양자 마이그레이션 문제: 단 한 번의 트랜잭션 후 비트코인 주소가 안전하지 않게 되는 이유
비트코인 트랜잭션에 서명하면 공개 키가 블록체인에 영구적으로 노출됩니다. 지난 15년 동안은 문제가 되지 않았습니다. 비트코인을 보호하는 ECDSA 암호화는 고전적인 컴퓨터로 해독하는 것이 계산적으로 불가능하기 때문입니다. 하지만 양자 컴퓨터가 모든 것을 바꿉니다. 충분히 강력한 양자 컴퓨터가 등장하는 날(Q-Day)이 오면, 노출된 공개 키로부터 단 몇 시간 만에 개인 키를 재구성하여 해당 주소의 자금을 인출할 수 있게 됩니다. 과소평가된 Q-Day 문제의 본질은 단순히 "암호화 업그레이드"가 아닙니다. 이미 트랜잭션에 서명하여 공개 키가 노출된 주소에 담긴 665만 BTC가 위험에 처해 있으며, 이들의 이관(migration)은 일반적인 기업 IT 시스템을 업그레이드하는 것보다 기하급수적으로 더 어렵다는 점입니다.
이더리움 재단의 200만 달러 규모 포스트 양자 연구 상금과 2026년 1월 전담 PQ 팀 결��성은 "최고 전략적 우선순위"의 시대가 도래했음을 알리는 신호입니다. 이것은 단순한 미래 계획이 아니라 긴급한 대비입니다. 프로젝트 일레븐(Project Eleven)은 양자 내성 암호 보안을 위해 특별히 2,000만 달러를 모금했습니다. 코인베이스는 포스트 양자 자문 위원회를 구성했습니다. Q-Day를 향한 경주는 시작되었으며, 블록체인은 불변의 기록, 분산된 조정, 그리고 공개 키가 노출된 주소에 보관된 665만 BTC와 같은 전통적인 시스템이 겪지 않는 고유한 과제에 직면해 있습니다.
공개 키 노출 문제: 서명 후 주소가 취약해지는 이유
비트코인의 보안은 근본적인 비대칭성에 기반합니다. 개인 키에서 공개 키를 도출하는 것은 쉽지만, 그 반대는 계산적으로 불가능합니다. 비트코인 주소는 공개 키의 해시값이므로 추가적인 보호 계층을 제공합니다. 공개 키가 숨겨져 있는 한, 공격자는 특정 키를 목표로 삼을 수 없습니다.
하지만 트랜잭션에 서명하는 순간, 공개 키는 블록체인에 공개됩니다. 서명 검증에는 공개 키가 반드시 필요하기 때문에 이는 피할 수 없는 과정입니다. 자금을 받을 때는 주소(공개 키의 해시)만으로 충분하지만, 자금을 사용할 때는 키를 드러내야 합니다.
고전 컴퓨터는 이러한 노출을 악용할 수 없습니다. ECDSA-256(비트코인의 서명 방식)을 해독하려면 이�산 로그 문제를 풀어야 하는데, 이는 약 2^128번의 연산이 필요한 것으로 추정되며 슈퍼컴퓨터로도 수천 년 동안 불가능한 작업입니다.
양자 컴퓨터는 이 전제를 파괴합니다. 충분한 큐비트와 오류 수정 기능을 갖춘 양자 컴퓨터에서 실행되는 쇼어 알고리즘(Shor's algorithm)은 다항 시간 내에 이산 로그 문제를 해결할 수 있습니다. 추정치에 따르면 약 1,500개의 논리적 큐비트를 가진 양자 컴퓨터는 단 몇 시간 만에 ECDSA-256을 해독할 수 있습니다.
이로 인해 치명적인 취약점 노출 기간이 발생합니다. 주소에서 트랜잭션에 서명하면 공개 키는 온체인에 영구적으로 노출됩니다. 나중에 양자 컴퓨터가 등장하면, 이전에 노출된 모든 키가 취약해집니다. 트랜잭션에 서명한 주소에 보유된 665만 BTC는 공개 키가 영구적으로 노출된 채 Q-Day를 기다리고 있는 셈입니다.
트랜잭션 기록이 없는 새 주소는 공개 키가 노출되지 않았으므로 처음 사용하기 전까지는 안전합니다. 하지만 사토시의 코인, 초기 채굴자의 보유분, 트랜잭션에 서명한 적이 있는 거래소의 콜드 스토리지와 같은 레거시 주소들은 시한폭탄과 같습니다.
