양자 컴퓨터 시대, AES-128은 안전할까? 전문가들의 답변은?

본문에서는 Grover 알고리즘(Grover's Algorithm)이 AES-128을 공격하는 데 있어 실질적인 어려움을 제시한다. 특히, Grover 알고리즘의 병렬 처리(Parallelization)가 효율성을 감소시킨다는 점을 강조한다. 즉, 병렬 처리를 통해 검색 공간을 분할하면, 제곱근 속도 향상(Quadratic Speedup)이 약화되어, 실제 공격 비용이 증가한다는 것이다. 이는 고전적인 무차별 대입 공격(Brute-force Attack)과는 다른 양상이다.

NIST(미 국립표준기술연구소)는 AES-128을 양자 저항 알고리즘(Post-Quantum Algorithm)의 기준으로 삼고 있으며, AES-128이 안전하다고 결론 내렸다. NIST는 MAXDEPTH 개념을 도입하여 Grover 알고리즘의 병렬 처리에 따른 속도 저하를 설명한다. BSI(독일 연방 정보 보안청) 역시 AES-128, AES-192, AES-256을 새로운 암호 시스템에 권장하며, 양자 취약점(Quantum Vulnerability)이 있는 알고리즘의 전환을 권고한다.

CNSA 2.0은 256비트 보안 수준을 요구하지만, 이는 양자 컴퓨터의 위협 때문이 아니다. CNSA 2.0은 모든 환경에서 256비트 보안 수준을 유지하기 위해, ML-KEM-1024 및 ML-DSA-87과 같은 알고리즘을 사용한다. AES-256을 256비트 보안 수준에서 사용하는 것은 Grover 알고리즘이 AES의 보안을 절반으로 줄이지 않는다는 것을 의미한다. 수익 배분 구조(Revenue Share Model)와는 무관하게, 256비트 키는 충돌(Collision) 및 다중 대상 공격(Multi-target Attack)에 대한 추가적인 여유를 제공할 수 있다.

전문가들은 양자 컴퓨터가 대칭키 암호화에 미치는 영향에 대해, 과도한 우려를 경계한다. Grover 알고리즘(Grover's Algorithm)은 이론적으로는 속도 향상을 제공하지만, 실제 공격에서는 병렬 처리의 한계로 인해 그 효과가 제한적이다. 따라서, 현재의 AES-128은 수십 년 동안 안전할 것으로 예상된다. 이는 데이터 미저장 정책(Zero-Retention Policy)을 통해 보안을 강화하는 것과 유사한 맥락으로 볼 수 있다.