TechMentor
Glossary
Security

Post-Quantum Cryptography (PQC)

양자 컴퓨터의 공격에도 안전한 차세대 암호화 알고리즘. 2024년 8월 NIST가 최초의 PQC 표준(FIPS 203, 204, 205)을 발표했으며, 2035년까지 전 세계 암호화 인프라의 전환이 필요합니다. Gartner 2025 Top 10 전략 기술 트렌드 선정.

목차 (Table of Contents)

1. Executive Summary

2. 양자 컴퓨팅 위협의 이해

3. Post-Quantum Cryptography란?

4. NIST PQC 표준 (2024)

5. 주요 PQC 알고리즘 분석

6. Harvest Now, Decrypt Later 위협

7. 마이그레이션 타임라인

8. 엔터프라이즈 전환 전략

9. AWS 기반 PQC 구현

10. 산업별 적용 가이드

11. 도전과제와 Best Practices

12. 미래 전망

13. 실무 도입 가이드

14. 참고 자료

1. Executive Summary

Post-Quantum Cryptography (PQC)는 양자 컴퓨터가 현재의 암호화 체계를 무력화할 수 있는 미래에 대비한 차세대 암호화 기술입니다. RSA, ECC 등 현재 널리 사용되는 공개키 암호화는 양자 컴퓨터의 Shor 알고리즘에 의해 수 초 만에 해독될 수 있습니다. 2024년 8월 NIST는 7년간의 검증을 거쳐 최초의 PQC 표준을 발표했으며, 전 세계 기업과 정부는 2035년까지 암호화 인프라 전환을 완료해야 합니다.

2035

Q-Day 예상 시점

(양자 컴퓨터가 RSA 해독)

50%+

2025년 10월 기준

Cloudflare PQC 트래픽 비율

10년

NCSC 권장 전환 기간

(2035년까지 완료)

긴급 경고: Harvest Now, Decrypt Later

공격자들은 현재 암호화된 데이터를 수집하여 양자 컴퓨터가 실용화되면 해독하려는 "Harvest Now, Decrypt Later (HNDL)" 전략을 이미 실행 중입니다.

  • • 의료 기록, 금융 데이터, 국가 기밀 등 장기 보존 데이터가 위험
  • • 데이터 보존 기간 + 마이그레이션 기간 > Q-Day까지 남은 시간이면 즉시 대응 필요
  • • 국가 수준의 공격자들이 이미 대규모 데이터 수집 중으로 추정

2. 양자 컴퓨팅 위협의 이해

현재 암호화가 위험한 이유

현재 공개키 암호화의 기반

  • RSA: 큰 수의 소인수분해 어려움
  • ECC: 타원곡선 이산로그 문제
  • DH: 이산로그 문제

고전 컴퓨터로는 수천 년이 걸리는 계산

양자 컴퓨터의 위협

  • Shor 알고리즘: 소인수분해를 다항 시간에 해결
  • Grover 알고리즘: 대칭키 검색 속도 제곱근 향상
  • 결과: RSA-2048을 수 초 만에 해독

충분한 큐비트를 가진 양자 컴퓨터 필요

암호화 유형별 양자 위협 수준

암호화 유형알고리즘양자 위협대응
공개키 암호화RSA, ECC, DH완전 취약PQC로 교체 필수
대칭키 암호화AES-128부분 취약AES-256으로 업그레이드
대칭키 암호화AES-256안전유지
해시 함수SHA-256, SHA-3안전유지
Q-Day 타임라인 전망
양자 컴퓨터가 현재 암호화를 해독할 수 있는 시점

2025

현재 상태

IBM, Google 등 1,000+ 큐비트 양자 컴퓨터 개발 중. 암호 해독에는 수백만 큐비트 필요.

2030

낙관적 전망

일부 전문가들은 기술 발전 가속화로 2030년경 RSA-2048 해독 가능 예측

2035

주류 전망 (Q-Day)

BCG, NCSC 등 대부분의 기관이 2035년경을 Q-Day로 예측. NCSC는 2035년까지 PQC 전환 완료 권고.

