양자컴퓨터 RSA 이슈는 “내일 당장 다 뚫린다”와 “영원히 안전하다” 사이에 있습니다. 쇼어 알고리즘이 무엇을 깨는지, 현실 장비가 왜 못 하는지, 위험이 언제·어디서 먼저 커지는지까지 일상 관점으로 정리합니다.
RSA가 ‘암호’라기보다 ‘인터넷 신뢰’의 부품인 이유
RSA는 단순히 “비밀번호를 숨기는 기술”로만 존재하지 않습니다. 우리가 매일 쓰는 웹사이트 접속, 앱 로그인, 은행 거래, 소프트웨어 업데이트 검증까지 “이게 진짜 서버/진짜 앱이 맞나?”를 확인하는 구조 안에 RSA 같은 공개키 암호가 들어가는 경우가 많습니다.
- 기밀성(Confidentiality): 내용을 남이 못 보게
- 무결성(Integrity): 중간에서 바뀌지 않게
- 인증(Authentication): 진짜 상대인지 확인
RSA는 특히 “키 교환”이나 “전자서명” 같은 형태로 신뢰의 뼈대를 만들곤 합니다(현대 TLS 구성은 RSA만 쓰지 않고 여러 조합이 쓰이지만, 개념 이해를 위해 RSA를 대표로 두면 됩니다). 그래서 “RSA가 깨진다”는 말은 “인터넷이 멈춘다”가 아니라, 신뢰를 만드는 방식이 바뀌어야 한다는 경고에 가깝습니다.
“양자컴퓨터가 RSA를 깬다”는 말의 핵심은 딱 하나
RSA의 안전성은 한 문장으로 요약하면 아래 가정에 기대고 있습니다.
매우 큰 수의 곱(합성수)을 소인수분해하는 일은 고전 컴퓨터로 너무 어렵다.
RSA는 “큰 소수 두 개를 곱해 만든 수”를 기반으로 하고, 그 곱을 다시 소인수분해하는 것이 현실적으로 어렵다는 가정 위에 서 있습니다.
그런데 양자컴퓨터가 등장하면서 이 가정에 금이 갈 수 있는 이유가 나옵니다.
쇼어(Shor) 알고리즘: ‘소인수분해/이산로그’에 강한 양자 알고리즘
양자컴퓨터가 충분히 크고 안정적이면, 쇼어 알고리즘으로 RSA의 핵심 문제(소인수분해)를 고전 방식보다 훨씬 빠르게 풀 수 있다고 알려져 있습니다.
즉, “양자컴퓨터가 RSA를 위협한다”의 정확한 의미는:
- 양자컴퓨터가 모든 암호를 다 깨는 게 아니라
- **RSA 같은 특정 계열(소인수분해 기반)**이 핵심적으로 흔들릴 수 있다는 뜻입니다.
자주 섞이는 오해 3가지부터 정리
오해 1) “양자컴퓨터 = 모든 보안 무력화”
아닙니다. 암호는 종류가 다양하고, 양자 공격에 취약한 계열과 덜 취약한 계열이 있습니다. “RSA가 위험”은 “전부 위험”과 다릅니다.
오해 2) “양자컴퓨터가 이미 RSA를 깨고 있다”
‘가능성’과 ‘현재 능력’은 별개입니다. 현실의 양자 하드웨어는 노이즈, 오류율, 큐비트 규모, 오류정정 부담 때문에 실사용 RSA 키를 깨는 수준과는 거리가 큰 편으로 알려져 있습니다(다만 업계가 대비를 서두르는 이유는 “시간이 걸리기 때문”입니다).
오해 3) “그럼 걱정할 필요 없다”
이 또한 단정이 어렵습니다. 보안의 큰 위험은 “오늘 당장”보다 전환에 걸리는 시간에서 발생합니다. 암호 체계는 한 번 바꾸면 끝이 아니라, 프로토콜·서버·클라이언트·칩·인증서 생태계까지 연쇄적으로 바뀌어야 해서 시간이 오래 걸립니다.
