본문으로 건너뛰기

솔라나의 포스트 양자 역설: 40배 커진 서명과 90% 속도 저하가 가장 빠른 체인의 정체성을 위협할 때

· 약 13 분
Dora Noda
Dora Noda
Software Engineer

솔라나는 그 어떤 레이어 1보다 '속도'라는 가치를 강력하게 내세웁니다. 400밀리초의 슬롯 시간, 65,000 TPS라는 마케팅 벤치마크, 그리고 서명은 작고 검증 비용은 저렴하다는 단 하나의 가정을 바탕으로 설계된 병렬 실행 모델이 그것입니다. 2026년 4월, 이 가정은 양자 컴퓨터를 마주하게 되었습니다.

프로젝트 일레븐(Project Eleven)과 솔라나 재단이 첫 번째 엔드 투 엔드 양자 내성 서명 테스트를 마쳤을 때, 결과는 경고와 위기 사이 그 어딘가에 있었습니다. 포스트 양자 서명은 현재 솔라나가 사용하는 Ed25519 서명보다 20배에서 40배 더 크게 나타났습니다. 처리량(Throughput)은 약 90% 급감했습니다. 이더리움을 앞지르는 것으로 브랜드를 구축한 체인이, 테스트 환경에서는 지난 5년 동안 조롱해온 네트워크보다 더 느려 보였습니다.

이것은 일반적인 성능 저하가 아닙니다. 이것은 솔라나가 오래전에 내린 설계 결정에 대해 청구된 아키텍처 비용이며, 이제 전체 생태계는 그 비용을 지불해야 할 때 어떤 종류의 체인이 되고 싶은지 결정해야 합니다.

청구서: 양자 내성 서명이 솔라나에 치명적인 이유

모든 레이어 1은 타원 곡선 암호화(Elliptic Curve Cryptography)를 사용하여 트랜잭션에 서명합니다. 비트코인과 이더리움은 ECDSA를 사용하며, 솔라나는 Ed25519를 사용합니다. 둘 다 빠르고 64바이트 정도의 조밀한 서명을 생성하며, 타원 곡선 이산 대수 문제(Elliptic Curve Discrete Logarithm Problem)라는 동일한 수학적 난제에 기반합니다. 충분히 큰 양자 컴퓨터에서 실행되는 쇼어 알고리즘(Shor's algorithm)은 이 문제를 다항 시간 안에 해결합니다. 그 기계가 등장하면 ECDSA나 Ed25519로 보호되는 모든 계정은 몇 분 안에 열릴 수 있게 됩니다.

NIST가 표준화한 포스트 양자 대안들 — 딜리튬(Dilithium) 및 팔콘(Falcon)과 같은 격자 기반 방식, SLH-DSA와 같은 해시 기반 방식 — 은 쇼어 알고리즘에 대해 수학적으로 견고합니다. 하지만 대역폭 측면에서는 결코 우호적이지 않습니다. 딜리튬 서명은 2.4 KB에 달할 수 있고, SLH-DSA는 매개변수 선택에 따라 7-49 KB까지 늘어날 수 있습니다. NIST 표준 격자 방식 중 가장 컴팩트한 팔콘조차도 약 666바이트의 서명을 생성하는데, 이는 Ed25519 크기의 약 10배이며 이것이 그나마 '좋은' 선택지입니다.

비트코인에게 이러한 비대함은 번거로운 수준이지만, 솔라나에게는 존재론적 문제입니다. 솔라나의 처리량 모델은 400밀리초 슬롯에 가능한 한 많은 트랜잭션을 채워 넣는 것에 의존하며, 리더는 페이로드가 작다는 가정하에 설계된 터빈(Turbine) 트리를 통해 슈레드(Shreds)를 전파합니다. 트랜잭션당 서명 크기를 20-40배 부풀리면 대역폭, 멤풀 전파(또는 그에 상응하는 걸프 스트림), 검증인 검증, 원장 저장소 등 다운스트림의 전체 파이프라인이 동일한 배수의 비용을 지불하게 됩니다. 테스트에서 나타난 90%의 처리량 감소는 소프트웨어 버그가 아닙니다. 이미 용량이 정해진 파이프에 40배 더 많은 바이트를 밀어 넣었을 때 발생하는 현상입니다.

비대칭적 취약성: 솔라나가 비트코인보다 시간이 부족한 이유

대부분의 블록체인 양자 분석은 모든 체인을 하나로 묶어서 생각합니다. 하지만 그렇게 해서는 안 됩니다. 솔라나는 비트코인에는 없는 구조적 문제를 가지고 있습니다.

