a16z의 1만 단어 분량 기사(1부): 오해받는 "양자 우위" - 2030년 전까지는 패닉에 빠질 필요 없다

오늘날 "암호화 관련 양자 컴퓨터(CRQC)"의 탄생 시기에 대한 시장 예측은 지나치게 급진적이고 과장된 경우가 많아, 양자 후 암호화로의 즉각적이고 전면적인 전환을 요구하는 목소리가 높아지고 있습니다.

하지만 이러한 요구는 종종 시기상조의 마이그레이션에 따른 비용과 위험, 그리고 서로 다른 암호화 기본 요소 간의 극명하게 다른 위험 특성을 간과합니다.

높은 비용에도 불구하고 양자 후 암호화는 즉시 도입해야 합니다. 이미 "헌터 우선 복호화(HNDL)" 공격이 발생하고 있기 때문입니다. 오늘날 암호화된 민감한 데이터는 양자 컴퓨터가 존재하는 수십 년 후에도 여전히 가치가 있을 수 있습니다. 양자 후 암호화 구현에는 성능 오버헤드와 실행 위험이 따르지만, HNDL 공격에 직면하여 장기적인 기밀성이 요구되는 데이터에 대한 대안은 없습니다.
양자 후 서명은 완전히 다른 계산 논리를 따르며, HNDL 공격의 영향을 받지 않습니다. 더욱이, 양자 후 서명의 비용과 위험(더 큰 크기, 더 낮은 성능, 미성숙한 기술, 잠재적 버그)을 고려할 때, 성급한 전환 전략보다는 신중한 접근 방식이 필요합니다.

이러한 차이점을 명확히 하는 것이 매우 중요합니다. 오해는 비용 편익 분석을 왜곡하여 팀이 코드 버그와 같은 더 중요한 보안 위험을 간과하게 만들 수 있습니다.

양자 후 암호화로의 전환에서 진정한 과제는 시급성에 대한 인식을 실제 위협 수준에 맞춰 조정하는 데 있습니다. 다음 섹션에서는 암호화, 서명, 영지식 증명(특히 블록체인에 미치는 영향)을 다루면서 양자 위협에 대한 일반적인 오해를 바로잡습니다.

우리는 양자 위협으로부터 얼마나 멀리 떨어져 있을까요?

과장된 홍보에도 불구하고, 2020년대에 "암호화 관련 양자 컴퓨터(CRQC)"가 등장할 가능성은 극히 낮습니다.

"CRQC"란 내결함성과 오류 정정 기능을 갖춘, 타원 곡선 암호화나 RSA를 공격하기 위해 합리적인 시간 내에 쇼어 알고리즘을 실행할 수 있을 만큼 충분히 큰 양자 컴퓨터를 의미합니다(예: secp256k1 또는 RSA-2048을 최대 한 달 안에 해독).

공개된 주요 개발 일정과 자원 추정치를 합리적으로 분석해 보면, 그러한 기계를 구축하기까지는 아직 갈 길이 멀다는 것을 알 수 있습니다. 일부 기업들은 CRQC가 2030년 또는 2035년까지 상용화될 수 있다고 주장하지만, 현재까지 알려진 진행 상황은 이러한 주장을 뒷받침하지 못합니다.

객관적으로 볼 때, 현재의 모든 기술적 아키텍처(이온 트랩, 초전도 큐비트, 중성 원자 시스템 등)를 살펴보면, 쇼어 알고리즘을 실행하는 데 필요한 수십만에서 수백만 개의 물리적 큐비트(오류율 및 오류 수정 방식에 따라 다름)에 근접하는 플랫폼은 현재 존재하지 않습니다.

제한 요소에는 큐비트 수뿐만 아니라 게이트 충실도, 큐비트 연결성, 그리고 심층 양자 알고리즘을 실행하는 데 필요한 연속 오류 수정 회로의 깊이 등이 포함됩니다. 현재 일부 시스템은 1,000개 이상의 물리적 큐비트를 보유하고 있지만, 단순히 숫자만 보는 것은 오해의 소지가 있습니다. 이러한 시스템은 암호화 계산에 필요한 연결성과 충실도를 갖추지 못하고 있기 때문입니다.

