사이버 보안, 스마트 계약 감사 및 모범 사례
모든 태그 보기
AI 에이전트가 무언가를 결제해야 할 때 어떻게 될까요? 과거의 답은 지저분했습니다: 에이전트 코드에 개인 키를 내장하고, 모델이 유출하지 않기를 바라며, 모든 거래를 수동으로 감사했습니다. Coinbase가 2026년 2월 출시한 Agentic Wallet은 근본적으로 다른 답을 제시합니다—그리고 이것이 AI가 관리하는 다음 1,000억 달러 규모의 암호화폐가 보안되는 방식을 정의할 수 있습니다.
핵심 통찰은 겉으로는 단순합니다: 에이전트는 키를 절대 만져서는 안 됩니다. 그러나 이것이 규모에서 작동하게 만드는 데 필요한 엔지니어링은 스마트 컨트랙트가 로직과 가치 저장을 분리한 이후 Web3 인프라에서 가장 중요한 아키텍처 변화 중 하나를 나타냅니다.
2026년 4월 1일, 북한 해커들이 Drift Protocol에서 2억 8,600만 달러를 탈취했을 때, Tether가 구원투수로 나설 것이라고 예상한 사람은 거의 없었습니다. 하지만 16일 후, 세계 최대 스테이블코인 발행사인 Tether는 솔라나 최대의 무기한 선물 거래소 재건을 위해 1억 5,000만 달러 규모의 협력을 주도하겠다고 발표했습니다. 여기에는 최대 1억 2,750만 달러의 자체 자본 투입, 1억 달러 규모의 수익 연계 신용 한도 제공, 그리고 최종적으로 약 2억 9,500만 달러에 달하는 사용자 손실액 전체를 보전하겠다는 약속이 포함되었습니다.
이 거래는 전례가 없는 일입니다. Aave는 안전 모듈(Safety Module)을, Compound는 COMP 기반의 백스탑(backstops)을 보유하고 있으며, MakerDAO는 잉여 버퍼를 유지합니다. 이 세 가지는 모두 프로토콜 토큰과 재무고 자산으로 구축된 자기 보험 체계입니다. 하지만 Tether가 Drift에서 수행한 역할은 구조적으로 다릅니다. 외부의 영리 목적 스테이블코인 발행사가 자신이 소유하거나 운영하거나 거버넌스에 관여하지 않는 DeFi 프로토콜을 위해 민간 최종 대부자(lender of last resort)로 나선 것입니다. 이는 시장이 이제 막 파악하기 시작한 방식으로 탈중앙화 금융의 시스템적 아키텍처를 변화시키고 있습니다.
4월 1일 이전까지 Drift는 솔라나에서 가장 큰 탈중앙화 무기한 선물 거래소였습니다. 이들의 몰락은 스마트 컨트랙트 버그나 오라클 오류 때문이 아니었습니다. 그것은 6개월에 걸쳐 무기화된 인간의 신뢰 때문이었습니다.
The Block, Chainalysis, TRM Labs의 보고에 따르면, 공격은 2025년 가을 한 대형 암호화폐 컨퍼런스에서 퀀트 트레이딩 기업으로 가장한 개인들이 Drift 기여자들에게 접근하면서 시작되었습니다. 이후 몇 달 동안 공격자들은 팀 내부의 관계를 구축했고, 결과적으로 솔라나의 "듀러블 논스(durable nonces)" 기능을 이용한 새로운 기술적 조작을 실행할 수 있는 충분한 권한을 확보했습니다. 이 기능은 트랜잭션을 미리 서명하고 나중에(때로는 몇 주 후) 실행할 수 있도록 하는 편의 메커니즘입니다.
공격자들은 듀러블 논스를 사용하여 Drift 보안 위원회(Security Council) 멤버들이 휴면 트랜잭션에 맹목적으로 사전 서명하도록 유도했습니다. 이 트랜잭션들이 실행되자 프로토콜의 관리 제어권이 공격자가 제어하는 주소로 넘어갔습니다. 그 후 공격자들은 CVT라는 가치 없는 가짜 토큰을 담보로 화이트리스트에 등록하고, 인위적으로 부풀려진 가격으로 5억 개의 CVT를 예치한 뒤, 이를 담보로 약 2억 8,500만 달러 상당의 USDC, SOL, ETH를 대출받아 인출했습니다.
블록체인 분석 기업 Elliptic, Chainalysis, TRM Labs는 이번 사건이 북한과 연계된 위협 행위자들의 소행이라고 독립적으로 결론지었습니다. 이는 2026년 현재까지 발생한 가장 큰 규모의 DeFi 익스플로잇이며, 2022년 3억 2,600만 달러 규모의 Wormhole 브릿지 해킹 사건에 이어 솔라나 역사상 두 번째로 큰 보안 사고입니다.
2026년 4월 16일, Drift와 Tether는 복구 패키지를 공동 발표했습니다. 헤드라인 수치는 1억 5,000만 달러이지만, 숫자보다 중요한 것은 내부 구조입니다.
경제적으로 가장 흥미로운 부분은 수익 연계 신용 한도입니다. Tether는 DRIFT 토큰을 구매하지도, 이사회 의석을 차지하지도, 지분을 인수하지도 않습니다. 대신 Drift의 미래 거래 수수료에 대한 우선 청구권을 확보한 것입니다. 이러한 선택은 의도된 것입니다. 지분 인수는 특히 현재 미국 관련 스테이블코인 발행사를 규제하는 GENIUS 법(GENIUS Act)의 예비 자산 품질 규정에 따라 규제상의 문제를 야기할 수 있었기 때문입니다. 수익 공유 방식은 공시하기 더 쉽고, 회수하기 쉬우며, 증권 인수가 아닌 상업적 대출로 규정하기가 더 용이합니다.
사용자들은 복구 풀에서 직접 USDC나 USDT를 받지 않습니다. 대신 Drift는 DRIFT 거버넌스 토큰과는 별개로, 풀에 대한 양도 가능한 청구권을 나타내는 전용 복구 토큰을 발행할 계획입니다. 거래 수수료가 쌓임에 따라 풀의 가치가 증가하며, 토큰 보유자는 자신의 청구권을 상환하거나 2차 시장에서 판매할 수 있습니다. 이는 기능적으로 미래의 프로토콜 현금 흐름을 기반으로 한 증권화된 손실 청구권입니다.
명백한 질문은 왜 Tether가 자신들이 원인을 제공하지도, 운영하지도 않으며, 제어할 수도 없는 프로토콜을 위해 1억 2,750만 달러를 위험에 노출시켰는가 하는 점입니다. 그 답은 보도 자료의 한 줄에 들어 있습니다. 바로 Drift가 재출시 시점에 결제 계층(settlement layer)을 USDC에서 USDT로 전환한다는 것입니다.
이 단 한 가지 변화는 합리적인 기간 내에 Tether에게 1억 2,750만 달러 이상의 가치를 가져다줄 것입니다. Drift는 해킹 전 매달 수십억 달러의 무기한 선물 거래량을 처리하고 있었으�며, 그 거의 대부분이 USDC로 결제되었습니다. 이러한 흐름을 역사적으로 USDC가 지배해 온 솔라나에서 USDT로 전환하는 것은, Tether가 구조적으로 약세를 보였던 시장에서 그 입지를 넓히는 계기가 됩니다.
2026년 초 현재 Tether의 스테이블코인 시가총액은 약 1,867억 달러로, 전체 3,170억 달러 규모의 스테이블코인 시장에서 약 58%를 차지하고 있습니다. 그러나 솔라나 점유율은 수년 동안 USDC에 뒤처져 있었습니다. 이번 Drift 거래는 생태계가 흔들리던 순간 "DeFi를 구한" 스테이블코인이라는 명성을 얻음과 동시에, 솔라나 결제 거래량을 확보하기 위한 직접적인 전략입니다.
규제 측면의 고려도 있습니다. Tether는 GENIUS 법의 예비 자산 품질 체제 하에 미국 연방 표준을 충족하기 위해 2026년 초 USAT를 출시했습니다. 주요 보안 사고 발생 시 거버넌스가 실패한 지점에서 구원투수로 나선 '책임감 있는 성인'으로 비치는 것은, 규제 당국이 역외 발행사를 어떻게 대우할지 조율하는 과정에서 의미 있는 정치적 자산이 됩니다.
DeFi 분야에서 익스플로잇(exploit) 이후의 복구 사례는 이전에도 있었지만, 이번 사례는 그 성격이 판이하게 다릅니다.
Aave 의 Safety Module은 AAVE 토큰 홀더들이 부족분 커버리지 풀(shortfall-coverage pool)에 스테이킹하는 방식에 의존합니다. 위기 발생 시, 손실을 메우기 위해 스테��이킹된 자산의 최대 30% 가 슬래싱(slashing)될 수 있습니다. 최근의 Umbrella 업그레이드는 GHO, USDC, USDT, WETH 의 스테이킹된 예치금으로 커버리지를 확장했습니다. 이는 본질적으로 프로토콜 사용자들이 토큰을 통해 서로를 보험에 들게 하는 자기 보험(self-insurance) 형태입니다.
Compound 의 모델은 역사적으로 COMP 토큰 재고와 커뮤니티 거버넌스에 의존하여 사안별로 백스톱(backstop)을 승인합니다. 별도의 자동화된 커버리지 메커니즘은 존재하지 않습니다.
**MakerDAO 의 잉여 버퍼(surplus buffer)**는 프로토콜 수익을 점진적으로 축적하여 부실 채권을 흡수하며, 버퍼가 소진될 경우 MKR 발행을 최종 백스톱으로 활용합니다. 이 역시 프로토콜이 미래의 수익을 현재의 손실을 위해 지불하는 내부적인 방식입니다.
이 세 가지 모델의 공통점은 백스톱 자본이 프로토콜 내부에서 나온다는 점입니다. 거버넌스 토큰 홀더들이 1차 손실을 감당하며, 거버넌스가 메커니즘을 사전에 승인합니다. 즉, 프로토콜이 실질적인 의미에서 자기 보험을 유지하는 것입니다.
