15년 넘게 현업에서 엔지니어링을 하면서 매번 “이제 곧 양자 컴퓨터가 모든 암호를 뚫을 것이다”라는 벤더들의 세일즈 피치를 수없이 들어왔다. 이번 주 Scott Aaronson의 블로그에 올라온 두 가지 폭탄 선언을 보고 처음엔 또 다른 만우절 장난이거나 뻔한 과대광고인 줄 알았다. 하지만 내용을 자세히 들여다보니, 양자 컴퓨팅이 근본적인 물리적 한계를 깬 것은 아니지만 우리가 대비해야 할 타임라인의 숫자를 폭력적으로 앞당겨버렸다는 것을 알 수 있었다.

오늘은 Caltech과 구글이 발표한 이 두 가지 연구 결과가 실제 프로덕션 레벨에서 어떤 의미를 가지는지, 그리고 왜 당장 패닉에 빠질 필요는 없는지 엔지니어의 시각으로 분석해보려 한다.

Caltech의 High-Rate qLDPC 코드: 공간과 시간의 트레이드오프

이전까지 업계의 정설은 유의미한 암호화(예: RSA-2048)를 깨기 위해 수백만 개의 물리적 큐비트가 필요하다는 것이었다. 하지만 Caltech 연구진은 High-rate qLDPC 코드를 활용해 이 숫자를 대폭 낮췄다.

• 핵심 기술: 기존의 표면 코드(Surface code) 대신 오버헤드가 훨씬 적은 qLDPC를 사용하여 오류 정정 효율을 극대화했다.
• 적용 환경: 중성 원자(Neutral-atom) 아키텍처나 갇힌 이온처럼 Nonlocal operation이 가능한 하드웨어에서 특히 빛을 발한다.
• 결과: ECC-256을 깨기 위해 필요한 물리적 큐비트 수가 기존 수백만 개에서 약 25,000개 수준으로 급감했다.

솔직히 말해 이론적인 최적화 측면에서는 경이로운 성과다. 하지만 시스템 아키텍트로서 나는 이 숫자가 숨기고 있는 Space-time tradeoff 를 지적하지 않을 수 없다. 해커뉴스 코멘트에서도 예리하게 지적했듯, 큐비트 수를 줄인 대가로 런타임이 기하급수적으로 늘어났다. RSA-2048을 이 방식으로 깨려면 약 117년의 실행 시간이 필요하다. ECC-256의 경우 26k 큐비트로 약 10일이 걸린다고 하지만, 이는 1ms의 Stabilizer cycle time을 가정했을 때의 이야기다. 현재 가장 진보된 중성 원자 배열이 고작 6,100개 수준이며, Gate fidelity 역시 이 아키텍처가 요구하는 수준에 한참 못 미친다. 우리는 아직 이 거대한 엔지니어링의 벽을 넘지 못했다.

구글의 Shor 알고리즘 최적화와 ZKP 마케팅

두 번째 폭탄은 구글에서 나왔다. 256-bit ECC 암호를 깨기 위한 Shor 알고리즘의 회로 오버헤드를 크게 줄였다는 내용이다. 흥미로운 점은 구글이 구체적인 공격 벡터를 공개하는 대신 영지식 증명(Zero-Knowledge Proof, ZKP)을 통해 자신들이 최적화된 회로를 가지고 있음을 증명하는 방식을 택했다는 것이다.

• 발표 방식: 회로의 해시값만 커밋하고, 해당 회로가 존재한다는 실행 증명만 ZKP로 공개했다.
• 의도: 공격 방법이 악용되는 것을 막기 위한 보안적 조치라고 주장한다.

나는 이 방식에 대해 상당히 회의적이다. 해커뉴스 커뮤니티의 반응과 마찬가지로, 이는 다분히 크립토 커뮤니티를 겨냥한 마케팅 백서처럼 느껴진다. 클라우드 서비스 제공자가 “당신의 시스템이 위험하니 당장 PQC로 업그레이드하라”고 부추기는 전형적인 공포 마케팅 말이다. 물론 더 작은 회로가 존재한다는 사실 자체가 다른 연구자들에게 강력한 힌트가 되겠지만, 엔지니어링 커뮤니티 입장에서는 당장 검증하고 개선할 수 있는 실질적인 데이터가 부족하다.

비트코인과 금융권 인프라에 미치는 영향

이 두 가지 결과가 합쳐지면 비트코인과 같은 암호화폐 생태계는 심각한 고민에 빠지게 된다. 비트코인의 P2SH 지갑은 근본적으로 양자 공격에 취약하다. 커뮤니티 일각에서는 24시간 전에 트랜잭션을 Precommit 하는 방식의 구제책을 논의하고 있지만, 결제 시스템에 24시간의 Latency를 강제한다는 것은 사실상 프로덕트로서의 사형 선고나 다름없다.

반면 전통적인 IT 인프라와 금융권은 이미 움직이고 있다. TLS는 현재 Post-Quantum Cryptography(PQC)로 마이그레이션 중이며, 대부분의 진지한 테크 기업들은 이미 양자 내성 암호 도입 로드맵을 실행에 옮기고 있다.

결론: 그래서 우리는 무엇을 해야 하는가?

이번 발표로 양자 컴퓨터가 암호를 해독할 수 있는 이론적인 하한선이 크게 낮아진 것은 명백한 사실이다. 장기적인 인프라 계획을 세울 때 반드시 고려해야 할 변수가 되었다.

하지만 실용적인 타임라인은 여전히 Coherence 유지, Correlated noise 제어, Real-time decoding과 같은 미해결 엔지니어링 문제들에 의해 지배받고 있다. 회로 최적화 논문 몇 편이 당장 내일 우리의 데이터베이스를 뚫어버리진 않는다.

만약 당신의 회사가 30년 이상 기밀을 유지해야 하는 국가 기밀 수준의 데이터를 다룬다면 당장 PQC 도입을 서둘러야 한다. 하지만 그 외의 평범한 B2B 혹은 B2C 서비스를 운영 중이라면? 양자 컴퓨터의 위협에 벌벌 떨기 전에, 당장 백로그에 쌓여있는 SQL 인젝션 취약점이나 잘못 설정된 AWS IAM 권한부터 패치하길 바란다. 해커들은 굳이 존재하지도 않는 양자 컴퓨터를 조립하는 대신, 당신이 잊고 방치한 Classical vulnerability 를 노릴 테니까.

References

• 원문 블로그: https://scottaaronson.blog/?p=9665
• Hacker News 토론: https://news.ycombinator.com/item?id=47608495