본문으로 건너뛰기

솔라나의 3년 양자 쐐기: 야코벤코가 이더리움 L2 사용자들에게 모든 희망을 버리라고 말한 이유

· 약 12 분
Dora Noda
Dora Noda
Software Engineer

2026년 5월 2일, 아나톨리 야코벤코(Anatoly Yakovenko)는 대부분의 블록체인 공동 창립자들이 피하는 행동을 했습니다. 바로 특정 사용자 그룹에게 그들의 네트워크는 회생 불가능하다고 말한 것입니다. 솔라나 랩스(Solana Labs)의 공동 창립자인 그는 "모든 희망을 버리라"고 썼으며, 이것이 이더리움 레이어 2에서 자산을 보유하며 양자 컴퓨터를 걱정하는 모든 이들에게 줄 수 있는 유일하고 정직한 조언이라고 덧붙였습니다. 이 트윗은 솔라나 검증인 스테이크의 대부분을 보호하는 두 클라이언트인 안자(Anza)와 파이어댄서(Firedancer)가 격자 기반(lattice-based) 스키마이자 NIST가 포스트 양자 표준으로 선정한 Falcon-512 서명을 검증하는 운영 환경용 테스트 빌드를 발표한 것과 같은 시간에 게시되었습니다.

이러한 동시성은 우연이 아니었습니다. 이는 2017년 비탈릭의 플라즈마(Plasma) 발표 이후 가장 강력한 크로스체인 마케팅 공세였으며, 양자 준비성(quantum readiness)을 2030년대의 엔지니어링 체크리스트에서 2026년의 경쟁 우위 요소로 재정의했습니다. 이더리움의 "스트로맵(Strawmap)"이 6개월 주기로 7번의 하드 포크를 계획하여 2029년경에 포스트 양자 인프라를 완성하려는 반면, 솔라나는 이제 두 개의 독립적인 클라이언트 구현체에서 작동하는 Falcon-512 검증 기능을 갖추게 되었습니다. 이 격차는 약 3년이며, 3년은 기관의 내러티브를 확보하기에 충분한 시간입니다.

5월 2일에 실제로 출시된 것

같은 날 두 가지가 현실화되었으며, 이들의 결합은 각 요소의 개별적인 가치보다 더 큰 의미를 갖습니다.

첫째, 솔라나의 두 주요 검증인 클라이언트 팀인 안자와 파이어댄서는 독립적으로 Falcon-512를 적합한 포스트 양자 서명 스키마로 낙점하고 각자의 GitHub 리포지토리에 초기 검증 제품군을 출시했습니다. 안자의 커밋 기록을 보면 적어도 2026년 1월 27일부터 Falcon 관련 작업이 진행 중이었음을 알 수 있습니다. 이는 뉴스 주기에 맞춘 성급한 대응이 아니라, 두 팀이 병렬로 진행하다가 하나로 수렴시킨 수개월간의 엔지니어링 노력의 결과임을 의미합니다.

둘째, 솔라나 개선 문서인 SIMD-0416은 네이티브 양자 내성 지갑과 스마트 컨트랙트 서명 검증을 위한 마이그레이션 경로를 정의하며, 클라이언트 작업과 함께 공개 논의 단계로 넘어갔습니다. 이들은 함께 "바이너리에 Falcon-512 검증 기능 존재"에서 "솔라나 메인넷 계정이 네이티브하게 Falcon-512를 사용 가능"으로 가는 업그레이드 경로를 형성합니다. 솔라나 재단은 이 마이그레이션이 활성화되어도 네트워크 성능에 큰 영향을 미치지 않을 것이라고 밝혔습니다. 이는 처리량(throughput)에 사활을 거는 솔라나의 제안에서 매우 중요한 주장입니다.

