한 줄 핵심: SK텔레콤이 아시아 민간기업 최초로 EU의 대규모 연구기금 '호라이즌 유럽'에 선정됐다. 차세대 양자키분배(QKD·Quantum Key Distribution) 기술을 AI와 결합해 개발하는 3년 과제다. 양자컴퓨터가 현재의 암호화를 깰 수 있다는 위협이 구체화되면서, 보안 개발자라면 양자 내성 암호화(PQC)와 QKD가 자신의 서비스에 언제 어떻게 영향을 미치는지 미리 파악해야 한다.
이 글이 필요한 사람- HTTPS·TLS·공개키 암호화가 양자컴퓨터에 취약하다는 말이 무슨 의미인지 파악하려는 개발자
- 포스트 양자 암호화(PQC) 전환 시점과 현실적인 준비 방법이 궁금한 분
- SKT의 QKD·AI 결합 프로젝트 배경과 의미가 궁금한 분
※ 이 글은 전자신문·굿모닝경제·뉴스후플러스의 SKT 발표 보도(2026년 6월 9일)와 NIST 포스트 양자 암호화 표준 공식 자료를 근거로 작성했습니다.
SK텔레콤이 2026년 6월 9일 유럽연합(EU)의 대규모 공동 연구기금 프로그램인 '호라이즌 유럽(Horizon Europe)' 과제에 선정됐다고 밝혔다. 이 프로그램은 EU의 대표적인 연구·혁신 지원 사업으로, 민간기업·대학·연구기관을 대상으로 3~5년 단위의 대형 연구 과제를 지원한다. 아시아 민간기업이 이 프로그램에 선정된 것은 SKT가 처음이다.
이번 과제의 공식 명칭은 'QPIC-AI'다. QKD(양자키분배) 시스템을 PIC(광자집적회로, Photonic Integrated Circuit) 공정으로 대량생산 가능하게 만들고, AI로 시스템 제어 효율을 높이는 것이 목표다. 프로젝트 기간은 3년이며 참여 기관은 다음과 같다.
| 기관 | 국가 | 역할 |
|---|
| SK텔레콤 | 한국 | PIC 기반 QKD 시스템 개발, AI 기능 적용, QKD 테스트베드 구축·검증 |
| 그리스 국립과학연구센터(NCSRD) | 그리스 | 프로젝트 총괄, QKD 광학 시스템 제어용 AI 개발 |
| 오스트리아 기술연구원(AIT) | 오스트리아 | 키 관리 시스템 개발 |
| 시노게이트UG(SinoGate UG) | 독일 | AI 기능 로직 설계 |
이 프로젝트가 중요한 이유는 양자암호 기술의 상용화 장벽을 낮추는 데 있다. 현재 QKD 시스템은 광학 부품을 정밀 조립하는 방식으로 만들어 가격이 매우 비싸고 부피도 크다. PIC 공정을 쓰면 반도체 칩처럼 대량 생산이 가능해져 비용과 전력 소모를 크게 줄일 수 있다. 지금까지 국방·금융 분야에서만 사용하던 QKD를 일반 기업 네트워크와 클라우드에도 적용할 수 있게 되는 것이다.
현재 인터넷 보안의 근간은 공개키 암호화다. HTTPS, TLS, SSH, JWT 서명 — 모두 수학적 문제(소인수분해, 이산로그)의 계산 난이도에 기반한다. 현재 컴퓨터로 이 문제를 풀려면 우주의 나이보다 긴 시간이 걸린다. 그래서 안전하다.
문제는 양자컴퓨터다. 쇼어(Shor) 알고리즘을 충분히 큰 양자컴퓨터에서 실행하면 RSA나 타원곡선 암호(ECC) 같은 공개키 암호를 빠르게 깰 수 있다. 아직 실용적인 크기의 양자컴퓨터가 없지만, 10~15년 내에 가능해질 것이라는 전망이 나오고 있다.
이 위협에 대응하는 방법이 두 가지다.
포스트 양자 암호화(PQC, Post-Quantum Cryptography)는 양자컴퓨터로도 풀기 어려운 수학 문제를 기반으로 한다. 격자(lattice) 암호, 코드 기반 암호 등이 여기 속한다. 미국 NIST가 2024년 표준을 확정했다(ML-KEM/Kyber, ML-DSA/Dilithium 등). 기존 소프트웨어 스택 안에서 알고리즘만 교체하면 되기 때문에 현실적인 전환 경로다.
QKD(양자키분배)는 완전히 다른 접근이다. 수학적 어려움이 아닌 양자 물리법칙을 이용해 키를 나눠 갖는다. 광자(빛 입자) 하나를 전송하는데, 양자역학 특성상 이 광자를 누가 관측하면 상태가 바뀐다. 즉, 도청 시도 자체가 흔적을 남긴다. 도청이 원천적으로 감지된다는 것이 PQC와 근본적으로 다른 점이다.