Drift 의 복구는 이와 정반대입니다. 백스톱 자본이 외부에서 유입되었으며, Drift 에 대한 이전 거버넌스 역할이 전혀 없던 스테이블코인 발행사로부터 나왔습니다. DRIFT 토큰은 어떤 자동화된 방식으로도 1차 손실을 흡수하지 않았습니다. 이번 복구는 트리거된 것이 아니라 협상된 결과입니다. 그리고 테더(Tether)가 이를 제공하는 것이 전략적 가치가 있다고 판단했기에 가능했습니다.
이러한 차이점은 새로운 템플릿을 제시한다는 점에서 중요합니다. 이제 실패한 DeFi 프로토콜은 스테이블코인 발행사에 의해 구조될 가능성이 열렸지만, 이는 오직 결제 통화 마이그�레이션, 수익 공유, 유동성 약정 등의 조건이 발행사의 상업적 이익과 부합할 때만 가능합니다.
중앙은행이 존재하는 이유 중 하나는 사적 신용 시장이 주기적으로 마비될 때, 연쇄적인 손실을 흡수할 수 있을 만큼 거대한 대차대조표와 장기적인 시계를 가진 기관이 필요하기 때문입니다. 연방준비제도(Fed)의 재할인 창구, ECB 의 긴급 유동성 지원, 영란은행의 최종 시장 조성자 시설 등은 모두 동일한 테마의 변주입니다.
DeFi 에는 지금까지 이러한 기관이 없었습니다. 프로토콜은 토큰, 재고, 거버넌스를 통해 자기 보험을 제공할 것으로 기대되었습니다. bZx 에서 Iron Bank, 그리고 수많은 소규모 사건에 이르기까지 자기 보험이 실패했을 때 사용자들은 속수무책으로 돈을 잃었습니다. 때로는 재단이 부분적인 배상을 하기도 하고, 설립 팀이 다시 재건하며 커뮤니티의 신뢰가 돌아오기를 바라기도 하지만, 대부분의 경우 아무 일도 일어나지 않았습니다.
Drift 와 테더의 거래는 다른 균형점을 제안합니다. 즉, 프로토콜 계층 위에 위치하며 유통상의 이점을 대가로 충격을 흡수할 의사가 있는, 재량적이고 상업적인 동기를 가진 민간 '최종 대부자(lender of last resort)'의 등장입니다. 구조적으로 이는 1,860억 달러의 대차대조표와 자체 수익 모델을 가진 민간 기업이 운영하는 유사 중앙은행(quasi-central-bank)의 역할과 같습니다.
관찰자들은 이 현상을 지나치게 반기기 전에 신중해야 합니다. 공공 중앙은행이 최종 대부자 역할을 하는 이유는 그들이 책임감이 있고 투명하며 시스템적 안정성을 유지해야 할 법적 의무가 있기 때문입니다. 반면 테더는 소유주와 해당 관할권의 규제 당국 외에는 누구에게도 책임을 지지 않습니다. 테더의 대차대조표가 사실상의 DeFi 백스톱이 된다면, 생태계의 시스템적 안정성은 단일 역외 발행사의 개입 의지와 능력에 의존하게 됩니다. 이는 DeFi 가 탈피하고자 했던 것과는 또 다른 종류의 중앙집권화입니다.
선택의 문제도 있습니다. 테더가 Drift 를 구제한 이유는 USDC 에서 USDT 로의 전환, 솔라나 시장 점유율, 높은 인지도 확보 등 이번 거래가 비즈니스적으로 타당했기 때문입니다. 모든 익스플로잇된 프로토콜이 이러한 전략적 매력을 가질 수는 없습니다. 전환할 만한 유의미한 결제량이 없는 작은 체인의 소규모 DEX 는 아무런 도움도 받지 못할 것입니다. 새로운 템플릿은 "스테이블코인이 DeFi 를 보장한다"가 아니라, "스테이블코인이 자신의 상업적 이익에 부합하는 프로토콜을 선택적으로 구조한다"는 것입니다.
시장은 다음의 세 가지 신호를 통해 이것이 일회성 사건인지 아니면 새로운 패턴의 시작인지를 판단하게 될 것입니다.
첫째, 복구 풀이 실제로 지급되는지 여부입니다. 이 구조는 이론적으로 우아하지만, Drift 의 거래량 회복에 달려 있습니다. 만약 사용자들이 돌아오지 않는다면, 즉 북한 연계 익스플로잇이 Drift 의 브랜드에 영구적인 타격을 입혔다면, 수익 연계 시설은 충분한 현금을 창출하지 못할 것이고 복구 토큰 홀더들이 그 손실을 고스란히 떠안게 될 것입니다. 재출시 후 첫 12개월은 "시간이 지남에 따라 상환"한다는 약속이 18개월을 의미하는지 아니면 10년을 의미하는지를 보여줄 것입니다.
둘째, 서클(Circle)의 대응 여부입니다. USDC 는 솔라나의 주요 결제 창구 중 하나를 잃었습니다. 만약 서클이 이에 대응하지 않는다면 — 아마도 다음 익스플로잇 발생 시 유사한 백스톱 시설을 발표하는 등의 조치 — DeFi 프로토콜들에게 보내는 메시지는 명확해집니다. "구제 능력을 염두에 두고 스테이블코인 파트너를 선택하라"는 것입니다.
셋째, 규제 당국이 이를 상업적 대출로 취급할지 아니면 그 이상으로 취급할지 여부입니다. 민간 발행사가 익스플로잇된 프로토콜에 신용 한도를 제공하는 것은 규제 대상 은행이 하는 일과 매우 흡사해 보입니다. 하지만 은행은 자본, 집중도, 공시에 관한 엄격한 규칙을 준수해야 하는 반면, 스테이블코인 발행사들은 대체로 그렇지 않습니다. GENIUS 법안(GENIUS Act)의 시행 기간이 2026년까지 이어짐에 따라, '스테이블코인 발행사의 상업적 활동'에 대한 집행 조치는 해당 법령에서 아직 충분히 탐구되지 않은 미개척 영역 중 하나가 될 것입니다.
현재로서는 Drift 가 살아남았고, 사용자들은 피해를 보상받을 길을 찾았으며, 솔라나는 평판 실추의 위기를 모면했습니다. 이는 단기적으로 볼 때 분명한 승리입니다. 하지만 테더가 DeFi ��의 비공식 중앙은행으로 자리 잡았는지에 대한 장기적인 이야기는 이제 막 시작되었을 뿐입니다.
BlockEden.xyz 는 고성능 체인 위에 구축되는 무기한 선물 거래소, 트레이딩 플랫폼, DeFi 프로토콜을 위해 기업용 솔라나 RPC 및 인덱싱 인프라를 제공합니다. 프로덕션급의 안정성을 위해 설계된 기초 인프라를 구축하려면 당사의 API 마켓플레이스를 살펴보세요.
가상자산 업계는 지난 10년 동안 지갑 수를 마치 실제 사용자 수인 것처럼 축하해 왔습니다. 2026년 4월, 대부분의 진지한 분석가들이 3년 전에 포기했던 한 네트워크가 조용히 스코어보드를 다시 썼습니다. 파이 네트워크(Pi Network)는 1,800만 명의 KYC 인증을 마친 실재 인류와 5억 2,600만 건의 피어 검증(peer validation) 작업 완료를 공식 확인했습니다. 시각에 따라 이 수치는 Web3의 가장 큰 측정치 거짓말을 폭로하거나, 지구상에서 가장 저평가된 신원 계층(identity layer)을 설명하는 지표가 될 수 있습니다. 같은 주, 5,800개의 지갑으로 구성된 단일 클러스터 그룹이 BNB 체인 에어드랍의 약 80%를 휩쓸었습니다. 이러한 대조는 우연이 아니었습니다.
오랫동안 에어드랍 헌터들과 DAO 거버넌스 애호가들의 지엽적인 관심사로 여겨졌던 시빌 저항성(Sybil-resistance)은 갑자기 가상자산 업계에서 가장 중대한 설계 문제가 되었습니다. 이유는 간단합니다. 자율형 AI 에이전트가 이제 지갑을 열고, 행동 휴리스틱을 통과하며, 기계의 속도로 온체인 거래를 수행할 수 있게 되었기 때문입니다. 이러한 공격자 앞에서 "1지갑 1표"는 쓸모없는 정도를 넘어 공격을 환영하는 초대장이나 다름없습니다. 그리고 신흥 시장을 포��괄하면서 대규모로 사용자가 실제 인간임을 증명할 수 있는 네트워크는, 이제 단순히 사용자가 메타마스크(MetaMask) 확장 프로그램을 가지고 있음을 증명하는 네트워크보다 훨씬 더 중요해질 것입니다.
파이 네트워크의 2026년 4월 마일스톤 발표는 업계의 다른 사례들과 비교하기 전까지는 지루한 운영 업데이트처럼 보입니다.
이제 업계에서 진지하게 다루는 다른 신원 계층과 비교해 보십시오.
이 수치들을 정직하게 해석하자면, 파이는 Web3에서 가장 큰 KYC 인증 인간 네트워크를 조용히 구축했다는 것입니다. 그리고 다른 모든 인격 증명(proof-of-personhood) 프로젝트가 도달하지 못했거나 오브 스캔을 명시적으로 거부하는 시장(남아시아 및 동남아시아, 아프리카, 라틴 아메리카)에서 정확히 이를 해냈습니다.
가상자산 역사의 대부분 동안 업계의 북극성 지표(North Star metric)는 지갑 수였습니다. 주소가 많을수록 사용자가 많다는 뜻이었고, 이는 더 많은 채택과 가격 상승을 의미했습니다. 지갑 하나를 만드는 데 확장 프로그램 다운로드, 시드 구문 학습, 가스비 입금 등 유의미한 마찰이 존재하는 한 이 지표는 완벽하지는 않아도 작동했습니다.
