양자 컴퓨팅과 블록체인: 시급성과 실제 위협 일치시키기
글: Justin Thaler
번역: 백화블록체인
암호학 관련 양자 컴퓨터의 타임라인은 종종 과장되며, 이는 긴급하고 포괄적인 양자 이후 암호학(PQC) 전환을 요구하게 만든다.
그러나 이러한 요구는 조기 전환의 비용과 위험을 간과하며, 서로 다른 암호 원시 요소들 사이에 존재하는 명백히 다른 위험 프로파일도 무시한다.
양자 이후 암호화는 비용이 들지만 즉각 배포되어야 한다. '지금 수집하고 나중에 복호화하라(Harvest-Now-Decrypt-Later, HNDL)' 공격이 이미 진행 중이기 때문이다. 오늘날 암호화된 민감한 데이터는 수십 년 후에도 가치가 있을 것이며, 그때 양자 컴퓨터가 등장할 경우 이를 해독할 수 있다. 양자 이후 암호화의 성능 오버헤드와 구현 위험은 실제 존재하지만, HNDL 공격으로 인해 장기간 기밀성이 필요한 데이터는 선택의 여지가 없다.
반면 양자 이후 서명은 다른 고려사항을 갖는다. 이들은 HNDL 공격에 취약하지 않으며, 그 비용과 리스크(더 큰 크기, 성능 오버헤드, 미숙한 구현 및 오류)는 신중한 접근이 필요하며 즉각적인 전환보다는 신중한 검토가 우선되어야 한다.
이러한 차이는 매우 중요하다. 오해는 비용-편익 분석을 왜곡시키고 팀들이 버그(bugs)처럼 더 두드러진 보안 위험을 무시하게 만들 수 있다.
양자 이후 암호학으로의 성공적인 전환의 진정한 도전은 시급성과 실제 위협을 일치시키는 것이다. 아래에서는 양자가 암호학에 미치는 위협에 대한 일반적인 오해를 설명하며, 암호화, 서명 및 제로지식 증명에 초점을 맞추고 특히 블록체인에 미치는 영향을 강조하겠다.
우리의 타임라인은 어떻게 되는가?
주목받는 주장에도 불구하고, 2020년대에 암호학 관련 양자 컴퓨터(CRQC)가 등장할 가능성은 극히 낮다.
내가 말하는 '암호학 관련 양자 컴퓨터'란 Shor 알고리즘을 충분한 규모로 실행할 수 있는 오류 수정 및 내결함(fault-tolerant) 양자 컴퓨터를 의미하며, {secp}256{k}1 또는 {RSA-2048}을 한 달 이내의 지속적인 계산으로 깰 수 있어야 한다.
공개된 마일스톤과 자원 추정치에 대한 합리적인 해석을 하더라도, 우리는 암호학 관련 양자 컴퓨터까지 아직 아주 멀었다. 일부 회사는 CRQC가 2030년 이전 또는 최대 2035년 이전에 등장할 수 있다고 주장하지만, 현재 알려진 공개 진전은 이러한 주장을 뒷받침하지 못한다.
현재 모든 아키텍처—이온 트랩, 초전도 큐비트, 중성 원자 시스템—에서 오늘날의 양자 컴퓨팅 플랫폼은 {RSA-2048} 또는 {secp}256{k}1 공격에 필요한 수십만에서 수백만 개의 물리적 큐비트(오류율과 오류 정정 방식에 따라 다름)에 가까워지지도 못했다.
제한 요소는 단순히 큐비트 수뿐만 아니라 게이트 충실도, 큐비트 연결성, 그리고 깊은 양자 알고리즘 실행을 위한 지속적인 오류 정정 회로의 깊이이다. 일부 시스템은 이제 1,000개 이상의 물리적 큐비트를 넘었지만, 순수한 큐비트 수 자체는 오해의 소지가 있다. 이러한 시스템은 암호학 관련 계산에 필요한 큐비트 연결성과 게이트 충실도를 결여하고 있다.
