뉴스/정보
스콧 아론슨 - 만우절 농담이 아닌 양자 컴퓨팅 관련 충격적인 소식들
작성자
하이룽룽
작성일
2026-04-02 12:07
조회
4
https://scottaaronson.blog/?p=9665
에이프릴풀 장난이 아닌 양자컴퓨팅 대형 뉴스들
아직 못 보신 분들을 위해 말하자면, 이번 주에는 실제로 두 건의 “폭탄급” 양자컴퓨팅 발표가 있었습니다.
하나는 칼텍(Caltech)에서 나온 것으로, 이 블로그의 친구이기도 한 존 프레스킬(John Preskill)도 포함된 연구팀이, 고율 코드(high-rate codes) 를 이용하면 기존에 알려진 것보다 더 낮은 오버헤드로 양자 오류정정(fault-tolerance)을 구현할 수 있음을 보여줬습니다. 이런 방식은 예를 들어 중성원자(neutral-atom) 아키텍처 에서 작동할 수 있고, 또는 비국소적 연산(nonlocal operations) 을 허용하는 다른 아키텍처들, 예컨대 이온트랩(trapped ions) 에서도 가능할 수 있습니다.
두 번째 폭탄급 발표는 구글에서 나왔는데, 256비트 타원곡선 암호(ECC)를 깨기 위한 쇼어 알고리즘(Shor’s algorithm)의 더 낮은 오버헤드 구현 을 제시했습니다.
주목할 점은, 구글 팀이 극도로 신중한 태도에서, 자신들의 회로가 존재한다는 사실을 암호학적 영지식증명(zero-knowledge proof) 방식으로 “공개”하기로 했다는 점입니다. 즉, 공격자들에게 세부 내용을 드러내지 않은 채 결과를 발표한 것입니다. 이런 식으로 새로운 수학적 결과가 발표되는 건 저는 처음 봤습니다. 다만 1500년대에도 비슷한 선례는 있었다고 들었습니다. 예컨대 수학자들이 사차방정식을 풀 수 있다는 능력을 증명하기 위해 경쟁자들에게 결투를 신청하곤 했다는 식의 이야기 말이죠.
이 방법이 실제로 얼마나 도움이 될지는 잘 모르겠습니다. 왜냐하면 더 작은 회로가 존재한다는 사실을 다른 그룹들도 알게 되면, 그들 역시 얼마 지나지 않아 그것을 찾아낼 가능성이 있기 때문입니다.
이 두 결과 어느 쪽도, 우리가 수십 년 동안 알고 있던 양자컴퓨팅의 기본 원리를 바꾸는 것은 아닙니다. 하지만 숫자는 바꿉니다.
그리고 이 둘을 함께 놓고 보면, 예를 들어 비트코인 서명 은 이전에 생각했던 것보다 더 이른 시점에 양자 공격에 취약해 보입니다!
구체적으로 말하면, 칼텍 그룹은 물리 큐비트 2만 5천 개 정도면 이것이 가능할 수도 있다 고 추정합니다. 불과 1년 전까지만 해도 최선의 추정치는 수백만 개 수준이었습니다.
이게 시간을 얼마나 앞당길까요? 아마 1년 정도일까요?
물론, 그 “몇 년”이라는 총량 자체가 아무도 모르는 상태에서 그만큼을 빼는 것이겠지만요.
어쨌든 이런 결과들은 사람들이 양자 내성 암호(quantum-resistant cryptography) 로 지금 당장 업그레이드해야 할 이유를 한층 더 강하게 만들어 줍니다.
그들—즉, 해당되는 사람이라면 바로 여러분—은 정말로 그 작업에 착수해야 합니다!
저는 이 결과들에 대해 미리 귀띔을 받았을 때—특히 구글 팀이 영지식증명 방식으로 “공개”하기로 했다는 점을 들었을 때—1940년에 연쇄반응에 필요한 U-235의 양을 계산했지만 그것을 발표하지 않았던 프리슈와 파이얼스(Frisch and Peierls) 를 떠올렸습니다. 바로 1년 전까지만 해도 핵분열에 관한 최신 결과들이 공개적으로 발표되고 있었는데도 말이죠.
양자컴퓨팅에서도 우리 역시 머지않아 그런 문턱을 넘게 될까요?
하지만 저는 제가 가장 존중하는 암호학 및 사이버보안 분야 사람들로부터 그 비유에 대해 강한 반박을 받았습니다. 그들의 말은 이랬습니다.
우리는 이 문제에 대해 수십 년의 경험을 갖고 있고, 그 결론은 공개한다 는 것입니다.