비트코인에서 지갑 주소는 공개 키의 해시입니다. 주소에서 자산을 지출하지 않는 한, 공개 키는 SHA-256 벽 뒤에 숨겨져 있으며 양자 공격자는 공격할 대상이 없습니다. 오직 지출하는 순간에만 공개 키가 온체인에 노출됩니다. 트랜잭션을 브로드캐스트하고 마이닝되기까지의 몇 초 또는 몇 분이라는 시간만이 취약점 노출 영역(Vulnerability Surface)이며, 이는 매우 좁습니다.

솔라나는 다르게 작동합니다. 솔라나 계정 주소는 공개 키입니다. 해시는 존재하지 않습니다. Ed25519 공개 키가 곧 주소이며, 계정에 자금이 입금되는 순간부터 온체인에 노출됩니다. 암호학적으로 유의미한 양자 컴퓨터가 솔라나를 공격할 때는 사용자가 거래하기를 기다릴 필요가 없습니다. 자금이 있는 모든 계정을 언제든, 병렬로, 무기한 공격할 수 있습니다.

프로젝트 일레븐의 분석에 따르면, 사용자가 이미 키를 노출한 비트코인과 이더리움 주소의 일부만이 노출된 것과 달리, 양자 시나리오에서 솔라나 네트워크의 100%가 취약합니다. 이것은 작은 차이가 아닙니다. 마이그레이션의 시급성을 수만 배로 증폭시킵니다. 비트코인은 "코인을 옮기지 않으면 안전하다"라고 말할 수 있지만, 솔라나는 그럴 수 없습니다.

위협은 얼마나 현실적인가? 2026년 4월 Q-Day 상금

이 모든 것에 대한 일반적인 반론은 실제 암호를 깰 수 있는 양자 컴퓨터가 아직 10-15년은 남았는데 왜 지금 패닉에 빠지느냐는 것입니다. 하지만 2026년 4월의 두 가지 뉴스는 이러한 반론을 유지하기 어렵게 만들었습니다.

첫째, 한 독립 연구자가 공개적으로 접근 가능한 양자 하드웨어를 사용하여 15비트 타원 곡선 키를 해독함으로써 프로젝트 일레븐의 1비트코인 Q-Day 상금을 차지했습니다. 이는 현재까지 타원 곡선 암호화에 대한 최대 규모의 공공 양자 공격입니다. 15비트는 256비트가 아니며 그 격차는 엄청납니다. 하지만 시간 단위로 임대되는 하드웨어에서 이론적 단계를 넘어 실행 가능한 단계로 넘어섰다는 점이 중요합니다.

둘째, 이더리움 재단의 연구원 저스틴 드레이크(Justin Drake)와 스탠퍼드의 댄 본(Dan Boneh)이 공동 저술한 구글 퀀텀 AI(Google Quantum AI) 논문은 실제 암호화 키를 해독하는 데 필요한 큐비트 추정치를 대폭 낮췄습니다. 기존 합의는 약 2,000만 개의 물리적 큐비트였으나, 새로운 분석에 따르면 500,000개 미만의 물리적 큐비트면 충분하며, 한 설계에서는 약 26,000개의 큐비트 시스템이 "며칠 안에" 비트코인 암호를 깰 수 있다고 제안했습니다. 별도의 구글 주도 논문은 양자 컴퓨터가 노출된 공개 키로부터 개인 키를 유도해내는 시간을 약 9분으로 모델링했습니다.

이것들은 여전히 미래의 시스템입니다. IBM의 현재 최대 칩인 컨도르(Condor)는 1,121 큐비트입니다. 노이즈가 있는 1,121 큐비트에서 26,000개의 결함 허용(Fault-tolerant) 큐비트로 가는 길은 실제 엔지니어링 작업이 필요하며 하루아침에 이루어지지 않습니다. 하지만 타임라인은 압축되었고, 이를 압축하는 사람들은 바로 그 기계를 만드는 연구원들입니다. "지금 저장하고 나중에 해독(Store-now-decrypt-later)"하는 리스크, 즉 하드웨어가 성숙했을 때 공격하기 위해 오늘 온체인 공개 키를 수집하는 것은 암호화폐 수탁을 관리하는 기관들에게 더 이상 가설이 아닙니다.