두 방식을 비교하면 이렇다.
| 항목 | 포스트 양자 암호화(PQC) | 양자키분배(QKD) |
|---|
| 원리 | 양자내성 수학 알고리즘 | 양자 물리법칙 |
| 전송 방식 | 기존 인터넷 프로토콜 가능 | 광섬유·양자 채널 필요 |
| 도청 탐지 | 불가능 (수동적 복사 가능) | 가능 (도청 시 상태 변화) |
| 표준화 | NIST 2024년 확정 | 진행 중(ITU, ETSI) |
| 도입 비용 | 낮음(소프트웨어 교체) | 높음(전용 하드웨어 필요) |
| 주요 용도 | 인터넷 전체 트래픽 | 고보안 핵심 구간(국방·금융·의료) |
"양자컴퓨터가 아직 RSA를 못 깨는데 왜 지금 걱정해야 하나?" 라는 질문에는 '지금 저장해서 나중에 복호화(Harvest Now, Decrypt Later)' 공격 때문이라는 답이 있다.
국가 수준의 공격자가 오늘 네트워크 트래픽을 암호화된 채로 수집·저장해 두고, 10년 후 양자컴퓨터가 생기면 그때 복호화하는 전략이다. 지금 전송하는 데이터가 10년 후에도 비밀이어야 한다면, 오늘의 암호화 방식이 취약하다는 뜻이다. 의료기록, 장기 계약서, 국가 기밀, 금융 거래 같은 장기 민감 데이터가 이 위협에 노출되어 있다.
NIST(미국 국립표준기술연구소)는 이 위협을 심각하게 보고 있다. 2016년부터 양자내성 암호화 표준화 작업을 시작해 2024년 최종 표준 3종을 확정했다.
- ML-KEM(구 Kyber) — 키 교환(Key Encapsulation Mechanism), TLS 핸드셰이크 대체
- ML-DSA(구 Dilithium) — 디지털 서명, 코드 서명·인증서 대체
- SLH-DSA(구 SPHINCS+) — 해시 기반 서명
미국 정부는 2025년까지 연방 기관이 PQC 전환 계획을 수립하고, 2030년까지 우선 시스템을 전환하도록 했다. 한국도 2025년 이후 공공 시스템의 단계적 전환을 추진 중이다.
일반 개발자에게는 언제가 진짜 임계점인가. 전문가들이 주로 언급하는 시점은 2030~2035년이다. 현재 IBM·구글·IonQ 등이 수백 큐비트 수준의 양자컴퓨터를 보유하고 있지만, RSA-2048을 깨려면 수천~수백만 물리 큐비트가 필요하다. 오류 수정 기술이 성숙하면 10년 내에 임계값을 넘을 수 있다는 전망이다.
양자컴퓨터가 RSA를 오늘 당장 깨는 것은 아니다. 하지만 암호화 전환은 인프라 전체를 교체하는 장기 프로젝트라 미리 준비하지 않으면 급할 때 대응하기 어렵다. 일반 웹 서비스 개발자부터 보안 아키텍트까지, 각자 입장에서 지금 당장 해야 할 일들을 정리했다.
1. 암호화 라이브러리 목록화(Cryptographic Inventory)
서비스가 사용하는 암호화 알고리즘을 파악하는 것이 첫 단계다. RSA, ECDSA, ECDH가 어디서 쓰이는지 — TLS 설정, JWT 서명 알고리즘, 데이터베이스 암호화, API 키 생성 방식 — 를 목록으로 만들어야 한다. 어디에 무엇이 있는지 모르면 전환 계획을 세울 수 없다.
2. TLS 버전 점검
TLS 1.2 이하는 지금도 보안 문제가 있고 양자 위협 이전에 이미 취약하다. TLS 1.3으로 업그레이드하면 포워드 시크리시(forward secrecy)가 기본 활성화되어 과거 트래픽 복호화 피해를 줄인다. 이것은 지금 당장 적용 가능한 개선이다.
3. 하이브리드 암호화 실험
일부 TLS 라이브러리(OpenSSL 3.3+, BoringSSL)와 클라우드 서비스는 기존 알고리즘과 PQC 알고리즘을 동시에 적용하는 하이브리드 모드를 지원하기 시작했다. 두 가지를 동시에 쓰면 기존 호환성을 유지하면서 양자 위협에도 대비한다. 아직 표준화가 완료된 단계는 아니지만 실험적으로 도입하는 곳이 늘고 있다.
4. 장기 민감 데이터 식별
서비스가 처리하는 데이터 중 10~20년 후에도 기밀이 유지되어야 하는 것이 무엇인지 파악한다. 그런 데이터가 있다면 지금도 도청·저장 공격에 노출될 수 있으므로 우선순위를 높여 PQC 전환을 고려해야 한다.
