양자 컴퓨팅은 도대체 무엇을 위협하는가? 포스트 퀀텀 시대를 위한 Crypto 사용자 가이드

지난주, Google Quantum AI 팀이 중요한 논문을 발표했습니다. 초전도 아키텍처, 특정 오류 수정 및 하드웨어 가정 하에, 미래 양자 컴퓨터가 50만 개 미만의 물리적 양자 비트를 사용하여 현재 암호화폐 및 블록체인이 널리 채택하고 있는 256비트 타원 곡선 암호(ECDLP-256)를 수 분 내에 해독할 수 있다고 지적했습니다. 필요한 양자 비트 수는 이전 추정치보다 약 20배 감소했습니다.

이는 비트코인, 이더리움 등 거의 모든 주요 퍼블릭 체인의 서명 체계 핵심인 ECDSA를 직접적으로 겨냥한 것입니다. 소식이 전해지자, "양자 컴퓨터가 비트코인 개인 키를 해독할 것이다"는 말이 네트워크를 통해 퍼지기 시작했습니다.

사실, 우리는 먼저 진정하고 이 문제를 명확히 설명할 필요가 있습니다. 위협은 현실적이지만, "내일 당신의 지갑이 안전하지 않을 것"이라는 상황과는 아직 거리가 멉니다.

더 중요한 것은, 전체 업계가 사실상 이미 오래전부터 행동을 시작했다는 점입니다.

1. 양자 컴퓨팅이 실제로 무엇을 위협하는가?

이 문제를 이해하기 위해, 가장 기본적인 부분부터 이야기해 보겠습니다. 당신의 Crypto 자산은 도대체 어떻게 보호되고 있을까요?

알려진 바와 같이, 비트코인이나 이더리움에서 각 계정 뒤에는 한 쌍의 키가 있습니다: 개인 키와 공개 키. 여기서 개인 키는 무작위로 생성된 큰 숫자 문자열로, 극도로 기밀에 부쳐지며, 당신의 금고 비밀번호에 해당합니다. 공개 키는 개인 키를 타원 곡선 곱셈 연산을 통해 유도한 것이며, 당신의 지갑 주소는 공개 키를 다시 해시 함수로 압축하여 얻은 문자열입니다.

이 체계의 안전 기반은 바로 이 과정이 단방향이라는 데 있습니다.

결국, 개인 키에서 공개 키를 계산하는 것은 쉽지만, 공개 키에서 개인 키를 역추론하는 것은 기존 컴퓨터로는 우주의 나이를 초과하는 시간이 필요합니다. 이것이 바로 '타원 곡선 이산 로그 문제'(ECDLP)의 본질입니다. 정방향 계산은 간단하지만, 역방향 해독은 불가능합니다.

그러나 양자 컴퓨터는 이 가정을 깨뜨렸습니다. 양자 컴퓨터는 다항식 시간 내에 정수 분해와 이산 로그 문제를 해결할 수 있습니다. 달리 말하면, 충분히 강력한 양자 컴퓨터는 이론상 당신의 공개 키에서 개인 키를 역추론할 수 있습니다.

그렇다면 문제는, 공개 키는 언제 노출될까요?

당신이 블록체인에 트랜잭션을 제출할 때마다, 개인 키를 사용하여 트랜잭션 데이터에 서명해야 하며, 동시에 검증을 위해 당신의 공개 키를 브로드캐스트해야 합니다. 이는 당신이 트랜잭션을 한 번이라도 보냈다면, 당신의 공개 키가 이미 체인에 공개되었다는 것을 의미합니다.

Google의 이 논문의 의의는, '공개 키에서 개인 키 해독'이라는 일을 이론적으로는 가능하지만 터무니없는 수준에서, 양자 하드웨어 로드맵 상에서 계획할 수 있는 목표로 끌어올렸다는 데 있습니다. 예를 들어, 논문 추정에 따르면 256비트 ECDLP를 해독하는 데는 약 50만 개의 물리적 양자 비트를 가진 내결함성 양자 컴퓨터가 필요하며, 이는 이전 추정치보다 크게 낮아졌습니다.

결국, 양자 컴퓨팅은 블록체인 자체를 해독하는 것이 아닙니다. 그것은 먼저 블록체인 내에서 여전히 타원 곡선 이산 로그 문제에 기반한 서명 체계를 겨냥하고 있습니다.

따라서 위협은 현실적으로 존재하지만, 엄밀히 말해 '임박했다'는 표현은 정확하지 않습니다. 업계의 주류 추정이 제시하는 창구는 가장 빠르더라도 2030년 전후입니다 (연장 독서: 네이티브 계정 추상화 + 양자 내성 위협: EIP-8141는 왜 아직 이더리움 Hegotá의 대표 주자가 되지 못했는가?).

2. 각 퍼블릭 체인들은 어떤 준비를 하고 있는가?

물론, 객관적으로 말하면 여기에는 중요한 차이점이 있습니다. 많은 보도가 명확히 설명하지 않는 부분인데, 많은 비트코인 주소는 처음부터 바로 공개 키를 체인에 노출시키지 않습니다.