2026년의 세 가지 발전이 그 가정을 완전히 깨뜨렸습니다.
AI 에이전트가 이제 스스로 지갑을 생성합니다. BNB 체인의 활성 AI 에이전트 수는 2026년 1월 초 약 337개에서 3월 중순까지 123,000개 이상으로 폭발적으로 증가했으며, 이는 3개월 만에 36,000% 증가한 수치입니다. 이 에이전트들은 각각 최소 하나 이상의 지갑을 가지고 있으며, 다수를 보유한 경우도 많습니다. 이들 중 누구도 인간이 아닙니다. 지갑 수 지표는 단순히 희석된 것이 아니라, 과거에 측정하던 대상을 더 이상 측정하지 못하게 되었습니다.
에어드랍 시빌 공격이 산업화되었습니다. BNB 체인의 아프리오리(Apriori) 토큰 런칭에서 5,800개의 지갑으로 구성된 단일 클러스터 그룹이 공급량의 약 80%를 차지했습니다. 트러스타 랩스(Trusta Labs)의 오픈 소스 시빌 탐지 프레임워크, OKX의 전용 에어드랍 보호 도구, 그리고 에어드랍이 활동보다는 예치금이나 거래량에 연동되어야 한다는 커지는 공감대는 모두 동일한 결론을 가리킵니다. 공격자가 고유한 거래 패턴을 가진 10,000개의 완벽하게 행동하는 AI 에이전트를 가동할 수 있을 때, 활동 기반 보상은 무너집니다.
거버넌스 정족수 가정이 무너지기 시작했습니다. "기존" 입장에 반대하여 70대 30으로 통과된 DAO 투표는 투표한 지갑이 서로 다른 개별 인간을 나타낼 때만 정당성을 가집니다. 자원이 �풍부한 공격자가 각각 개별적으로 합리적으로 보이는 투표를 던지는 50,000개의 자율 에이전트를 신뢰성 있게 배치할 수 있다면, 1지갑 1표 모델은 안전하지 않습니다. 그것은 보안을 가장한 연극에 불과합니다.
이러한 모든 실패 모드는 하나의 근본 원인을 공유합니다. 업계는 어렵고 고유한 식별자(인간)의 역할을 수행하기 위해 저렴하고 고유하지 않은 식별자(지갑)를 사용해 왔습니다. 그 두 가지 사이의 격차가 좁았던 동안에는 근사치가 작동했습니다. 하지만 이제 AI 에이전트가 이 두 신호를 수십 배 이상 벌려 놓았으며, 다시 돌아갈 길은 없습니다.
Pi Network의 신원 시스템은 2026년 AI 에이전트 위기에 대응하여 설계된 것이 아니라, 그보다 수년 앞서 설계되었습니다. 하지만 한때 "대중을 위한 모바일 우선 크립토"처럼 보였던 디자인 선택들이 이제는 대규모 인간 증명 (proof-of-personhood)을 위한 가장 실용적인 해답으로 보입니다.
생체 인식이 아닌 분산된 인간 검증. Worldcoin의 전략이 "모든 국가에 하드웨어 장치를 보급하고 모든 홍채를 스캔하겠다"는 것이라면, Pi의 전략은 "파이오니어 (Pioneers)들이 기존 스마트폰에서 서로의 문서를 검증하도록 ��보상을 제공하겠다"는 것입니다. 첫 번째 모델은 이론적으로는 아름답지만 실제로는 정치적으로 재앙에 가깝습니다. 이미 여러 정부가 오브 (Orb) 운영을 금지하거나 중단시켰습니다. 두 번째 모델은 지루하고 점진적이지만, 이미 5억 2,600만 건의 검증 작업을 시스템을 통해 처리했습니다.
중복성을 갖춘 분할 작업 검토. 각 KYC 신청은 활성 상태 확인 (liveness check), 문서 검사, 사진 대조, 이름 확인 등 독립적인 하위 작업으로 분해됩니다. 승인되기 전 최소 두 명의 검증자가 독립적으로 동의해야 합니다. 이는 동시에 시빌 공격 방지 (Sybil-resistance) 체계이자 (단일 검증자가 대규모로 가짜를 승인할 수 없음) 품질 관리 시스템입니다 (오류는 통계적으로 합의 임계값에 의해 걸러짐).
내부 루프의 AI, 외부 루프의 인간. Pi의 표준 KYC 프로세스는 AI 사전 스크리닝을 통합하여 인간의 검토를 기다리는 대기열을 절반으로 줄입니다. 결정적으로, AI는 명확한 사례를 필터링하고 모호한 사례를 인간 검증자에게 넘깁니다. 이는 "AI를 배포하고 기도하는" 일반적인 Web3 방식과는 정반대입니다. 인간이 최종 권한을 가지며, AI는 처리 속도를 높이는 가속기 역할을 합니다.
선택적 두 번째 레이어로서의 손바닥 지문 생체 인식. Pi는 추가적인 시빌 공격 방지 레이어로 손바닥 지문 인증을 베타 테스트 중입니다. 홍채 스캔과 달리 손바닥 지문은 전용 하드웨어 없이 소비자용 스마트폰으로 캡처할 수 있으며, 이는 네트워크의 신흥 시장 입지에 매우 중요합니다.
대부분의 서구 평론가들이 놓치는 절충점은 Pi의 시스템이 의도적으로 느리게 설계되었다는 점입니다. 파이오니어는 KYC 시작부�터 전체 메인넷 마이그레이션까지 몇 주 또는 몇 달을 기다릴 수도 있습니다. 다음 주 화요일에 NFT 드롭을 출시하려는 개발자에게 이것은 짜증 나는 일입니다. 하지만 1,800만 명의 사용자가 1,800만 명의 별개 인간인지, 아니면 90개의 에이전트 지갑을 각각 운영하는 20만 명의 인간인지를 확인하려는 프로토콜에게 이것은 정확히 올바른 속도입니다.
가장 중요하지만 가장 적게 논의되는 데이터 포인트는 다음과 같습니다. Pi Network의 사용자 기반은 다른 인간 증명 스택이 도달할 수 없는 지역에 정확히 집중되어 있습니다.
Pi는 베트남, 인도네시아, 필리핀, 나이지리아, 라틴 아메리카 전역에 수천만 명의 사용자를 보유하고 있습니다. 이들은 전통적인 뱅킹 시스템, 서구 KYC 업체가 수용하는 여권 문서, 또는 브라우저 확장 지갑을 원활하게 실행할 수 있는 하드웨어에 대한 접근이 제한적인 경우가 많습니다. 이러한 사용자들은 대개 오브 (Worldcoin 키오스크로의 물리적 이동이 필요함)에 접근할 수 없으며, Gitcoin Passport의 스탬프 생태계를 다룰 수 있는 암호화폐 지식도 부족합니다.
Pi가 효과적으로 수행한 일은 온보딩 비용 단위가 여권이나 1,200 달러 짜리 iPhone, 또는 전문 생체 인식 장치 방문이 아니라, 50 달러 짜리 스마트폰과 하루에 몇 분씩 앱을 여는 의지만 있으면 되는 KYC 네트워크를 구축한 것입니다. 다음 10억 명의 암호화폐 사용자들에게 이것은 실제로 대규모로 작동할 수 있는 유일한 온보딩 모델입니다.
이것은 진정으로 글로벌한 에어드랍, 거버넌스 투표, 또는 소급 자금 조달 라운드를 설계하려는 모든 프로토콜에게 전략적으로 중요합니다. 실수로 전 세계 인구의 절반을 배제하는 시빌 공격 방지 레이어는 실제로는 시빌 공격 방지가 아닙니다. 그것은 서구 사용자 전용 레이어일 뿐이며, 이는 매우 다른 속성입니다. Pi의 지리적 분포는 경쟁자가 쉽게 복제할 수 없는 자산입니다. 왜냐하면 여기에 필요한 투자는 기술적인 것보다 운영적인 것이기 때문입니다. 즉, 수년간의 커뮤니티 구축, 번역된 문서, 지역 검증자 교육, 그리고 모바일 머니 보급률이 30 % 인 국가에서도 작동하는 결제 레일이 필요합니다.
만약 귀하가 향후 18개월 내에 에어드랍, 거버넌스 투표, 보조금 라운드 또는 DeFi 액세스 레이어를 운영할 계획이 있는 프로토콜 팀이라면, Pi의 이정표는 세 가지 즉각적인 시사점을 제공합니다.
인간 증명을 단일 업체 선택이 아닌 스택으로 취급하십시오. 단일 PoP 시스템이 모든 사용 사례를 완벽하게 커버할 수는 없습니다. Worldcoin은 운영 지역에서 강력한 생체 인식 고유성을 제공합니다. Human Passport는 강력한 통합을 통해 ��서구의 보조금 지원 회로를 커버합니다. BrightID는 크립토 네이티브 소셜 그래프를 캡처합니다. 이제 Pi는 신흥 시장의 KYC 인증 인간 세그먼트를 소유하고 있습니다. 진지한 2026년 에어드랍을 위한 올바른 아키텍처는 단일 진실 공급원에 모든 시빌 방지 전략을 거는 것이 아니라, 여러 시스템의 증명을 수용하고 그에 따라 점수를 매기는 것입니다.
"검증된 인간"을 일급 프리미티브 (first-class primitive)로 설계하십시오. 2026년 1월 29일에 활성화된 이더리움 메인넷의 ERC-8004는 암호화 증명을 갖춘 에이전트 신원을 위한 온체인 레지스트리를 제공합니다. 인간 신원을 위한 동반 표준은 늦어지고 있습니다. 수요가 없어서가 아니라 글로벌 인간 신원 레지스트리의 정치적 이해관계가 복잡하기 때문입니다. 그동안 실질적인 경로는 휴대 가능한 증명 (Pi, Worldcoin, Human Passport, BrightID)을 수용하고, 액세스가 제어되는 모든 인터페이스에서 "인간 전용" 게이팅을 구성 가능한 정책으로 만드는 것입니다.
