본문으로 건너뛰기

ARK 인베스트, 비트코인의 양자 위협 수치화: 공급량의 34.6%가 위험에 처해 있으나 아직 시계는 움직이지 않고 있다

· 약 9 분
Dora Noda
Dora Noda
Software Engineer

ARK 인베스트(ARK Invest)와 언체인드(Unchained)가 공동으로 발표한 백서는 이전에 누구도 이 정도 규모로 해내지 못한 일을 해냈습니다. 바로 비트코인이 양자 컴퓨팅 공격에 노출된 정도를 정확한 수치로 제시한 것입니다. 그 답은 전체 공급량의 34.6%, 현재 가격으로 약 2,400억 달러에 달하며, 이는 경각심을 주는 동시에 안도감을 줍니다. 이전에 막연한 가설로 치부되던 위협을 정량화했다는 점에서는 경고가 되지만, 나머지 65.4%의 BTC는 양자 컴퓨터가 해독할 수 없는 암호화 해싱 뒤에 안전하게 보관되어 있으며 업계가 준비할 시간이 약 10년 정도 남았음을 보여주기 때문입니다.

양자 위협의 5단계

ARK와 언체인드는 양자 위험을 단순한 이분법적 논리로 다루는 대신, 양자 컴퓨팅이 실험실의 호기심에서 암호화 무기로 발전하는 과정을 보여주는 5단계 프레임워크를 도입했습니다.

1단계 — 상업적 유용성 (현재): 양자 컴퓨터가 제약, 물류, 재료 과학 분야의 최적화 및 시뮬레이션 문제를 해결합니다. 암호화 측면의 영향력은 없습니다. 이것이 2026년 현재 우리가 처한 단계입니다.

2단계 — 암호화 관련성 (조기 경보): 양자 머신이 작은 키 크기나 더 이상 사용되지 않는 알고리즘과 같은 사소한 암호화 문제를 해결하기 시작합니다. 비트코인의 secp256k1 타원 곡선은 아직 영향을 받지 않지만, 위험의 전조가 보이기 시작합니다.

3단계 — ECC 취약성 (첫 번째 실질적 위험): 쇼어 알고리즘(Shor's algorithm)을 실행하는 양자 컴퓨터가 공개 키로부터 개인 키를 도출할 수 있게 되지만, 그 속도는 매우 느립니다. 이 단계에서 공격자는 단일 키를 해독하는 데 며칠 또는 몇 주가 걸릴 수 있습니다. 공개 키가 노출된 비트코인 주소는 취약해지지만, 대부분의 대상을 공격하기에는 비현실적입니다.

4단계 — 블록 생성 시간 미만 해킹 (임계점): 양자 머신이 비트코인의 10분 블록 생성 시간보다 빠르게 개인 키를 해독합니다. 이는 비트코인의 통화 시스템이 실존적 도전에 직면하는 시점입니다. 공격자는 멤풀(mempool)에서 트랜잭션을 확인하고, 송신자의 공개 키를 추출하여 개인 키를 도출한 뒤, 원래의 트랜잭션이 확정되기 전에 경쟁 트랜잭션을 전송할 수 있습니다.

5단계 — 암호화 붕괴: 양자 컴퓨터가 거의 즉각적으로 키를 해독합니다. 포스트 양자 방어 체계가 없다면 비트코인의 보안 모델은 완전히 무너집니다.

ARK는 빠르면 2030년대 중반까지는 3단계에 도달하지 않을 것으로 예상합니다. 구글의 105 큐비트 윌로우(Willow) 칩, IBM의 1,386 큐비트 쿠카부라(Kookaburra)와 같은 현재 가장 발전된 양자 프로세서들은 하루 안에 비트코인의 암호화를 해독하는 데 필요할 것으로 추정되는 1,300만 개의 논리 큐비트와는 수십 배의 차이가 납니다.

무엇이 정확히 취약한가?

34.6%라는 수치는 노출된 비트코인을 서로 다른 위험 프로필을 가진 세 가지 범주로 나눈 것입니다.