‘현실’에서 RSA가 위험해지는 1순위 시나리오: 지금 훔쳐서 나중에 푼다
양자 위협을 말할 때 가장 현실적인 그림 중 하나가 이 시나리오입니다.
Harvest Now, Decrypt Later(지금 수집, 나중 복호화)
- 지금은 RSA를 못 깨더라도
- 통신을 녹음/저장해 두었다가
- 미래에 양자컴퓨터가 충분히 커지면 그때 복호화할 수 있다
이 시나리오가 특히 중요한 데이터가 있습니다.
- 수년~수십 년 뒤에도 가치가 있는 정보
(장기 계약, 의료/연구 기록, 기업 핵심 문서, 국가·산업 기밀 등)
즉, 개인이 “내 메신저는 지금 당장 괜찮겠지”라고 생각해도, 장기 비밀성이 필요한 분야는 이미 지금부터 대비 논리가 성립합니다.
그럼 “RSA는 언제 깨질까?”라는 질문이 위험한 이유
사람들은 날짜를 묻습니다. “2030년? 2040년?”
하지만 이 질문은 구조적으로 답이 흔들리기 쉽습니다.
- 양자 하드웨어 발전 속도는 불확실
- 오류정정(에러 코렉션)의 비용이 매우 큼
- 필요한 큐비트 수/품질 요구가 높음
- 그리고 무엇보다, “깨는 데 성공”과 “실제로 남용 가능” 사이에 차이가 있음
그래서 실무에서는 날짜 예언보다 이렇게 접근합니다.
전환에 걸리는 시간이 길기 때문에, ‘가능해지기 전에’ 옮겨타야 한다.
이 논리가 PQC(포스트-양자 암호) 도입으로 이어집니다(다음 글 D-2에서 다룰 내용).
양자컴퓨터가 RSA를 깨려면 무엇이 필요할까(직관 버전)
너무 기술적으로 들어가지 않고, “왜 아직 못 깨는지”만 납득할 정도로만 설명합니다.
1) 큐비트 수가 많아야 한다
RSA 키 길이가 커질수록 필요한 계산 규모가 커집니다. 소인수분해를 위해서는 의미 있는 규모의 큐비트가 필요합니다.
2) 오류율이 낮아야 한다
현실 큐비트는 노이즈가 있습니다. 계산이 길어질수록 오류가 누적됩니다.
3) 오류정정이 필요하다
오류를 줄이려면 오류정정(에러 코렉션) 이 필요하고, 이는 “추가 큐비트/추가 연산”이라는 큰 비용을 요구합니다.
결국 “RSA를 깨는 데 필요한 논리 큐비트”보다 훨씬 많은 “물리 큐비트”가 필요해질 수 있습니다.
이 3가지가 합쳐져서, “이론적으로 가능”과 “현실적으로 가능” 사이에 큰 간격을 만듭니다.
RSA를 쓰는 곳은 이미 ‘RSA만’ 쓰지 않는다
현대 보안은 보통 여러 조합을 씁니다.
- 키 교환(예: ECDHE 같은 방식)
- 인증서/서명(예: RSA 또는 ECDSA 등)
- 대칭키 암호(AES 등)로 실제 데이터 암호화
중요한 포인트는:
- RSA는 “모든 암호화”를 담당하는 게 아니라
- **신뢰 연결(키 교환/서명)**에서 큰 역할을 하는 경우가 많다는 점입니다.
그래서 “RSA 위험”은 실제 데이터 암호화 알고리즘(AES)을 당장 바꾸라는 말과는 다르지만, 인증서/서명 체계와 핸드셰이크 프로토콜을 바꿔야 할 수 있다는 뜻으로 이어집니다.
“그럼 내 생활에 뭐가 바뀌나?”를 현실적으로 말하면
개인이 직접 RSA 설정을 만질 일은 거의 없습니다. 변화는 보통 “업데이트로 조용히” 옵니다.
