본문으로 건너뛰기

비트코인의 1.3조 달러 규모 양자 시계: 9분 만의 ECDSA 해독과 690만 BTC를 구하기 위한 BIP-360의 경쟁

· 약 12 분
Dora Noda
Dora Noda
Software Engineer

9 분. 구글 퀀텀 AI (Google Quantum AI) 의 57 페이지 분량 논문에 따르면, 이는 미래의 양자 컴퓨터가 노출된 공개 키에서 비트코인 개인 키를 역공학으로 추출하는 데 필요한 시간입니다. 단일 블록 확정 (confirmation) 시간 안에 들어올 만큼 짧으면서도, 1 조 3,000 억 달러 규모의 전체 네트워크 리스크 프로필을 뒤바꾸기에는 충분한 시간입니다. 2026 년 3 월 30 일에 스탠포드 및 이더리움 재단 연구진과 공동으로 발표된 이 논문은 단순히 종말을 예고하는 것보다 더 미묘한 지점을 짚어냈습니다. 바로 중요한 수치들을 줄인 것입니다. ECDSA 를 해독하는 데 필요한 리소스가 이전 추정치에 비해 20 배나 감소했습니다. 구글은 현재 내부적으로 2029 년까지 포스트 양자 (post-quantum) 마이그레이션을 목표로 하고 있습니다.

비트코인에게는 그럴 시간이 많지 않습니다. 우아하게 마이그레이션하기를 원한다면 더욱 그렇습니다. 네트워크 개발자들도 이를 잘 알고 있습니다. 이것이 2026 년 4 월이 SegWit 활성화 이후 비트코인 암호학에서 가장 중요한 달이 된 이유입니다. BIP-360 은 테스트넷에 라이브 되었습니다. 레거시 주소를 동결하자는 후속 제안이 초안 형태로 유통되고 있습니다. Adam Back, Jameson Lopp, 그리고 Bitcoin Core 메인테이너들은 위협이 실제인지가 아니라, 시간이 다 되었을 때 누가 비용을 지불할 것인지를 두고 의견이 갈리고 있습니다.

노출 지도: 690 만 BTC, 공급량의 34%, 그리고 사토시의 코인들

구글 논문에서 가장 많이 인용된 숫자는 9 분입니다. 가장 불안한 숫자는 690 만입니다. 이는 공개 키가 이미 온체인에 노출된 비트코인 공급량의 상한선입니다. 즉, 양자 공격자는 멤풀 (mempool) 을 통해 트랜잭션 경쟁을 할 필요가 없다는 뜻입니다. 그들은 여유롭게 개인 키를 도출하고 원할 때 언제든지 코인을 사용할 수 있습니다.

노출은 단계별로 분류됩니다:

  • Pay-to-Public-Key (P2PK) 주소: 사토시 나카모토의 초기 채굴 코인베이스 보상 110 만 BTC 이상을 포함하여 약 170 만 BTC 가 해당됩니다. 공개 키가 scriptPubKey 에 직접 저장되어 있어 이를 숨길 수 있는 장치가 없습니다.
  • 모든 스크립트 유형에 걸친 주소 재사용: P2PKH, P2WPKH 또는 Taproot 주소가 단 한 번이라도 사용되면, 공개 키가 해당 지출 트랜잭션에서 노출됩니다. 연구자들은 이로 인해 취약한 공급량이 600 만 BTC 를 훨씬 넘어설 것으로 추정합니다.
  • 휴면 주소: 2026 년 3 월 1 일 기준, 유통량의 34% 이상이 어느 시점에서든 공개 키가 노출되었습니다. 10 년 동안 건드리지 않은 코인이라고 해서 더 안전한 것이 아닙니다. 어차피 키를 노출하지 않고는 코인을 회전 (rotate) 시킬 수 없기 때문에 오히려 더 많이 노출된 상태입니다.