최근의 시스템은 양자 오류 정정이 작동하기 시작하는 물리적 오류율에 가까워지고 있지만, 소수의 논리적 큐비트 이상에 대해 지속적인 오류 정정 회로 깊이를 입증한 사례는 없다. 게다가 Shor 알고리즘 실행에 필요한 수천 개의 고충실도, 깊은 회로, 내결함 논리적 큐비트는 더욱 멀다. 양자 오류 정정이 원리적으로 가능하다는 것을 입증하는 것과 암호해독에 필요한 규모로 실현하는 사이에는 여전히 거대한 격차가 있다.
요약하면, 큐비트 수와 충실도 모두 몇 차수(order of magnitude)만큼 향상되지 않는 한 암호학 관련 양자 컴퓨터는 여전히 요원한 미래이다.
그러나 기업 보도자료와 언론 보도는 쉽게 혼란을 야기할 수 있다. 여기에는 다음과 같은 일반적인 오해와 혼란의 원인이 포함된다.
현재 '양자 우월성(quantum advantage)'이라고 주장되는 시연은 인위적으로 설계된 작업을 대상으로 한다. 이러한 작업은 실용성 때문이 아니라 기존 하드웨어에서 실행 가능하면서도 큰 양자 가속을 보이는 듯하기 때문에 선택되며, 이 사실은 발표문에서 자주 모호하게 표현된다.
일부 회사는 수천 개의 물리적 큐비트를 구현했다고 주장한다. 그러나 이것은 양자 어닐링 머신을 의미하며, 공개키 암호학을 공격하기 위해 Shor 알고리즘을 실행하는 게이트 모델 기계가 아니다.
회사들이 '논리적 큐비트(logical qubit)'라는 용어를 자유롭게 사용한다. 물리적 큐비트는 노이즈가 많다. 앞서 언급했듯이 양자 알고리즘은 논리적 큐비트를 필요로 하며, Shor 알고리즘은 수천 개를 필요로 한다. 양자 오류 정정을 통해 여러 물리적 큐비트로 하나의 논리적 큐비트를 구현할 수 있으며, 오류율에 따라 수백에서 수천 개가 필요하다. 그러나 일부 회사는 이 용어를 심하게 확장하고 있다. 예를 들어 최근 발표에서는 거리 2 코드(distance-2 code)와 단 두 개의 물리적 큐비트를 사용하여 논리적 큐비트를 구현했다고 주장했는데, 이는 터무니없다. 거리 2 코드는 오류를 감지할 수는 있지만 정정할 수는 없기 때문이다. 암호해독에 사용되는 진정한 내결함 논리적 큐비트는 각각 수백에서 수천 개의 물리적 큐비트를 필요로 하며, 두 개가 아니다.
더 일반적으로, 많은 양자 컴퓨팅 로드맵은 '클리포드 연산(Clifford operations)'만 지원하는 큐비트를 가리켜 '논리적 큐비트'라고 부른다. 이러한 연산은 고전적으로 효율적으로 시뮬레이션 가능하므로 Shor 알고리즘 실행에는 부족하며, Shor 알고리즘은 수천 개의 오류 정정 T 게이트(또는 더 일반적인 비-클리포드 게이트)를 필요로 한다.
로드맵 중 하나가 'X년 안에 수천 개의 논리적 큐비트 달성'을 목표로 한다 하더라도, 이는 동일한 X년에 해당 회사가 Shor 알고리즘을 실행하여 고전 암호학을 깨겠다는 예측을 의미하지 않는다.
이러한 관행은 우리가 암호학 관련 양자 컴퓨터에 얼마나 가까운지를 판단하는 데 있어 대중뿐 아니라 숙련된 관찰자들 사이에서도 심각하게 왜곡된 인식을 만들어낸다.