레거시 P2PK 출력값 (~170만 BTC): 초기 비트코인 거래는 원시 공개 키를 블록체인에 직접 저장하는 P2PK(Pay-to-Public-Key) 스크립트를 사용했습니다. 오늘날 누구나 이 공개 키를 읽을 수 있습니다. 이 범주에는 사토시 나카모토의 것으로 추정되는 약 110만 BTC (2009년에서 2010년 사이에 채굴되어 한 번도 이동하지 않은 코인)가 포함됩니다. 공개 키가 영구적으로 노출되어 양자 공격자가 무제한으로 작업할 수 있는 시간을 제공하므로 가장 취약한 주소입니다.

재사용된 주소 (~500만 BTC): 사용자가 주소에서 자금을 사용할 때 트랜잭션은 공개 키를 공개합니다. 이후 해당 주소로 추가 자금을 받으면, 그 코인들은 노출된 키 뒤에 놓이게 됩니다. 비트코인 모범 사례에서 오랫동안 권장되지 않았던 주소 재사용은 양자 취약 공급량 중 가장 큰 비중을 차지합니다.

탭루트(Taproot) P2TR 출력값 (~20만 BTC): 탭루트의 키 경로 소비 메커니즘 또한 충분히 강력한 양자 컴퓨터가 악용할 수 있는 방식으로 공개 키를 노출합니다. 탭루트는 비트코인의 가장 최신 주소 형식이지만, 설계 당시 양자 저항성보다는 효율성과 프라이버시를 우선시했습니다.

안전하게 유지되는 것

나머지 65.4%의 비트코인 공급량은 해시된 주소 형식, 주로 P2PKH(Pay-to-Public-Key-Hash) 및 P2SH(Pay-to-Script-Hash)에 보관되어 있습니다. 여기서는 자금이 사용되는 순간까지 공개 키가 SHA-256 및 RIPEMD-160 해시 뒤에 숨겨져 있습니다. 양자 컴퓨터는 쇼어 알고리즘을 통해 타원 곡선 암호를 해독하는 데 탁월하지만, 그로버 알고리즘(Grover's algorithm)을 통한 해시 함수 공격에서는 이차적인 속도 향상(quadratic speedup)만 제공할 뿐입니다. 그로버 알고리즘으로 SHA-256을 해독하려면 여전히 약 2^128번의 연산이 필요하며, 이는 양자 머신에게도 사실상 불가능한 엄청난 숫자입니다.

핵심 통찰: 표준 해시 주소에 비트코인을 보유하고 있고 한 번도 사용한 적이 없다면, 귀하의 코인은 모든 현실적인 타임라인 내에서 양자로부터 안전합니다.

BIP-360: 비트코인의 첫 번째 양자 방어 제안

백서는 비트코인이 양자 저항성을 향해 내딛는 첫 번째 구체적인 단계로 BIP-360 (현재 P2MR, Pay-to-Merkle-Root로 이름 변경)을 강조합니다. 원래 일반성을 위해 이름이 바뀌기 전에는 P2QRH(Pay-to-Quantum-Resistant-Hash)로 제안되었던 BIP-360은 탭루트의 키 경로 소비 취약성을 제거하는 새로운 출력 유형을 도입합니다.

BIP-360이 수행하는 작업과 수행하지 않는 작업은 다음과 같습니다.

수행하는 작업:

  • 탭루트 트랜잭션에서 공개 키를 노출하는 키 경로 소비를 제거합니다.
  • 모든 소비 조건을 머클 트리 커밋먼트(Merkle-tree commitments) 뒤에 유지하는 P2MR(Pay-to-Merkle-Root) 출력값을 도입합니다.
  • 향후 소프트 포크를 통해 포스트 양자 서명 체계를 연결할 수 있는 프레임워크를 만듭니다.
  • 세그윗(SegWit) 및 탭루트 채택 패턴을 따라 하위 호환 가능한 소프트 포크로 배포될 수 있습니다.