Falcon-512는 고처리량 L1에 적합한 선택입니다. NIST의 표준화된 포스트 양자 서명 알고리즘 중에서 Falcon은 가장 작은 서명 크기를 생성하는데, 이는 초당 수천 건의 트랜잭션을 목표로 하는 체인에 꼭 필요한 요소입니다. 더 흔한 대안인 CRYSTALS-Dilithium은 서명 크기가 더 커서 솔라나의 검증인 가십(gossip) 및 RPC 계층 전반에 걸쳐 대역폭 비용을 부풀렸을 것입니다.

아무도 논의하고 싶어 하지 않는 L2 상속 문제

야코벤코의 "모든 희망을 버리라"는 표현은 암호학적 호출 그래프를 추적해 보기 전까지는 수사적인 표현처럼 들립니다. 아비트럼(Arbitrum), 옵티미즘(Optimism), 베이스(Base), zkSync, 리네아(Linea) 등 모든 이더리움 레이어 2는 이더리움 L1에서 결제(settlement)를 진행합니다. 모든 L1 결제 트랜잭션은 비트코인과 동일한 기본 체계인 secp256k1 곡선 기반의 ECDSA를 사용하여 서명됩니다. 브리지 수탁 컨트랙트, 사기 증명(fraud-proof) 서명, 유효성 증명(validity-proof) 게시자, 시퀀서 배치 제출자 등 모든 것이 궁극적으로 L1 경계에서 secp256k1 ECDSA에 의존합니다.

이는 기본 L1이 공격 표면(attack surface)이 될 때 L2 자체의 암호화는 무의미해진다는 것을 의미합니다. 이더리움 위에 아무리 정교한 ZK-롤업을 구축하고 내부 암호화에 어떤 서명 스키마를 사용하더라도, 양자 공격자가 L1 결제 레이어를 공략하면 결국 패배하게 됩니다. L2의 출금 및 결제 보장은 L1으로부터 상속되며, 상속은 오직 한 방향으로만 흐릅니다.

야코벤코의 주장은 기술적으로 새로운 것은 아니었습니다. 이더리움 연구자들은 수년 동안 이러한 의존성을 이해하고 있었습니다. 새로웠던 점은 경쟁 L1이 작동하는 포스트 양자 검증 기능을 시연한 당일에 이를 공개적으로 무기화하려는 의지였습니다.

스트로맵, 글램스테르담, 그리고 2029년 결승선

이더리움에게는 계획이 있습니다. 2026년 2월에 발표된 재단의 "스트로맵(Strawmap)"은 2026년부터 2029년까지 6개월 간격으로 약 7번의 하드 포크를 진행하여, 10년이 지나기 전에 포스트 양자 인프라를 완성한다는 명확한 목표를 제시하고 있습니다. 2026년 상반기로 예정된 글램스테르담(Glamsterdam)이 그 시작입니다. 2026년 하반기에는 헤고타(Hegotá)가 뒤를 잇습니다. 현재 헤고타로 예정된 EIP-8141은 개별 계정이 자신만의 서명 검증 스키마를 선택할 수 있게 하여, 사용자가 네트워크 전체의 마이그레이션을 기다리지 않고도 양자 내성 서명으로 전환할 수 있도록 합니다.

이는 일관성 있는 전략이지만, 느립니다.

마이그레이션이 이더리움에게 구조적으로 더 어려운 이유는 엔지니어링 품질과는 무관하며, 관리해야 할 영역(surface area)의 차이 때문입니다. 이더리움은 L1 프로토콜 변경, 검증인 인프라(BLS 서명, KZG 커밋), 계정 추상화 도구(EIP-7702 등), 그리고 각자 자체 시퀀서, 배처, 브리지 컨트랙트를 가진 수십 개의 L2 롤업을 조율해야 합니다. 스트로맵의 7번의 하드 포크는 이러한 확산 구조를 반영합니다. 반면 솔라나는 안자, 파이어댄서, 그리고 SIMD 프로세스만 있으면 됩니다. 훨씬 작은 정치적 영역을 통해 배포할 수 있는 것입니다.