물론 일부 전문가들은 진전에 흥분하고 있다. 예를 들어 Scott Aaronson은 최근 "현재의 놀라운 하드웨어 발전 속도"를 고려할 때,
다음 번 미국 대통령 선거 이전에 Shor 알고리즘을 실행하는 내결함 양자 컴퓨터를 갖게 될 가능성이 현실적이라고 생각한다고 썼다.
그러나 Aaronson은 나중에 자신의 발언이 암호학 관련 양자 컴퓨터를 의미하지 않는다고 밝혔다. 그는 15 = 3 × 5를 분해하는 완전히 내결함적인 Shor 알고리즘 실행만으로도 이를 달성한 것으로 간주한다고 말했다. 그러나 이 계산은 연필과 종이로 더 빠르게 수행할 수 있다. 기준은 여전히 암호학 관련 규모가 아닌 소규모 Shor 알고리즘 실행이며, 이전에 양자 컴퓨터에서 15를 분해한 실험들은 간소화된 회로를 사용했고 완전한 내결함 Shor 알고리즘이 아니었다. 또한 이러한 실험은 항상 15를 분해하는 데 집중하는 데 이유가 있다. mod 15 산술은 쉽지만, 21처럼 조금 더 큰 수를 분해하는 것은 훨씬 어렵기 때문이다. 따라서 21을 분해했다는 양자 실험은 일반적으로 추가적인 힌트나 우회 방법에 의존한다.
간단히 말해, 다음 5년 이내에 {RSA-2048} 또는 {secp}256{k}1을 깰 수 있는 암호학 관련 양자 컴퓨터가 등장할 것이라는 기대—실제 암호학에서 중요한—는 현재 알려진 진전으로 뒷받침되지 않는다.
10년조차도 야심찬 시간표다. 암호학 관련 양자 컴퓨터까지 얼마나 먼지를 고려하면, 진전에 흥분하는 것은 10년 이상의 타임라인과 완전히 부합한다.
그렇다면 미국 정부가 2035년을 정부 시스템의 완전한 양자 이후(PQ) 전환 마감일로 설정한 것은 어떠한가? 나는 이것이 그렇게 대규모 전환을 완료하기 위한 합리적인 시간표라고 생각한다. 그러나 그것은 그 시점에 암호학 관련 양자 컴퓨터가 존재할 것이라는 예측은 아니다.
HNDL 공격이 적용되는 경우와 그렇지 않은 경우
'지금 수집하고 나중에 복호화하라(HNDL)' 공격은 공격자가 현재 암호화된 통신을 저장해두고, 암호학 관련 양자 컴퓨터가 등장하면 나중에 복호화하려는 것을 의미한다. 국가 수준의 공격자는 이미 미국 정부의 암호화된 통신을 대규모로 아카이브하여, CRQC가 실제로 등장한 수년 후에 이를 복호화하려 할 것이다.
이 때문에 암호화는 즉각적인 전환이 필요하다—특히 10~50년 이상의 기밀성을 요구하는 경우엔 반드시 그렇다.
그러나 디지털 서명—모든 블록체인이 의존하는—은 암호화와 다르다: 기밀성을 역으로 공격할 수 없다.
즉, 암호학 관련 양자 컴퓨터가 등장하면 서명 위조가 그때부터 가능해지지만, 과거의 서명은 암호화된 메시지처럼 '숨겨진' 비밀을 갖고 있지 않다. CRQC 등장 이전에 생성된 디지털 서명이라는 사실을 알면, 그 서명이 위조될 수 없다.
이 때문에 양자 이후 디지털 서명으로의 전환은 암호화의 양자 이후 전환만큼 시급하지 않다.
주요 플랫폼들은 이에 따라 행동하고 있다: Chrome과 Cloudflare는 네트워크 전송층 보안(TLS) 암호화를 위해 하이브리드 {X}25519+{ML-KEM}을 도입했다.
이 글에서 읽기 편의를 위해 암호화 체계(cipher)라는 표현을 사용하겠지만, 엄밀히 말해 TLS 같은 보안 통신 프로토콜은 공개키 암호화보다는 키 교환 또는 키 캡슐화 메커니즘을 사용한다.
