금융보안원이 올해 PQC 전환 가이드라인 초안을 내놓으면서 금융권 전체 교체 비용으로 2조 4,000억 원이라는 숫자가 등장했다. 미국 연방정부의 PQC 전환 예산 71억 달러(약 9.5조 원, 2025~2035년 합산)와 비교하면, 단일 산업군에 이 정도 비용이 붙었다는 건 상당히 무거운 얘기다. 그런데 이 숫자보다 더 흥미로운 건 한국이 미국 표준을 그냥 가져다 쓰지 않고 자체 양자내성 알고리즘을 만들었다는 사실이다.
"지금 훔치고, 나중에 푼다"
현재 금융 거래의 근간인 RSA와 ECC 같은 공개키 암호는 소인수분해와 이산로그 문제의 어려움에 기대고 있다. 양자컴퓨터의 쇼어 알고리즘은 이걸 다항 시간 안에 풀어버린다. 실용적인 양자컴퓨터는 아직이지만, 보안 업계가 진짜 걱정하는 건 "harvest now, decrypt later" 시나리오다. 국가 수준의 행위자가 지금 암호화된 통신을 대량 저장해두고, 양자컴퓨터가 실용화되는 시점에 한꺼번에 복호화하는 것.
금융 데이터의 법적 보호 기간이 보통 10~30년인 점을 감안하면, 이 위협은 양자컴퓨터 완성 시점보다 훨씬 앞서 시작된다. 2035년이 마지노선이라는 게 글로벌 컨센서스고, 미국 NIST는 2024년 8월 첫 PQC 표준 3종(ML-KEM, ML-DSA, SLH-DSA)을 발표했다. 구글은 2029년까지 전면 도입을 선언했고, 한국 정부도 2035년을 목표로 잡았다.
KPQC — 미국 표준만으로는 부족하다는 판단
흥미로운 건 한국의 선택이다. NIST 표준을 그대로 가져다 쓸 수도 있는데, 2021년부터 별도의 KpqC 공모전을 열어 자체 알고리즘을 개발해왔다. 2025년 1월에 최종 선정된 4종:
| 알고리즘 | 유형 | 개발 주체 | 특징 |
|---|---|---|---|
| SMAUG-T | 키 캡슐화(KEM) | 크립토랩 | Kyber급 성능, 격자 기반 |
| NTRU+ | KEM | 학계 컨소시엄 | NTRU 구조적 취약점 보완 |
| HAETAE | 전자서명 | 크립토랩 | Dilithium 대비 서명 크기 축소 |
| AIMer | 전자서명 | 삼성SDS·KAIST | MPC-in-the-Head, 격자에 비의존 |
비슷한 알고리즘이 NIST에 이미 있는데 왜 따로 만드느냐. 두 가지 논리가 있다.
첫째, 암호 주권. 외국 표준에만 의존하면 백도어 가능성을 원천 배제할 수 없다. 보안 업계에서는 오래된 논의인데, 암호 체계를 통째로 교체하는 시점이 오니까 다시 수면 위로 올라왔다. 반도체에서 팹 주권을 말하듯, 암호에서도 주권을 확보하겠다는 것이다.
둘째, 알고리즘 다양성. NIST 표준의 ML-KEM과 ML-DSA는 둘 다 격자(lattice) 문제에 기반한다. 격자 문제 자체에 획기적인 공격법이 발견되면 두 표준이 동시에 무너진다. AIMer처럼 격자에 의존하지 않는 서명 체계를 보험으로 갖고 있는 건 합리적인 분산 전략이다. 계란을 한 바구니에 담지 않겠다는 것.
2조 4천억의 속사정
금융보안원은 2028년부터 단계적 적용을 권고하고 있다. 2조 4,000억이라는 숫자를 뜯어보면 HSM(Hardware Security Module) 교체가 가장 크다. 금융 거래의 암호 키를 생성하고 저장하는 전용 하드웨어인데, 현행 장비는 양자내성 알고리즘을 지원하지 않아 물리적 교체가 불가피하다. 그 다음이 코어뱅킹 시스템 재설계, 하이브리드 암호 운영을 위한 추가 인프라, 12~15개월에 걸친 전사 통합 테스트 순이다.
정부가 올해 시범전환 사업에 투입한 예산은 45억 원. 통신·금융·국방·교통·우주 5개 분야에 과제당 9억 원씩이다. 전체 비용의 2%가 안 된다. 작년에 에너지·행정·의료 3개 분야로 시작한 걸 5개로 늘린 건 진전이지만, 실제 비용은 결국 민간이 떠안아야 한다. 은행과 증권사 IT 예산 편성을 보면 PQC 전환 항목이 별도로 잡힌 곳이 거의 없다. 위협은 인식하되 지갑은 열지 않는 전형적인 패턴.
하이브리드라는 타협
펜타시큐리티 등 국내 보안 업체들이 밀고 있는 건 NIST 표준과 KPQC를 동시에 지원하는 하이브리드 구조다. 기존 RSA/ECC 위에 양자내성 레이어를 얹어 시스템 전면 교체 없이 점진적으로 이동한다. 합리적이지만 TLS 핸드셰이크에서 키 교환 크기가 수십 배로 커지고 서명 검증도 느려진다. 초당 수만 건 거래를 처리하는 금융 시스템에서 이 오버헤드는 무시할 수준이 아니다.
의사결정 시간은 9년이 아니다
NetSec-KR 2026에서 귓가에 남는 말이 있었다. "PQC 전환은 기술 도입보다 현황 파악이 먼저." 자기 조직이 어떤 암호 알고리즘을 어디에 쓰고 있는지, 암호 자산 목록(crypto inventory)조차 정리하지 못한 곳이 대부분이라는 뜻이다.
2035년까지 9년이라고 안심할 일이 아니다. 금융 시스템의 교체 주기, 인증 절차, 회귀 테스트 기간을 감안하면 실질적인 의사결정 여유는 2~3년이다. 한국이 만든 KPQC 알고리즘이 국제 무대에서 인정받으려면 TLS/X.509 통합 벤치마크와 상호운용성 검증도 아직 더 필요하다. 올해 시범전환 5개 과제의 결과가 나오는 연말이, 한국 양자내성 암호 전환의 실질적 분기점이 될 것이다.