그리고 그들은 또 이렇게 말했습니다. 만약 공개로 인해 아직도 양자 취약 시스템을 쓰고 있는 사람들이 겁에 질리게 된다면… 뭐, 어쩌면 지금 당장 바로 그런 일이 필요할지도 모른다고요.
당연히 기자들은 제 코멘트를 듣기 위해 저를 끈질기게 쫓아다니고 있습니다. 하필이면 이번 주는 오스틴에서 제가 무려 네 팀이나 되는 방문객들을 맞이해야 했던, 정말 최악의 타이밍이었지만요.
이 글이 도움이 되기를 바랍니다! 궁금한 점이 있거나 더 자세한 내용을 덧붙이고 싶다면 댓글로 자유롭게 남겨 주세요.
그리고 이제, 이 블로그 글이 숙성되고 부풀 시간도 없이, 저는 가족들과의 세데르(Seder) 를 위해 집으로 가야겠습니다.
행복한 유월절 되세요!
심지어:
에이프릴풀 장난이 아닌 양자컴퓨팅 대형 뉴스들
아직 못 보신 분들을 위해 말하자면, 이번 주에는 실제로 두 건의 “폭탄급” 양자컴퓨팅 발표가 있었습니다.
하나는 칼텍(Caltech)에서 나온 것으로, 이 블로그의 친구이기도 한 존 프레스킬(John Preskill)도 포함된 연구팀이, 고율 코드(high-rate codes) 를 이용하면 기존에 알려진 것보다 더 낮은 오버헤드로 양자 오류정정(fault-tolerance)을 구현할 수 있음을 보여줬습니다. 이런 방식은 예를 들어 중성원자(neutral-atom) 아키텍처 에서 작동할 수 있고, 또는 비국소적 연산(nonlocal operations) 을 허용하는 다른 아키텍처들, 예컨대 이온트랩(trapped ions) 에서도 가능할 수 있습니다.
두 번째 폭탄급 발표는 구글에서 나왔는데, 256비트 타원곡선 암호(ECC)를 깨기 위한 쇼어 알고리즘(Shor’s algorithm)의 더 낮은 오버헤드 구현 을 제시했습니다.
주목할 점은, 구글 팀이 극도로 신중한 태도에서, 자신들의 회로가 존재한다는 사실을 암호학적 영지식증명(zero-knowledge proof) 방식으로 “공개”하기로 했다는 점입니다. 즉, 공격자들에게 세부 내용을 드러내지 않은 채 결과를 발표한 것입니다. 이런 식으로 새로운 수학적 결과가 발표되는 건 저는 처음 봤습니다. 다만 1500년대에도 비슷한 선례는 있었다고 들었습니다. 예컨대 수학자들이 사차방정식을 풀 수 있다는 능력을 증명하기 위해 경쟁자들에게 결투를 신청하곤 했다는 식의 이야기 말이죠.
이 방법이 실제로 얼마나 도움이 될지는 잘 모르겠습니다. 왜냐하면 더 작은 회로가 존재한다는 사실을 다른 그룹들도 알게 되면, 그들 역시 얼마 지나지 않아 그것을 찾아낼 가능성이 있기 때문입니다.
이 두 결과 어느 쪽도, 우리가 수십 년 동안 알고 있던 양자컴퓨팅의 기본 원리를 바꾸는 것은 아닙니다. 하지만 숫자는 바꿉니다.
그리고 이 둘을 함께 놓고 보면, 예를 들어 비트코인 서명 은 이전에 생각했던 것보다 더 이른 시점에 양자 공격에 취약해 보입니다!
구체적으로 말하면, 칼텍 그룹은 물리 큐비트 2만 5천 개 정도면 이것이 가능할 수도 있다 고 추정합니다. 불과 1년 전까지만 해도 최선의 추정치는 수백만 개 수준이었습니다.
이게 시간을 얼마나 앞당길까요? 아마 1년 정도일까요?
물론, 그 “몇 년”이라는 총량 자체가 아무도 모르는 상태에서 그만큼을 빼는 것이겠지만요.
어쨌든 이런 결과들은 사람들이 양자 내성 암호(quantum-resistant cryptography) 로 지금 당장 업그레이드해야 할 이유를 한층 더 강하게 만들어 줍니다.
그들—즉, 해당되는 사람이라면 바로 여러분—은 정말로 그 작업에 착수해야 합니다!
