양자컴퓨터 이야기는 늘 “언젠가”의 문제처럼 들려. 지금 암호가 깨지는 것도 아니고, 오늘 당장 서버가 멈추는 것도 아니니까.
그런데 Microsoft가 이번에 바꾼 건 그 “언젠가”의 날짜야. Microsoft는 자사 제품과 서비스를 post-quantum cryptography, 즉 양자컴퓨터 공격을 버티는 새 암호 체계로 2029년까지 옮기겠다고 했어.1
중요한 건 양자컴퓨터가 내일 온다는 말이 아니라, 암호 교체가 몇 년짜리 공사라는 점이야.
무슨 일이야
Microsoft는 Quantum Safe Program의 일정을 앞당기고, 이 작업을 Secure Future Initiative 안에 넣겠다고 했어. 보안팀의 별도 연구 과제가 아니라, 제품·서비스의 엔지니어링 목표와 마일스톤으로 관리하겠다는 뜻이야.1
배경에는 정부 쪽 신호도 있어. Microsoft는 미국과 프랑스의 최근 지침을 언급하면서, 일부 고위험 시스템은 2030년부터 양자내성 암호를 받아들여야 하는 흐름이 보인다고 설명해.1
이 대목을 “2030년에 갑자기 암호가 무너진다”로 읽으면 과해. 더 정확히는 “2030년 전에 교체 계획을 끝내야 하는 시스템이 생기고 있다”에 가까워.
왜 어려워
암호 전환의 어려움은 알고리즘 이름에 있지 않아. 문제는 암호가 어디에 박혀 있는지 모른다는 데 있어.
회사 안에는 전송 구간의 TLS, 저장 데이터 암호화, 인증서, 코드 서명, 펌웨어 업데이트, 키 관리, 오래된 애플리케이션 설정이 뒤섞여 있어. Microsoft도 고객에게 가장 어려운 일은 새 알고리즘 선택이 아니라, 앱·서비스·네트워크·인증서·하드웨어 곳곳에 있는 암호 의존성을 찾아 바꾸는 것이라고 말해.1
그래서 첫 단계는 “새 암호로 바꿔라”가 아니야. 어디서 어떤 암호를 쓰는지 살아 있는 목록을 만드는 일이다. 그 목록이 없으면 바꿀 수도, 우선순위를 정할 수도 없어.
확인된 것과 Microsoft의 프레임
확인된 것은 세 가지야.
첫째, Microsoft는 2029년까지 제품과 서비스를 PQC로 전환하겠다는 목표를 내놨어. PQC는 post-quantum cryptography의 줄임말이고, 양자컴퓨터가 기존 공개키 암호를 위협할 때를 대비한 새 표준 묶음이라고 보면 돼.1
둘째, Microsoft가 당장 강조하는 작업은 세 갈래야. 전송 구간은 TLS 1.3 같은 현대 프로토콜을 기본값으로 만들고, 저장 데이터 쪽은 암호 알고리즘을 애플리케이션 코드 밖에서 바꿀 수 있게 만들고, 인증서·서명·키 보호 같은 신뢰 체인은 감사 가능한 절차로 정리하는 거야.1
셋째, 이 글은 당연히 Microsoft의 제품 프레임을 담고 있어. Microsoft 플랫폼을 쓰는 고객이 같은 일정에 맞춰 움직일 수 있게 하겠다는 메시지지. 다만 제품 이름을 걷어내도 남는 일반 원칙은 분명해. 암호는 한 번 설치하고 잊는 부품이 아니라, 갈아 끼울 수 있게 설계해야 하는 운영 체계가 되고 있어.
다음에 볼 것
첫 번째로 볼 것은 실제 제품별 전환 공지야. 2029년 목표가 선언으로 끝나지 않으려면 Azure, Windows, Microsoft 365, 개발자 도구마다 어떤 암호 경로가 언제 바뀌는지 나와야 해.
두 번째는 기업 고객 쪽의 재고 조사야. 양자내성 전환은 새 보안 제품 하나를 사서 끝나는 일이 아니야. 오래된 인증서, 하드코딩된 암호 알고리즘, 교체하기 어려운 장비가 어디 있는지 찾는 시간이 전체 일정을 좌우할 가능성이 커.
세 번째는 규제 일정이야. 2030년이라는 숫자가 고위험 시스템에서 더 넓은 산업으로 번지면, 양자내성 암호는 미래 기술 얘기가 아니라 조달·인증·감사의 체크리스트가 된다.
댓글