구글이 HTTPS 인증서를 양자 컴퓨터로부터 지키려고 15KB를 700바이트로 우겨 넣었다
AI 뉴스 바이블 시리즈로, 지난 AI 업계의 주요 소식들을 차근차근 정리하고 있습니다. 오늘은 2026년 2월 28일에 있었던 소식입니다.
솔직히 저는 개발자가 아니라서 ‘양자내성암호’ 같은 단어를 들으면 머리가 아프거든요. 근데 이번 구글 소식은 좀 달랐습니다. 우리가 매일 쓰는 HTTPS(그래서 주소창에 자물쇠 아이콘이 뜨는 거)가 양자 컴퓨터에 뚫릴 수 있다는 사실부터, 구글이 이를 막기 위해 15KB짜리 데이터를 700바이트로 압축해버리는 기술을 도입했다는 내용이라 이건 좀 주목해야 할 것 같더라고요.
HTTPS가 갑자기 위험해진 이유
원래 HTTPS는 RSA나 ECC라는 암호화 방식으로 보호됩니다. 문제는 양자 컴퓨터가 제대로 상용화되면 이 암호들이 무력화될 수 있다는 거죠. 쇼어 알고리즘(Shor’s algorithm)이라는 게 있는데, 양자 컴퓨터가 소인수분해를 엄청나게 빠르게 처리할 수 있도록 해주는 알고리즘입니다. 지금은 몇 년 걸릴 계산을 단 몇 시간 만에 끝내버리는 거죠.
그렇게 되면 우리가 쓰는 은행 사이트, 쇼핑몰, 모든 개인정보가 털리는 겁니다. 아직 양자 컴퓨터가 그 수준에 이르진 않았지만, ‘지금 탈취한 데이터를 저장해뒀다가 나중에 양자 컴퓨터로 복호화하자’는 Harvest Now, Decrypt Later 공격이 이미 시작됐다고 합니다. 꽤 무서운 얘기죠.
그래서 구글은 HTTPS 인증서 자체를 뜯어고치기로 했습니다. 기존 X.509 인증서 대신 ‘Merkle Tree Certificate(MTC)’라는 걸 도입한 거죠.
15KB를 700바이트로 만드는 마법
이게 왜 중요하냐면, 기존 인증서는 너무 커서 양자내성암호(PQC)를 적용하기가 버거웠습니다. PQC 알고리즘은 키 크기가 엄청 크거든요. 기존에 2~4KB면 되던 게 PQC를 쓰면 15KB까지 늘어나는데, 웹사이트에 접속할 때마다 이 데이터를 주고받아야 하니 속도가 느려지고 비용도 늘어날 수밖에 없습니다.
여기서 구글이 꺼낸 게 Merkle Tree(머클 트리) 구조입니다. 블록체인에서 쓰는 그 개념 맞습니다. 인증서에 필요한 데이터를 계층적으로 해싱해서 15KB짜리를 700바이트 수준으로 압축해버린 거죠. 실제로 되더라고요.
결과적으로 인증서 크기는 작아지면서도 양자 컴퓨터 공격을 막을 수 있게 된 겁니다. Chrome 131부터 이미 실험적으로 지원하고 있고, 곧 전체 배포될 예정이라고 합니다. 사실상 구글이 인터넷 보안 인프라를 한 단계 업그레이드하는 셈이죠.
한국에서는 언제쯤 쓸 수 있을까요?
아직 한국 출시 일정은 미정이지만, Chrome이 전 세계 점유율 60%가 넘는 브라우저인 걸 생각하면 사실 우리도 이미 쓰고 있는 셈입니다. 다만 문제는 국내 웹사이트들이 이 MTC를 직접 발급받아야 한다는 거죠.
국내 기업들도 움직이고는 있습니다. 네이버, 카카오 같은 대기업들은 이미 양자내성암호 도입을 준비 중이라고 밝혔고, 삼성SDS나 LG CNS 같은 곳도 관련 솔루션을 내놓고 있거든요. 다만 아직은 초기 단계라서, 정부 규제나 표준 인증 체계가 마련돼야 본격적으로 확산될 것 같습니다.
특히 국내 금융권은 규제가 까다로워서, 새로운 인증서 체제를 도입하려면 금융감독원이나 한국인터넷진흥원(KISA)의 승인이 필요합니다. 아직 국내 규제 환경에서는 PQC 기반 인증서에 대한 명확한 가이드라인이 없어서, 조금 더 시간이 걸릴 수밖에 없는 상황이죠.
개인적으로는 카카오뱅크나 토스 같은 핀테크 기업들이 먼저 도입하지 않을까 싶습니다. 보안에 민감하면서도 기술 도입 속도가 빠르니까요.
그래서 우리한테 뭐가 달라지느냐면, 몇 년 뒤에 양자 컴퓨터가 상용화되더라도 우리가 쓰는 인터넷이 안전하다는 보장이 생긴다는 거죠. 당장 체감은 안 되겠지만, 미래를 위한 보험 같은 겁니다.
결론: 개발자도 아닌 제가 봐도 이건 꽤 대단한 작업입니다. 툴 하나를 바꾼 게 아니라 인터넷 보안의 기초를 바꾸는 일이니까요. 당장 내일 바뀌는 건 아니니까 천천히 지켜봅시다…
출처: https://arstechnica.com/security/2026/02/google-is-using-clever-math-to-quantum-proof-https-certificates/