구글이 양자 암호 마이그레이션 시한을 2029년으로 앞당겼습니다. 양자 컴퓨터 발전 속도가 예상보다 빨라지면서 기업의 PQC 전환이 시급해진 배경과 대응 전략을 알아봅니다.
구글, 양자 암호 전환 시한 2029년으로 단축
2026년 현재, 구글은 양자 암호(PQC) 마이그레이션 완료 시점을 2029년으로 공식 발표하며 기존 NIST 로드맵(2030년 위험 알고리즘 폐기, 2035년 완전 사용 금지)보다 기한을 앞당겼습니다. 구글은 인터넷 통신의 암호화 대부분을 책임지며 자체 양자 컴퓨터를 개발하고 있어, 양자 기술의 발전을 가장 잘 평가할 위치에 있습니다. 인증 서비스의 PQC 전환을 최우선으로 조정하고, 다른 엔지니어링 팀에도 동참을 촉구하며 사이버 보안 위협에 대한 새로운 인식을 반영했습니다.
양자 컴퓨터 위협 현실화: 큐비트 요구치 급감
양자 컴퓨터의 파괴력은 예상보다 빠르게 현실화되고 있습니다. 부즈 앨런 해밀턴의 조던 케년 수석 과학자는 쇼어 알고리즘이 전통적인 비대칭 암호화를 해독하는 데 필요한 큐비트 수가 과거 2천만 개에서 최근에는 10만 개 수준으로 줄어들었다고 강조합니다. 이는 하드웨어 성능뿐만 아니라 오류 수정 기술과 알고리즘 자체의 발전 덕분입니다. 양자 컴퓨팅 기술의 급진적인 발전은 기존 암호화 체계에 대한 위협이 더 이상 먼 미래의 일이 아님을 분명히 보여줍니다.
구글의 양자 암호 해독 예측 하향 조정 배경
구글의 자체 분석 역시 양자 위협의 가속화를 뒷받침합니다. 2019년, 구글은 RSA 암호 해독에 2천만 큐비트가 필요할 것으로 예상했습니다. 하지만 2025년 5월에는 이 추정치를 1백만 큐비트로 대폭 수정했습니다. 더 놀라운 것은 ‘지난달'(2025년 말 또는 2026년 초), 호주 아이스버그 퀀텀 연구진이 사전 보고서에서 불과 10만 개의 물리적 큐비트로도 충분하다고 밝힌 점입니다. 이러한 급격한 하향 조정은 양자 기술 발전 속도가 전문가들의 예상을 훨씬 뛰어넘고 있음을 명확히 시사합니다.
NIST의 PQC 표준화 노력과 기업의 낮은 준비성
미국 국립표준기술연구소(NIST)는 이러한 위협에 대비하여 이미 양자 컴퓨팅에 견딜 수 있는 4가지 알고리즘을 확정하고 5번째를 선정하는 등 PQC 표준화를 선도하고 있습니다. 이는 기업들이 선택할 수 있는 안전한 대안이 존재한다는 의미입니다. 그러나 포스트 양자 암호화 연합(Post Quantum Cryptography Coalition)에 따르면, 이러한 PQC 표준들이 아직 광범위하게 채택되지 못하고 있습니다. 기술적 준비는 이루어지고 있지만, 실제 산업 적용은 아직 미미한 수준에 머물러 있습니다.
기업 PQC 준비의 문제점: 가시성과 인프라 부족
PQC 전환에 대한 기업들의 대비는 여전히 심각하게 부족합니다. 트러스티드 컴퓨팅 그룹(Trusted Computing Group)의 연구 결과에 따르면, 놀랍게도 기업의 91%가 PQC 전환을 위한 로드맵조차 수립하지 못했습니다. 또한 80%의 기업은 현재 사용 중인 암호화 라이브러리와 하드웨어 보안 모듈이 PQC 통합 준비가 되어 있지 않다고 응답했습니다. PQC 준수 준비 평가를 시작한 기업은 39%에 불과해, 대부분의 조직이 양자 시대의 보안 위협에 무방비 상태로 노출되어 있음을 보여줍니다.