2026년 3월 말, 구글 퀀텀 AI(Google Quantum AI)는 256비트 타원 곡선 암호를 해독하는 비용을 약 20배 낮춘 논문을 발표했습니다. 이는 약 1,200개의 논리 큐비트(logical qubits)로 가능하며, 50만 개 미만의 물리 큐비트가 필요한 하드웨어에서 달성할 수 있는 수준입니다. 이 논문 한 편으로 긴급성 계산 방식이 바뀌었습니다. 연방준비제도(Federal Reserve)의 2025년 9월 실무 보고서는 이미 "지금 수집하고 나중에 해독하라(harvest now, decrypt later)"를 실제 위협 모델로 지목한 바 있습니다. 공격자가 오늘 공개 체인을 긁어모은 뒤 기다린다는 것입니다.

선 수집 후 복호화 (Harvest Now, Decrypt Later): 이미 시작된 카운트다운

'선 수집 후 복호화 (Harvest Now, Decrypt Later)' 위협은 이 논쟁을 단순히 학술적인 논의가 아닌 시급한 과제로 만듭니다. ECDSA 공개 키는 트랜잭션이 브로드캐스트될 때마다 노출됩니다. 블록체인 데이터는 설계상 절대 삭제되지 않기 때문에, 한 번 노출된 키는 미래의 양자 공격자가 영구적으로 추출할 수 있는 상태가 됩니다. 공격자가 능동적으로 가로채서 저장해야 하는 암호화된 TLS 세션과 달리, 이더리움 전체 공개 원장은 누구나 자유롭게 다운로드하고 아카이브하며 복제할 수 있습니다.

이는 다소 불편한 시사점을 던집니다. 아비트럼 (Arbitrum)과 옵티미즘 (Optimism)의 2021년 메인넷 출시 이후 발생한 모든 이더리움 L2 트랜잭션은 이미 '수집 세트'에 포함되어 있습니다. 주소를 재사용하는 모든 비트코인 트랜잭션도 마찬가지입니다. 소급 적용 가능한 유일한 완화책은 공개 키가 한 번도 브로드캐스트되지 않은 주소로 자금을 옮기는 것인데, 이는 대부분의 사용자가 할 수 없거나 하지 않을 일입니다. 향후의 위험을 완화하려면 자금을 보유한 체인에 작동 가능한 양자 내성 서명 체계 (Post-Quantum Signature Scheme)를 도입해야 합니다.

이것이 야코벤코 (Yakovenko)의 트윗을 해석하는 관점입니다. 이는 "솔라나가 이더리움보다 먼저 양자 내성을 갖출 것"이라는 미래에 대한 진술이 아닙니다. 오히려 "이더리움에서 이미 유출된 공개 키들은 누군가의 수집 더미에 쌓여 있으며, 당신이 신뢰하는 L2는 이를 해결할 독자적인 권한이 없다"는 현재에 대한 진술입니다.

옵티미즘의 대응: 10년에 걸친 슈퍼체인 마이그레이션

옵티미즘은 이러한 압박을 예견했습니다. 2026년 1월, OP Labs는 거버넌스 승인을 전제로 2036년 1월까지 ECDSA 기반 외부 소유 계정 (EOA)을 완전히 폐지하는 것을 목표로 하는 슈퍼체인 (Superchain) 양자 내성 로드맵을 발표했습니다. 이 계획은 EIP-7702를 활용하여 사용자가 잔액이나 주소를 포기하지 않고도 EOA를 양자 내성 스마트 컨트랙트 계정으로 마이그레이션할 수 있도록 하며, 후보 서명 검증 알고리즘 중 하나로 CRYSTALS-Dilithium을 언급하고 있습니다.

이는 진지한 로드맵이지만, 어디까지나 로드맵일 뿐 아직 배포된 코드는 아닙니다. 옵티미즘은 특정 양자 내성 서명 체계가 아직 결정되지 않았으며, 격자 기반 (Lattice-based) NIST 표준화가 장기적으로 최선의 선택이 아닐 수 있음을 명시적으로 언급했습니다. 또한, 그들은 이더리움 재단 (EF)이 검증자들을 병렬적인 BLS-to-PQ 타임라인에 참여시키도록 설득하고 있습니다. L1과의 정렬 없이는 L2 수준의 작업에는 한계가 있기 때문입니다.