5. NIST 표준 알고리즘 지원 현황 확인
사용 중인 언어·프레임워크의 PQC 지원 현황을 파악하라. 파이썬의 경우 PQC 라이브러리는 아직 성숙 단계가 아니지만, OpenSSL 3.3+ 기반 언어들은 ML-KEM 실험적 지원이 추가됐다. 자바(Java)는 JDK 23부터 포스트 양자 알고리즘 미리보기 지원을 시작했다. 주요 클라우드(AWS, GCP, Azure)도 TLS 레벨에서 양자 내성 알고리즘 실험적 지원을 발표했다.
이 글의 SKT 프로젝트 정보는 공식 보도자료를, PQC·QKD 기술 내용은 NIST 표준 문서를 근거로 했습니다.
일반 웹 서비스 개발자도 지금 당장 PQC를 도입해야 하나요?
아직 긴박하지는 않습니다. 10~15년 내에 실용적 양자컴퓨터가 등장한다는 것이 현재 전망이므로, 지금 당장 모든 서비스를 전환해야 하는 건 아닙니다. 하지만 준비는 지금 시작해야 합니다. 암호화 인벤토리를 만들고, TLS 1.3으로 업그레이드하며, PQC 지원 라이브러리 현황을 파악해 두는 것이 현실적인 첫 단계입니다. 장기 민감 데이터를 다루는 금융·의료·공공 서비스라면 더 빠른 대응이 필요합니다.
QKD와 PQC 중 어느 것을 써야 하나요?
용도가 다릅니다. PQC는 인터넷 전체 통신의 암호화를 교체하는 데 적합한 소프트웨어 솔루션으로, 일반 웹 서비스 개발자가 준비해야 할 방향입니다. QKD는 도청 자체가 탐지되어야 하는 초고보안 환경(국방·금융 핵심 인프라·의료)에 적합한 하드웨어 솔루션입니다. 비용과 인프라 요건이 높아 일반 기업에서 단기간에 도입하기 어렵습니다. SKT 프로젝트의 목표가 바로 이 비용 장벽을 낮추는 것입니다.
NIST 포스트 양자 표준 3종이 무엇인가요?
2024년 NIST가 확정한 3종은 다음과 같습니다. ML-KEM(구 Kyber, FIPS 203)은 키 교환 알고리즘으로 TLS 핸드셰이크에서 ECDH를 대체합니다. ML-DSA(구 Dilithium, FIPS 204)는 디지털 서명 알고리즘으로 코드 서명·인증서에서 ECDSA/RSA를 대체합니다. SLH-DSA(구 SPHINCS+, FIPS 205)는 해시 기반 서명 알고리즘으로 속도가 느리지만 가장 검증된 수학 기반을 씁니다. 이 중 실용적으로 가장 중요한 것은 ML-KEM과 ML-DSA입니다.
'지금 저장해서 나중에 복호화' 공격이 현실적인 위협인가요?
국가 기관급 공격자에게는 현실적입니다. 이미 각국 정보기관이 암호화된 데이터를 장기 저장하고 있다는 것은 업계에서 공공연한 사실입니다. 일반 기업 서비스라면 이 공격의 직접 대상이 될 가능성은 낮지만, 금융·의료·공공 서비스처럼 고가치 장기 데이터를 다루는 곳은 진지하게 고려해야 합니다. 이 공격이 현실화되는 시점에 대비하는 가장 좋은 방법은 PQC로의 전환을 서두르는 것입니다.
OpenSSL이나 주요 라이브러리의 PQC 지원 현황은 어떤가요?
OpenSSL 3.3 이상에서는 OQS(Open Quantum Safe) 프로젝트와의 연동을 통해 ML-KEM 실험적 지원이 가능합니다. liboqs(오픈소스 PQC 라이브러리)는 C/Python/Java/Go/Rust 등 여러 언어 바인딩을 제공합니다. AWS는 TLS 1.3 레벨에서 Kyber 기반 하이브리드 키 교환 실험적 지원을 발표했습니다. 자바 JDK 23+에서 PQC 미리보기 API가 추가됐습니다. 실제 프로덕션 적용은 아직 이르지만, 지금부터 실험적으로 테스트 환경에 도입해 보는 것이 적절합니다.
SKT의 QKD 서비스를 일반 기업이 쓸 수 있나요?
현재는 SKT의 QKD 서비스는 기업 고객 대상이지만 비용이 높고 광섬유 인프라가 필요해 일반 중소기업이 도입하기 어렵습니다. 이번 EU 프로젝트(QPIC-AI)의 목표 중 하나가 PIC 공정으로 QKD 모듈의 대량 생산과 비용 절감입니다. 3년 과제이므로 결과물이 나오려면 2028~2029년은 기다려야 합니다. 지금 당장 일반 기업에 적용하기보다는 중장기 보안 로드맵에서 주목하는 기술로 보는 것이 적절합니다.