지갑 숫자를 진지한 지표로 취급하는 것을 중단하십시오. 어떤 프로토콜이 50만 개의 지갑을 보고하고 경쟁자가 5만 명의 검증된 인간을 보고한다면, 경쟁자가 아마도 더 가치 있는 네트워크일 것이며, 시빌 공격, 거버넌스 탈취 및 규제 압력에 대해 확실히 더 방어 가능한 네트워크일 것입니다. 투자자, 창립자 및 분석가는 모든 실사 자료에서 지갑 수와 병행하여 검증된 인간 수를 KPI로 명시적으로 추적하기 시작해야 합니다.
이 모든 것이 성공을 보장하는 왕관은 아닙니다. Pi Network는 1,800만 명의 KYC 수치가 실제 인프라 가치로 전환될지 여부를 결정할 세 가지 날카로운 질문에 직면해 있습니다.
KYC 프로세스가 다시 10배 확장될 수 있는가? 1억 8,000만 명의 인증된 인간을 추가하려면 검증인 풀을 대폭 확장하거나 인간 검토를 대체할 공격적인 AI 도입이 필요합니다. 각 선택에는 위험이 따릅니다. 검증인이 많아지면 검증인당 보상이 희석되고 품질 저하를 초래하며, AI 검토가 많아지면 "분산형 인간 인증"이라는 핵심 가치가 훼손될 수 있습니다. 내부 루프에는 AI를, 외부 루프에는 인간을 배치하는 Pi의 현재 방식은 영리하지만, 현재 처리량의 10배에 달하는 환경에서 테스트된 적은 아직 없습니다.
PI 토큰이 신원 계층의 가치를 축적하는가? Pi에 대한 대중의 인식 대부분은 여전히 투기성 토큰 플레이로 치부됩니다. 신원 가설이 경제적으로 유의미해지려면 PI가 신원 기반 서비스(identity-gated services)의 결제 수단이 되어야 합니다. PI로 가격이 책정된 에어드랍 할당, PI를 담보로 하는 거버넌스 투표, PI로 접근이 제한되는 인간 전용 DeFi 풀 등이 그 예입니다. 이를 위한 메인넷 인프라는 존재하지만, 이를 실현할 프로토콜 파트너십은 이제 막 시작된 단계입니다.
주류 Web3 프로토콜들이 실제로 통합될 것인가? Pi의 신흥 시장 사용자 기반은 가장 큰 자산인 동시에, 대부분의 이더리움 중심 빌더들에게 Pi를 낯선 존재로 만듭니다. 에어드랍이나 거버넌스를 위해 Pi 인증 인간 증명을 가장 먼저 통합하는 네트워크는 사용자 획득 비용이 가장 낮은 지역에서 방어 가능한 배포 우위를 점하게 될 것입니다. 아직 그 기회를 대규모로 활용한 곳은 없지만, 이를 실행하는 팀은 18개월 뒤 매우 영리했다는 평가를 받게 될 것입니다.
여기서 나타나는 더 넓은 패턴은 Web3의 신원 계층이 단일 승자가 아닌, 각 세그먼트에 최적화된 프리미티브 포트폴리오로 계층화되고 있다는 점입니다. World는 서구권의 하드웨어 생체 인식 시장을, Human Passport는 자격 증명 기반의 보조금 펀딩 신원을, Civic은 기업용 온램프를, BrightID는 크립토 네이티브 커뮤니티 거버넌스를 담당합니다. Pi는 그 누구도 따라올 수 없는 규모로 신흥 시장의 KYC 인증 인간 데이터를 보유하고 있습니다.
신원을 단순한 스위치가 아닌 하나의 스택으로 취급하는 프로토콜이 가장 회복력 있는 시스템을 구축하게 될 것입니다. 단일 벤더로 표준화하려는 시도는 2027년쯤 자신들의 "글로벌" 에어드랍이 전 세계 인류의 절반을 소외시켰거나, 자신들의 "시빌 저항적" 거버넌스가 사실상 Orb를 통과한 소수의 자금력 있는 AI 에이전트 팜에 의해 장악되었다는 사실을 깨닫게 될 뿐입니다.
1,800만이라는 숫자는 단순히 Pi의 이정표가 아닙니다. 이는 인격 증명(proof-of-personhood)이 더 이상 연구 과제가 아니라 대규모 실무 적용의 문제라는 사실을 업계에 알리는 첫 번째 정직한 신호입��니다. 그리고 실제 출시된 시스템은 과거 연구 논문들이 예측했던 것과는 매우 다른 모습을 띠고 있습니다.
BlockEden.xyz는 Sui, Aptos, Ethereum, BSC 전반에서 신원 인식형 Web3 제품을 구축하는 팀을 위해 프로덕션 수준의 블록체인 RPC 인프라를 제공합니다. 시빌 저항성이 모든 진지한 에어드랍, 거버넌스 시스템, AI 에이전트 게이트 프로토콜의 핵심 요소가 됨에 따라, 저희의 API 마켓플레이스를 탐색하여 검증된 인간의 시대를 위해 설계된 기반 위에서 개발을 시작해 보세요.
2026년 4월 6일, Drift Protocol의 사고 대응팀이 크로스 체인 브리지를 통해 도난당한 2억 8,600만 달러의 자산을 추적하고 있는 와중에, Colosseum은 솔라나 프런티어 해커톤 (Solana Frontier Hackathon) 등록을 조용히 시작했습니다. 그 타이밍은 거의 도전적으로 느껴질 정도였습니다. 솔라나는 2022년 웜홀 (Wormhole) 브리지 해킹 이후 가장 큰 규모의 DeFi 익스플로잇을 막 겪은 직후였고, SOL은 1분기에 33% 하락한 87달러 부근에서 거래되고 있었으며, 같은 주말 Sei Network는 EVM 전용 마이그레이션을 마무리하며 솔라나 가상 머신 (SVM) 진영에서 또 다른 경쟁자를 떼어내고 있었습니다.
이러한 혼란 속에서 Colosseum은 개발자들에게 5주 동안 빌딩에 매진할 것을 요청하고 있습니다. 질문은 프런티어 해커톤에 사람들이 모일 것인가가 아닙니다. 진짜 질문은 생태계의 가격 차트와 보안 내러티브가 모두 타격을 입고 있는 상황에서도 해커톤 참여가 여전히 생태계 건강 상태의 선행 지표 역할을 할 수 있느냐는 것입니다.
솔라나 프런티어 해커톤은 2026년 4월 6일부터 5월 11일까지 5주 동안 전 세계에서 온라인으로 진행됩니다. 빌더들은 DeFi, 인프라, 소비자 애플리케이션, 개발자 도구, AI 및 크립토, 그리고 물리적 세계 (DePIN) 프로젝트 등 6개 부문에서 경쟁합니다. 상금 규모는 7자리에 달하지만, 진짜 매력은 그 이후에 있습니다. Colosseum의 벤처 펀드는 우승팀들에게 250만 달러 이상의 투자를 약속했으며, 선정된 팀은 25만 달러의 프리 시드 (pre-seed) 투자와 함께 Colosseum 액셀러레이터 프로그램에 참여하게 됩니다.
지금까지의 성과가 곧 가장 강력한 홍보 수단입니다. 솔라나 재단이 주최한 12번의 해커톤 (그중 4번은 현재 Colosseum이 운영)을 통해 80,000 명 이상의 빌더들이 경쟁했습니다. 가장 최근 행사인 솔라나 사이버펑크 (Cypherpunk) 해커톤에는 9,000 명 이상의 참가자와 1,576 개의 최종 제출물이 몰려 역대 최대 규모의 크립토 해커톤으로 기록되었습니다. 이전 기수들은 현재 솔라나의 플래그십 프로토콜이 된 마리네이드 파이낸스 (Marinade Finance), 주피터 (Jupiter), 팬텀 (Phantom) 등을 배출했습니다.
이러한 역사는 낙관론의 근거가 됩니다. 하지만 비관론의 근거는 지난 6주 동안 발생한 모든 사건들에 있습니다.
2026년 4월 1일, 공격자들은 솔라나 최대 규모의 퍼페추얼 (무기한 선물) DEX인 Drift Protocol에서 2억 8,600만 달러를 탈취했습니다. 수법이 중요합니다. 공격자들은 스마트 컨트랙트의 버그를 이용한 것이 아니라, 기능을 악용했기 때문입니다.
공격자들은 수개월 동안 퀀트 트레이딩 기업으로 위장하여 Drift 기여자들과의 사회적 신뢰를 쌓았습니다. 이들은 7억 5,000만 개가 공급된 CVT (CarbonVote Token)라는 가짜 토큰을 배포하고, 유동성 풀을 형성하여 가격을 약 1달러로 자전거래한 뒤, 통제된 가격 오라클을 세워 Drift에 조작된 정보를 제공했습니다. 결정타는 솔라나의 '듀러블 논스 (durable nonces)'를 이용한 것이었습니다. 이는 트랜잭션에 지금 서명하고 나중에 전송할 수 있게 해주는 기능인데, 이를 통해 보안 위원회 멤버들이 공격자가 나중에 실행할 휴면 트랜잭션에 미리 서명하도록 유도했습니다.
엘립틱 (Elliptic)과 TRM Labs는 세탁 패턴과 온체인 타임스탬프가 라자루스 그룹 (Lazarus Group)의 수법과 일치한다는 점을 들어 이번 작전을 북한 연계 위협 행위자의 소행으로 규명했습니다. Drift의 TVL은 며칠 만에 약 5억 5,000만 달러에서 2억 5,000만 달러 미만으로 급감했습니다. 솔라나 재단은 4월 7일, 생태계 프로토콜을 위한 통합 보안 백스톱인 솔라나 사고 대응 네트워크 (SIRN)를 출범시키며 대응했습니다.