P2PKH, P2WPKH와 같은 일반적인 형태를 예로 들면, 주소 자체는 일반적으로 공개 키의 해시일 뿐이며, 공개 키는 종종 '첫 번째 지출' 시점에야 비로소 노출됩니다. 이는 만약 당신의 주소가 한 번도 트랜잭션을 보낸 적이 없다면, 체인상에는 당신의 지갑 주소만 있을 뿐, 공개 키는 없다는 것을 의미합니다.

따라서 양자 컴퓨팅의 가장 직접적인 공격 표면은, 이미 트랜잭션을 보낸 주소의 공개 키 쪽에 더 치우쳐 있습니다. 물론 이 세부 사항은 사용자 측면에서 지금 당장 할 수 있는 첫 번째 일을 직접적으로 제시하는데, 이는 잠시 후에 다시 논의하겠습니다.

업계가 이 문제를 인식하지 못한 것은 아닙니다. 사실, 후양자 암호 이전 준비 작업은 이미 여러 전선에서 동시에 진행되고 있습니다.

이더리움의 대응 접근법은 계정층과 서명 체계를 분리하는 것입니다. 예를 들어 EIP-7702와 계정 추상화(AA)의 추진은 이더리움 계정이 스마트 계약 로직을 통해 무엇이 합법적인 서명인지를 정의할 수 있게 합니다. 이는 미래 어느 날 후양자 서명 체계가 도입될 때, 프로토콜 기반을 다시 작성할 필요 없이, 단지 계정의 서명 검증 모듈을 교체하기만 하면 된다는 것을 의미합니다.

더 나아가, 이더리움 재단 암호학 연구원 Antonio Sanso는 EthCC9 컨퍼런스에서 이더리움의 양자 내성 보안 최신 진전 상황을 업데이트하며, 양자 컴퓨터가 2030년대 중반에 ECDSA 서명 알고리즘에 실제적인 위협이 될 수 있다고 지적했습니다. 이더리움은 현재 약 20%의 양자 내성 준비 작업을 완료했으며, 2028년부터 2032년 사이에 Lean Ethereum 업그레이드를 통해 포괄적인 양자 내성을 구현할 계획입니다.

그러나 현재 직면한 주요 기술적 도전은 서명 크기 문제입니다. 가장 경량급 후양자 서명 알고리즘인 Falcon의 서명 크기는 여전히 ECDSA의 10배 이상이며, Lattice 기반 서명을 Solidity에서 직접 검증하는 Gas 비용은 극도로 높습니다. 따라서 연구팀은 두 가지 핵심 기술 경로를 확립했습니다:

• 첫째, 계정 추상화를 통해 사용자가 지갑 서명 알고리즘을 양자 내성 체계로 업그레이드할 수 있게 하여, 기반 프로토콜 수정 없이 가능하게 합니다.
• 둘째, LeanVM을 도입하여 복잡한 해시 연산을 처리하고, 제로 지식 증명과 결합하여 주소 니모닉 소유권을 검증하여, 이전 과정 중 자산 안전을 보장합니다.

Antonio는 2026년 2월부터 격주로 ACD 후양자 특별 회의를 주재할 것이라고 밝혔으며, 현재 Lighthouse와 Grandine 등의 합의 클라이언트에 실험적 후양자 테스트넷이 이미 출시되었다고 합니다.

이 외에도, 비트코인 커뮤니티의 스타일은 분명히 더 보수적입니다. 최근 BIPs 저장소에 들어간 BIP360은 새로운 출력 유형인 P2MR(Pay-to-Merkle-Root)을 제안했습니다. 그 설계 목표 중 하나는 Taproot 내의 양자 취약한 키 경로 지출(key-path spend)을 제거하여, 미래 가능한 후양자 서명 이전을 위해 더 친화적인 구조를 남겨두는 것입니다.

물론, 하나의 제안이 BIPs 저장소에 들어간다고 해서 그것이 이미 커뮤니티 합의를 형성했다는 의미는 아니며, 더욱이 채택이 임박했다는 의미도 아닙니다. 따라서 비트코인 커뮤니티 내부에서 양자 노출 표면과 잠재적 출력 유형 변화에 대한 보다 구체적인 제안 논의가 시작되었다고만 말할 수 있습니다. 이는 비트코인의 일관된 스타일에 매우 부합합니다. 항상 먼저 문제를 명확히 정의한 다음, 매우 느리게 합의를 형성합니다.

주목할 점은, 이미 2024년에 미국 국립표준기술연구소(NIST)가 세 가지 후양자 암호 표준을 공식 발표했다는 것입니다. 이는 블록체인 생태계가 명확한 이전 목표를 갖게 되었으며, 어떤 알고리즘이 더 나은지에 대한 논의가 수렴되기를 기다릴 필요가 없어졌음을 의미합니다. 엔지니어링 구현은 사실상 이미 오래전에 시작되었습니다.