Falcon: 두 솔라나 클라이언트가 독립적으로 선택한 절충안

양자 보안 마이그레이션이 불가피하고 Dilithium 급의 서명 크기 팽창을 감당할 수 없다면, 솔라나는 한 가지 현실적인 답을 갖게 됩니다. 바로 NIST가 승인한 가장 작은 포스트 양자(post-quantum) 체계를 선택하고 이를 중심으로 엔지니어링하는 것입니다. 그 답이 바로 Falcon입니다.

2026년 4월 27일 솔라나 재단(Solana Foundation) 로드맵에서 흥미로운 점은 선택 그 자체가 아니라, Anza와 Jump의 Firedancer가 독립적으로 Falcon이라는 결론에 도달했다는 것입니다. 두 플래그십 솔라나 클라이언트는 이 결정을 조율하지 않았습니다. 그들은 서명 크기, 검증 비용, 암호화 라이브러리의 성숙도, 하드웨어 가속 가능성 등 동일한 트레이드오프 공간을 평가했고 결국 하나로 수렴했습니다. 이러한 수렴은 두 팀이 많은 부분에서 의견을 달리하는 파편화된 클라이언트 생태계에서 강력한 신호가 됩니다.

Falcon은 NTRU를 기반으로 구축된 격자 기반(lattice-based) 체계입니다. NIST는 이를 FIPS 206(FN-DSA라는 이름으로)의 일부로 표준화했습니다. 666 바이트의 서명 크기는 Ed25519보다 약 10배 더 크며, 이는 뼈아픈 부분이지만 Dilithium의 2.4 KB나 SLH-DSA의 수 킬로바이트 프로필과는 차원이 다른 크기입니다. 검증 속도는 빠릅니다. Firedancer는 최적화된 Falcon 구현이 파이프라인 내에서 현재의 타원 곡선(elliptic-curve) 대안들보다 2~3배 더 빠르게 실행될 수 있다고 보고했습니다. 이는 초기 90% 처리량 급감이 최종 목적지가 아니라 최악의 시나리오였을 수도 있음을 시사합니다.

Falcon에는 분명한 비용이 따릅니다. 서명 생성은 검증보다 더 많은 비용이 듭니다. 독립적인 벤치마크에 따르면 일부 포스트 양자 체계는 서명 생성 시 Ed25519보다 약 5배 더 많은 비용이 소요됩니다. Falcon의 서명에는 일정 시간(constant time) 내에 구현하기로 악명 높은 가우시안 샘플링(Gaussian sampling)이 포함되어 있으며, 이는 역사적으로 사이드 채널 리스크가 되어 왔습니다. Falcon을 둘러싼 암호화 라이브러리 생태계는 ECC에 비해 아직 젊습니다. 이 중 어느 것도 결정적인 장애물은 아니지만, 모두 해결해야 할 과제입니다.

솔라나가 피할 수 없는 마이그레이션 문제

솔라나 재단이 발표한 로드맵은 단계적이며 날짜에 대해서는 의도적으로 모호합니다. 위협을 계속 연구하고, Falcon과 대안들을 평가하며, 필요할 때 새로운 지갑에 포스트 양자 서명을 도입한 다음, 기존 지갑을 마이그레이션한다는 계획입니다. 각 단계에는 재단이 아직 공개적으로 논의할 준비가 되지 않은 문제들이 포함되어 있습니다.

새로운 지갑은 쉬운 부분입니다. 솔라나는 새로운 계정 유형을 도입하고, 이를 기능 플래그(feature flag) 뒤에 배치한 뒤 사용자가 선택하도록 할 수 있습니다. 프로토콜은 전환 기간 동안 Ed25519와 Falcon 서명을 모두 수용할 수 있습니다.

기존 지갑을 마이그레이션하는 지점에서 체인들은 난관에 봉착합니다. 솔라나에는 수천만 개의 자금이 예치된 계정이 있습니다. 각 계정은 미래의 양자 컴퓨터를 가진 공격자가 목표로 삼을 수 있는 공개 키입니다. 마이그레이션을 위해서는 모든 사용자가 기존 키의 소유권을 증명하고 계정을 새로운 포스트 양자 키에 연결하는 트랜잭션을 생성해야 합니다. 시드 구문을 분실했거나 지갑을 방치했거나 사망한 사용자는 마이그레이션할 수 없습니다. 그러면 프로토콜은 2026년 3월 BIP-360의 "동결 대 도난(frozen vs. stolen)" 논쟁에서 명확히 드러난 비트코인과 동일한 딜레마에 직면하게 됩니다. 즉, 마이그레이션되지 않은 계정을 동결할 것인지(논란의 소지가 있음), 아니면 최초의 암호학적으로 유의미한 장치를 만든 누구라도 가질 수 있는 양자 무료 급식(quantum free lunch)으로 남겨둘 것인지(이 또한 논란의 소지가 있음) 사이의 선택입니다.

