본문으로 건너뛰기

BIP-361: SegWit 이후 가장 논란이 되고 있는 비트코인 제안

· 약 11 분
Dora Noda
Dora Noda
Software Engineer

소수의 비트코인 개발자들이 5년 전이라면 상상조차 할 수 없었을 제안을 했습니다. 미래의 양자 컴퓨터가 비트코인을 공개 시장으로 쓸어가기 전에, 사토시 시대의 비축분을 포함한 약 650만 BTC를 의도적으로 동결하자는 것입니다.

비트코인이 가장 신성하게 여기는 두 가지 가치인 불변성(immutability)과 생존 사이에서 선택을 강요하는 제안, BIP-361에 오신 것을 환영합니다.

740억 달러 규모의 방어적 움츠림

2026년 2월 11일, 비트코인 개선 제안(BIP) 저장소는 Casa의 CTO인 제임슨 롭(Jameson Lopp)과 5명의 다른 연구원이 작성한 초안에 조용히 번호를 할당했습니다. 4월까지 그 초안인 BIP-361은 2017년 세그윗(SegWit) 내전 이후 비트코인에서 가장 분열적인 기술 문서가 되었습니다.

이 제안은 10년 동안 공공연하게 숨겨져 온 전략적 위험을 다룹니다. 약 650만 비트코인이 충분히 강력한 양자 컴퓨터가 해킹할 수 있는 주소에 보관되어 있습니다. 여기에는 초기 P2PK(Pay-to-Public-Key) 출력값, 주소가 재사용된 P2PKH(Pay-to-Public-Key-Hash) 지갑, 그리고 공개 키가 이미 체인에 브로드캐스트된 모든 UTXO가 포함됩니다. 오늘날 가격으로 환산하면 최소 740억 달러의 노출이며, 일부 분석에 따르면 모든 휴면 공급량으로 확대할 경우 위험 노출 표면은 4,000억 ~ 5,000억 달러에 육박합니다.

이러한 취약한 코인 중에는 독특한 "파토시 패턴(Patoshi pattern)" 채굴 서명을 통해 식별된 22,000개 이상의 지갑에 분산된 사토시 나카모토의 소유로 추정되는 약 110만 BTC가 포함되어 있습니다. 이 코인들은 10년 넘게 이동하지 않았습니다. 스스로 이동할 수도 없습니다. 그리고 암호학적으로 유의미한 양자 컴퓨터(CRQC)가 가동되는 세상에서, 이 코인들은 오직 한 가지 방향으로만 움직일 수 있습니다. 바로 사토시의 지갑에서 다른 사람의 지갑으로 말입니다.

동결은 실제로 어떻게 작동하는가

BIP-361은 단일 스위치가 아닙니다. 합의 계층이 대신 선택하기 전에 모든 활성 비트코인 보유자에게 자발적으로 참여할 수 있는 시간을 제공하도록 설계된, 3단계로 구성된 5년 기간의 정교한 마이그레이션 계획입니다.

Phase A는 활성화 후 약 3년 뒤에 시작됩니다. 네트워크는 레거시 양자 취약 주소 유형으로 BTC를 보내는 새로운 트랜잭션의 수락을 거부합니다. 기존 보유자는 해당 주소에서 코인을 계속 꺼내 쓸 수 있습니다. 즉, 문은 밖으로만 열립니다. 핵심은 마감일 전에 지갑, 거래소 및 수탁 서비스 제공업체가 기본적으로 양자 저항 형식을 사용하도록 유도하는 것입니다.

Phase B는 2년 후에 시작됩니다. 이 시점에서 레거시 서명은 합의 수준에서 유효하지 않게 됩니다. 양자 안전 출력값으로 마이그레이션되지 않은 모든 UTXO는 정의상 사용할 수 없게 됩니다. 코인은 체인에 여전히 존재하지만, 네트워크가 인식하는 어떤 서명으로도 코인을 이동할 수 없습니다. 이들은 설계에 따라 영구적으로 동결됩니다.

Phase C는 도덕적 안전장치로, 아직 활발히 연구 중입니다. 동결된 UTXO의 소유자가 BIP-39 시드 구문과 연결된 영지식 증명(zero-knowledge proofs)을 통해 자금을 되찾을 수 있도록 합니다. 이때 기본 개인 키를 지켜보고 있는 양자 공격자에게 노출하지 않습니다. 구현될 경우, Phase C는 오랫동안 잊혔던 보유자가 자신을 보호하는 비밀을 양도하지 않고도 자신의 자산을 부활시킬 수 있음을 의미합니다. 구현되지 않는다면, 동결은 정말로 동결을 의미합니다.