일주일 후 해커톤에 참여할 빌더들에게 이 상황은 곤혹스러운 질문을 던집니다. 가장 큰 퍼페추얼 DEX가 내장 프리미티브를 악용한 사회 공학적 공격으로 TVL의 절반을 잃은 체인 위에서, 5주 동안 인프라를 구축하기 위해 전력 질주를 시작하시겠습니까?
프런티어 해커톤의 타이밍이 헤드라인보다 더 흥미로운 이유는 다음과 같습니다. SOL 가격은 연초 대비 33% 하락했지만, 솔라나는 현재 모든 온체인 거래량의 약 41%를 처리하고 있습니다. 이는 이더리움과 모든 L2를 합친 것보다 많은 수치입니다. 솔라나는 2025년에 11,500 명 이상의 신규 개발자를 추가하여 이더리움에 이어 두 번째를 기록했으며, 2026년 3월 말에는 역대 고유 개발자 수 10,000 명을 돌파했습니다. 또한 3월 말에는 20개 이상의 인프라 제공업체를 단일 API로 통합하여 발행, 결제, 거래를 지원하는 솔라나 개발자 플랫폼 (SDP)이 출시되었습니다.
이러한 패턴은 후퇴하는 생태계라기보다는 가치 재평가 (re-rating)의 어색한 중간 단계에 있는 모습에 가깝습니다. 가격 움직임은 보안 내러티브와 광범위한 위험 회피 (risk-off) 상황에 반응하고 있습니다. 반면 활동은 솔라나가 여전히 경쟁사보다 빠르고 저렴하게 거래를 체결한다는 사실에 기반하고 있습니다. 해커톤 참여도는 실제로 빌딩할 곳을 선택하는 사람들 사이에서 어떤 신호가 지배적인지를 알려줄 것입니다.
해커톤이 시작되는 4월 6일은 Sei Network가 EVM 전용 마이그레이션을 완료하기 이틀 전입니다. 이로써 Sei의 SVM / Cosmos 이중 호환성이 사라지게 되며, 솔라나 인근의 실행 환경을 제공하는 체인이 하나 줄어들게 됩니다. 이론적으로 이는 SVM의 중력을 솔라나 중심으로 결집시킵니다. 실제로는 SVM을 원하는 사람들에게 이제 성숙한 선택지는 단 하나뿐이며, 그들을 설득할 기준은 2026년 5월 솔라나의 개발자 경험이 어떤 모습일지에 달려 있음을 의미합니다.
한편, 이더리움 진영도 가만히 있지 않습니다. ETHGlobal의 2026년 일정은 칸 (4월 35일), 뉴욕 (6월 1214일), 리스본 (7월 2426일), 도쿄 (9월 2527일), 그리고 4분기 뭄바이로 이어집니다. HackMoney 2026 하나에만 단일 스폰서의 테스트넷에 155개 팀이 몰렸습니다. Base, Arbitrum, Monad 및 나머지 L2 그룹들도 거의 상시 개발자 프로그램을 운영 중입니다. 프런티어 해커톤은 빈집에서 경쟁하는 것이 아니라, AI 기반 및 소비자 크립토 내러티브로 재무장하고 인력을 풀가동 중인 이더리움의 채용 퍼널과 경쟁하고 있습니다.
Colosseum이 내세우는 차별점은 바로 '전환 (conversion)'입니다. ETHGlobal 해커톤이 인재 발굴 행사라면, Colosseum 해커톤은 창업자 형성 행사입니다. 25만 달러의 투자금, 액셀러레이터 입소, 그리고 '우승팀에 대한 명확한 펀딩 약속'은 5주간의 질주를 벤처 파이프라인의 입구로 탈바꿈시킵니다. 이러한 모델은 생각보다 드물며, 이것이 Colosseum 행사가 단순한 데모가 아닌 실제 기업을 만들어내는 이유입니다.
프런티어 해커톤이 솔라나의 개발자 모멘텀을 되살릴지, 아니면 겨우 유지하는 수준에 그칠지는 몇 가지 신호를 통해 알 수 있습니다.
해커톤이 익스플로잇을 고쳐주지는 않습니다. 가격 차트를 반전시키지도 못합니다. 하지만 해커톤이 제대로 작동할 때 하는 일은, 차트와 보안 내러티브가 회복될 수 있을지를 결정할 프로토콜을 구축할 다음 세대의 창업자들을 모집하는 것입니다. 사이버펑크 해커톤은 Unruggable, Yumi, Seer 등 현재 활발히 운영 중인 여러 프로젝트를 배출했습니다. 프런티어 해커톤이 그에 필적하는 기수를 배출한다면, Drift 익스플로잇은 2026년의 굴곡점이 아닌 단순한 사건 중 하나로 기억될 것입니다.
더 어려운 베팅은 빌더들이 과연 나타날 것인가 하는 점입니다. 5월 11일이면 우리는 그 답을 알게 될 것입니다.
BlockEden.xyz는 SVM 위에서 빌딩하는 팀들을 위해 엔터프라이즈 급 솔라나 RPC 및 인덱서 인프라를 제공합니다. 프런티어 해커톤에서 프로젝트를 출시하거나 Drift 사태 이후 프로토콜을 강화하고 있다면, 솔라나 API 서비스를 통해 실제 워크로드에 최적화된 프로덕션용 엔드포인트를 확인해 보세요.
2026년 4월 1일, 6개월간 지속된 북한의 정보 작전으로 Drift Protocol에서 2억 7,000만 달러가 유출되었습니다. 6일 후, 역대 최대 규모의 DeFi 손실을 수습 중이던 솔라나 재단은 이례적인 행보를 보였습니다. 스스로를 "에이전틱 결제(agentic payments)의 리더"로 선언함과 동시에 지속적인 보안 프로그램을 발표한 것입니다.
이는 오타도 아니고 우연도 아닙니다. 솔라나는 두 가지 서사를 동시에 추진하고 있습니다. 하나는 24시간 모니터링과 공식 사고 대응 네트워크를 갖춘 재단 지원 보안 체계인 STRIDE를 통한 방어적 신뢰성이고, 다른 하나는 AI 에이전트가 자금을 이동하는 데 사용할 체인으로서의 공격적 포지셔닝입니다. 문제는 2억 7,000만 달러가 눈앞에서 사라지는 것을 지켜본 시장이 이 두 가지 이야기 중 하나라도, 혹은 둘 다를 받아들일 것인지 여부입니다.
2026년 2월 26일, 대한민국 국세청(NTS)은 대대적인 법 집행 성과를 발표했습니다. 고액 상습 체납자 124명을 급습하여 약 81억 원(5,600,000달러) 상당의 디지털 자산을 압수했습니다. 국세청은 압수한 Ledger 하드웨어 지갑의 고해상도 사진과 함께 보도자료를 자랑스럽게 게시했습니다.
하지만 한 가지 문제가 있었습니다. 사진 중 하나에 수기로 작성된 복구 구문이 가려지지 않은 채, 선명한 화질로 전 세계에 노출된 것입니다.
불과 몇 시간 만에 명목상 480만 달러(약 64억 원) 가치의 Pre-Retogeum(PRTG) 토큰 400만 개가 탈취되었습니다. 그러나 약 20시간 후, 공격자는 이를 다시 돌려보냈습니다. 양심의 가책 때문이 아니라, 해당 토큰의 일일 거래량이 332달러에 불과해 이를 처분하는 것이 수학적으로 불가능했기 때문입니다. 대한민국은 압수 자산을 경제적으로 무의미하게 만들었던 바로 그 '비유동성' 덕분에 위기를 모면할 수 있었습니다.
이 사건은 우스꽝스러우면서도 당혹스럽고 시사하는 바가 큽니다. 또한 하나의 경고이기도 합니다. 정부가 압수하여 보유한 암호화폐가 수십억 달러 규모로 늘어남에 따라, 법 집행의 의지와 이를 안전하게 보관하는 수탁 역량 사이��의 간극은 그 어느 때보다 벌어지고 있습니다.
국세청은 단속 성과를 생생하게 증명하고 싶어 했습니다. 압수한 Ledger 장치 사진을 자르거나 블러 처리하는 대신, 현장에서 찍은 원본 사진을 그대로 공개했습니다. 그중 한 장에는 Ledger Nano 옆에 놓인 종이가 찍혀 있었는데, 이는 소유자가 직접 적어서 장치와 함께 보관해 둔 백업 구문이었습니다.
국세청은 나중에 발표한 사과문에서 "더욱 생생한 정보를 전달하려다 보니 민감한 정보가 포함된 사실을 인지하지 못하고 부주의하게 원본 사진을 제공했다"라고 속내를 밝혔습니다. 다시 말해, 홍보팀 중 누구도 Ledger 옆에 있는 12개의 단어 조합이 장식품이 아니라 마스터 키라는 사실을 이해하지 못했던 것입니다.
보도자료가 게시된 지 몇 시간 만에 정체불명의 공격자가 지갑을 복구했습니다. 온체인 포렌식 결과는 전형적인 탈취 절차를 보여줍니다:
탈취한 자산으로 할 수 있는 일이 아무것도 없��었기 때문입니다.
PRTG(Pre-Retogeum)는 대부분의 사람들이 들어본 적 없는 토큰이며, 그럴만한 이유가 있습니다. 이 토큰은 단 하나의 중앙화 거래소인 MEXC에서만 거래되며, 24시간 거래량은 약 332달러에 불과합니다. 코인게코(CoinGecko)에 따르면, 단 59달러의 매도 주문만으로도 가격이 2% 폭락합니다.