최근 개발된 시스템들은 물리적 오류율 측면에서 양자 오류 수정이 효과를 발휘할 수 있는 임계점에 근접하고 있지만, 아직까지 지속적인 오류 수정 회로 깊이를 갖춘 몇 개의 논리 큐비트 이상을 구현한 사례는 없습니다. 쇼어 알고리즘을 실행하는 데 실제로 필요한 수천 개의 고충실도, 심층 회로, 내결함성 논리 큐비트는 말할 것도 없습니다. "양자 오류 수정이 원칙적으로 가능하다는 것을 증명하는 것"과 "암호 분석에 필요한 규모를 달성하는 것" 사이의 격차는 여전히 엄청납니다.

요약하자면, 큐비트 수와 정확도가 몇 배씩 향상되지 않는 한 CRQC는 아직 갈 길이 멉니다.

하지만 사람들은 기업 보도자료와 언론 보도에 쉽게 혼란스러워할 수 있습니다. 다음은 흔히 발생하는 오해의 몇 가지 원인입니다.

"양자 우위"를 주장하는 시연: 이러한 시연은 현재 인간이 만든 작업을 대상으로 합니다. 이러한 작업이 선택되는 이유는 실용적이기 때문이 아니라 기존 하드웨어에서 실행 가능하고 엄청난 양자 속도 향상을 보여줄 수 있기 때문입니다. 이러한 사실은 발표에서 종종 가려집니다.
수천 개의 물리적 큐비트를 보유하고 있다고 주장하는 회사들: 이는 대개 양자 어닐링 장치를 가리키는 것이지, 공개키 암호화를 공격하기 위해 쇼어 알고리즘을 실행하는 데 필요한 게이트 모델 기계를 의미하는 것은 아닙니다.
"논리 큐비트"라는 용어의 오용: 양자 알고리즘(예: 쇼어 알고리즘)은 수천 개의 안정적인 논리 큐비트를 필요로 합니다. 양자 오류 수정 기술을 통해 하나의 논리 큐비트를 수백에서 수천 개의 물리적 큐비트로 구현할 수 있습니다. 그러나 일부 기업들은 이 용어를 터무니없이 오용하고 있습니다. 예를 들어, 최근 한 발표에서는 논리 큐비트당 단 두 개의 물리적 큐비트만을 사용하여 48개의 논리 큐비트를 구현했다고 주장했습니다. 이러한 저중복성 코드는 오류를 감지할 수는 있지만 수정할 수는 없습니다. 암호 분석에 사용되는 진정한 내결함성 논리 큐비트는 각각 수백에서 수천 개의 물리적 큐비트를 필요로 합니다.
정의에 대한 논쟁: 많은 로드맵에서 "논리 큐비트"는 클리포드 연산만 지원하는 큐비트를 지칭하는 데 사용됩니다. 이러한 연산은 고전 컴퓨터로 효율적으로 시뮬레이션할 수 있으므로 쇼어 알고리즘을 실행하기에는 단순히 불충분합니다.

로드맵의 목표가 "X년 안에 수천 개의 논리 큐비트를 달성한다"라고 되어 있더라도, 그 해에 회사가 쇼어 알고리즘을 실행하여 기존 암호를 해독할 수 있을 것이라고 기대한다는 의미는 아닙니다.

이러한 마케팅 전략은 양자역학의 임박한 위협에 대한 대중(그리고 심지어 일부 노련한 관찰자들)의 인식을 심각하게 왜곡했습니다.

그럼에도 불구하고 일부 전문가들은 이러한 진전에 대해 매우 고무되어 있습니다. 스콧 아론슨은 최근 하드웨어 발전 속도를 고려할 때 "다음 미국 대선 전에 내결함성 양자 컴퓨터로 쇼어 알고리즘을 실행하는 것이 가능할 것"이라고 밝혔습니다. 그러나 그는 이것이 암호화 기술을 위협할 수 있는 CRQC와는 다르다고 명확히 언급했습니다. 내결함성 시스템에서 15 = 3 × 5와 같이 소인수분해하는 것만으로도 "성공적인 예측"으로 간주될 수 있다는 것입니다. 이는 RSA-2048을 해독하는 것과는 분명히 다른 차원의 문제입니다.

