본문으로 건너뛰기

Web3를 위한 양자 아포칼립스 타임라인: Q-Day에 생존할 블록체인은 무엇인가?

· 약 9 분
Dora Noda
Dora Noda
Software Engineer

조사 대상 암호학 전문가 중 3분의 1은 이제 양자 컴퓨터가 2035년까지 오늘날의 블록체인 암호화를 해독할 확률이 50 % 이상이라고 믿고 있습니다. 연방준비제도(Federal Reserve)는 현재 기록된 비트코인 거래가 이미 미래의 해독 위협에 취약하다는 경고 보고서를 발표했습니다. 또한 구글은 자체 인증 인프라를 양자 내성 알고리즘으로 마이그레이션하기 위해 2029년을 내부 마감 시한으로 설정했습니다. 암호학적으로 유의미한 양자 컴퓨터(CRQC)가 현재의 공개키 암호학을 무용지물로 만드는 순간인 "Q-Day"는 더 이상 이론적인 이야기가 아닙니다. Web3에게 남은 질문은 Q-Day가 올지 여부가 아니라, 그때가 왔을 때 어떤 체인이 준비되어 있을 것인가입니다.

수확은 이미 진행 중입니다

양자 위험에 대한 대부분의 논의는 양자 컴퓨터가 ECDSA 또는 EdDSA에 대해 쇼어 알고리즘(Shor's algorithm)을 실행하여 실시간으로 개인키를 탈취하는 극적인 미래 사건인 Q-Day에 초점을 맞춥니다. 하지만 더 교활한 위협은 이미 활성화되어 있습니다.

"지금 수집하고 나중에 해독하라(Harvest now, decrypt later, HNDL)"는 공격자(종종 국가 수준의 행위자)가 오늘 암호화된 데이터를 캡처하여 저렴하게 저장하고, 양자 하드웨어가 암호를 해독할 수 있을 만큼 성숙해질 때까지 기다리는 전략을 설명합니다. 연방준비제도의 2025년 연구 보고서는 비트코인을 사례 연구로 활용하여, 블록체인 네트워크가 양자 내성 암호(Post-Quantum Cryptography)를 성공적으로 배포하더라도 이전에 기록된 거래는 HNDL 공격에 영구적으로 취약한 상태로 남는다고 결론지었습니다.

블록체인에 노출된 모든 공개키는 수확을 기다리는 데이터 포인트입니다. 비트코인의 UTXO 모델은 코인을 사용할 때 공개키를 노출합니다. 이더리움의 계정 모델은 첫 번째 출금 트랜잭션에서 공개키를 노출합니다. 양자 컴퓨터가 성숙해지면, 공개키가 온체인에 한 번이라도 나타난 적이 있는 모든 지갑은 프로토콜의 업그레이드 여부와 상관없이 공격 대상이 됩니다.

이 침해는 해킹처럼 보이지 않을 것입니다. 오늘은 침묵으로 일관하다가, 몇 년 후 대규모 도난의 형태로 나타날 것입니다.

2026년 기준 양자 하드웨어의 현황

오늘날의 양자 컴퓨터와 암호학적으로 유의미한 양자 컴퓨터 사이의 간극은 대부분의 블록체인 개발자가 예상하는 것보다 빠르게 좁혀지고 있습니다.

2024년 말 공개된 구글의 윌로우(Willow) 칩은 105개의 초전도 큐비트를 시연했으며, 큐비트 수가 증가함에 따라 오류가 기하급수적으로 감소하는 "임계값 이하(below threshold)" 장벽을 처음으로 통과했습니다. 이 칩은 가장 빠른 고전적 슈퍼컴퓨터가 100해(Septillion) 년이 걸릴 벤치마크 계산을 5분 이내에 수행했습니다.

IBM의 양자 로드맵은 2026년까지 4,158큐비트(Kookaburra 멀티칩 프로세서), 2029년까지 결함 허용(fault-tolerant) 기능을 갖춘 200개 논리적 큐비트 머신(Starling), 그리고 2033년까지 10억 개의 게이트 프로그램을 실행하는 약 100,000개의 물리적 큐비트 시스템인 Blue Jay를 목표로 하고 있습니다.

한편, 2025년의 연구 성과는 RSA-2048을 깨는 데 필요한 논리적 큐비트 추정치를 약 1,399개로 극적으로 줄여 전문가들의 타임라인을 수년 앞당겼습니다. 비트코인의 서명 방식인 ECDSA에 적용할 경우, 타원 곡선 암호는 RSA보다 해독에 필요한 큐비트 수가 적기 때문에 공격자에게 훨씬 더 유리합니다.