이것은 가장 극명한 형태의 "지금 수집하고, 나중에 해독하라 (harvest now, decrypt later)" 문제입니다. 지난 15 년 동안의 모든 주소 재사용은 이미 블록체인에 기록되었습니다. 이를 취소할 방법은 없습니다. 유일한 방어책은 충분히 강력한 머신이 등장하기 전에 코인을 포스트 양자 주소 형식으로 옮기는 마이그레이션뿐입니다.

BIP-360: Pay-to-Merkle-Root와 첫 번째 테스트넷 블록

2026 년 2 월에 발표되고 Ethan Heilman 이 공동 저술한 BIP-360 은 전향적 호환성 (forward-compatible) 을 갖춘 주소 형식을 제공하는 최초의 구체적인 비트코인 개선 제안입니다. 이는 온체인에 단일 공개 키를 내장하는 대신 가능한 서명 체계의 머클 트리 (Merkle tree) 를 커밋하는 P2MR (Pay-to-Merkle-Root) 을 도입합니다.

P2MR 의 우아함은 네트워크가 오늘 당장 승자를 선택하지 않고도 양자 내성 서명을 채택할 수 있게 해준다는 점입니다. P2MR 출력은 사용 시점에 SLH-DSA (SPHINCS+) 서명 경로, Falcon 경로 또는 하이브리드 ECDSA-플러스-포스트-양자 경로를 공개할 수 있습니다. 공개 키는 UTXO 자체에 기록되지 않고 커밋먼트 (commitment) 만 기록됩니다. 관찰자들은 코인이 이동하기 전까지는 서명 키에 대해 아무것도 알 수 없으며, 이동할 때에도 사용된 특정 경로만 공개됩니다.

2026 년 3 월 20 일, BTQ Technologies 는 비트코인 테스트넷에서 BIP-360 v0.3.0 의 첫 번째 프로덕션 배포를 활성화했습니다. 50 명 이상의 채굴자가 이 실험에 참여하여 새로운 규칙 아래 100,000 개 이상의 블록을 생성했습니다. 테스트넷이 비트코인 메인넷은 아니며 활성화까지는 아직 멀었지만, 수년 동안 비평가들이 제기해 온 질문에 답했습니다: P2MR 이 실제로 처리량과 서명 크기를 감당할 수 있는가? 초기 결과는 비용이 들긴 하지만 '그렇다'입니다.

크기 문제: 64 바이트에서 8 킬로바이트로

여기 엔지니어링 비용이 있습니다. 현재의 비트코인 ECDSA 또는 Schnorr 서명은 64 바이트입니다. NIST 표준 양자 내성 대안인 SLH-DSA (이전 명칭 SPHINCS+, 2024 년 8 월 FIPS 205 로 확정) 의 서명 크기는 약 8 킬로바이트입니다. 이는 125 배 증가한 수치입니다.

블록 공간은 제로섬 게임입니다. 서명 크기가 커졌다고 해서 비트코인 블록의 가중치 제한 (weight limit) 이 늘어나지는 않습니다. 모든 서명이 하룻밤 사이에 8 KB 가 된다면, 실질적인 트랜잭션 처리량은 두 자릿수 이상 급감할 것이며, 수수료 시장은 가치가 매우 높은 전송을 제외한 모든 거래를 배제하게 될 것입니다. 이는 단순한 UX 문제가 아닙니다. 이것이 비트코인이 아직 마이그레이션하지 못한 근본적인 이유입니다.

두 가지 연구 방향이 이 비용 문제를 해결하려 하고 있습니다:

  • SHRIMPS 및 SHRINCS: SPHINCS+ 의 보안 보장을 유지하면서 서명 크기를 2 KB 에 가깝게 줄이는 것을 목표로 하는 상태 비저장 해시 기반 체계입니다.
  • Falcon 계열 격자 (lattice) 서명: SPHINCS+ 보다 작지만 (약 700 바이트), 격자 문제의 난이도에 대해 더 많은 가정을 포함합니다. 이는 순수 해시 기반 계열과는 다른 리스크 프로필을 가집니다.
  • 기존 비트코인 스크립트를 사용한 커밋/공개 체계: 프로토콜 업그레이드 없이 트랜잭션당 약 200 달러의 비용으로 오늘날 포스트 양자 커밋먼트를 영리하게 인코딩합니다. 비용은 비싸지만 가치가 높은 콜드 스토리지에는 지금 바로 사용할 수 있습니다.