여기서 **'하이브리드'는 ** 양자 이후 안전 체계(즉 ML-KEM)와 기존 체계({X}25519)를 동시에 사용하여 두 가지 보안 보장을 얻는다는 의미이다. 이렇게 함으로써 ML-KEM으로 HNDL 공격을 차단할 수 있고(희망적으로), ML-KEM이 오늘날의 컴퓨터에 대해서조차 불안전하다는 것이 밝혀질 경우 {X}25519를 통해 고전적인 보안을 유지할 수 있다.
애플의 iMessage도 PQ3 프로토콜을 통해 이러한 하이브리드 양자 이후 암호화를 배포했으며, Signal도 PQXDH 및 SPQR 프로토콜을 통해 배포했다.
반면, 핵심 네트워크 인프라로 양자 이후 디지털 서명을 보급하는 것은 암호학 관련 양자 컴퓨터가 실제로 가까워질 때까지 미뤄지고 있다. 현재의 양자 이후 서명 체계는 성능 저하를 초래하기 때문이다(이 글 후반부에서 자세히 설명).
zkSNARKs—제로지식 간결 비대칭 지식 증명(zk-SNARKs)—은 서명과 유사한 위치에 있다. 비-양자 이후 안전한 {zkSNARKs}(오늘날의 비-양자 이후 암호화 및 서명 체계처럼 타원 곡선 암호학을 사용하는)의 경우에도, 제로지식 특성 자체는 양자 이후에도 안전하다.
제로지식 특성은 증명에서 비밀 증인(secret witness)에 관한 어떤 정보도 노출되지 않도록 보장하며, 양자 공격자에게조차 그러하다. 따라서 '지금 수집하고 나중에 복호화'할 수 있는 기밀 정보가 없다.
따라서 {zkSNARKs}는 '지금 수집하고 나중에 복호화' 공격에 취약하지 않다. 오늘날 생성된 비-양자 이후 서명이 안전한 것처럼, 암호학 관련 양자 컴퓨터 등장 이전에 생성된 모든 {zkSNARK} 증명은 신뢰할 수 있다(즉, 증명된 진술은 절대적으로 참이다)—비록 {zkSNARK}가 타원 곡선 암호학을 사용하더라도 말이다. 다만 암호학 관련 양자 컴퓨터 등장 이후에는 공격자가 허위 진술에 대한 설득력 있는 증명을 찾을 수 있게 된다.
블록체인에 미치는 영향
대부분의 블록체인은 HNDL 공격에 노출되지 않는다.
비트코인과 이더리움과 같은 대부분의 비-프라이버시 체인은 거래 승인을 위해 주로 비-양자 이후 암호학을 사용한다—즉 디지털 서명을 사용하며 암호화는 사용하지 않는다.
마찬가지로 이러한 서명은 HNDL 위험이 없다: '지금 수집하고 나중에 복호화' 공격은 암호화된 데이터에 적용된다. 예를 들어 비트코인 블록체인은 공개적이며, 양자 위협은 거래 데이터를 복호화하는 것이 아니라 서명 위조(자금을 훔치기 위해 개인키를 도출하는 것)이다. 이는 HNDL 공격으로 인한 즉각적인 암호화적 시급성을 제거한다.
그럼에도 불구하고 연방 준비제도(Fed)와 같은 신뢰할 수 있는 출처의 분석조차 비트코인이 HNDL 공격에 취약하다고 잘못 주장하는 경우가 있는데, 이는 양자 이후 암호학으로의 전환 시급성을 과장하는 오류이다.
물론 시급성이 낮아졌다고 해서 비트코인이 기다릴 수 있다는 의미는 아니다: 프로토콜 변경에 필요한 막대한 사회적 조정으로 인해 다른 타임라인 압박에 직면해 있다.