안자 (Anza)와 파이어댄서 (Firedancer)의 "프로덕션 수준의 테스트 빌드에서 실행되는 검증 스위트"와 비교할 때, 옵티미즘의 1월 발표는 다른 인식론적 범주에 속하는 결과물입니다. 둘 다 필요하지만, 2026년에 실제로 배포 가능한 것은 하나뿐입니다.

비트코인 상황: BIP-360, BIP-361 그리고 소프트 포크 정치학

비트코인의 양자 마이그레이션은 다른 거버넌스 메커니즘을 통해 진행됩니다. 헌터 비스트 (Hunter Beast)의 BIP-360 (양자 내성 해시로 지불)과 BIP-361 (휴면 자금을 양자 취약 스크립트에서 강제로 마이그레이션하는 '양자 코인 동결' 메커니즘)은 모두 커뮤니티에서 활발히 검토 중입니다. 하지만 그 어느 것도 활성화되지 않았습니다. 비트코인의 경로는 설계상 느릴 수밖에 없는, 채굴자와 노드의 광범위한 합의가 필요한 소프트 포크를 거쳐야 합니다.

솔라나의 마이그레이션은 안자와 파이어댄서 클라이언트 릴리스 및 SIMD 프로세스를 통해 진행됩니다. 이는 더 빠르지만 거버넌스가 더 좁은 원 안으로 집중됨을 의미합니다. 이것이 장점인지 단점인지는 탈중앙화 트레이드오프 중 어느 쪽에 우선순위를 두느냐에 따라 달라집니다. 2027년 조달 문서에 방어 가능한 "양자 내성 L1"이라는 문구를 넣고 싶은 기관 구매자에게 답은 명확합니다. 빠른 쪽이 이깁니다.

아무도 가격에 반영하지 않은 인프라 비용

양자 내성 서명 체계는 ECDSA보다 큽니다. Falcon-512 서명은 인코딩에 따라 secp256k1 서명보다 바이트 크기가 약 5~10배 더 큽니다. Dilithium 서명은 그보다 더 큽니다. 이는 처리량이 높은 체인의 전체 RPC 및 대역폭 스택 전체에 누적될 때 결코 사소한 비용이 아닙니다.

구체적으로, 투표를 전파하는 솔라나 검증자, 트랜잭션 제출 시 서명 검증을 제공하는 RPC 제공자, 트랜잭션 내역을 재구성하는 인덱서 등 모든 레이어가 대역폭 비용을 지불하게 됩니다. 요청당 또는 대역폭당 요금이 책정되는 RPC 계층의 경우, 서명 크기가 커짐에 따라 트랜잭션당 비용이 단계적으로 상승합니다. 이는 양자 내성 서명이 예외가 아닌 표준이 됨에 따라 처리량이 많은 체인들이 계획해야 할 '가격 재산정 (Re-pricing)' 이벤트입니다.

빌더들에게 실질적인 시사점은 지금부터 측정하기 시작하는 것입니다. 솔라나에서 초당 수천 개의 트랜잭션을 브로드캐스트하는 애플리케이션을 운영 중이라면, Ed25519 (현재 기본값, 64바이트 서명)에서 Falcon-512 (압축에 따라 약 666바이트 서명)로의 이동은 지금 바로 계산해 볼 수 있는 구체적인 대역폭 및 스토리지 변화량입니다. 이에 맞춰 계획을 세우십시오.

빌더들이 주목해야 할 점

몇 가지 실무적인 관점입니다.