이러한 유동성 환경에서 480만 달러를 현금화하려는 시도는 불가능에 가깝습니다. 공격자가 몇 주에 걸쳐 분할 매도를 시도했더라도 다음과 같은 상황에 직면했을 것입니다:
최초 전송 후 약 20시간이 지난 뒤, 공격자는 포기했습니다. "86c12"로 시작하는 탈취 지갑과 연결된 주소에서 400만 개의 PRTG 토큰을 모두 원래 주소로 돌려보냈습니다. 국세청의 보도자료는 가짜 돈이 가득 든 금고의 마스터 키를 노출했던 셈입니다.
만약 압수된 토큰이 비트코인(Bitcoin), 이더리움(Ether), 또는 티어 1 스테이블코인이었다면 자산은 영원히 사라졌을 것입니다. USDT나 ETH를 대상으로 똑같은 보안 운영(OpSec) 실수가 발생했다면, 10분 만에 토네이도 캐시(Tornado Cash)로 믹싱되어 회수가 불가능했을 것입니다. PRTG의 형편없는 시장 규모가 의도치 않은 에�어백 역할을 했습니다.
한국의 암호화폐 수탁 기록에 결함이 생긴 것은 이번 보도자료 사건뿐만이 아닙니다. 2021년에도 경찰 수사관들이 증거물 보관 창고에 있던 콜드 월렛에서 (현재 가치로 수백만 달러에 달하는) 22 BTC를 분실한 적이 있습니다. 근본 원인은 동일했습니다. 니모닉 구문 관리 부실, 멀티시그 정책 부재, 그리고 암호화폐를 일반 압수물처럼 취급한 보관 절차였습니다.
5년의 간격을 두고 동일한 국가의 두 법 집행 기관에서 발생한 이 두 사건은, 이것이 단지 국세청 홍보실의 운 나쁜 하루가 아니라 구조적인 문제임을 보여줍니다.
비단 한국만의 문제도 아닙니다. 전 세계 법 집행 기관들은 이제 단속 과정에서 하드웨어 지갑을 일상적으로 압수하고 있지만, 다음과 같은 내부 표준을 수립한 곳은 거의 없습니다:
대부분의 기관은 Ledger를 스마트폰처럼 취급합니다. 봉투에 담고, 라벨을 붙이고, 보관함에 넣는 식입니다. 국가 단위의 암호화폐 보유 규모가 수십억 달러로 커짐에 따라, 이러한 방식은 점점 더 큰 시스템적 위험을 초래하고 있습니다.
국세청 사건을 2025년 11월 미국 법무부(DOJ)가 '프린스 그룹(Prince Group)'의 돼지 도살 사기와 연루된 150억 달러 규모의 비트코인(약 127,271 BTC)을 압수한 사례와 비교해 보십시오. DOJ 역사상 최대 규모의 몰수였던 이 작업은 체이널리시스(Chainalysis) 기반의 추적, 국제 공조 영장 집행, 그리고 재무부 관리 하의 수탁 계좌로의 즉각적인 이체를 통해 수행되었습니다. 체이널리시스만 하더라도 지난 10년 동안 수백 건의 정부 압수 작업을 지원하며 약 126억 달러 규모의 불법 암호화폐 확보를 도왔습니다.
미국 정부는 현재 '전략적 비트코인 비축(Strategic Bitcoin Reserve)' 프레임워크에 따라 약 198,012 BTC(현재 가격 기준 약 183억 달러)를 보유하고 있습니다. 엘살바도르는 직접 매입을 통해 7,500 BTC를 보유하고 있으며, 부탄은 국가 차원의 채굴을 통해 약 6,000 BTC를 축적했습니다. 전 세계 정부는 이제 전체 비트코인 발행량의 2.3% 이상을 보유하고 있습니다.
DOJ의 정교한 툴과 국세청의 블러 처리되지 않은 JPEG 사진 사이의 운영상 격차는 기술력의 차이가 아니라, 표준 운영 절차(SOP)를 수립했느냐의 차이입니다. 많은 기관이 여전히 암호화폐 수탁을 즉흥적인 과제로 취급하고 있습니다.
국가 보유 자산이 늘어날수록 이러한 격차는 생존의 문제가 됩니다. DOJ 규모에서 단 한 번의 보안 운영(OpSec) 실패 — 편집되지 않은 트랜잭션 해시 노출, 콜드 스토리지 주소 유출, 부실한 서명자 교체 등 — 가 발생한다면 수백만 달러가 아닌 수십억 달러가 유출될 수 있습니다. 그리고 비트코인에는 비유동성이라는 안전장치가 존재하지 않습니다.
기관 수탁 업계는 이미 국세청 (NTS)을 곤경에 빠뜨렸던 질문들에 대한 답을 내놓았습니다. 현대적인 국가 및 기업용 수탁 스택은 다음과 같은 요소에 의존합니다.
이 중 어느 것도 생소한 기술이 아닙니다. Anchorage, BitGo, Fireblocks와 같은 기업들과 늘어나는 MPC 기반 수탁 업체들은 정부 수준의 솔루션을 즉시 사용 가능한 형태로 제공하고 있습니다. 기술이 병목 현상이 아닙니다. 제도적 규율이 문제입니다.
국세청 (NTS) 사건은 결말이 좋았기에 웃어넘길 수 있는 해프닝으로 끝났습니다. 하지만 이 사건은 규제 기관, 법 집행 기관 및 크립토 네이티브 기관들이 지금 내면화해야 할 네 가지 교훈을 담고 있습니다. 판돈이 수백억 달러가 아닌 수백만 달러 수준일 때 미리 배워야 합니다.
1. 표준 운영 절차는 사진 증거가 유출될 수 있음을 전제해야 합니다. 하드웨어 지갑이 포함된 급습 이미지는 기본적으로 마스킹 처리하거나 공개에서 제외해야 합니다. 홍보 팀이 암호화 비밀을 지키는 최후의 방어선이 되어서는 안 됩니다.
2. 압수된 암호화폐는 즉시 순환 (Rotate)시켜야 합니다. 자산이 회수되는 즉시 새로운 키가 생성된 정부 관리 멀티시그 지갑으로 이동해야 합니다. 원래의 하드웨어는 증거물로 보존되어야 하며, 압수 사실이 공식화된 이후에는 절대로 활성 수탁 장치로 사용되어서는 안 됩니다.
3. 비유동성은 보안 전략이 아닙니다. 한국은 PRTG 토큰이 시장에서 즉시 처분하기 어려운 상태였기 때문에 운이 좋았습니다. �다음번에 유출될 시드 구문은 ETH, USDC 또는 SOL로 가득 찬 지갑을 노출할 것이며, 그 어떤 시장 깊이로도 그 자금을 되찾아올 수 없을 것입니다.
4. 암호화폐 집행 교육은 증거물 취급 교육과 동일한 수준의 엄격함을 갖춰야 합니다. 압수된 차량을 촬영하는 경찰관이 실수로 차량 식별 번호 (VIN)와 등록 키를 대중에게 공개하는 일은 없습니다. 대부분의 기관에는 하드웨어 지갑에 대한 그와 동등한 수준의 규율이 아직 존재하지 않습니다.
정부가 암호화폐를 단순히 압수하는 단계를 넘어 국가 비축 자산으로 보유하는 단계로 이행함에 따라, 법 집행 기관뿐만 아니라 생태계 전체가 수준을 높여야 합니다. 세무 당국, 법원 시스템 및 국고 관리 부처는 기관급 인프라를 필요로 합니다. 즉, 압수된 주소를 모니터링하기 위한 신뢰할 수 있는 멀티체인 데이터 액세스, 트랜잭션 제출을 위한 고가용성 노드 서비스, 그리고 방어 가능한 관리 연속성 (Chain-of-custody) 기록을 생성하는 감사 등급의 API가 필수적입니다.
BlockEden.xyz는 기관 수탁의 규정 준수 및 신뢰성 요구 사항에 맞춰 구축된 27개 이상의 체인에 대한 엔터프라이즈급 블록체인 API 인프라를 제공합니다. 진지한 수탁자들이 다음번의 예시적인 헤드라인의 주인공이 되지 않도록 돕는 도구를 구축하고 있다면 저희의 API 마켓플레이스를 살펴보세요.
국세청 (NTS) 시드 구문 유출은 재미있는 사건으로 기억될 것입니다. 아무도 들어본 적 없는 토큰이 정부를 홍보 팀의 실수로부터 보호해 준 사건이기 때문입니다. 하지만 다음 사고에는 그런 행운이 따르지 않을 것입니다.
국가 비트코인 비축량이 늘어나고, 토큰화된 자산이 퍼블릭 체인으로 이동하며, 집행 압수가 특별한 사건이 아닌 일상적인 업무가 됨에 따라, 단 한 번의 운영 보안 (OpSec) 실수가 초래할 누적 노출 위험은 엄청납니다. 모든 사진작가, 인턴, 선의를 가진 공보관은 이제 수천억 원 규모의 자산 유출을 야기할 수 있는 잠재적 통로가 되었습니다.
아이러니하게도 암호 기술 자체는 문제가 아닙니다. Ledger는 제 역할을 다했습니다. Ethereum도 제 역할을 다했습니다. 블록체인은 서명자가 지시한 대로 400만 개의 토큰을 낯선 사람에게 전송하는 작업을 충실히 수행했습니다. 실패는 전적으로 인간의 몫이었습니다. 홍보 팀이 12개의 단어로 된 구문을 단순히 사진 장식 정도로 취급한 결과입니다.
크립토에 필요한 것은 더 나은 지갑이 아닙니다. 더 나은 습관이 필요합니다. 2026년, 각국 정부가 전 세계 비트코인의 2.3%와 수십억 달러 상당의 기타 디지털 자산을 보유하게 된 지금, 대중 앞에서 이러한 습관을 시행착오를 통해 배울 수 있는 여유는 빠르게 사라지고 있습니다.