현재로서는 예외가 프라이버시 체인인데, 이들은 많은 경우 수취인과 금액을 암호화하거나 다른 방식으로 숨긴다. 양자 컴퓨터가 타원 곡선 암호학을 깰 수 있게 되면, 이러한 기밀성은 지금 당장 수집되어 추후 익명성을 제거당할 수 있다.
이러한 프라이버시 체인의 경우 공격의 심각성은 블록체인 설계에 따라 다르다. 예를 들어 Monero의 곡선 기반 링 서명과 키 이미지(이중 지출 방지를 위한 각 출력의 연결 가능 라벨)는 공개 원장 자체만으로도 지출 그래프를 추후 재구성할 수 있게 한다. 그러나 다른 체인에서는 피해가 더 제한적이며, 자세한 내용은 Zcash의 암호화 엔지니어이자 연구자인 Sean Bowe의 논의를 참고하라.
사용자의 거래가 암호학 관련 양자 컴퓨터에 의해 노출되어서는 안 된다면, 프라이버시 체인은 가능한 한 빠르게 양자 이후 원시 요소(또는 하이브리드 체계)로 전환해야 한다. 또는 체인 상에 복호화 가능한 비밀을 두지 않는 아키텍처를 채택해야 한다.
비트코인의 특별한 난제: 거버넌스 + 폐기된 코인
특히 비트코인의 경우, 양자 이후 디지털 서명으로 전환을 시작하도록 하는 두 가지 현실적인 요인이 있다. 두 요인 모두 양자 기술과 무관하다.
하나는 거버넌스 속도에 대한 우려이다: 비트코인은 변화가 느리다. 커뮤니티가 적절한 해결책에 합의하지 못하면, 논쟁의 여지가 있는 문제는 파괴적인 하드포크를 유발할 수 있다.
다른 우려는 비트코인의 양자 이후 서명 전환이 **수동적 이주가 될 수 없다는 점이다: 소유자는 반드시 자신의 코인을 능동적으로 이주해야 한다. 즉, 폐기된, 양자에 취약한 코인은 보호될 수 없다. 일부 추정에 따르면 양자에 취약하고 폐기된 BTC의 수는 수백만 개이며, 현재 가격 기준(2025년 12월 기준) 수백억 달러에 달한다.
그러나 비트코인에 대한 양자 위협은 갑작스럽고 일시적인 재난이 아니라, 선택적이고 점진적인 표적 공격 프로세스에 가깝다. 양자 컴퓨터는 모든 암호를 동시에 깨뜨리는 것이 아니라, Shor 알고리즘은 하나의 공개키를 한 번에 공격해야 한다. 초기의 양자 공격은 극도로 비싸고 느릴 것이다. 따라서 양자 컴퓨터가 단일 비트코인 서명 키를 깰 수 있게 되면, 공격자들은 고가치 지갑을 선택적으로 노릴 것이다.
또한 주소 재사용을 피하고 Taproot 주소를 사용하지 않는 사용자—이 주소는 체인 상에 직접 공개키를 노출한다—는 프로토콜 변경 없이도 크게 보호된다: 그들의 공개키는 코인이 사용되기 전까지 해시 함수 뒤에 숨겨져 있다. 마침내 사용 거래를 방송하면 공개키가 보이게 되며, 정직한 사용자가 거래 승인을 받는 것과, 양자 장비를 갖춘 공격자가 진정한 소유자의 거래가 확정되기 전에 개인키를 찾아 코인을 사용하려는 사이에 짧은 실시간 경쟁이 벌어진다. 따라서 진정으로 취약한 코인은 공개키가 이미 노출된 코인들이다: 초기의 P2PKK 출력, 주소 재사용, Taproot 보유분.
폐기된 취약 코인에 대한 간단한 해결책은 없다. 몇 가지 선택지는 다음과 같다:
비트코인 커뮤니티가 '마감일(flag day)'에 합의하여, 그 이후 이주되지 않은 모든 코인을 소각 선언한다.
폐기된 양자 취약 코인을 누구든지 암호학 관련 양자 컴퓨터를 가진 사람이라면 가져갈 수 있도록 한다.