저는 이 결과들에 대해 미리 귀띔을 받았을 때—특히 구글 팀이 영지식증명 방식으로 “공개”하기로 했다는 점을 들었을 때—1940년에 연쇄반응에 필요한 U-235의 양을 계산했지만 그것을 발표하지 않았던 프리슈와 파이얼스(Frisch and Peierls) 를 떠올렸습니다. 바로 1년 전까지만 해도 핵분열에 관한 최신 결과들이 공개적으로 발표되고 있었는데도 말이죠.
양자컴퓨팅에서도 우리 역시 머지않아 그런 문턱을 넘게 될까요?
하지만 저는 제가 가장 존중하는 암호학 및 사이버보안 분야 사람들로부터 그 비유에 대해 강한 반박을 받았습니다. 그들의 말은 이랬습니다.
우리는 이 문제에 대해 수십 년의 경험을 갖고 있고, 그 결론은 공개한다 는 것입니다.
그리고 그들은 또 이렇게 말했습니다. 만약 공개로 인해 아직도 양자 취약 시스템을 쓰고 있는 사람들이 겁에 질리게 된다면… 뭐, 어쩌면 지금 당장 바로 그런 일이 필요할지도 모른다고요.
당연히 기자들은 제 코멘트를 듣기 위해 저를 끈질기게 쫓아다니고 있습니다. 하필이면 이번 주는 오스틴에서 제가 무려 네 팀이나 되는 방문객들을 맞이해야 했던, 정말 최악의 타이밍이었지만요.
이 글이 도움이 되기를 바랍니다! 궁금한 점이 있거나 더 자세한 내용을 덧붙이고 싶다면 댓글로 자유롭게 남겨 주세요.
그리고 이제, 이 블로그 글이 숙성되고 부풀 시간도 없이, 저는 가족들과의 세데르(Seder) 를 위해 집으로 가야겠습니다.
행복한 유월절 되세요!
🔥 이번 주 양자컴퓨팅 핵심 요약
이번 주에 중요한 발표 2개가 나왔는데, 둘 다 “원리는 그대로지만 현실 도달 시점이 앞당겨질 수 있다”는 게 포인트입니다.1️⃣ 칼텍 발표 — 오류정정이 훨씬 가벼워짐
- 기존에는 양자컴퓨터가 제대로 작동하려면 엄청 많은 큐비트(수백만 개) 가 필요하다고 봤음
- 그런데 칼텍 연구팀이 더 효율적인 오류정정 방법을 제시함
- 결과:
👉 필요한 큐비트 수가 “수만 개 수준”까지 내려갈 가능성
“양자컴퓨터 실현 난이도가 생각보다 낮아질 수도 있다”
2️⃣ 구글 발표 — 암호 깨는 비용도 줄어듦
- 구글이 쇼어 알고리즘(암호 깨는 알고리즘) 을 더 적은 자원으로 구현하는 방법 제시
- 특히:
- 256비트 타원곡선 암호(ECC) → 현재 비트코인/블록체인에서 핵심적으로 쓰는 방식
- 특이한 점:
👉 상세 내용은 숨기고 “이런 회로가 존재한다”는 것만 영지식증명으로 공개
“암호 깨는 비용도 생각보다 더 낮을 수 있다”
💣 두 결과를 합치면?
이게 진짜 핵심입니다.- 양자컴퓨터 만들기 쉬워짐 (칼텍)
- 암호 깨는 비용도 줄어듦 (구글)
비트코인 같은 암호 시스템이 예상보다 더 빨리 위험해질 수 있음
📉 얼마나 빨라진 거냐?
- 예전: 수백만 큐비트 필요 → 현실적으로 한참 멀다
- 지금: 약 2.5만 큐비트 가능성 등장
“몇 년 단위로 앞당겨질 수도 있음 (정확한 시점은 아무도 모름)”
⚠️ 그래서 중요한 메시지
저자가 강조하는 핵심:👉 “양자내성 암호로 지금 당장 전환 준비해야 한다”
- 늦으면:
- 기존 암호(ECC, RSA 등) → 한 번에 깨질 수 있음
🤔 공개 vs 비공개 논쟁
- 구글처럼 정보 숨기고 발표하는 방식도 등장
- 하지만 보안 전문가들은 말함:
👉 “그래도 공개해야 한다. 그래야 사람들이 대비한다”
심지어:
“겁 먹는 게 오히려 필요한 상황일 수도 있다”
🚨 한 줄 핵심
양자컴퓨터 자체가 갑자기 나온 건 아니지만,
“현실 도달 시점”이 눈에 띄게 빨라지고 있다
전체 0