출처:
9분마다 키 하나가 뚫립니다. 상위 1,000개의 이더리움 지갑이 9일 이내에 털립니다. 1,000억 달러 이상의 온체인 가치를 보호하는 암호화 기술을 무너뜨리는 데 필요한 큐비트 수가 20분의 1로 급감했습니다. 이는 종말론을 주장하는 트위터 스레드의 추측이 아닙니다. 2026년 3월 30일, 구글 퀀텀 AI (Google Quantum AI) 가 이더리움 재단 연구원 저스틴 드레이크 (Justin Drake) 와 스탠포드 암호학자 댄 보네 (Dan Boneh) 와 공동으로 발표한 57페이지 분량의 백서에 담긴 내용입니다.
지난 10년 동안 "양자 위협"은 소행성 충돌과 같은 범주로 취급되었습니다. 실제적이고 재앙적이지만, 당장 행동에 나설 필요가 없을 만큼 먼 미래의 일로 여겨졌습니다. 하지만 구글의 백서는 이 위협의 위치를 옮겨놓았습니다. 이 보고서는 이더리움에 대한 5가지 구체적인 공격 경로를 매핑하고, 대상 지갑과 계약을 명시했으며, 엔지니어들에게 IBM, 구글 및 수많은 자금력이 풍부한 스타트업의 공개된 로드맵과 직접 연결되는 수치인 '50만 개 미만의 물리적 큐비트'라는 지표를 제시했습니다. 즉, Q-Day (양자의 날) 가 구체적인 달력 일정으로 다가온 것입니다.
"양자 취약성에 대비한 타원 곡선 암호화폐 보안 (Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities)"이라는 제목의 이 논문은 주요 양자 하드웨어 연구소가 1994년의 이론적 공격이었던 쇼어 알고리즘 (Shor's algorithm) 을 비트코인, 이더리움, 그리고 secp256k1 또는 secp256r1을 사용하여 트랜잭션에 서명하는 거의 모든 체인의 보안 기초인 타원 곡선 이산 로그 문제 (ECDLP) 에 대한 단계별 공격 청사진으로 번역해낸 최초의 고된 엔지니어링 작업물입니다.
이 보고서가 이전의 예측보다 더 강력하게 다가오는 이유는 세 가지입니다.
첫째, 큐비트 수입니다. 이전의 학술적 연구들은 256비트 ECDLP를 해독하는 데 수백만 개의 물리적 큐비트가 필요할 것으로 예상했습니다. 구글 연구진은 회로 합성 개선, 오류 수정 오버헤드 최적화, 매직 스테이트 (magic states) 의 정밀한 라우팅을 통해 이 수치를 50만 개 미만으로 낮췄습니다. 이는 20배나 감소한 수치입니다. IBM은 2029년까지 10만 큐비트급 기기를 만들겠다고 공언했습니다. 구글은 비슷한 목표치를 공개하지 않았으나, 내부 로드맵 역시 비슷한 추세인 것으로 알려져 있습니다. 이제 50만 큐비트는 2050년대나 되어야 가능할 법한 먼 이야기가 아닙니다.
둘째, 실행 시간입니다. 이 보고서는 충분한 성능의 기기가 존재할 경우, 공개 키에서 단일 개인 키를 복구하�는 데 걸리는 양자 실행 시간이 며칠이나 몇 시간이 아닌, 단 9분 내외라고 추정합니다. 이 수치는 매우 중요합니다. 공격자가 탐지와 대응 사이의 짧은 시간 동안 얼마나 많은 고가치 대상을 털어낼 수 있는지를 결정하기 때문입니다.
셋째, 이더리움에 있어 가장 결정적인 부분으로, 저자들은 단순히 "ECDSA가 뚫린다"는 수준에서 멈추지 않았습니다. 그들은 프로토콜 스택 전체를 훑으며 피해 대상이 명시된 5가지의 뚜렷한 공격 표면을 식별했습니다.
이 보고서는 "모든 암호화폐가 같은 날 동시에 몰락한다"는 식의 안이한 프레임을 지양하고, 이더리움의 양자 노출을 5가지 벡터로 체계화했습니다.
1. 외부 소유 계정 (EOA) 침해. 이더리움 주소가 단 한 번이라도 트랜잭션에 서명하면, 해당 공개 키는 온체인에 영구적으로 기록되고 노출됩니다. 양자 공격자는 약 9분 만에 개인 키를 도출하여 지갑의 자금을 탈취할 수 있습니다. 구글의 분석에 따르면 ETH 잔액 기준 상위 1,000개의 지갑 (합계 약 2,050만 ETH 보유) 이 가장 경제적으로 합리적인 표적입니다. 키 하나당 9분이 소요된다면, 공격자는 9일 이내에 이 목록 전체를 비울 수 있습니다.
2. 관리자 제어 스마트 계약 탈취. 이더리움의 스테이블코인 생태계와 대부분의 실제 운영 중인 디파이 (DeFi) 프로토콜은 EOA가 제어하는 멀티�시그, 업그레이드 키, 민터 (minter) 권한에 의존합니다. 이 보고서는 주요 스테이블코인의 업그레이드 및 발행 권한을 가진 키를 포함하여 70개 이상의 관리자 제어 계약을 열거했습니다. 이러한 키가 침해되면 단순히 잔액을 훔치는 것에 그치지 않고, 공격자가 스테이블코인을 마음대로 발행하거나 동결하고, 계약 로직 자체를 재작성할 수 있게 됩니다. 구글은 약 2,000억 달러 규모의 스테이블코인과 토큰화된 자산이 이러한 취약한 키의 영향권 아래 있다고 추정합니다.
3. 지분 증명 (PoS) 검증인 키 침해. 이더리움의 합의 레이어는 BLS 서명을 사용하는데, 이 역시 타원 곡선 가정을 기반으로 하므로 쇼어 알고리즘에 의해 동일하게 무너집니다. 충분한 수의 검증인 개인 키를 확보한 공격자는 이론적으로 이중 서명 (equivocation) 을 하거나, 충돌하는 블록을 확정하거나, 최종성 (finality) 을 마비시킬 수 있습니다. 이 경우 위험 요소는 ETH 도난을 넘어 체인 자체의 무결성이 파괴되는 것입니다.
4. 레이어 2 (L2) 결제 침해. 보고서는 분석 범위를 주요 롤업 (Rollups) 으로 확장합니다. 옵티미스틱 롤업은 EOA가 서명하는 제안자 (proposer) 및 챌린저 키에 의존하며, ZK 롤업은 시퀀싱 및 증명을 위한 운영자 키에 의존합니다. 이 키들이 침해된다고 해서 기본 유효성 증명 자체가 깨지는 것은 아니지만, 공격자가 시퀀서 수수료를 가로채거나, 출금을 검열하거나, 최악의 경우 L2 예치금이 보관된 브릿지를 장악할 수 있습니다.
5. 과거 데이터 가용성의 영구적 위조. 암호학자들이 가장 우려하는 경로입니다. 초기 이더리움의 신뢰할 수 있는 설정 (Trusted Setup) 과 EIP-4844 블롭을 지원하는 KZG 세리머니는 강력��한 양자 컴퓨터가 공개된 결과물로부터 설정 비밀을 재구성하여 깨뜨릴 수 있는 가정에 기반하고 있습니다. 그 결과는 단순한 도난이 아니라, 영구적으로 유효해 보이는 가짜 과거 상태 증명을 생성할 수 있게 되는 것입니다. 이미 게시된 데이터는 키 교체와 같은 방식으로는 해결할 수 없는 문제입니다.
이 5가지 경로는 총 1,000억 달러 이상의 직접적인 위험을 초래하며, 체인 무결성에 대한 신뢰가 무너질 경우 그 피해 규모는 기하급수적으로 커질 수 있습니다.
이 논문의 미묘하지만 중요한 결론은, 두 체인 모두 동일한 secp256k1 곡선을 사용함에도 불구하고 이더리움의 양자 노출이 비트코인보다 더 깊다는 점입니다.
그 이유는 역방향 계정 추상화(account abstraction in reverse) 때문입니다. 비트코인의 UTXO 모델, 특히 탭루트(Taproot) 이후에는 공개 키의 해시에서 유도된 주소를 지원합니다. 즉, 공개 키는 지출 시점에만 공개됩니다. 주소를 재사용하지 않는 사용자는 브로드캐스트와 확정 사이의 몇 초 내외인 일회성 노출 창(one-shot exposure window)만 갖게 됩니다. 아직 사용되지 않고 그대로 보관된 주소에 있는 자금은 구조적으로 양자 내성(quantum-safe)을 갖도록 설계되었습니다.
이더리움에는 이러한 속성이 없습니다. EOA(외부 소유 계정)가 첫 번째 트랜잭션에 서명하�는 순간, 그 공개 키는 온체인에 영원히 남습니다. 이를 숨길 수 있는 "새 주소" 패턴이 존재하지 않습니다. 단 한 번이라도 거래한 지갑은 시간이 지나도 취약성이 줄어들지 않는 고정된 표적이 됩니다. 상위 1,000개 지갑에 들어 있는 2,050만 ETH는 단순히 이론적으로 노출된 것이 아니라, 충분히 강력한 기계를 기다리는 공개 원장에 영구적으로 지문이 찍혀 있는 상태입니다.
더 심각한 점은 이더리움이 계정을 포기하지 않고서는 키를 교체할 수 없다는 것입니다. 자금을 새 주소로 보내면 새 공개 키를 가진 새 계정이 생성되지만, 기존 주소와 연관된 ENS 이름, 컨트랙트 권한, 베스팅 권한, 거버넌스 허용 목록 등은 자금과 함께 이동하지 않습니다. 마이그레이션 비용은 단순히 토큰을 옮기기 위한 가스비뿐만 아니라, 기존 주소가 쌓아온 모든 관계를 해제하고 재설정하는 비용까지 포함됩니다.