실제로 "분해 15"와 관련된 모든 양자 실험은 완전한 내결함성 Shor 알고리즘 대신 단순화된 회로를 사용합니다. 반면 분해 21은 추가적인 힌트와 지름길을 필요로 합니다.

요컨대, 향후 5년 안에 RSA-2048이나 secp256k1을 해독할 수 있는 양자 컴퓨터를 만들 수 있다는 것을 입증할 만한 공개적인 진전은 없습니다.

10년 안에 이루어질 일이라고 해도, 이는 여전히 매우 낙관적인 예측입니다.

미국 정부는 2035년까지 정부 시스템의 양자 컴퓨팅 이후 시대로의 전환을 완료할 것을 제안했습니다. 이는 전환 프로젝트 자체의 일정이며, CRQC가 그 시점에 등장할 것이라는 예측은 아닙니다.

HNDL 공격은 어떤 암호화 시스템에 적용될 수 있습니까?

"HNDL(Harvest Now, Decrypt Later)"은 공격자가 암호화된 통신 내용을 지금 저장해 두었다가 양자 컴퓨터를 사용할 수 있게 되면 나중에 복호화하는 것을 의미합니다.

국가 차원의 적대 세력이 이미 미국 정부의 암호화된 통신 내용을 대규모로 보관하여 향후 복호화에 활용하고 있을 가능성이 있습니다. 따라서, 특히 기밀 유지 기간이 10년에서 50년 이상인 경우에는 암호화 시스템을 즉시 마이그레이션해야 합니다.

하지만 모든 블록체인이 의존하는 디지털 서명은 암호화와는 다릅니다. 디지털 서명에는 공격 시 추적될 수 있는 기밀 정보가 포함되어 있지 않습니다.

다시 말해, 양자 컴퓨터가 등장하면 그 시점부터 서명을 위조하는 것이 가능해지겠지만, 과거의 서명은 영향을 받지 않을 것입니다. 과거의 서명에는 드러낼 비밀이 없으며, 해당 서명이 CRQC가 등장하기 전에 생성되었다는 것이 증명될 수 있는 한 위조될 수 없기 때문입니다.

따라서 양자 보안 서명으로의 전환은 암호화 기술 전환에 비해 시급성이 훨씬 낮습니다.

주류 플랫폼들도 이에 상응하는 전략을 채택했습니다.

Chrome과 Cloudflare는 TLS를 위해 X25519+ML-KEM을 하이브리드 모드로 배포했습니다.
애플의 iMessage(PQ3)와 Signal(PQXDH, SPQR) 또한 하이브리드 양자 암호화를 사용합니다.

하지만 핵심 웹 인프라에 양자 후 암호화 서명을 적용하는 것은 의도적으로 지연되고 있습니다. 현재 양자 후 암호화 서명의 성능 저하가 여전히 심각하기 때문에 CRQC가 실제로 상용화에 매우 근접했을 때에만 적용될 것입니다.

zkSNARK(영지식 간결 비대화형 지식 증명 기법)의 경우에도 상황은 유사합니다. 타원 곡선(PQ 보안이 적용되지 않음)을 사용하더라도 양자 환경에서 영지식 속성이 여전히 유지됩니다.

영지식 보장은 증명 과정에서 비밀 증인이 노출되지 않도록 보장하므로 공격자가 "지금 증명을 수집하고 나중에 해독하는" 것을 방지합니다. 따라서 zkSNARK는 HNDL 공격에 취약하지 않습니다. 오늘날 생성된 서명이 안전한 것처럼, 양자 컴퓨터가 등장하기 전에 생성된 모든 zkSNARK 증명은 타원 곡선 암호화를 사용하더라도 신뢰할 수 있습니다. 공격자가 허위 진술을 사용하여 증명을 위조할 수 있는 것은 CRQC가 등장한 이후에야 가능합니다. 가치 교환은 밤낮으로 이루어지며, 인간의 경제 활동 규모를 훨씬 뛰어넘는 완전히 새로운 디지털 세계를 구축할 것입니다.