경제적 파급력은 엄청납니다. SOL의 유통 공급량은 약 5억 4천만 토큰입니다. 상당한 비율이 몇 년 동안 건드리지 않은 주소에 보관되어 있습니다. 마켓플레이스, DAO, 재단 금고, 휴면 고래 지갑 등 모든 곳은 결국 존재할 수도 존재하지 않을 수도 있는 키 보유자의 온체인 조치가 필요합니다. 마이그레이션은 기술적인 기능이 아닙니다. 이는 명확한 마감일도, 명확한 권한도, 기한을 놓친 계정에 대한 명확한 구제 수단도 없는 수년간의 조율 문제입니다.

솔라나의 접근 방식과 비트코인 및 이더리움의 비교

세 주요 체인은 매우 다른 출발점에서 양자 저항성으로 수렴하고 있습니다.

비트코인 (BIP-360 / P2QRH): P2QRH(Pay-to-Quantum-Resistant-Hash)는 Falcon과 Dilithium 서명을 사용하는 새로운 주소 유형을 생성합니다. 이는 P2TR과 구조적으로 유사하지만 양자 취약점이 있는 키 경로(keypath)가 없습니다. BTQ Technologies는 2026년 3월에 Bitcoin Quantum Testnet v0.3.0에 BIP-360을 배포했습니다. 비트코인의 과제는 보수주의입니다. 새로운 주소 유형을 추가하는 소프트 포크를 활성화하기 위해 합의를 이끌어내는 과정은 느리며, 마이그레이션 논쟁(사토시 시대 코인에 대한 동결 대 도난)은 정치적으로 민감한 문제입니다. 하지만 비트코인의 해싱된 공개 키(hashed-public-key) 구조는 솔라나가 갖지 못한 시간을 벌어줍니다.

이더리움 (EIP-7701 + EIP-8141): 프로토콜 전반의 암호화 전환보다는 네이티브 계정 추상화(account abstraction)를 활용하고 있습니다. EIP-7701은 스마트 계정 검증 로직을 가능하게 하며, EIP-8141은 계정이 추상화 계층을 통해 양자 보안 인증 체계로 교체될 수 있도록 합니다. 장점은 이더리움이 특정 시점에 전체를 바꾸는 '플래그 데이(flag day)' 없이 더 원활한 마이그레이션 경로를 갖는다는 점이지만, 보안이 통일된 프로토콜 보증이 아닌 스마트 계정 구현에 의존하게 된다는 트레이드오프가 있습니다. 이더리움은 하드 포크 없이 계정별로 점진적인 마이그레이션이 가능합니다.

솔라나 (Falcon + 단계적 출시): 두 방식의 중간에 위치합니다. 프로토콜은 기본적으로 새로운 서명 체계를 지원해야 하지만(이더리움의 추상화 방식보다 더 침습적임), 계정별 마이그레이션은 비트코인의 주소 유형 전환보다는 이더리움의 점진적 모델과 더 비슷해 보입니다. 성능 제약은 다른 어떤 주요 체인도 이 정도로 강하게 겪지 않는 솔라나만의 독특한 압박 요인입니다.

주목할 만한 네 번째 접근 방식은 Circle의 Arc와 같은 양자 네이티브 L1들입니다. 이들은 처음부터 포스트 양자 서명을 설계하여 개조 과정을 완전히 건너뜁니다. 대역폭 비용을 미리 지불하고 마이그레이션 과정을 거치지 않습니다. 솔라나의 Falcon 마이그레이션이 2027~2028년까지 지연되는 동안 양자 저항성이 내장된 Arc 급의 체인들이 출시된다면, 현재 솔라나를 "충분히 빠르다"고 여기는 기관들의 파이프라인이 새로운 안식처를 찾을 수도 있습니다.