3. 일반 사용자는 어떻게 해야 하는가?

양자 컴퓨터의 위협이 수년 후의 일이긴 하지만, 미래의 일이 지금 신경 쓸 필요가 없다는 의미는 아닙니다. 어떤 좋은 습관은 오늘 길러두면 비용이 거의 들지 않습니다.

첫째는 주소 재사용을 피하는 것입니다. 이것이 가장 직접적이고 효과적인 자기 보호 조치입니다.

그 이유는 위에서 언급한 바와 같습니다. 만약 당신이 비트코인 등의 UTXO 체인 사용자라면, 매번 트랜잭션을 제출할 때마다 당신의 공개 키가 체인에 노출됩니다. 그런데 만약 매번 같은 주소를 사용한다면, 공개 키가 장기간 공개되어, 양자 연산 능력이 성숙되는 즉시 공격자는 당신의 공개 키에서 개인 키를 여유롭게 역추론할 수 있습니다.

현재 imToken과 같은 주요 지갑은 이미 기본적으로 HD 지갑 기능을 제공하고 있습니다. 좋은 습관은 매번 송금 시 새로운 주소로 받는 것이며, 하나의 주소를 영구적인 신원 식별자로 반복 사용하지 않는 것입니다. 그리고 한 번도 트랜잭션을 보낸 적이 없는 주소의 경우, 공개 키가 노출된 적이 없으므로, 현재의 양자 위협은 거의 적용되지 않습니다.

둘째는 지갑의 후양자 업그레이드 로드맵을 주시하는 것입니다.

만약 당신이 주로 이더리움과 같은 계정 모델 체인을 사용한다면, 핵심은 기계적으로 계속 새로운 주소로 바꾸는 것이 아니라, 당신이 사용하는 지갑과 속한 퍼블릭 체인이 미래에 명확한 이전 경로를 제공할지 여부를 주시하는 것입니다.

왜냐하면 계정 모델 체인에 있어서, 양자 시대의 더 큰 문제는 종종 단일 노출이 아니라, 활성 계정, 공개 키 이력, 체인 상 신원 및 애플리케이션 권한의 장기적 결합이기 때문입니다. 미래에 진정한 이전 창구에 진입하게 되면, 누구의 계정이 더 업그레이드 가능한지, 누구의 지갑이 서명 로직을 더 원활하게 교체할 수 있는지가 더 안전한지를 결정할 것입니다.

마지막으로, 인간적인 관점에서 예상할 수 있는 것은, 주제의 열기가 상승함에 따라, 시장에는 '양자 안전'을 주장하는 지갑이나 프로토콜이 점점 더 많이 등장할 것이라는 점입니다. 우리는 이러한 '양자 안전'이라는 깃발을 내건 지갑, 프로토콜 및 인프라 제품에 경계해야 합니다.

이러한 주장에 직면했을 때, 가장 먼저 물어봐야 할 것은 홍보 문구가 아니라, 세 가지 더 단단한 질문입니다:

• 그것이 의존하는 알고리즘이 NIST가 이미 확정한 표준인가?
• 그것의 안전성이 독립적인 감사를 거쳤고 충분한 구현 검증을 받았는가?
• 그것이 주장하는 양자 안전이 실제로 체인 수준 이전, 계정 수준 업그레이드인가, 아니면 단지 애플리케이션 레이어 포장에 불과한가?

결국 진정한 후양자 안전은 궁극적으로 하나의 앱의 라벨만이 아니라, 서명, 검증부터 체상 호환성에 이르는 전체 경로를 포괄해야 합니다.

전반적으로 보면, 양자 컴퓨팅이 블록체인에 가하는 위협은 현실적으로 존재하며, Google의 이 최신 백서의 중요성은 실제로 위협을 먼 이론에서 계획 가능한 위험으로 한 걸음 더 가까이 끌어왔다는 데 있습니다.

그러나 이것은 여전히 '내일 지갑이 공격당할 것'이라는 신호가 아닙니다. 더 정확한 이해는 후양자 이전이 더 이상 학계에만 속한 주제가 아니라, 미래 수년에 걸쳐 점차 프로토콜 업그레이드, 지갑 설계 및 사용자 자산 관리의 현실 문제로 들어올 것이라는 점입니다.

마지막으로

업계에 있어서, 앞으로 진정으로 중요한 것은 누가 먼저 '양자가 왔다'고 외치는 것이 아니라, 누가 먼저 이전 경로를 명확히 설계할 수 있는가입니다.

사용자에게 있어서도, 지금 당장 공황에 빠질 필요는 없지만, 가장 기본적인 위험 인식을 먼저 확립해야 합니다: 어떤 자산이 먼저 노출되는가, 어떤 행동이 노출 표면을 확대시키는가, 어떤 지갑과 퍼블릭 체인이 미래에 원활한 업그레이드를 제공할 가능성이 더 높은가.

우리에게 필요한 것은 지나친 불안이 아니라, 적절한 시기에 행동하는 것입니다.

모두 함께 힘내시길 바랍니다.