어떤 옵션도 명확하게 정답은 아닙니다. BIP-360 의 머클 커밋먼트 설계는 특정 하나를 선택해야 하는 위험에 대비한 헤지 (hedge) 수단입니다.

BIP-361: 사토시의 코인을 동결하자는 제안

2026년 4월 14일, Jameson Lopp과 5명의 공동 연구자들은 비트코인 BIP 저장소에 "포스트 퀀텀 마이그레이션 및 레거시 서명 일몰(Post Quantum Migration and Legacy Signature Sunset)"이라는 제목의 BIP-361 초안을 제출했습니다. 이는 2017년 블록 크기 전쟁 이후 정치적으로 가장 폭발적인 비트코인 제안이며, 다음과 같이 점진적으로 강화되는 세 단계로 구성되어 있습니다.

  • Phase A (활성화 + 약 3년): 새로운 트랜잭션은 더 이상 양자 공격에 취약한 레거시 주소 유형으로 자금을 보낼 수 없습니다. 취약한 주소에서 자금을 출금하는 것은 여전히 가능하지만, 지갑과 서비스는 기본적으로 P2MR을 사용하도록 유도됩니다.
  • Phase B (활성화 + 약 5년): 합의 계층에서 모든 레거시 서명을 무효화합니다. 이 블록 높이까지 마이그레이션되지 않은 모든 코인은 사용할 수 없게 되며, 즉 동결됩니다.
  • Phase C (연구 중): BIP-39 시드 구문과 연결된 영지식 증명(zero-knowledge proofs)을 사용하는 제한적인 복구 메커니즘입니다. 사용자는 개인 키를 공개하지 않고도 동결된 UTXO의 소유권을 증명할 수 있지만, 이는 원래의 시드를 여전히 보유하고 있는 경우에만 가능합니다. 시드를 분실한 코인은 영구히 분실된 상태로 남습니다.

수치는 극명합니다. Phase B는 P2PK 스크립트에 묶인 170,000 BTC와 사토시(Satoshi)의 소유로 추정되는 약 110만 BTC를 동결하게 됩니다. BTC당 95,000달러 기준으로 이는 합의에 의해 일몰되는 1,200억 달러 이상의 코인을 의미하며, 이는 디지털 네트워크 역사상 가장 큰 규모의 사유 재산 강제 몰수가 될 것입니다.

분열: Adam Back 대 Lopp, 이념적 순수성 대 적대적 사고

커뮤니티의 반응은 몇 시간 만에 나타났으며, 예상 가능한 지점에서 의견이 갈렸습니다.

동결 반대 측:

  • Adam Back은 강제적인 일몰 없이 선택적인 포스트 퀀텀 업그레이드를 공개적으로 지지하며, 코인을 동결하는 것은 허가 없는 소유(permissionless possession)라는 비트코인의 핵심 약속을 위반하는 것이라고 주장했습니다.
  • Marty Bent (TFTC)는 이 제안을 "터무니없다"고 불렀습니다.
  • Bitcoin Magazine의 Brian Trollz는 이를 단호히 거부했습니다.
  • Phil Geiger (Metaplanet)는 반대 입장을 다음과 같이 요약했습니다. "우리는 사람들의 돈이 도난당하는 것을 방지하기 위해 그들의 돈을 훔쳐야 한다는 것인가."

동결 찬성 측:

  • Lopp은 이 초안을 "잠재적인 미래 위협에 대한 적대적 사고(adversarial thinking)"로 규정하며, 현재로서는 이 조치들이 즉각적으로 활성화되어야 한다고 믿지는 않는다고 언급했습니다.
  • **기관 수탁 기관(Institutional custodians)**들은 일몰 조치를 조용히 지지하고 있습니다. 왜냐하면 살아남은 프리 퀀텀(pre-quantum) 코인 풀은 영구적인 시스템적 리스크, 즉 양자 공격자가 시간 압박 없이 목표로 삼을 수 있는 거대한 허니팟(honeypot)이 되기 때문입니다.