이것들은 이론적인 예측이 아닙니다. IBM은 하드웨어를 출하하고 있으며, 구글은 벤치마크를 발표하고 있습니다. 이제 질문은 "구축할 수 있는가?"가 아니라 "오류 수정 기능이 얼마나 빨리 개선되는가?"입니다.

NIST는 해답을 가지고 있지만, 블록체인은 이를 사용하지 않고 있습니다

2024년 8월, NIST는 최초의 세 가지 양자 내성 암호(PQC) 표준을 확정했습니다.

  • FIPS 203 (ML-KEM) — CRYSTALS-Kyber에서 파생된 모듈 격자 기반 키 캡슐화(Module-Lattice-Based Key Encapsulation)
  • FIPS 204 (ML-DSA) — CRYSTALS-Dilithium에서 파생된 모듈 격자 기반 디지털 서명(Module-Lattice-Based Digital Signatures)
  • FIPS 205 (SLH-DSA) — SPHINCS+에서 파생된 무상태 해시 기반 디지털 서명(Stateless Hash-Based Digital Signatures)

네 번째 표준인 HQC(또는 키 캡슐화 메커니즘)는 2025년 3월에 선정되었으며 2026년에 초안이 나올 예정입니다. 이 알고리즘들은 고전적 공격과 양자 공격 모두에 저항하도록 설계되었습니다.

하지만 블록체인 산업 전반의 도입률은 미미한 수준입니다. 암호학 도입 추적 데이터에 따르면, 전통적인 알고리즘이 전체 도입 사례의 **98.7 %**를 차지하는 반면, 양자 내성 알고리즘은 단 **0.35 %**에 불과합니다. 표준은 존재하지만, 구현은 위험할 정도로 뒤처져 있습니다.

체인별 양자 준비 상태 점검표

모든 블록체인이 동일하게 노출되어 있거나 준비되어 있는 것은 아닙니다.

이더리움: 선제적인 리더

이더리움은 주요 체인 중 가장 공격적인 입장을 취하고 있습니다. 이더리움 재단은 2026년 3월에 로드맵, 오픈 소스 저장소, EIP 및 연구를 통합하는 중앙 허브로서 pq.ethereum.org를 런칭했습니다. 주요 요소는 다음과 같습니다:

  • 200만 달러의 연구 상금을 보유한 전담 양자 내성 팀 구성
  • 코어 레이어 1 프로토콜 업그레이드 완료를 위한 2029년 목표 설정
  • 실행, 합의 및 데이터 레이어를 포괄하는 다층 마이그레이션 전략
  • 사용자가 파괴적인 "일괄 전환일(flag day)" 없이 양자 내성 인증으로 전환할 수 있도록 하는 계정 추상화(Account Abstraction)
  • 비탈릭 부테린은 2030년 이전에 CRQC가 나타날 확률을 **20 %**로 추정하며, 양자 내성을 "협상 불가능한 요소"로 명시

여러 번의 하드포크를 통해 암호화 구성 요소를 점진적으로 교체하는 이더리움의 "테세우스의 배" 접근 방식은 업계에서 가장 정교한 마이그레이션 계획이라 할 수 있습니다. 이미 매주 테스트 네트워크가 운영되고 있습니다.

비트코인: 거버넌스 문제

비트코인은 위협의 심각성과 마이그레이션 준비성 사이에서 가장 극명한 대조를 보이고 있습니다. 비트코인의 ECDSA 서명은 쇼어 알고리즘 (Shor's algorithm) 에 직접적으로 취약합니다. 현재 가격으로 2,800억 달러 ($280B) 이상의 가치를 지닌 약 400만 개 이상의 BTC가 공개 키가 노출된 주소에 보관되어 있으며, 여기에는 사토시 나카모토의 초기 코인도 포함됩니다.

문제는 기술적 실현 가능성이 아닙니다. BTQ 테크놀로지스 (BTQ Technologies) 는 이미 비트코인 퀀텀 코어 릴리스 0.2 (Bitcoin Quantum Core Release 0.2) 에서 ECDSA를 ML-DSA (CRYSTALS-Dilithium) 로 대체한 비트코인 구현체를 시연한 바 있습니다. 진짜 문제는 거버넌스입니다.