수행하지 않는 작업:

  • 그 자체로 포스트 양자 디지털 서명을 추가하지는 않습니다. 이는 별도의 업그레이드가 필요합니다.
  • 이미 노출된 P2PK 및 재사용된 주소를 보호하지 않습니다.
  • 강제 마이그레이션을 수반하지 않으며, 기존 주소 유형은 계속 작동합니다.

실질적인 의미: BIP-360은 완전한 해결책이라기보다는 필요한 인프라입니다. 이는 특정 알고리즘(ML-DSA, SLH-DSA 등)이 최종적으로 채택될 것인지 강제하지 않으면서 포스트 양자 서명을 위한 비트코인의 주소 아키텍처를 준비하는 단계입니다.

양자 내성 서명을 위한 경쟁

NIST는 2024년 8월에 첫 세 가지 양자 내성 암호 표준을 확정했습니다 :

  • ML-KEM (FIPS 203) : CRYSTALS-KYBER에서 파생된 격자 기반 키 캡슐화
  • ML-DSA (FIPS 204) : CRYSTALS-Dilithium에서 파생된 격자 기반 디지털 서명
  • SLH-DSA (FIPS 205) : SPHINCS+에서 파생된 상태 비저장 해시 기반 서명

비트코인의 경우 서명 표준이 가장 중요합니다. ARK와 Unchained의 백서는 소프트 포크 업그레이드를 통해 ML-DSA 또는 SLH-DSA를 통합할 것을 권장합니다. 각각에는 트레이드오프가 있습니다 :

ML-DSA는 서명 크기가 더 작고 ( ~2.4 KB ) 검증 속도가 빨라 비트코인의 대역폭 제한 내에서 더 실용적입니다. 그러나 격자 기반 암호화는 비교적 새로운 기술이며 장기적인 보안 가정이 충분히 검증되지 않았습니다.

SLH-DSA는 비트코인 공급량의 65.4% 를 이미 보호하고 있는 수학적 프리미티브와 동일한 해시 함수에 의존합니다. 보수적이고 잘 이해되어 있지만, 서명 크기가 훨씬 커서 ( 파라미터에 따라 ~8-40 KB ), 비트코인 트랜잭션 용량을 크게 늘릴 수 있습니다.

BTQ Technologies는 이미 "Bitcoin Quantum Core Release 0.2" 에서 취약한 ECDSA 서명을 ML-DSA로 교체하여 비트코인 개념 증명 ( PoC ) 구현을 시연했습니다. 하지만 테스트넷 데모에서 네트워크 전체의 합의로 나아가기 위해서는 수년간의 검토, 테스트 및 사회적 조율이 필요합니다.

비트코인과 이더리움 접근 방식의 비교

비트코인이 BIP-360 및 향후 서명 업그레이드를 통해 체계적으로 양자 내성을 구축하고 있는 반면, 이더리움은 더 공격적인 일정을 잡고 있습니다. 비탈릭 부테린 ( Vitalik Buterin ) 은 2026년 2월에 몇 가지 병렬 트랙을 포함한 양자 방어 로드맵을 발표했습니다 :

  • EIP-8141은 지갑을 바꾸지 않고도 양자 내성 서명을 포함한 서명 체계를 계정이 전환할 수 있도록 합니다. 부테린은 이것이 2026년 말 Hegotá 하드 포크와 함께 출시될 것이라고 확인했습니다.
  • 2026년 1월에 설립된 전담 양자 내성 보안 팀은 BLS 검증인 서명을 대체할 해시 기반 기술을 연구하고 있습니다.
  • ETH2030 로드맵은 6개의 서명 체계와 재귀적 STARK 집계를 통해 완전한 양자 내성을 목표로 합니다.

이러한 접근 방식의 차이는 각 네트워크의 철학을 반영합니다. 비트코인은 신중함과 하위 호환성을 우선시하며, 모든 변경 사항은 압도적인 합의를 얻어야 하고 소프트 포크로 배포 가능해야 합니다. 이더리움은 하드 포크 문화와 계정 추상화를 활용하여 암호화 프리미티브를 더 공격적으로 교체하며 더 빠르게 움직입니다.