철학적 갈등은 실재합니다. 비트코인의 약속은 코인이 명령(fiat)에 의해 압류될 수 없다는 것이었습니다. BIP-361은 이를 뒤집어, 방치에 의해 코인이 압류될 수 있다고 말합니다. 반대론자들은 분실되거나 휴면 상태인 코인이 미래의 양자 공격자에게 도난당하도록 내버려 두는 것이 원래의 약속을 지키기 위해 지불해야 할 비용이라고 주장합니다. 찬성론자들은 도난이 발생할 때까지 기다리는 것이 비트코인이 생존할 수 없는 선례를 정당화하게 될 것이라고 반박합니다.

7년의 유예 기간과 마이그레이션이 지연될 경우의 상황

BIP-360의 공동 저자인 Ethan Heilman은 즉시 시작하더라도 완전한 마이그레이션에는 최소 7년이 걸릴 것으로 추정합니다. 일정은 대략 다음과 같이 나뉩니다.

  • 1년 차: BIP-360 메인넷 활성화 및 지갑 지원 출시.
  • 2–3년 차: 거래소, 수탁 기관 및 상점 연동. 포스트 퀀텀 서명 경로를 포함한 하드웨어 지갑 펌웨어 업데이트.
  • 4–5년 차: BIP-361 또는 후속 제안이 채택될 경우, 합의 수준에서 Phase A 제한 사항 강제 적용.
  • 6–7년 차: 레거시 서명 일몰, 동결된 주소 해결, 복구 메커니즘 배포.

구글의 내부적인 2029년 마감 시한이 이 기간 안에 포함되어 있습니다. 번스타인(Bernstein) 분석가들은 양자 컴퓨터가 운영상 유의미해지기 전까지 3~5년의 전환 기간이 있을 것으로 예상합니다. 아크 인베스트(Ark Invest)는 위협이 장기적이며 임박한 것은 아니라고 주장합니다. "임박하지 않음"과 "7년의 마이그레이션" 사이의 간극이 바로 비트코인 거버넌스가 향후 10년의 남은 기간 동안 고민하게 될 지점입니다.

크로스 체인 비교: 이더리움, 솔라나, 그리고 양자 네이티브 신흥 체인들

비트코인만이 같은 시계와 경쟁하는 유일한 체인은 아니지만, 거버넌스가 가장 제약적인 체인인 것은 분명합니다.

  • 이더리움 (Ethereum): 비탈릭 부테린(Vitalik Buterin)은 2026년 2월에 포스트 퀀텀 로드맵을 발표했습니다. EIP-8141은 ECDSA와 포스트 퀀텀 서명을 동시에 담는 "프레임 트랜잭션(frame transaction)" 엔벨로프를 도입하여, 계정이 주소를 바꾸지 않고도 서명 유형을 마이그레이션할 수 있게 합니다. 양자 저항 서명은 가스 비용이 최대 66배 더 많이 들기 때문에, 경제적 타당성을 유지하기 위해 배치(batching) 솔루션이 필요합니다. 이더리움 재단은 2030년 이전에 완전한 양자 저항을 목표로 하고 있습니다.
  • 솔라나 (Solana): 2025년 12월, 솔라나 재단은 Project Eleven과 협력하여 모든 Ed25519 서명을 CRYSTALS-Dilithium으로 대체하는 테스트넷을 출시했습니다. 초기 측정 결과 약 3,000 TPS를 유지했으나, 이전의 독립적인 테스트에서는 서명 크기가 40배 커짐에 따라 처리량이 최대 90% 저하된다고 보고된 바 있습니다. 점프 크립토(Jump Crypto)의 대체 검증인 클라이언트인 파이어댄서(Firedancer)는 여러 서명 백엔드를 지원하므로, 이더리움이 EIP-8141을 확정하기 전에 솔라나가 먼저 양자 마이그레이션 역량을 갖추게 될 것입니다.
  • 양자 네이티브 L1들: Circle Arc, Algorand 및 몇몇 최신 체인들은 제네시스 단계부터 포스트 퀀텀 프리미티브를 탑재하여 출시되었으며, 마이그레이션 문제를 완전히 건너뛰었습니다. 2027년 이들의 마케팅 문구는 자명할 것입니다.