이 제안은 단독으로 나온 것이 아닙니다. 2026년 초 BTQ Technologies를 통해 테스트넷에 도입된 BIP-360을 기반으로 합니다. BIP-360은 P2MR(Pay-to-Merkle-Root)이라는 새로운 출력 유형을 도입합니다. P2MR은 P2TR(Pay-to-Taproot)과 유사하게 작동하지만 키 경로 지불(key-path spend)을 제거하여 양자 컴퓨터가 악용할 수 있는 장기 노출 공격 표면을 없앱니다. 특히, BIP-360은 아직 ECDSA나 Schnorr를 ML-DSA와 같은 격자 기반 방식(lattice-based schemes)으로 대체하지는 않았으며, 그 과제는 아직 남아 있습니다. BIP-360은 단순히 지불 시점까지 공개 키를 해시 뒤에 숨깁니다. 그런 다음 BIP-361은 5년 후에도 여전히 노출된 곳에 머물러 있는 사람은 누구나 차단될 것이라고 선언합니다.

아담 백(Adam Back)의 반대 입장

이 제안은 공개되자마자 벽에 부딪혔습니다. 파리 블록체인 위크(Paris Blockchain Week)에서 25년 동안 양자 분야를 추적해 온 암호학자이자 Blockstream의 CEO인 아담 백(Adam Back)은 BIP-361이 잘못된 도구로 잘못된 문제를 해결하려 한다고 주장했습니다.

백의 입장은 세 가지 주장에 근거합니다. 첫째, 현재의 양자 컴퓨터는 "본질적으로 실험실 수준"에 머물러 있으며 그 발전은 "점진적"이었습니다. 둘째, 비트코인의 문화는 실제 위협이 나타났을 때 빠르게 동원될 수 있음을 반복적으로 입증해 왔습니다. 문제가 명확해지면 버그는 몇 시간 내에 식별되고 패치됩니다. 셋째, 보유자가 선택할 수 있는 선택적 양자 저항 업그레이드를 구축하는 것은 주권적 통제라는 비트코인의 약속을 지키는 반면, 강제 동결은 어떤 소프트 포크도 넘지 않았던 거버넌스 전례를 남기게 됩니다.

롭 측은 정반대의 선택을 하고 있습니다. 그들의 주장은 가격 차트가 폭락하고 양자 공격자가 활발하게 체인을 고갈시키는 압박 상황에서의 조율이야말로 합의가 무너지는 시점이라는 것입니다. 네트워크의 내구성에 대한 신뢰가 이미 훼손되고 있을 위기 상황에서 시도하는 것보다, 지금처럼 평화로운 시기에 마이그레이션을 예약하는 것이 더 낫다는 것입니다.

수사적 표현을 제외한 실제 쟁점은 이것입니다. 비트코인이 비상 상황에서 조율할 수 있는가, 아니면 평시에 미리 조율해야 하는가? 사토시의 중립성, 650만 BTC가 "정말로" 버려진 것인지, 동결이 몰수와 같은 것인지에 대한 모든 다른 논쟁은 바로 이 질문에서 파생됩니다.

위협이 더 이상 가설에 머물지 않게 된 이유

이 논쟁이 2026년에 단순한 지엽적 주제에서 번호가 매겨진 BIP로 발전하게 된 이유는 간단합니다. 바로 타임라인이 단축되었기 때문입니다.

2026년 3월, 구글의 양자 AI 팀은 500,000개 미만의 물리적 큐비트(약 1,200개의 논리적 큐비트에 해당)를 가진 양자 컴퓨터가 타원곡선 암호학을 해킹할 수 있다는 연구 결과를 발표했습니다. 이전의 추정치인 1,000만 개의 물리적 큐비트보다 훨씬 줄어든 수치입니다. 자사 제품 전반에 걸친 양자 내성 준비를 위한 구글 자체의 내부 목표 기한은 2029년입니다. BIP-361 내부에서 인용된 맥킨지(McKinsey) 및 학계의 로드맵은 CRQC(암호학적으로 유의미한 양자 컴퓨터)의 등장 시점을 2027년에서 2030년 사이로 보고 있습니다.

3년이라는 시간은 마이그레이션 물류가 결코 단순하지 않은 1조 3,000억 달러 규모의 네트워크에게 그리 넉넉한 완충 기간이 아닙니다. 한 학술 분석에 따르면, 모든 ECDSA 기반 UTXO를 양자 내성 대안으로 완전히 교체하려면 커뮤니티 전체가 협력한다는 가정하에 마이그레이션 트랜잭션 전용으로 약 1,828시간(76일 이상)의 누적 네트워크 처리량이 필요할 것으로 추정됩니다. 만약 양자 공격자가 네트워크와 동시에 경쟁하는 상황이라면 이 계산은 급격히 악화됩니다.