블록체인 이관이 전통적인 암호화 업그레이드보다 어려운 이유
전통적인 IT 시스템도 양자 위협에 직면해 있습니다. �은행, 정부, 기업들은 양자 공격에 취약한 암호화를 사용합니다. 하지만 이들의 이관 경로는 명확합니다. 암호화 알고리즘을 업그레이드하고, 키를 교체하며, 데이터를 재암호화하는 것입니다. 비용이 많이 들고 복잡하지만 기술적으로 가능합니다.
블록체인 이관은 독특한 어려움에 직면합니다.
불변성(Immutability): 블록체인 기록은 영구적입니다. 과거 트랜잭션을 소급하여 수정해 노출된 공개 키를 숨길 수 없습니다. 한 번 드러나면 수천 개의 노드에 영구적으로 남습니다.
분산된 조정(Distributed coordination): 블록체인에는 업그레이드를 강제할 중앙 당국이 없습니다. 비트코인의 합의는 채굴자, 노드, 사용자 간의 다수 결의가 필요합니다. 포스트 양자 이관을 위한 하드 포크를 조정하는 것은 정치적으로나 기술적으로 매우 복잡합니다.
하위 호환성(Backward compatibility): 전환기 동안 새로운 포스트 양자 주소는 레거시 주소와 공존해야 합니다. 이는 두 가지 서명 방식, 이중 주소 형식, 혼합 모드 트랜잭션 검증 등 프로토콜의 복잡성을 야기합니다.
유실된 키와 비활성 사용자: 수백만 BTC가 키를 잃어버렸거나 사망했거나 혹은 수년 전 암호화폐를 포기한 사람들의 주소에 묶여 있습니다. 이 코인들은 자발적으로 이동할 수 없습니다. 이를 취약한 상태로 둘 것인지, 아니면 프로토콜 차원에서 강제 이관을 진행하여 접근 권한 상실의 위험을 감수할 것인지 선택해야 합니다.
트랜잭션 크기 및 비용: 포스트 양자 서명은 ECDSA보다 훨씬 큽니다. 방식에 따라 서명 크기가 65바이트에서 2,500바이트 이상으로 증가할 수 있습니다. 이는 트랜잭션 데이터를 �비약적으로 증가시켜 수수료를 높이고 처리량을 제한합니다.
합의된 알고리즘 선택: 어떤 포스트 양자 알고리즘을 선택할 것인가? NIST가 여러 표준을 정했지만, 각각 장단점이 있습니다. 잘못 선택하면 나중에 다시 이관해야 할 수도 있습니다. 블록체인은 수십 년 동안 안전하게 유지될 알고리즘에 도박을 걸어야 합니다.
이더리움 재단의 200만 달러 연구 상금은 바로 이러한 문제들을 겨냥하고 있습니다. 네트워크를 중단시키지 않고, 하위 호환성을 잃지 않으며, 거대한 서명 크기로 인해 블록체인을 사용할 수 없게 만들지 않으면서 이더리움을 포스트 양자 암호화로 이관하는 방법을 찾는 것입니다.
665만 BTC 문제: 노출된 주소에는 어떤 일이 일어날까?
2026년 기준, 최소 한 번 이상의 트랜잭션에 서명하여 공개 키가 노출된 주소에 약 665만 BTC가 보관되어 있습니다. 이는 전체 비트코인 공급량의 약 30% 에 해당하며 다음을 포함합니다:
사토시의 코인 (Satoshi's coins): 비트코인 창시자가 채굴한 약 100만 BTC가 이동되지 않은 채 남아 있습니다. 이 주소들 중 다수는 트랜잭션에 서명한 적이 없지만, 일부는 초기 트랜잭션으로 인해 키가 노출되었습니다.
초기 채택자 보유분: 코인당 몇 센트일 때 축적한 초기 채굴자 및 채택자들이 보�유한 수천 BTC입니다. 많은 주소가 휴면 상태이지만 과거 트랜잭션 서명 기록이 있습니다.
거래소 콜드 스토리지: 거래소들은 수백만 BTC를 콜드 스토리지에 보관합니다. 주소를 순환하는 것이 모범 사례이지만, 기존의 오래된 콜드 월렛은 과거의 통합 트랜잭션으로 인해 공개 키가 노출된 경우가 많습니다.