비트코인의 불리함은 기술적인 것이 아니라 정치적인 것입니다. 이더리움에는 재단이 있고, 솔라나에는 Anza와 파이어댄서 팀이 있습니다. 비트코인에는 코어 유지 관리자들과, 훨씬 덜 논쟁적이었던 업그레이드인 탭루트(Taproot)를 출시하는 데만 거의 4년이 걸렸던 거친 합의(rough consensus) 모델이 있을 뿐입니다.

빌더와 홀더에게 이것이 의미하는 바

오늘날 비트코인 위에서 빌딩하거나 비트코인을 보유한 모든 이들에게 세 가지 실질적인 시사점이 두드러집니다.

  1. 콜드 스토리지 관행이 그 어느 때보다 중요해졌습니다. 주소 재사용은 항상 프라이버시 안티 패턴(anti-pattern)이었지만, 이제는 암호학적 리스크가 되었습니다. BIP-360이 활성화되기 전이라도 트랜잭션마다 새로운 주소를 사용하면 시간을 벌 수 있습니다. 공개 키가 한 번도 노출되지 않은 미사용 P2WPKH 및 탭루트(Taproot) 출력값은 사용되기 전까지 "지금 수집하고 나중에 해독(harvest now, decrypt later)" 모델로부터 안전하기 때문입니다.
  2. 멀티시그(Multi-sig) 및 탭루트 스크립트 경로에 대한 마이그레이션 계획도 필요합니다. 지출 경로가 드러난 복잡한 스크립트는 싱글 키 주소와 동일한 노출 문제를 안고 있습니다. 커스터디 서비스는 자사의 콜드 스토리지 구조 중 어떤 것이 포스트 양자 시대에 살아남을 수 있는지, 그리고 어떤 것이 Phase A 마감 시한 이전에 강제 마이그레이션을 필요로 하는지 감사를 시작해야 합니다.
  3. 인프라 제공업체가 운영 부담을 짊어지게 될 것입니다. BIP-360이 활성화되면 지갑, 거래소 및 RPC 제공업체는 새로운 주소 형식 지원, 하이브리드 서명 검증 처리, 수수료 급등이나 버그로 인한 자금 손실 없이 사용자가 UTXO를 마이그레이션하도록 돕는 등 2년 동안 고된 기초 작업을 수행하게 될 것입니다. 이러한 인프라의 품질이 마이그레이션의 원활함과 혼란 여부를 결정지을 것입니다.

양자 시계는 헤드라인의 속도로 흐르지 않습니다. 그것은 표준 위원회, 테스트넷 출시, 그리고 BIP 활성화의 속도로 흐르고 있습니다. 이것이 바로 2026년 4월이 중요한 이유입니다. 첫 번째 BIP가 테스트넷에 올라왔고, 두 번째 초안이 작성되었으며, 커뮤니티는 논쟁 중입니다. 이것이 바로 '0년 차'에 기능적 마이그레이션이 진행되는 정확한 모습입니다.

대안, 즉 50만 큐비트 기계가 실제로 존재할 때까지 기다리는 것은 작동하지 않는 옵션입니다.

BlockEden.xyz는 비트코인, 이더리움, 솔라나를 포함하여 포스트 양자 마이그레이션 결정을 앞둔 20개 이상의 체인에 엔터프라이즈급 노드 및 API 인프라를 제공합니다. API 마켓플레이스 탐색하기를 통해 암호학적 한계와 함께 진화하도록 설계된 인프라 위에서 빌딩해 보세요.

출처

Share on Twitter