비트코인에는 조율된 마이그레이션 계획도, 전담 자금 구조도, 합의된 일정 도 없습니다. 통화 정책의 안정성을 위한 특징이었던 비트코인의 느린 합의 기반 거버넌스 모델은 암호학적 기한을 앞둔 상황에서는 오히려 걸림돌이 됩니다. 이더리움이 8년 동안 준비해 온 반면, 비트코인의 탈중앙화된 개발 문화는 그에 상응하는 조직적인 대응을 내놓지 못하고 있습니다.

구글의 2026년 3월 자문서에 따르면, 비트코인 개발자들은 포스트 양자 마이그레이션이 2029년까지 이루어져야 한다고 명시적으로 경고했습니다. 세그윗 (SegWit) 도입에 합의하는 데만 수년이 걸렸던 커뮤니티가 근본적인 암호학적 개편을 실행하기 위해 남은 시간은 약 3년뿐입니다.

알고랜드: 발 빠른 선구자

알고랜드는 이미 2022년에 격자 기반 FALCON 서명을 상태 증명 (State Proofs) 에 통합하여, 네트워크 수준에서 포스트 양자 암호학을 도입한 최초의 주요 체인 중 하나가 되었습니다. 성능 또한 3.3초의 완결성 (finality) 과 6,000 TPS를 유지하며 안정적으로 운영되고 있습니다.

알고랜드의 2026년 로드맵에는 합의 모듈 내 네이티브 FALCON 서명 검증, 더 큰 크기의 포스트 양자 키를 지원하기 위한 렛저 (Ledger) 하드웨어 지갑 펌웨어 업데이트, 그리고 하드 포크 없이 "양자 안전 계정 (quantum-safe accounts)" 을 활성화하기 위한 온체인 거버넌스 투표가 포함되어 있습니다.

솔라나: 시스템 전체가 아닌 선택 사항

솔라나는 윈터니츠 일회용 서명 (Winternitz One-Time Signatures) 을 기반으로 한 선택적 양자 내성 기능인 윈터니츠 볼트 (Winternitz Vault) 메커니즘을 도입했습니다. 하지만 핵심 네트워크는 여전히 양자 위협에 취약한 EdDSA와 SHA-256에 의존하고 있습니다.

2025년 12월, 솔라나 재단은 프로젝트 일레븐 (Project Eleven) 과 파트너십을 맺고 Ed25519 서명을 CRYSTALS-Dilithium으로 대체하는 공개 테스트넷을 열었습니다. 이는 고무적인 일이지만, 아직은 테스트 단계에 머물러 있습니다. 솔라나는 전체 메인넷 마이그레이션에 대한 구체적인 일정을 아직 발표하지 않았습니다.

기타 생태계 현황

대부분의 레이어 1 및 레이어 2 체인들은 포스트 양자 연구를 거의 혹은 전혀 발표하지 않았습니다. 대다수의 DeFi 프로토콜, 브릿지, 롤업은 기반 레이어가 가진 양자 취약성을 그대로 물려받으며, 스마트 컨트랙트의 암호학적 가정을 통해 자체적인 취약성까지 추가하고 있는 실정입니다.

아무도 말하지 않는 마이그레이션의 난제

계획이 있는 체인이라 하더라도, 포스트 양자 마이그레이션은 가혹한 절충안을 수반합니다:

키 크기의 폭증. ML-DSA 서명은 약 4,600바이트로, 64바이트인 ECDSA에 비해 약 72배 더 큽니다. 이미 처리량 확보를 위해 고군분투 중인 블록체인에게 이는 더 큰 블록 크기, 더 느린 전파 속도, 더 높은 스토리지 비용을 의미합니다. 알고랜드의 사례는 이를 관리할 수 있음을 보여주지만, 대규모 네트워크에서 가스비와 노드 요구 사양에 미치는 영향은 상당합니다.

하위 호환성. 기존의 모든 지갑, 모든 하드웨어 서명 기기, 모든 멀티시그 컨트랙트, 그리고 모든 크로스체인 브릿지는 현재의 키 형식을 가정하고 설계되었습니다. 마이그레이션은 단순한 소프트웨어 업데이트가 아닙니다. 이는 하드웨어 제조사, 지갑 개발자, 거래소, 수탁 서비스 제공업체 모두가 참여하는 조율된 생태계적 전환입니다.