2040

보수적 전망

기술적 난관으로 인해 2040년 이후로 지연될 가능성도 존재

3. Post-Quantum Cryptography란?

PQC의 정의

Post-Quantum Cryptography (PQC)는 양자 컴퓨터와 고전 컴퓨터 모두에 대해 안전한 것으로 여겨지는 암호화 알고리즘입니다. "양자 내성(Quantum-Resistant)" 또는 "양자 안전(Quantum-Safe)" 암호화라고도 불립니다.

PQC의 특징

  • 양자 컴퓨터로도 해독 불가능한 수학적 문제 기반
  • 기존 하드웨어에서 실행 가능 (양자 컴퓨터 불필요)
  • 기존 프로토콜(TLS, SSH 등)과 통합 가능
  • NIST 표준화 완료 (2024년 8월)

PQC vs QKD

PQC (Post-Quantum Cryptography)

수학적 알고리즘 기반, 소프트웨어로 구현

QKD (Quantum Key Distribution)

양자 물리학 기반, 특수 하드웨어 필요

* PQC가 실용적이고 비용 효율적이어서 주류 채택

PQC 알고리즘 분류

격자 기반 (Lattice-based)

고차원 격자에서의 최단 벡터 문제(SVP) 기반

  • • ML-KEM (CRYSTALS-Kyber)
  • • ML-DSA (CRYSTALS-Dilithium)
  • • FN-DSA (FALCON)
NIST 주력 표준

해시 기반 (Hash-based)

해시 함수의 안전성에 기반한 서명 방식

  • • SLH-DSA (SPHINCS+)
  • • XMSS, LMS
백업 표준

코드 기반 (Code-based)

오류 정정 코드의 디코딩 어려움 기반

  • • HQC (2025년 선정)
  • • Classic McEliece
다양성 확보

다변수 기반 (Multivariate)

다변수 다항식 방정식 풀이 어려움 기반

  • • Rainbow (취약점 발견)
  • • GeMSS
연구 단계

4. NIST PQC 표준 (2024)

NIST 최종 표준 (2024년 8월 발표)
7년간의 검증을 거친 최초의 PQC 표준

FIPS 203

ML-KEM (Module-Lattice KEM)

구 CRYSTALS-Kyber. 키 캡슐화 메커니즘으로 키 교환 및 암호화에 사용.

  • • 주요 용도: TLS 키 교환
  • • 장점: 작은 키 크기, 빠른 속도
  • • 보안 수준: 128/192/256비트
범용 암호화 표준

FIPS 204

ML-DSA (Module-Lattice DSA)

구 CRYSTALS-Dilithium. 디지털 서명 알고리즘으로 인증 및 무결성 검증에 사용.

  • • 주요 용도: 코드 서명, 인증서
  • • 장점: 균형 잡힌 성능
  • • 보안 수준: 128/192/256비트
주력 서명 표준

FIPS 205

SLH-DSA (Stateless Hash DSA)

구 SPHINCS+. 해시 기반 서명으로 격자 기반 취약점 발견 시 백업용.

  • • 주요 용도: 백업 서명 방식
  • • 장점: 다른 수학적 기반
  • • 단점: 큰 서명 크기
백업 표준

추가 표준 예정

FIPS 206 (예정)

FN-DSA (FALCON) - 더 작은 서명 크기

HQC (2025년 선정)

코드 기반 KEM - 다양성 확보용

알고리즘 성능 비교
알고리즘유형공개키 크기비밀키 크기서명/암호문 크기속도
ML-KEM-768KEM1,184 bytes2,400 bytes1,088 bytes매우 빠름
ML-DSA-65서명1,952 bytes4,032 bytes3,309 bytes빠름
SLH-DSA-128f서명32 bytes64 bytes17,088 bytes느림
RSA-2048 (비교용)서명/암호화256 bytes~1,200 bytes256 bytes빠름
ECDSA P-256 (비교용)서명64 bytes32 bytes64 bytes빠름

* PQC 알고리즘은 기존 알고리즘보다 키/서명 크기가 크지만, 양자 내성 확보

5. 주요 PQC 알고리즘 분석

ML-KEM (CRYSTALS-Kyber)
FIPS 203 - 범용 암호화 표준

작동 원리

Module Learning With Errors (MLWE) 문제 기반. 격자 위의 노이즈가 포함된 선형 방정식 시스템을 푸는 것이 어렵다는 점을 활용.