구글의 논문과 병행하여 이더리움 재단은 2026년 3월 pq.ethereum.org를 개설했습니다. 이곳은 포스트 양자 연구, 로드맵, 오픈 소스 클라이언트 저장소, 주간 데브넷 결과 등을 다루는 공식 허브 역할을 합니다. 현재 10개 이상의 클라이언트 팀이 포스트 양자 프리미티브에 집중한 상호 운용성 데브넷을 운영 중이며, 커뮤니티는 2029년까지 L1 프로토콜 레이어 업그레이드를 완료하는 목표로 의견을 모았습니다. 이는 구글이 자사의 인증 서비스를 ECDSA에서 마이그레이션하기로 설정한 해와 동일합니다.
로드맵은 한 번의 거대한 포크가 아닌, 네 개의 하드 포크로 나누어 진행됩니다. 대략적인 내용은 다음과 같습니다.
비탈릭 부테린(Vitalik Buterin)은 2026년 2월 말, "검증자 서명, 데이터 저장, 계정, 증명 모두 업데이트가 필요하다"라고 적으며 이 네 가지 포크를 한 문장에 언급했습니다. 이는 부분적인 �업그레이드만으로는 충분하지 않다는 점을 암시하며 긴박함을 나타냈습니다.
과제는 암호학 자체가 아닙니다. NIST는 이미 ML-KEM, ML-DSA, SLH-DSA를 표준화했습니다. 진짜 과제는 ECDSA 가정을 하드코딩한 수천 개의 디앱(dApp)을 망가뜨리지 않고, 마이그레이션하지 않은 지갑에 잠들어 있는 수십억 달러 상당의 ETH를 고립시키지 않으면서, 3,000억 달러 이상의 가치를 지닌 라이브 네트워크에 이러한 프리미티브를 적용하는 것입니다.
이더리움과 비트코인 모두 기술적 로드맵만으로는 해결할 수 없는 거버넌스 문제에 직면해 있습니다. 바로 마이그레이션하지 않은 취약한 주소에 있는 코인은 어떻게 되는가 하는 점입니다.
이더리움 재단의 FAQ는 이 선택을 명확하게 제시합니다. 아무것도 하지 않거나, 아니면 동결하거나. 아무것도 하지 않는다는 것은 Q-Day(양자 컴퓨터가 암호를 해독하는 날)에 공격자가 제네시스 시대의 지갑, 초기 ICO 구매자, 키 분실자, 그리고 비탈릭 본인의 공공재 기여분 등을 포함해 공개 키가 알려진 모든 휴면 주소의 자금을 탈취하는 것을 의미합니다. 동결한다는 것은 마감 기한까지 마이그레이션하지 않은 주소의 출금을 무효화하기 위한 사회적 합의 기반의 조치를 의미합니다.
비트코인의 BIP 361, "포스트 양자 마이그레이션 및 레거시 서명 일몰(Post Quantum Migration and Legacy Signature Sunset)" 또한 동일한 트리레마�를 3단계 프레임워크로 제시합니다. 공동 저자인 에단 힐먼(Ethan Heilman)은 비트코인이 양자 저항 서명 스키마로 완전히 마이그레이션하는 데 대략적인 합의가 형성된 날로부터 7년이 걸릴 것으로 추정했습니다. 이는 2033년 기한을 맞추려면 2026년에 BIP 361이 실질적으로 통합되어야 하며, 2029년을 맞추려면 그보다 훨씬 빨라야 함을 의미합니다.
두 체인 모두 대규모 코인 무효화에 대한 전례가 없습니다. 이더리움은 2016년 DAO 해킹 당시 롤백을 단행한 적이 있지만, 그것은 단일 사건에 대한 번복이었지 암호학적 상태를 근거로 수백만 개의 무관한 지갑을 의도적으로 동결한 것이 아니었습니다. 이 결정은 결국 불변성(immutability)과 네트워크의 건전성(solvency) 중 무엇이 체인의 더 깊은 가치인지를 묻는 국민투표와 같은 성격을 띠게 될 것입니다.
2029 년이라는 마감 기한은 편안하게 느껴질 정도로 멀게 보일 수 있지만, 프로젝트가 준비되었는지 아니면 허둥대고 있는지를 결정짓는 결정은 2026 년과 2027 년에 내려집니다. 몇 가지 실질적인 영향이 즉시 나타나고 있습니다.
스마트 컨트랙트 설계자는 ECDSA 가정을 감사해야 합니다. ecrecover 를 하드코딩하거나, 불변의 서명자 주소를 포함하거나, EOA 서명 제안자 키에 의존하는 모든 컨트랙트는 업그레이드 경로가 필요합니다. 현재 관리자 키 없이 배포된 컨트랙트는 우아해 �보일 수 있지만, 포스트 퀀텀 시대에는 복구가 불가능해 보일 수 있습니다.
커스토디언(수탁 기관)은 지금 바로 키 순환(key-rotation) 관리를 시작해야 합니다. 수십억 달러를 관리하는 커스토디언은 단 하나의 Q-Day 주말 만에 모든 지갑을 교체할 수 없습니다. 키 순환, 노출 계층별 분리, 사전에 배치된 PQ 대응 콜드 스토리지는 2028 년이 아닌 2026 년에 해결해야 할 문제입니다.
브릿지 운영자는 가장 시급한 문제에 직면해 있습니다. 브릿지는 소수의 멀티시그(multisig) 키 뒤에 가치를 집중시킵니다. 경제적으로 합리적인 첫 번째 양자 공격은 무작위로 선택된 지갑을 목표로 하지 않을 것입니다. 대신 생태계에서 가장 가치 있는 단일 키를 노릴 것입니다. 브릿지는 하이브리드 PQ + ECDSA 서명을 가장 먼저 도입해야 합니다.
애플리케이션 팀은 4단계 포크 로드맵을 추적해야 합니다. PQ 시퀀스의 각 이더리움 하드 포크는 새로운 트랜잭션 유형과 검증 시맨틱을 도입할 것입니다. 업그레이드 기간에 뒤처지는 지갑, 인덱서, 블록 익스플로러 및 노드 운영자는 계획을 세웠다면 품위 있게 성능이 저하되겠지만, 그렇지 않다면 파멸적인 장애를 겪게 될 것입니다.
BlockEden.xyz 는 Ethereum, Sui, Aptos 및 기타 십여 개의 체인에서 프로덕션 RPC 및 인덱싱 인프라를 운영하며, 애플리케이션 개발자가 직접 신경 쓸 필요 없도록 각 네트워크의 포스트 퀀텀 마이그레이션 로드맵을 추적합니다. 현재의 암호화 기술 전환기뿐만 아니라 향후 10 년 동안 생존할 수 있도록 설계된 인프라 위에서 개발하려면 당사의 API 마켓플레이스를 살펴보세요.
Google 논문의 가장 깊은 기여는 기술적인 부분보다 사회학적인 부분일 수 있습니다. 지난 10 년 동안 "양자 내성(quantum-resistant)"은 주로 아무도 사용하지 않는 프로젝트에 붙는 마케팅 문구에 불과했습니다. 주요 체인들은 PQ 마이그레이션을 다음 세대 연구자들의 문제로 취급했습니다. Google, 저스틴 드레이크(Justin Drake), 댄 보네(Dan Boneh)가 작성한 57 페이지 분량의 논문은 단 한 번의 발표로 그 태도를 바꾸어 놓았습니다.
3 개월 동안 3 편의 양자 암호학 논문이 발표되었습니다. 현재의 양자 하드웨어와 암호학적으로 유의미한 컴퓨터 사이의 자원 격차가, 현재의 체인 프로토콜과 포스트 퀀텀 준비성 사이의 격차보다 더 빨리 좁혀지고 있다는 합의가 형성되었습니다. 이 두 곡선이 교차하는 지점(예측에 따라 2029 년에서 2032 년 사이)은 암호화폐 인프라가 직면한 가장 중요한 마감 기한입니다.
모호한 안심 대신 2026 년을 진지한 엔지니어링 작업의 해로 여기는 체인들은 그 너머에서도 살아남을 것입니다. 비탈릭(Vitalik)의 지갑이 도난당했다는 첫 번째 헤드라인이 나올 때까지 기다리는 체인들은 대응할 시간이 없을 것입니다.
2026년 3월 31일, Google은 암호학 커뮤니티에 충격을 준 연구 논문을 조용히 발표했습니다. 비트코인과 이더리움을 보호하는 타원 곡선 암호화를 해독하는 데 약 50만 개의 물리적 큐비트만 필요할 수 있다는 내용으로, 이는 Google 자체의 2019년 추정치보다 약 20배 적은 수치입니다. 이상적인 조건에서 충분히 강력한 양자 컴퓨터는 약 9분 안에 브로드캐스트된 트랜잭션에서 개인 키를 해독할 수 있습니다. 비트코인의 평균 10분 블록 간격을 고려하면, 공격자가 트랜잭션이 확인되기 전에 훔칠 확률이 41%에 달한다는 의미입니다.
블록체인에 대한 양자 위협은 이론에서 긴박한 현실로 이동했습니다. 그리고 세계 두 번째로 큰 스테이블코인 발행자인 Circle은 이를 예견하고 있었습니다.
세금 체납자의 아파트를 급습하여 하드웨어 지갑 4개를 압수하고, 회수된 증거물을 보여주는 승전보와 같은 보도 자료를 발표했다고 상상해 보십시오. 그런데 사진 속에 지갑의 시드 구문(seed phrase)이 선명하게 노출되어 있습니다. 그리고 몇 시간 만에 도둑이 지갑을 비우고, 경고의 의미로 토큰을 돌려주었으나, 당국이 대응하기도 전에 두 번째 도둑이 이를 다시 훔쳐갔다고 상상해 보십시오.
이것은 크립토 트위터상의 가상 시나리오가 아닙니다. 2026년 2월 말 대한민국 국세청(NTS)에 실제로 일어난 일입니다. 이 실수로 인해 정부는 압수한 약 480만 달러 상당의 프리 레토지움(Pre-Retogeum, PRTG) 토큰을 잃었으며, 늘어나는 압수 디지털 자산을 보유하기에는 대부분의 국가 기관이 얼마나 준비되지 않았는지를 여실히 드러냈습니다.