"분실된 코인"의 역설. 포스트 양자 마이그레이션은 미래의 거래를 보호할 수 있지만, 키를 분실했거나 사망했거나 혹은 단순히 활동을 중단한 소유자의 지갑에 든 코인은 마이그레이션할 수 없습니다. 이 코인들은 양자 공격에 의한 절도에 영구적으로 노출됩니다. 사토시의 약 110만 BTC가 가장 유명한 예시이지만, 모든 체인에 걸쳐 수백만 개의 코인이 동일한 운명에 처해 있습니다.

합의 알고리즘에 미치는 영향. 서명 집계 (signature aggregation) 를 사용하는 지분 증명 (PoS) 체인 (예: 이더리움 비콘 체인의 BLS 서명) 은 추가적인 복잡성에 직면합니다. 포스트 양자 서명 집계는 기존 방식보다 효율성이 훨씬 떨어지기 때문입니다.

빌더와 투자자가 지금 해야 할 일

양자 위협은 2035년의 먼 미래 이야기가 아닙니다. HNDL (지금 수집하고 나중에 해독) 위협은 이를 당장 2026년의 문제로 만듭니다.

개발자라면: 현재 프로토콜의 암호학적 가정을 지금 즉시 평가하십시오. 가치나 민감한 데이터를 온체인에 저장하는 프로젝트를 구축하고 있다면, 지금 당장 NIST PQC 표준에 따른 테스트를 시작해야 합니다. 이더리움의 pq.ethereum.org 에서 오픈 소스 도구를 제공하고 있습니다.

투자자라면: 양자 준비성은 이제 실질적인 리스크 요인이 되고 있습니다. 마이그레이션 계획이 없는 체인은 블록이 생성될 때마다 누적되는 암호학적 부채를 안고 있는 것과 같습니다. 알고랜드와 이더리움이 앞서 나가고 있으며, 비트코인의 거버넌스 공백은 우려할 만한 사항입니다.

사용자라면: 가능한 한 공개 키 노출을 최소화하십시오. 비트코인의 경우 각 주소를 한 번만 사용하십시오. 이더리움의 경우 계정 추상화 (account abstraction) 업그레이드가 결국 양자 안전 옵션을 제공하겠지만, 그 시점이 중요합니다.

기관이라면: 연방준비제도의 연구는 학문적 호기심 수준이 아닙니다. 귀사의 컴플라이언스 프레임워크가 데이터 유출 리스크를 고려한다면, 블록체인 기반 자산에 대한 HNDL 위협 또한 위협 모델에 포함시켜야 합니다.

시계는 째깍거리고 있는 것이 아닙니다 — 이미 시작되었습니다

Web3를 향한 양자 아포칼립스는 단 한 번의 극적인 사건으로 찾아오지 않을 것입니다. 이는 슬로우 모션처럼 서서히 진행되는 갈림길로 나타날 것입니다: 준비된 체인들은 계속해서 운영될 것이나, 준비되지 않은 체인들은 수년 동안 참을성 있게 공개 키를 수집해 온 공격자들에 의해 가장 오래되고 가치 있는 지갑들이 고갈되는 것을 지켜보게 될 것입니다.

이더리움은 2029년을 마감 기한으로 설정했습니다. 비트코인은 전혀 설정하지 않았습니다. 알고랜드는 이미 양자 내성 프리미티브를 적용하여 가동 중입니다. 솔라나는 테스트 중입니다. 대부분의 다른 체인들은 아직 시작조차 하지 않았습니다.

Web3의 암호학적 토대는 양자 컴퓨터 이전의 세상을 위해 설계되었습니다. 세상은 이미 변했습니다. 이제 남은 유일한 질문은 업계가 그 흐름에 동참하느냐, 아니면 Q-Day가 강제로 답을 제시할 때까지 기다리느냐 하는 것입니다.

양자 내성을 갖춘 블록체인 인프라를 구축하는 것은 신뢰할 수 있는 노드 액세스 및 API 서비스에서 시작됩니다. BlockEden.xyz는 이더리움, Sui, Aptos 및 20개 이상의 네트워크를 위한 엔터프라이즈급 RPC 엔드포인트를 제공하며, 이는 업계가 가장 중대한 암호학적 전환기를 헤쳐 나가는 데 있어 개발자들에게 필수적인 토대가 됩니다. 장기적인 미래를 위해 설계된 인프라를 기반으로 구축하려면 API 마켓플레이스를 탐색해 보세요.

Share on Twitter