분실된 코인: 약 300만 ~ 400만 BTC가 분실된 것으로 추정됩니다 (소유자 사망, 키 분실, 하드 드라이브 폐기 등). 이 주소들 중 상당수도 키가 노출되어 있습니다.
Q-Day에 이 코인들은 어떻게 될까요? 몇 가지 시나리오가 있습니다:
시나리오 1 - 강제 마이그레이션: 하드 포크를 통해 기한 내에 구형 주소에서 새로운 양자 내성 주소로 코인을 이동하도록 강제할 수 있습니다. 마이그레이션되지 않은 코인은 사용할 수 없게 됩니다. 이는 분실된 코인을 "소각"하지만, 양자 공격으로부터 네트워크 자산이 탈취되는 것을 방지합니다.
시나리오 2 - 자율 마이그레이션: 사용자가 자발적으로 마이그레이션하지만, 노출된 주소는 계속 유효하게 유지됩니다. 위험성: 소유자가 마이그레이션하기 전에 양자 공격자가 취약한 주소의 자금을 가로챌 수 있습니다. 이는 "마이그레이션 경쟁" 패닉을 유발합니다.
시나리오 3 - 하이브리드 방식: 양자 내성 주소를 도입하되 하위 호환성을 무기한 유지합니다. 취약한 주소가 결국 Q-Day 이후에 털릴 것을 인정하고, 이를 자연 선택으로 간주합니다.
시나리오 4 - 비상 동결: 양자 공격이 감지되면 비상 하드 포크를 통해 취약한 주소 유형을 동결합니다. 마이그레이션 시간을 벌 수 있지만, 비트코인이 지향하는 탈중앙화에 반하는 중앙 집중식 의사 결정이 필요합니다.
어떤 것도 이상적이지 않습니다. 시나리오 1은 정당하게 분실된 키를 파괴합니다. 시나리오 2는 양자 절도를 허용합니다. 시나리오 3은 수십억 달러의 손실을 감수합니다. 시나리오 4는 비트코인의 불변성을 훼손합니다. 이더리움 재단과 비트코인 연구원들은 먼 미래가 아닌 지금 이 절충안들을 고민하고 있습니다.
양자 내성 알고리즘: 기술적 해결책
몇 가지 양자 내성 암호화 알고리즘이 양자 공격에 대한 저항력을 제공합니다:
해시 기반 서명 (XMSS, SPHINCS+): 보안이 해시 함수에 의존하며, 이는 양자 내성이 있는 것으로 간주됩니다. 장점: 잘 이해되어 있고 보수적인 보안 가정을 가집니다. 단점: 서명 크기가 커서 (2,500바이트 이상) 트랜잭션 비용이 비쌉니다.
격자 기반 암호학 (Dilithium, Kyber): 양자 컴퓨터가 해결하기 어려운 격자 문제에 기반합니다. 장점: 상대적으로 작은 서명 크기 (~2,500바이트)와 효율적인 검증. 단점: 해시 기반 방식보다 비교적 새롭고 검증이 덜 되었습니다.
STARKs (Scalable Transparent Arguments of Knowledge): 수론이 아닌 해시 함수에 의존하기 때문에 양자 공격에 내성이 있는 영지식 증명입니다. 장점: 투명성 (신뢰할 수 있는 설정 없음), 양자 내성, 확장성. 단점: 증명 크기가 크고 계산 비용이 많이 ��듭니다.
다변수 암호학 (Multivariate cryptography): 다변수 다항식 방정식을 푸는 보안성에 기초합니다. 장점: 빠른 서명 생성. 단점: 공개 키 크기가 크고 미성숙합니다.
코드 기반 암호학 (Code-based cryptography): 오류 정정 코드에 기반합니다. 장점: 빠르고 잘 연구되었습니다. 단점: 키 크기가 매우 커서 블록체인 용도로는 실용적이지 않습니다.
이더리움 재단은 블록체인 통합에 가장 유망한 해시 기반 및 격자 기반 서명을 탐색하고 있습니다. QRL (Quantum Resistant Ledger)은 2018년에 XMSS 구현을 개척하여 타당성을 입증했지만, 트랜잭션 크기와 처리량에서의 절충안을 수용했습니다.