빌더 및 인프라에 미치는 영향

애플리케이션 개발자에게 있어 즉각적인 실질적 영향은 크지 않습니다. Falcon 마이그레이션은 표준 Solana 프로토콜 업그레이드를 통해 적용될 것이며, 라이브러리가 이러한 변화를 추상화할 것이기에 대부분의 dApp은 사용자가 어떤 서명 방식을 사용하는지 알 필요가 없을 것입니다. 더 큰 2차적 영향은 개발자들이 트랜잭션 처리량 (throughput), 수수료 예측 가능성, 그리고 계정 상태 크기에 대해 가졌던 가정들에 미칠 것입니다.

만약 Falcon의 최적화된 경로가 Firedancer가 보고한 2 ~ 3배의 개선을 유지한다면, Solana는 90 % 가 아닌 30 ~ 60 % 의 처리량 저하만으로 마이그레이션을 완료할 수 있습니다. 이는 Solana의 현재 트랜잭션당 최소 비용을 기준으로 구축된 고빈도 활용 사례 — 퍼페추얼 DEX (perpetual DEX), 온체인 오더북, AI 에이전트 실행 루프 — 에게는 여전히 유의미한 수치입니다.

인프라 제공자들에게 이 이야기는 더욱 선명해집니다. 인덱서, RPC 제공자, 아카이브 노드 운영자는 더 커진 서명 크기에 따라 확장되는 원장 (ledger) 증가에 대비해 예산을 책정해야 합니다. 계정 업데이트를 스트리밍하는 WebSocket 구독은 이벤트당 더 많은 바이트를 전송하게 될 것입니다. Solana 밸리데이터 하드웨어를 운영하는 누구라도 Turbine 전파를 위한 대역폭 가정을 재검토해야 할 것입니다.

장기 인프라를 구축할 체인을 평가하는 기관들에게 이제 질문은 더 어려워졌습니다. Solana의 속도는 양자 마이그레이션이 직접적으로 공격하는 경쟁적 해자입니다. 이에 대한 헤지 (hedge) 방법은 마이그레이션 경로가 가장 짧고 아키텍처 비용이 가장 작은 체인을 선택하는 것입니다. 이는 실제 양자 하드웨어가 등장하고 이론이 실제가 되기 전까지, Falcon 기반 체인이 Dilithium 기반 체인보다 더 나아 보이고, 계정 추상화 (account-abstraction) 기반 마이그레이션이 프로토콜 전체 전환보다 더 나아 보이며, 양자 네이티브 L1이 사후 수정된 체인보다 더 나아 보일 것임을 의미합니다.

정체성에 관한 질문

암호학 이면에는 더 조용한 질문이 숨어 있습니다. 마이그레이션 이후, Solana의 목적은 무엇인가?

이 체인의 시장 지위는 다른 체인이 따라올 수 없는 절대적인 속도 하한선 위에 구축되었습니다. 그 하한선이 30 % 만 낮아져도 Solana는 여전히 빠르지만, 출시 이후 그 어느 때보다 Aptos, Sui, Sei 및 기타 고성능 L1 그룹에 더 가까워지게 됩니다. 차별화 요소가 좁아지는 것입니다. "Solana는 독보적으로 빠르다" 라는 홍보 문구는 "Solana는 여러 빠른 체인 중 하나이다" 로 바뀌게 됩니다.

이것이 반드시 나쁜 것만은 아닙니다. 양자 내성을 갖추고 트랜잭션 수 기준으로 가장 활발한 체인으로 남으면서 30 % 느려진 Solana는 쇠퇴한 것이 아니라 성숙한 체인이라 할 수 있습니다. 하지만 팀은 지난 5년 동안 모든 아키텍처 선택을 처리량을 위한 서비스로 프레임화해 왔으며, 포스트 양자 시대는 이러한 프레임의 재설정을 강요합니다. 속도는 더 이상 아키텍처가 최적화하는 유일한 요소가 아닙니다. 미래의 하드웨어에 대한 보안은 이제 그와 동등한 제약 조건이 되었습니다.

Anza와 Firedancer가 Falcon으로 수렴했다는 사실은 개발자 생태계가 이를 수용했음을 시사합니다. 향후 2년은 사용자 층, 기관 구매자, 그리고 투기적 서사 (narrative) 역시 동일하게 반응할지 밝혀줄 것입니다.

BlockEden.xyz는 Solana 및 27개 이상의 다른 체인을 위한 엔터프라이즈급 RPC 및 인덱서 인프라를 제공합니다. 포스트 양자 마이그레이션이 개발자들이 구축해 온 성능 가정을 재편함에 따라, 당사의 인프라 서비스를 탐색하여 미래를 위해 설계된 기반 위에서 개발해 보십시오.

출처

Share on Twitter