보안 수준

  • • ML-KEM-512: AES-128 동등
  • • ML-KEM-768: AES-192 동등 (권장)
  • • ML-KEM-1024: AES-256 동등

사용 사례

  • • TLS 1.3 키 교환
  • • VPN 터널 설정
  • • 이메일 암호화 (S/MIME)
ML-DSA (CRYSTALS-Dilithium)
FIPS 204 - 주력 서명 표준

작동 원리

Module Learning With Errors (MLWE) 및 Module Short Integer Solution (MSIS) 문제 기반. Fiat-Shamir with Aborts 기법 사용.

보안 수준

  • • ML-DSA-44: ~128비트 보안
  • • ML-DSA-65: ~192비트 보안 (권장)
  • • ML-DSA-87: ~256비트 보안

사용 사례

  • • 코드 서명
  • • X.509 인증서
  • • 문서 서명
하이브리드 암호화 접근법
전환기 권장 방식

PQC 알고리즘이 아직 실전 검증이 부족하므로, 전환기에는 기존 알고리즘과 PQC를 함께 사용하는 하이브리드 방식이 권장됩니다.

# 하이브리드 키 교환 예시

Hybrid_Key = ECDH_Key || ML-KEM_Key

# TLS 1.3 하이브리드 키 교환
- X25519 + ML-KEM-768 (권장)
- P-256 + ML-KEM-768
- P-384 + ML-KEM-1024

하이브리드 장점

  • • 기존 알고리즘 취약점 발견 시 PQC가 보호
  • • PQC 취약점 발견 시 기존 알고리즘이 보호
  • • 점진적 전환 가능

하이브리드 단점

  • • 키/서명 크기 증가
  • • 계산 오버헤드
  • • 구현 복잡성

6. Harvest Now, Decrypt Later (HNDL) 위협

HNDL 공격이란?

공격자가 현재 암호화된 데이터를 대량으로 수집하여 저장해두고, 미래에 양자 컴퓨터가 실용화되면 해독하는 전략입니다.

Mosca의 정리

X + Y > Z 이면 즉시 PQC 전환 시작 필요

  • X = 데이터 보안 유지 필요 기간
  • Y = PQC 마이그레이션 소요 기간
  • Z = Q-Day까지 남은 시간

예: 의료 기록(30년 보존) + 마이그레이션(5년) = 35년 > Q-Day(10년) → 즉시 시작 필요

고위험 데이터 유형

  • 국가 기밀 및 군사 정보
  • 의료 기록 (HIPAA: 6년, 실제 50년+)
  • 금융 거래 기록
  • 지적 재산권, 영업 비밀
  • 개인 식별 정보 (PII)

HNDL 공격 주체

  • 국가 수준 공격자 (APT)
  • 산업 스파이
  • 조직 범죄 그룹

* 미국 정부는 이미 HNDL 프로그램 존재를 경고

7. 마이그레이션 타임라인

글로벌 PQC 전환 일정

2024

NIST PQC 표준 발표

FIPS 203, 204, 205 최종 발표. 전 세계 PQC 전환 공식 시작.

2025

초기 도입 단계

주요 브라우저/OS PQC 지원. Cloudflare 50%+ 트래픽 PQC 적용. 기업 암호화 인벤토리 작성 시작.

2027

CNSA 2.0 1단계 완료

미국 NSA: 소프트웨어/펌웨어 서명에 PQC 적용 완료 권고

2030

주류 전환 완료

대부분의 엔터프라이즈 시스템 PQC 전환 완료 목표

2035

NCSC 마감 / Q-Day 예상

영국 NCSC: 모든 시스템 PQC 전환 완료 권고. 양자 컴퓨터 RSA 해독 가능 예상 시점.

NCSC 3단계 마이그레이션 가이드
영국 국가사이버보안센터 권고 (2025년 발표)

1단계: 2028년까지

준비 및 계획

  • • 암호화 인벤토리 완성
  • • 우선순위 시스템 식별
  • • 마이그레이션 계획 수립
  • • 공급업체 로드맵 확인

2단계: 2031년까지

고우선순위 전환

  • • 고위험 시스템 PQC 전환
  • • 신규 시스템 PQC 기본 적용
  • • 하이브리드 모드 운영
  • • 테스트 및 검증

3단계: 2035년까지

전면 전환 완료

  • • 모든 시스템 PQC 전환
  • • 레거시 암호화 제거
  • • 지속적 모니터링 체계
  • • 암호 민첩성 확보

8. 엔터프라이즈 전환 전략

암호화 민첩성 (Crypto Agility)

암호화 민첩성은 시스템을 최소한의 변경으로 새로운 암호화 알고리즘으로 전환할 수 있는 능력입니다. PQC 전환의 핵심 전제조건입니다.