두 접근 방식 중 어느 것이 절대적으로 더 낫다고 할 수는 없습니다. 비트코인의 보수적인 경로는 성급한 업그레이드로 인한 새로운 취약성 도입 위험을 줄입니다. 이더리움의 빠른 속도는 양자 보호가 더 일찍 도착한다는 것을 의미하지만 구현 위험이 더 큽니다.

비트코인 홀더들이 오늘날 해야 할 일

ARK/Unchained 백서는 경고를 울리면서도 근본적으로는 낙관적입니다. 양자 위협은 실재하지만 아직 멀리 있으며, 비트코인의 오픈 소스 개발 프로세스는 방어책을 구현할 시간이 있습니다. 그럼에도 불구하고 개별 홀더들은 지금 다음과 같은 조치를 취할 수 있습니다 :

  1. 주소 재사용 중단. 주소에서 자금을 보낼 때마다 공개 키가 노출됩니다. 모든 트랜잭션에 새로운 수신 주소를 사용하십시오. 이는 이미 권장되는 모범 사례입니다.

  2. 레거시 P2PK 출력에서 코인 이동. 아주 오래된 주소 형식 ( "04" 로 시작하거나 압축되지 않은 공개 키 ) 으로 비트코인을 보유하고 있다면 현대적인 P2SH 또는 P2WPKH 주소로 이체하십시오.

  3. BIP-360 개발 모니터링. 업그레이드가 활성화되면 P2MR 출력으로 마이그레이션하십시오. 현재 긴급한 상황은 아니지만 양자 하드웨어가 발전함에 따라 점점 더 중요해질 것입니다.

  4. 사토시의 코인에 대해 패닉하지 마십시오. 초기 P2PK 주소에 있는 110만 BTC는 이동할 수 없습니다 ( 키를 분실했다고 가정할 경우 ). 양자 컴퓨터가 언젠가 그 키를 해독한다면, 커뮤니티는 기술적인 문제가 아닌 거버넌스 문제에 직면하게 될 것입니다.

더 큰 그림

ARK/Unchained 백서는 양자 컴퓨팅 담론이 공상 과학에서 전략적 계획으로 전환된 시점에 나왔습니다. 구글 ( Google ) 의 윌로우 ( Willow ) 칩은 2024년에 임계값 미만의 오류 수정을 입증했습니다. IBM의 멀티 프로세서 양자 시스템은 4,000 큐비트를 넘어서고 있습니다. NIST의 양자 내성 표준은 인터넷 인프라 전반에 배포되고 있으며, 크롬 ( Chrome ) 과 안드로이드 ( Android ) 는 2026년 중반까지 양자 내성 TLS를 기본으로 설정할 예정입니다.

비트코인의 34.6% 취약성 창은 조치가 필요할 만큼 크지만 해결 가능한 수준입니다. 5단계 프레임워크는 생태계에 진행 상황을 추적하기 위한 공통 언어를 제공합니다. BIP-360은 아키텍처적 기반을 제공하며, NIST 표준은 암호화 도구를 제공합니다.

문제는 비트코인이 양자 내성을 갖추게 될 것인지가 아니라, 커뮤니티가 3단계가 도래하기 전에 필요한 업그레이드를 조율할 것인지 여부입니다. SegWit, Taproot 등을 통한 비트코인의 체계적이고 합의 중심적인 진화 기록을 고려할 때, 대참사보다는 준비된 대응이 이루어질 가능성이 높습니다.

시계는 아직 돌아가기 시작하지 않았습니다. 하지만 처음으로 우리는 정확히 무엇을 향해 카운트다운을 하고 있는지 알고 있습니다.

BlockEden.xyz는 여러 체인에 걸쳐 엔터프라이즈급 블록체인 API 서비스와 노드 인프라를 제공합니다. 업계가 양자 내성 전환을 준비함에 따라 신뢰할 수 있는 인프라는 더욱 중요해집니다. API 마켓플레이스를 방문하여 지속 가능한 기반 위에서 구축을 시작해 보세요.

Share on Twitter