이 위협을 단순한 기술적 문제를 넘어 전략적 위협으로 만드는 것은 바로 비대칭성입니다. 전 세계보다 6개월 먼저 CRQC 능력을 확보한 국가 행위자는 현재 활발히 사용 중인 지갑을 공격할 필요가 없습니다. 해당 코인들은 정기적으로 이동하며 해시된 공개 키 뒤에 다시 고정되기 때문입니다. 공격자는 체인 상에 노출된 채 남아 있는 수백만 개의 P2PK 및 재사용된 주소의 공개 키로부터 체계적으로 개인 키를 도출하여 조용히 자금을 빼내기만 하면 됩니다. 누군가 이를 알아차릴 때쯤이면 이미 공급 충격은 발생한 뒤일 것입니다.

고착화(Ossification) 대 자기 방어의 분계선

비트코인 문화는 역사적으로 선택을 거부함으로써 어려운 트레이드오프를 해결해 왔습니다. 프로토콜이 가능한 한 적게, 그리고 최대한 느리게 변경되어야 한다는 원칙인 '고착화(Ossification)'는 결함이 아닌 기능으로 간주됩니다. 세그윗(SegWit, 2017)은 활성화 전까지 격렬한 논쟁을 불러일으켰고 BCH 체인 포크로 이어졌습니다. 탭루트(Taproot, 2021)는 순수하게 선택 사항(opt-in)이었고 기존 기능을 제거하지 않으면서 새로운 기능을 추가했기 때문에 순조롭게 활성화되었습니다. OP_CTV 커버넌트 또한 수년간의 논쟁 끝에 2025년에 마침내 활성화되었습니다.

BIP-361은 이전의 세 가지 사례와 구조적으로 다릅니다. 이것은 선택 사항이 아닙니다. 또한 기존의 권리를 보존하지도 않습니다. 이 제안은 특정 UTXO 유형의 보유자가 마감 기한 이후에는 자신의 코인을 사용할 능력을 상실하게 된다고 명시적으로 규정합니다. 가장 논란이 많았던 세그윗조차 기존의 능력을 제거하지는 않았습니다. 세그윗은 새로운 기능을 추가하고 기존 기능을 사용하는 것에 대한 경제적 계산을 변화시켰을 뿐입니다.

비판론자들은 이것이 채굴자 신호 전달(miner signaling)을 통해 충분히 대중적인 이유라면 무엇이든(OFAC 준수, 도난 자금 회수, 법원 명령 압류, 제재 집행 등) UTXO를 동결할 수 있다는 선례를 남긴다고 주장합니다. '미끄러운 경사면(Slippery slope)'에 대한 우려가 단순히 편집증적인 것은 아닙니다. 이는 네트워크가 특정 범주의 코인을 동결할 수 있음을 입증하고 나면, 남은 문제는 그 범주에 포함될 정당성이 무엇인가뿐이라는 구조적 관찰에서 기인합니다.

찬성론자들은 대안이 더 끔찍하다고 반박합니다. 아무것도 하지 않는다는 것은 공급 충격이 불가피하다는 것을 받아들이는 것이며, 사토시의 코인(그리고 수백만 개의 다른 코인)이 동결되는 대신 도난당할 것이며, 그 과정에서 발생하는 가격 발견의 혼란이 지난 10년 동안 유치해 온 기관 자본의 눈에 비트코인을 부적격하게 만들 만큼 파괴적일 것임을 의미합니다. 이러한 관점에서 동결은 더 적은 악(lesser evil)입니다.

현실적인 결과는 아마도 포크일 것입니다. 상당수의 소수 집단은 유효한 서명을 소급하여 무효로 만드는 합의 규칙을 받아들이기를 거부할 것입니다. 그들은 1단계(Phase A) 이전의 클라이언트를 실행할 것이고 체인은 분리될 것입니다. 그 분열이 비트코인 캐시처럼 사라져가는 시가총액이 작은 포크가 될지, 아니면 두 개의 거의 대등한 체인이 '비트코인'이라는 이름을 두고 경쟁하는 진정한 분열이 될지는 거래소, 수탁 기관, 그리고 기관용 ETF 복합체가 활성화를 어떻게 처리하느냐에 달려 있습니다.

스택의 나머지 부분에 미치는 인프라 영향

활성화 이전에도 BIP-361은 비트코인 인프라를 운영하는 모든 이들의 운영 상황을 변화시킵니다. 지갑 제공업체는 지금 바로 로드맵에 양자 내성 주소 생성을 추가해야 합니다. 마이그레이션 기간이 닥쳐서야 자신들의 키 도출 라이브러리가 P2MR 출력을 생성할 수 없다는 사실을 깨달아서는 안 되기 때문입니다. 거래소는 1단계(Phase A) 기간 동안 취약한 주소 유형으로의 입금을 어떻게 처리할지 결정해야 합니다. 콜드 스토리지를 관리하는 수탁 제공업체는 특히 심각한 문제에 직면합니다. 수년 동안 오프라인 상태(air-gapped)였던 개인 키를 마이그레이션 트랜잭션에 서명하기 위해 온라인으로 가져와야 하며, 이는 콜드 스토리지가 방지하고자 설계되었던 운영상의 위험에 노출시킵니다.