‘지금 저장, 나중에 해독’ 공격의 실제 위협
구글 및 알파벳의 글로벌 담당 사장인 켄트 워커는 ‘지난달’ 게시물에서 악의적인 공격자들이 암호학적으로 의미 있는 양자 컴퓨터가 준비될 때까지 기다리지 않는다고 경고했습니다. 이들은 이미 ‘지금 저장하고 나중에 해독(store now, decrypt later)’하는 공격을 수행하며 암호화된 데이터를 수집하고 있습니다. 양자 컴퓨터가 개발되는 날, 이 데이터들이 한순간에 해독될 수 있다는 것입니다. 이는 기업들이 즉시 대응하지 않으면 장기적으로 치명적인 보안 위협에 노출될 수 있음을 의미하며, 더 이상 PQC 전환을 미룰 여유가 없음을 강조합니다.
CISO의 역할: PQC 마이그레이션 최우선 과제
ABI 리서치의 미셸라 멘팅 분석가는 구글의 PQC 마이그레이션 기한 단축은 기업들도 전환 계획을 앞당겨야 함을 의미한다고 강조합니다. 최고정보보안책임자(CISO)는 PQC 전환을 단순한 ‘사이드 프로젝트’가 아닌, 즉시 해결해야 할 최우선 과제로 인식해야 합니다. 양자 시대의 보안 위협은 기업의 핵심 자산과 커뮤니케이션 안전을 직접적으로 위협하기 때문입니다. CISO는 기업의 암호화 전략을 전면 재검토하고, PQC 통합 로드맵을 신속하게 수립하여 실행에 옮겨야 합니다.
하이퍼스케일러와의 보조 맞추기 전략
구글의 2029년 마이그레이션 시한 발표는 마이크로소프트와 AWS 같은 다른 하이퍼스케일러들도 유사한 PQC 전환 일정을 설정할 가능성이 높다는 신호입니다. ABI 리서치에 따르면, 기업들은 NIST의 기존 폐기 일정보다 더 일찍 PQC 전환을 가속화해야 하며, 특히 하이퍼스케일러와 보조를 맞춰야 합니다. 클라우드 서비스 제공업체들이 PQC를 도입하기 시작하면, 이들과 연동되는 기업 시스템 또한 빠르게 PQC로 전환해야 합니다. 그렇지 않으면 호환성 문제와 보안 취약점에 직면할 수 있습니다.
가트너의 핵심 권고: 암호화 가시성과 민첩성
가트너(Gartner)에 따르면, 조직의 61%는 암호화 시스템에 대한 완전한 가시성이 부족합니다. 이는 PQC 전환의 첫걸음인 ‘무엇을 보호해야 하는가’에 대한 인식이 부족하다는 의미입니다. 가트너는 기업들이 포괄적인 암호화 인벤토리를 수행하고, 암호화 민첩성(Cryptographic Agility)과 가시성(Visibility)에 투자할 것을 권고합니다. 암호화 민첩성은 기존 암호화 방식이 취약해지면 빠르게 새로운 방식으로 전환할 수 있는 유연성을 의미하며, 이는 양자 시대에 필수적인 역량입니다.
성공적인 PQC 전환을 위한 실질적 단계
성공적인 PQC 전환을 위해 기업들은 몇 가지 실질적인 단계를 밟아야 합니다. 첫째, 모든 암호화 자산에 대한 포괄적인 인벤토리를 구축하여 현재 사용 중인 모든 암호화 알고리즘과 키를 파악해야 합니다. 둘째, 암호화 우수 센터(Cryptographic Center of Excellence)를 설립하여 PQC 전문성을 내재화하고 통합적인 전략을 수립해야 합니다. 마지막으로, 장기 민감 자산(long-term sensitive assets)에 대한 PQC 마이그레이션을 최우선순위로 두어야 합니다. 이는 양자 공격에 가장 취약하며 장기적 가치를 지닌 데이터를 보호하기 위함입니다.