비트코인은 보수적인 보안 철학 때문에 해시 기반 서명 (SPHINCS+ 또는 유사 방식)을 선택할 가능성이 높습니다. 이더리움은 크기 오버헤드를 최소화하기 위해 격자 기반 (Dilithium)을 선택할 수 있습니다. 두 방식 모두 동일한 과제에 직면해 있습니다. ECDSA보다 10 ~ 40배 큰 서명은 블록체인 크기와 트랜잭션 비용을 폭증시킵니다.
타임라인: Q-Day까지 얼마나 남았나?
Q-Day (양자 컴퓨터가 ECDSA를 깨는 날)를 예측하는 것은 추측에 불과하지만, 추세는 명확합니다:
낙관적 (공격자 입장) 타임라인: 10 ~ 15년. IBM, 구글 및 스타트업들이 큐비트 수와 오류 정정 분야에서 빠른 진전을 보이고 있습니다. 발전이 기하급수적으로 지속된다면, 2035 ~ 2040년까지 1,500개 이상의 논리적 큐비트가 등장할 수 있습니다.
보수적 타임라인: 20 ~ 30년. 양자 컴퓨팅은 오류 정정, 큐비트 결맞음 (coherence), 확장성 등 거대한 공학적 과제에 직면해 있습니다. 많은 이들이 실제적인 공격은 수십 년 후에나 가능할 것으로 믿습니다.
비관적 (블록체인 입장) 타임라인: 5 ~ 10년. 정부의 비밀 프로그램이나 획기적인 발견이 타임라인을 앞당길 수 있습니다. 신중한 계획은 긴 타임라인이 아닌 짧은 타임라인을 가정해야 합니다.
이더리움 재단이 2026년 1월에 양자 내성 마이그레이션을 "최우선 전략적 과제"로 다루는 것은 내부 추정치가 공개 담론보다 짧다는 것을 시사합니다. 30년 후의 위험을 위해 200만 달러를 할당하고 전담 팀을 구성하지는 않습니다. 10 ~ 15년 내의 위험을 위해 그렇게 하는 것입니다.
비트코인 문화는 긴급함에 저항하지만, 핵심 개발자들은 문제를 인지하고 있습니다. 양자 내성 비트코인을 위한 제안 (BIP 초안 단계)이 존재하지만, 합의 구축에는 수년이 걸립니다. 만약 2035년에 Q-Day가 도래한다면, 비트코인은 개발, 테스트 및 네트워크 배포 시간을 확보하기 위해 2030년까지 마이그레이션을 시작해야 합니다.
개인이 현재 할 수 있는 일
프로토콜 수준의 해결책은 아직 몇 년이나 남았지만, 개인은 노출을 줄일 수 있습니다 :
정기적으로 새 주소로 이전 : 주소에서 자금을 �사용한 후에는 남은 자금을 새로운 주소로 옮기십시오. 이는 공개 키 노출 시간을 최소화합니다.
멀티 시그니처 지갑 사용 : 양자 컴퓨터는 여러 서명을 동시에 해독해야 하므로 난이도가 높아집니다. 양자 내성이 완벽한 것은 아니지만 시간을 벌 수 있습니다.
주소 재사용 금지 : 이미 자금을 사용한 적이 있는 주소로는 절대로 자금을 보내지 마십시오. 매번 지출할 때마다 공개 키가 새로 노출됩니다.
진행 상황 모니터링 : 이더리움 재단 PQ 연구, 코인베이스 자문 위원회 업데이트, 포스트 양자 암호화 관련 비트코인 개선 제안 (BIP) 등을 팔로우하십시오.
보유 자산 분산 : 양자 리스크가 우려된다면 양자 내성 체인 (QRL) 이나 작업 증명 (Proof-of-work) 체인보다 마이그레이션이 용이한 지분 증명 (Proof-of-stake) 체인 등 노출이 적은 자산으로 분산 투자하십시오.
이러한 조치들은 근본적인 해결책이 아닌 임시방편일 뿐입니다. 프로토콜 수준의 수정은 수십억 달러의 가치와 수백만 명의 사용자가 얽힌 조율된 네트워크 업그레이드를 필요로 합니다. 이 도전 과제는 단순히 기술적인 것이 아니라 사회적, 정치적, 경제적인 문제입니다.