1) 브라우저/OS/앱 업데이트
PQC가 표준과 제품에 들어오면, 사용자는 “업데이트”로 경험합니다.
2) 인증서/서버 구성의 변화
서비스 제공자는 인증서 체계, TLS 구성, 키 길이, 알고리즘 조합을 바꾸게 됩니다.
3) 성능/지연의 변화 가능성
새 알고리즘이 도입되면 초기엔 연산량, 메시지 크기, 핸드셰이크 지연 등이 달라질 수 있습니다. 다만 사용자는 “가끔 느려졌다/빨라졌다” 정도로만 체감할 가능성이 큽니다.
4) 오래된 기기의 호환성 이슈
가장 현실적인 문제는 이쪽입니다. 오래된 기기/임베디드 장비는 업데이트가 어렵고, 지원 종료가 빠를 수 있습니다. “전환의 비용”이 실제 리스크가 되는 구간입니다.
“RSA가 위험하니 지금 당장 뭘 해야 하나?” 체크리스트
개인과 조직을 나눠서 현실적인 행동만 적습니다.
개인 사용자(일반)
- OS/브라우저/앱을 최신으로 유지
- 은행/메신저/보안 앱에서 “구형 OS 지원 종료” 공지를 놓치지 않기
- 장기적으로 사용하는 기기(특히 오래된 폰/태블릿)는 업데이트 지원 기간을 확인하기
작은 팀/개발자/운영자
- TLS 구성에서 RSA 의존 부분(서명/인증서)을 파악
- 인증서 교체 주기/PKI 구조 점검
- PQC 표준 도입 동향을 모니터링(특히 라이브러리 업데이트)
기업/기관(전환 비용이 큰 곳)
- “자산 인벤토리(어디서 어떤 암호를 쓰나)”가 1순위
- 장기 비밀성 데이터의 보호 기간 기준 정의
- 단계적 마이그레이션 계획 수립(서버→클라이언트→장비)
이 글의 결론은 공포가 아니라 구조입니다.
지금 당장 붕괴가 아니라, 전환을 미루면 나중에 비용과 위험이 커진다.
자주 묻는 질문(FAQ)
Q1. 양자컴퓨터가 나오면 AES도 깨지나요?
RSA와 AES는 기반이 다릅니다. 일반적으로 “RSA 위협”이 곧바로 “대칭키도 끝”을 의미하진 않습니다. 다만 키 길이/운영 방식 등은 정책적으로 조정될 수 있어, 체계적 대비가 필요합니다.
Q2. RSA 키 길이를 더 늘리면 해결되나요?
키를 늘리면 고전 공격엔 더 강해지지만, 양자 공격(쇼어 알고리즘)이 가능해지는 상황에서는 근본 해법이 아니라 “시간 벌기”에 가깝게 취급될 수 있습니다. 그래서 업계는 PQC로 이동을 준비합니다.
Q3. 개인이 지금 당장 할 수 있는 최고의 대비는 뭔가요?
가장 실전적인 대비는 업데이트를 꾸준히 받고, 지원 종료된 기기를 장기 사용하지 않는 것입니다. 암호 전환은 대부분 서비스/플랫폼 단에서 이루어지기 때문입니다.
정리
“양자컴퓨터가 RSA를 위협한다”는 말은 **특정 계열(소인수분해 기반 공개키 암호)**이 충분히 큰 양자컴퓨터 앞에서 약해질 수 있다는 뜻입니다. 하지만 “이미 다 끝났다”는 말도, “신경 쓸 필요 없다”는 말도 극단입니다. 현실적인 리스크는 전환에 걸리는 시간과 “지금 수집-나중 복호화” 같은 장기 시나리오에서 커집니다. 이것이 일상속의 양자역학이 보안 세계에서 실제로 의미를 가지는 방식입니다.