솔라나에서 빌딩을 하고 있다면, L1에 대한 이더리움 로드맵이 제시하는 것보다 더 빨리 SIMD-0416 스타일의 업그레이드가 적용될 것으로 예상하고, 계정 추상화나 서명 집계 전략을 설계할 때 처음부터 Falcon-512를 염두에 두십시오. 하드웨어 월렛 업체들은 클라이언트 팀을 따를 것이며, Falcon을 위한 펌웨어 업데이트는 다루기 까다롭지만 불가능한 일은 아닙니다.

이더리움 L2에서 빌딩을 하고 있다면, 솔직한 판단은 L1이 제 역할을 다하기 전까지는 L2 수준의 양자 내성 주장이 유의미한 안전을 보장하지 못한다는 것입니다. EIP-7702를 통한 계정 수준의 마이그레이션이 경로를 제공하긴 하지만, 브릿지 컨트랙트와 정산 서명은 제어할 수 없는 상속된 위험으로 남습니다. 2026년이 아닌 2027~2029년의 전환 기간을 계획하십시오.

크로스 체인 인프라를 구축하거나 멀티 체인 제품을 운영하는 경우, 이제 위협 모델에 "브릿지를 통해 거쳐 온 체인에서 수집된 공개 키"를 포함해야 합니다. ECDSA 서명 멀티시그 뒤에 자산을 보관하는 브릿지는 어떤 체인에 고정되어 있든 상관없이 마이그레이션 과정에서 가장 위험한 요소입니다.

마케팅의 쐐기는 바로 스토리다

야코벤코(Yakovenko)의 트윗은 기술적 공개가 아니었습니다. 그것은 보기 드문 타이밍의 정밀도로 실행된 시장 포지셔닝 전략이었습니다. 이더리움 L2가 L1의 암호학적 리스크를 상속한다는 기술적 주장 — 은 수년 동안 논문과 EIP에서 문서화되어 왔습니다. 5월 2일에 새로웠던 점은 그 주장을 세 단어로 압축하여 공개적으로 전달하고, 같은 뉴스 사이클 내에 출시된 경쟁 기술과 결합하려는 의지였습니다.

3년은 마케팅 관점에서 긴 시간입니다. 이더리움의 7개 하드 포크가 실제로 2029년에 완료되든 2030년으로 밀리든, 솔라나(Solana)는 이제 최소한 향후 12개월 동안 "양자 내성 L1" 관련 언론 보도에서 우위를 점하게 되었습니다. 기관 도입이 암호학 컨퍼런스 논문보다 조달 제안서의 핵심 문구(talking points)에 더 좌우되는 업계에서, 이러한 선점 효과는 매우 큰 가치가 있습니다.

더 어려운 질문은 야코벤코의 프레이밍이 이더리움 재단으로 하여금 스트로맵(Strawmap)을 가속화하도록 강제할 것인지 — 그리고 L2 그룹이 L1의 지연을 기다리기보다 이를 보완하는 CRYSTALS-Dilithium 서명 엔벨로프를 먼저 출시하기 시작할 것인지 여부입니다. 가장 흥미로운 결과는 모든 진영의 PQ(포스트 양자) 타임라인을 2 ~ 3년 앞당기는 경쟁적인 레이스가 펼쳐지는 것입니다. 가장 흥미롭지 않은 결과는 각 생태계가 자체 로드맵으로 함몰되는 것입니다. 답을 얻으려면 향후 6개월 동안의 이더리움 코어 개발자(All Core Devs) 회의를 지켜보십시오.

BlockEden.xyz는 Solana, Ethereum 및 주요 L2를 위한 프로덕션급 RPC 인프라를 운영하며, 여기에는 Falcon-512 마이그레이션이 재편할 고처리량 서명 검증 워크로드 등이 포함됩니다. 포스트 양자 서명 체계가 모든 RPC 계층에서 대역폭 및 검증 비용을 증가시킴에 따라, Solana 및 Ethereum API 서비스를 탐색하여 애플리케이션의 경제성을 해치지 않으면서 다음 암호학적 전환을 수용할 수 있도록 설계된 인프라 위에서 개발해 보십시오.

출처

Share on Twitter