양자 컴퓨팅 시대에도 AES-128은 안전하다? 전문가가 밝히는 진실

양자 컴퓨팅 시대, AES-128은 여전히 안전할까?

최근 양자 컴퓨팅의 발전으로 기존 암호화 기술이 위협받고 있다는 우려가 커지고 있다. 특히 AES-128과 같은 전통적인 암호화 방식이 양자 컴퓨터의 등장으로 무용지물이 될 수 있다는 주장이 제기되면서, 암호학계에 일대 혼란이 일고 있다. 그러나 암호학자 필리포 발소르다(Filippo Valsorda)는 이 같은 우려가 과장되었다고 단언한다.

30년간 검증된 AES-128의 안전성

AES-128은 2001년 미국 국립표준기술연구소(NIST)에 의해 공식 채택된 암호화 표준인 고급 암호화 표준(Advanced Encryption Standard, AES)의 한 종류로, 가장 널리 사용되는 블록 암호화 방식 중 하나다. AES는 128비트, 192비트, 256비트 키 크기를 지원하지만, AES-128은 계산 효율성과 보안성의 균형을 맞추어 가장 널리 채택되었다.

발소르다는 AES-128의 안전성을 입증하는 핵심 근거로 30년간의 무결점 기록을 꼽는다. AES-128은 지금까지 알려진 취약점이 없으며, 유일한 공격 방법은 브루트포스 공격뿐이다. 2^128(약 3.4 × 10^38)개의 가능한 키 조합을 고려할 때, 이 공격을 성공시키기 위해서는 엄청난 컴퓨팅 자원이 필요하다.

그는 예를 들어, 2026년 기준으로 비트코인 마이닝에 사용되는 모든 컴퓨팅 파워를 동원하더라도 AES-128을 깨기 위해서는 약 90억 년이 소요된다고 설명했다.

Grover 알고리즘의 오해와 한계

양자 컴퓨팅의 위협으로 자주 언급되는 Grover 알고리즘은 검색 공간을 제곱근으로 줄이는 방식으로, AES-128의 효과적인 키 길이를 64비트로 축소시킬 수 있다는 주장이 제기됐다. 그러나 발소르다는 이 같은 주장이 과학적 오류라고 지적한다.

그는 Grover 알고리즘이 AES-128의 보안을 64비트로 축소시킬 수 있지만, 이는 병렬 처리의 한계로 인해 현실적으로 불가능하다고 설명했다. 양자 컴퓨터가 비트코인 마이닝 ASIC 클러스터를 구동할 수 없으며, 특히 AES-128의 암호화 작업을 병렬로 처리하는 데 한계가 있기 때문이다.

발소르다는 "Grover 알고리즘이 AES-128을 64비트로 축소시킬 수 있지만, 이는 이론적인 계산일 뿐이며, 실제로는 불가능하다"라고 강조했다.

양자 시대에도 AES-128은 안전하다

발소르다는 AES-128이 양자 컴퓨팅 시대에도 여전히 안전하다고 결론짓는다. 그는 AES-128의 키 공간이 너무 방대하여, 양자 컴퓨터가 등장하더라도 브루트포스 공격을 성공시키기 위해서는 현실적으로 불가능한 수준의 컴퓨팅 파워가 필요하다고 설명했다.

또한, 그는 AES-128이 실제 환경에서 사용되는 대부분의 보안 시스템에서 여전히 유효하다고 강조했다. 특히, TLS(Transport Layer Security)와 같은 프로토콜에서 AES-128은 광범위하게 사용되고 있으며, 양자 컴퓨터의 위협에도 불구하고 안전성을 유지할 수 있을 것으로 전망했다.

"AES-128은 양자 컴퓨팅 시대에도 안전합니다. Grover 알고리즘의 위협은 과장되었고, 실제로는 AES-128을 깨기 위해 필요한 컴퓨팅 파워는 현실적으로 불가능합니다."

결론: AES-128의 미래는 밝다

양자 컴퓨팅의 발전으로 암호화 기술이 위협받고 있지만, AES-128은 여전히 안전하다는 결론이 나왔다. 발소르다의 분석에 따르면, AES-128은 30년간 검증된 안전성을 바탕으로 양자 시대에도 유효한 암호화 방식으로 남아 있을 것으로 보인다. 다만, 양자 내성 암호화 기술의 개발은 지속적으로 진행되어야 할 필요성이 있다.