양자 컴퓨터 시대에도 AES-128은 안전할까? 전문가들의 답변

본문에서는 Grover 알고리즘(Grover's Algorithm)이 AES-128을 공격하는 데 필요한 연산량이 매우 크다는 점을 강조한다. 특히, Grover 알고리즘은 병렬 처리가 어려워, 2^16개의 양자 컴퓨터를 사용하더라도 각 인스턴스당 2^56의 연산이 필요하다. 이는 2^64의 연산량을 필요로 하는 기존의 무차별 대입 공격보다 효율성이 떨어진다는 것을 의미하며, AES-128의 안전성을 뒷받침한다.

기술적으로 보면, Grover 알고리즘은 병렬 처리(Parallel Processing) 시 속도 향상 효과가 감소한다. 무차별 대입 공격과 달리, Grover 알고리즘은 검색 공간을 분할할 경우 속도 향상이 제한된다. 즉, 병렬화를 통해 공격 속도를 높이려면, 각 인스턴스에서 더 많은 연산을 수행해야 하므로, 전체적인 공격 비용이 증가한다. 이러한 특성 때문에 AES-128은 양자 컴퓨터 공격에 강하다.

NIST(미 국립표준기술연구소)는 AES-128을 Category 1 보안 수준의 기준으로 삼고 있으며, 이는 Grover 알고리즘에 대한 분석을 기반으로 한다. NIST는 AES-128이 안전하다고 판단하며, Post-Quantum Cryptography FAQ에서 AES 키 길이를 두 배로 늘릴 필요가 없다고 명시했다. BSI(독일 연방 정보 보안청) 역시 AES-128의 사용을 권장하며, 양자 컴퓨터 시대에도 안전하다고 결론 내렸다.

CNSA 2.0은 256비트 보안 수준을 요구하지만, 이는 양자 컴퓨터의 위협 때문이 아니다. CNSA 2.0은 모든 암호화에 대해 256비트 보안 수준을 요구하며, 이는 보안 수준의 통일성을 위한 것이다. AES-256을 사용하는 것은 Grover 알고리즘이 AES의 보안성을 절반으로 줄이지 않는다는 것을 인정한 것이라고 볼 수 있다. 따라서, 256비트 키는 충돌(Collision)과 같은 특정 상황에서 유용할 수 있지만, AES-128은 여전히 안전하다.