 성능 영향
인증서와 HSM 지원 문제
브라우저/서버 호환성
FIPS 검증 및 감사 체계

이런 요소가 모두 따라옵니다.
그래서 현실적인 조직은
전면 교체보다 먼저
하이브리드 테스트와 점진 전환부터 시작해야 합니다.

6. 어디서부터 바꾸어야 하는가: 우선순위

PQC 전환에서 가장 흔한 실패는
“중요한 것과 덜 중요한 것을 구분하지 못하는 것”입니다.

모든 시스템을 동시에 바꾸는 것은 불가능합니다.
따라서 우선순위가 필요합니다.

1순위: 장기 기밀 보호 구간

장기 보존 데이터
민감 문서 저장소
백업 암호화
내부 기밀 통신

2순위: 공개키 의존도가 높은 인터넷 노출 구간

TLS
외부 API
VPN
B2B 상호 인증
클라우드 엣지

3순위: 신뢰 체인 전체에 영향을 주는 구간

PKI
인증서 발급 체계
코드 서명
펌웨어 서명
소프트웨어 업데이트 검증

4순위: 교체 주기가 긴 레거시/OT

네트워크 장비
산업 제어 시스템
임베디드 장비
장기 운영 애플리케이션

특히 OT와 장기 운영 장비는
도입 후 7년, 10년 이상 유지되는 경우가 많아
늦게 보면 오히려 가장 늦게 바꾸게 됩니다.
CISA도 OT 환경에서 포스트 양자 전환을 별도로 고려해야 한다고 강조합니다.

7. 보안팀이 지금 당장 해야 할 일

이제 가장 중요한 부분입니다.

평가에서 부족하다고 지적된 부분도 바로 이것입니다.

그래서 지금 무엇을 해야 하는가?

정답은 명확합니다.

1) 크립토 인벤토리부터 만들 것

먼저 조직 안에서
어디에 어떤 암호가 쓰이는지 파악해야 합니다.

예를 들면:

TLS 인증서
VPN 게이트웨이
SSH
S/MIME
코드 서명
펌웨어 서명
HSM
PKI
API 상호 인증
DB 암호화
백업 암호화
SaaS 벤더 의존 구간

이 작업 없이는
PQC 전환도, 하이브리드 테스트도, 우선순위 설정도 불가능합니다.
CISA·NSA·NIST 문서도 이 단계를 가장 먼저 요구합니다.

2) “공개키 의존 자산”을 따로 분리할 것

모든 암호 자산 중에서도
양자 위협에 직접적인 영향을 받는 것은 공개키 계열입니다.

따라서 다음을 별도 목록으로 뽑는 것이 좋습니다.

RSA 사용 구간
ECC 사용 구간
ECDH/ECDSA 사용 구간
인증서·PKI
서명 검증 체계

3) 크립토 애질리티를 확보할 것

크립토 애질리티는
알고리즘을 바꿔야 할 때 전체 시스템을 다시 설계하지 않고도
교체할 수 있는 능력입니다.

핵심은 다음입니다.

알고리즘 하드코딩 제거
정책 기반 설정
키/인증서 교체 자동화
라이브러리 의존성 파악
버전 호환성 테스트

양자 시대의 진짜 문제는
양자컴퓨터 그 자체보다
알고리즘 교체를 못 하는 시스템 구조일 수 있습니다.

4) 하이브리드 테스트 환경을 만들 것

운영 반영 전에 반드시 검토해야 할 것:

TLS 1.3 하이브리드 키 교환
서버와 브라우저 호환성
성능 영향
세션 생성 지연
패킷 크기 증가
로드밸런서·프록시·WAF 영향

5) 벤더 로드맵을 요구할 것

다음 질문에 답하지 못하는 벤더는
앞으로 위험할 수 있습니다.

PQC 지원 일정이 있는가
ML-KEM / ML-DSA 지원 계획이 있는가
하이브리드 모드를 지원하는가
인증서·HSM·코드서명 전환 계획이 있는가
레거시와 공존 가능한가
FIPS 및 규제 대응 계획이 있는가

8. PQC 마이그레이션 체크리스트

실무 체크리스트

조직 내 암호 자산 인벤토리를 시작했다
공개키 사용 구간(RSA/ECC/ECDH/ECDSA)을 분리해 정리했다
장기 기밀 데이터 보관 구간을 식별했다
TLS, VPN, PKI, 코드 서명, 펌웨어 서명의 우선순위를 정했다
주요 벤더의 PQC 지원 로드맵을 확보했다
하이브리드 TLS 테스트 계획을 세웠다
인증서/HSM/CA 의존성을 점검했다
레거시 장비와 OT 환경의 교체 주기를 반영했다
크립토 애질리티 개선 과제를 별도 운영하고 있다
2~3년 단위 PQC 전환 로드맵 초안을 만들었다

9. 결론

양자컴퓨팅 시대의 암호 전략은
복잡해 보이지만 핵심은 단순합니다.

AES와 SHA-3는 강화해서 계속 사용할 수 있다.
RSA와 ECC는 결국 교체 대상이다.
PQC는 이미 표준화 단계에 들어왔고, 하이브리드 방식이 가장 현실적인 전환 경로다.
지금 해야 할 일은 공포가 아니라 인벤토리, 우선순위화, 테스트, 로드맵 수립이다.

즉, 양자 시대의 암호 대응은
새로운 마케팅 유행어가 아닙니다.

그 본질은 아주 현실적입니다.

우리 조직이 어떤 공개키 암호에 의존하고 있는지 정확히 파악하고,
그것을 안전하게 교체할 준비를 시작하는 것.

양자컴퓨팅은 아직 완성되지 않았습니다.
그러나 PQC 준비는 이미 시작되어야 합니다.

늦게 시작하는 조직일수록
전환 비용은 더 커지고,
리스크는 더 오래 남습니다.

함께 읽기

참고자료

NIST PQC 표준 개요 및 FIPS 203/204/205
NIST HQC 추가 선정 및 PQC 표준화 현황
CISA/NSA/NIST 양자 대응 가이드
IETF TLS용 ML-KEM 및 ECDHE-MLKEM 초안
Chrome/Cloudflare의 포스트 양자 하이브리드 적용 사례