암호화 민첩성 구현 요소

  • 알고리즘 추상화 레이어
  • 중앙 집중식 키 관리
  • 구성 기반 알고리즘 선택
  • 자동화된 인증서 갱신
  • 암호화 인벤토리 관리

암호화 인벤토리 항목

  • • TLS/SSL 인증서 및 키
  • • SSH 키
  • • 코드 서명 인증서
  • • VPN 구성
  • • 데이터베이스 암호화
  • • 파일/디스크 암호화
  • • API 인증 토큰
  • • HSM 저장 키
PQC 전환 로드맵

Phase 1: 발견

3-6개월

  • • 암호화 인벤토리 작성
  • • 데이터 분류
  • • 리스크 평가
  • • 우선순위 결정

Phase 2: 계획

3-6개월

  • • 전환 전략 수립
  • • 예산 및 리소스 확보
  • • 공급업체 평가
  • • 테스트 환경 구축

Phase 3: 파일럿

6-12개월

  • • 비핵심 시스템 전환
  • • 하이브리드 모드 테스트
  • • 성능 검증
  • • 문제점 식별 및 해결

Phase 4: 확산

2-5년

  • • 전체 시스템 전환
  • • 레거시 제거
  • • 지속적 모니터링
  • • 암호 민첩성 유지

9. AWS 기반 PQC 구현

AWS PQC 지원 현황

AWS KMS

  • • 하이브리드 포스트 양자 TLS 지원
  • • ECDH + Kyber 키 교환
  • • 기존 API 호환성 유지

AWS Certificate Manager

  • • PQC 인증서 지원 준비 중
  • • 하이브리드 인증서 로드맵
  • • 자동 갱신 지원

AWS SDK

  • • s2n-tls 라이브러리 PQC 지원
  • • Kyber 키 교환 구현
  • • 하이브리드 모드 기본 제공

AWS Secrets Manager

  • • PQC 암호화 전송 지원
  • • 키 로테이션 자동화
  • • 암호화 민첩성 지원
AWS PQC TLS 구성 예시
# AWS SDK에서 하이브리드 PQC TLS 활성화

import boto3
from botocore.config import Config

# PQC 하이브리드 모드 활성화
config = Config(
    s3={
        'use_accelerate_endpoint': False
    },
    # 하이브리드 포스트 양자 TLS 사용
    # X25519 + ML-KEM-768 키 교환
)

# KMS 클라이언트 생성
kms_client = boto3.client(
    'kms',
    config=config,
    region_name='us-east-1'
)

# S3 클라이언트 (PQC TLS 적용)
s3_client = boto3.client(
    's3',
    config=config
)

# 환경 변수로 PQC 활성화
# export AWS_USE_FIPS_ENDPOINT=true
# export AWS_USE_PQ_TLS=true

10. 산업별 적용 가이드

🏦 금융 서비스

우선순위 영역

  • • 결제 시스템 (PCI DSS)
  • • 인터뱅킹 통신 (SWIFT)
  • • 고객 데이터 암호화
  • • 디지털 서명 (거래 승인)