RPC 제공업체와 노드 운영자에게 다단계 활성화는 새로운 범주의 예외 상황을 만듭니다. 1단계 동안 멤풀(mempools)은 레거시 유형으로 전송되는 트랜잭션은 거부해야 하지만, 해당 유형으로부터 소비되는 트랜잭션은 여전히 중계해야 합니다. 2단계(Phase B) 동안 동일한 노드들은 단 하나의 오차도 없이 유효한 양자 내성 서명과 유효하지 않은 레거시 서명을 구분하는 합의 로직을 구현해야 합니다. 활성화 기간 동안 기관 고객에게 서비스를 제공하는 모든 인프라 제공업체는 첫날부터 해당 합의 경계의 올바른 쪽에 있어야 합니다.

라이트닝 네트워크는 또 다른 층위의 복잡성을 더합니다. 채널 상태 증명은 정산 시점에 유효성이 강제되어야 하는 서명에 의존하며, 이는 채널이 개설된 후 몇 년 뒤가 될 수도 있습니다. 오늘 개설되어 ECDSA 서명으로 보안이 유지되는 채널은 2031년에도 여전히 강제력이 있어야 합니다. 그렇지 않다면 이 제안에는 진행 중인 채널 약정에 대한 명시적인 예외 조항(grandfathering carve-out)이 필요합니다. 현재 BIP-361 초안은 이 문제를 상세히 다루지 않고 있습니다.

비트코인이 더 이상 미룰 수 없는 결정

BIP-361 이 이전의 모든 논란이 되었던 소프트 포크와 다른 점은 , 그 일정이 비트코인 개발자들에 의해 설정되는 것이 아니라는 점입니다 . 그것은 전 세계 양자 컴퓨팅 연구소들에 의해 결정됩니다 . 비트코인은 결정을 늦출 수 있을지 모르나 , 결정 자체가 늦춰지지는 않을 것입니다 .

커뮤니티는 구글 연구원들이 스스로에게 부여한 것과 거의 동일한 기간 , 즉 경로를 선택하는 데 약 3년의 시간을 가지고 있습니다 . 아담 백 ( Adam Back ) 의 선택적 업그레이드 경로는 홀더들의 능동적인 마이그레이션을 요구하며 , 여기에는 무시할 수 없는 비율의 홀더들이 마이그레이션하지 않을 것이며 , 양자 공격자가 결국 그들이 남긴 자산을 차지하게 될 것이라는 사실을 받아들이는 과정이 포함됩니다 . 롭 ( Lopp ) 의 강제 마이그레이션 경로는 스스로 행동할 수 없거나 행동하지 않으려는 홀더들을 대신해 네트워크가 선택을 내릴 것을 요구하며 , 이는 제네시스 블록 이후 유지되어 온 원칙을 위반한다는 사실을 감내해야 합니다 .

두 경로 중 그 어느 것도 비트코인이 표방하는 가치를 온전히 보존하지 못합니다 . 마감 기한이 실재하지 않는 척하는 세 번째 길은 그 어떤 것도 보존하지 못합니다 .

BIP-361 이 실제로 증명하는 것은 비트코인의 ' 아무것도 하지 않는 ' 기본값이 만료되었다는 사실입니다 . 프로토콜은 무행동 자체가 결과가 따르는 하나의 선택이 될 만큼의 규모 , 연령 , 그리고 전략적 중요성에 도달했습니다 . 네트워크가 분열 없이 이 사실을 수용할 수 있는지 여부가 향후 5년 동안 비트코인을 정의하는 질문이 될 것입니다 .

세그윗 ( SegWit ) 이후 가장 논란이 되었던 이 제안은 결과적으로 가장 명확한 해답을 주는 제안이 될 수 있습니다 .

BlockEden.xyz 는 비트코인 및 25개 이상의 기타 체인에서 운영 수준의 RPC 인프라를 운영하며 , 지갑 , 커스토디 시스템 및 기관용 애플리케이션을 구축하는 개발자들에게 서비스를 제공합니다 . 비트코인의 양자 마이그레이션 논쟁이 포럼에서 합의 규칙으로 이동함에 따라 , 레거시 및 포스트 양자 주소 유형을 중단 없이 모두 지원하는 인프라 제공업체만이 활성화 당일에 살아남게 될 것입니다 . 저희의 API 마켓플레이스를 탐색하여 장기적인 관점에서 설계된 인프라 위에서 개발을 시작해 보세요 .

출처

Share on Twitter