권장 타임라인

2027년까지 핵심 시스템 하이브리드 전환

🏥 헬스케어

우선순위 영역

  • • 전자의무기록 (EMR/EHR)
  • • 의료 영상 데이터
  • • 유전체 데이터
  • • 원격 의료 통신

특별 고려사항

의료 데이터 50년+ 보존 → HNDL 최고 위험군

🏛️ 정부/공공

우선순위 영역

  • • 기밀 통신 시스템
  • • 시민 데이터베이스
  • • 전자정부 서비스
  • • 국방 시스템

규제 요구사항

미국 CNSA 2.0, 한국 KCMVP PQC 확장 예정

🔧 제조/IoT

우선순위 영역

  • • 펌웨어 서명
  • • 디바이스 인증
  • • OTA 업데이트
  • • 산업 제어 시스템

특별 고려사항

장기 운영 디바이스 (10-20년) → 즉시 PQC 적용 필요

11. 도전과제와 Best Practices

주요 도전과제

  • 키/서명 크기 증가

    네트워크 대역폭, 저장 공간 영향

  • 레거시 시스템 호환성

    구형 하드웨어/소프트웨어 지원 불가

  • 성능 오버헤드

    일부 알고리즘 계산 비용 증가

  • 전문 인력 부족

    PQC 전문가 희소

  • 알고리즘 성숙도

    실전 검증 기간 부족

Best Practices

  • 지금 시작하기

    암호화 인벤토리 작성부터 시작

  • 하이브리드 모드 채택

    기존 + PQC 병행으로 리스크 분산

  • 암호화 민첩성 구축

    알고리즘 교체 용이한 아키텍처

  • 공급업체 로드맵 확인

    HSM, CA, 클라우드 제공자 계획 파악

  • NIST 표준 준수

    검증된 알고리즘만 사용

12. 미래 전망

기술 발전 전망

  • • 2026: FIPS 206 (FN-DSA) 표준 발표
  • • 2027: 주요 브라우저 PQC 기본 활성화
  • • 2028: 하이브리드 인증서 표준화
  • • 2030: PQC 전용 하드웨어 가속기

시장 전망

  • • PQC 시장 연평균 30%+ 성장
  • • 2030년까지 대부분 기업 전환 완료
  • • PQC 전문 인력 수요 급증
  • • 규제 준수 의무화 확대

Gartner 전망

  • • 2025년 Top 10 전략 기술 트렌드 선정
  • • 2029년까지 기존 비대칭 암호화 표준 폐기 시작
  • • 2034년까지 현재 암호화 대부분 취약해질 것

13. 실무 도입 가이드

PQC 전환 체크리스트

📋 즉시 시작

  • 암호화 인벤토리 작성 시작
  • 데이터 보존 기간 분석
  • HNDL 리스크 평가
  • 경영진 인식 제고
  • 예산 확보 계획

🚀 단기 목표 (1년)

  • PQC 전환 로드맵 수립
  • 테스트 환경 구축
  • 하이브리드 TLS 파일럿
  • 공급업체 PQC 지원 확인
  • 팀 교육 실시
권장 학습 경로
1

양자 컴퓨팅 기초

큐비트, 양자 게이트, Shor/Grover 알고리즘 이해

2

NIST PQC 표준 학습

FIPS 203, 204, 205 문서 및 구현 가이드

3

실습: PQC 라이브러리

liboqs, AWS s2n-tls, OpenSSL 3.x PQC 지원

4

하이브리드 TLS 구현

X25519 + ML-KEM 키 교환 실습

5

마이그레이션 계획 수립

암호화 인벤토리, 리스크 평가, 로드맵 작성

14. 참고 자료

공식 표준 및 가이드
  • • NIST FIPS 203, 204, 205 (PQC 표준)
  • • NIST SP 800-208 (상태 기반 해시 서명)
  • • NSA CNSA 2.0 가이드라인
  • • NCSC PQC 마이그레이션 가이드
  • • ETSI Quantum Safe Cryptography
구현 리소스
  • • Open Quantum Safe (liboqs)
  • • AWS s2n-tls PQC 지원
  • • Cloudflare PQC 구현 가이드
  • • Microsoft .NET 10 PQC API
  • • Google Chrome PQC 지원
핵심 요약

Post-Quantum Cryptography란?

양자 컴퓨터의 공격에도 안전한 차세대 암호화 알고리즘입니다. 2024년 NIST가 ML-KEM, ML-DSA, SLH-DSA 표준을 발표했습니다.

왜 지금 시작해야 하나?

"Harvest Now, Decrypt Later" 공격으로 현재 데이터가 미래에 해독될 위험이 있습니다. 마이그레이션에 5-10년이 소요되므로 즉시 시작해야 합니다.

NIST PQC 표준

  • • FIPS 203: ML-KEM (키 교환)
  • • FIPS 204: ML-DSA (디지털 서명)
  • • FIPS 205: SLH-DSA (백업 서명)

권장 접근법

  • • 암호화 인벤토리 작성
  • • 하이브리드 모드 채택
  • • 암호화 민첩성 구축
  • • 2035년까지 전환 완료
Glossary 목록