두 번째 옵션은 심각한 법적 및 보안 문제를 야기한다. 개인키 없이 코인을 점유하는 행위—합법적인 소유권을 주장하거나 선의를 가졌다고 해도—많은 사법 관할권에서 절도 및 컴퓨터 사기법에 따라 심각한 문제를 일으킬 수 있다.
또한 '폐기' 자체는 비활동(inactivity)에 기반한 추정이다. 그러나 누구도 이러한 코인의 키를 가진 살아있는 소유자가 없는지 확실히 알지 못한다. 당신이 이 코인을 소유했다는 증거가 암호화 보호를 깨고 이를 회수할 수 있는 법적 권한을 제공하기에 충분하지 않을 수 있다. 이러한 법적 모호성은 폐기된 양자 취약 코인이 법적 제한을 무시할 의사가 있는 악의적 행위자에게 넘어갈 가능성을 높인다.
비트코인만의 마지막 문제는 낮은 거래 처리량이다. 이주 계획이 최종적으로 결정되더라도, 모든 양자 취약 자금을 양자 이후 안전 주소로 이주시키는 데 비트코인의 현재 거래 속도로는 수개월이 걸릴 것이다.
이러한 도전들은 비트코인이 양자 이후 전환 계획을 지금 바로 시작해야 한다는 것을 결정짓는다—암호학 관련 양자 컴퓨터가 2030년 이전에 등장할 가능성이 있어서가 아니라, 수십억 달러 가치의 코인을 이주하는 데 필요한 거버넌스, 조정 및 기술적 물류가 해결되려면 수년이 걸릴 것이기 때문이다.
비트코인에 대한 양자 위협은 현실적이지만, 타임라인 압박은 임박한 양자 컴퓨터 때문이 아니라 비트코인 자체의 제한에서 비롯된다. 다른 블록체인들도 각각 양자 취약 자금 문제에 직면해 있지만, 비트코인은 독특한 노출을 갖는다: 가장 초기 거래는 공개키로의 지불(P2PK) 출력을 사용하여 공개키를 직접 체인 상에 두었기 때문에 상당한 부분의 BTC가 암호학 관련 양자 컴퓨터 공격에 특히 취약하다. 이러한 기술적 차이점—더불어 비트코인의 오래됨, 가치 집중, 낮은 처리량 및 거버넌스 경직성—이 문제를 특히 심각하게 만든다.
참고로, 내가 위에서 설명한 취약점은 비트코인 디지털 서명의 암호학적 보안에 적용되지만, 비트코인 블록체인의 경제적 보안에는 적용되지 않는다. 이 경제적 보안은 작업증명(PoW) 합의 메커니즘에서 비롯되며, 양자 컴퓨터에 쉽게 공격당하지 않는다. 그 이유는 세 가지다:
PoW는 해시에 의존하므로 Grover 검색 알고리즘의 이차적 양자 가속만 받으며, Shor 알고리즘의 지수적 가속은 받지 않는다.
Grover 검색을 구현하는 실제 오버헤드로 인해 어떤 양자 컴퓨터도 비트코인 PoW 메커니즘에서 심지어 적절한 실질적 가속을 이루는 것이 거의 불가능하다.
심지어 상당한 가속이 이루어지더라도, 이는 소규모 채굴자보다 대규모 양자 채굴자에게 이점을 줄 뿐, 비트코인의 경제적 보안 모델을 근본적으로 파괴하지는 않는다.
양자 이후 서명의 비용과 리스크
왜 블록체인이 양자 이후 서명 배포를 서두르지 말아야 하는지를 이해하려면, 성능 비용과 양자 이후 보안에 대한 우리의 신뢰가 계속 진화하고 있다는 점을 이해해야 한다.
대부분의 양자 이후 암호학은 다음 다섯 가지 방법 중 하나에 기반한다:
-
해시 (hashing)
-
코드 (codes)
-
격자 (lattices)
-
다변수 이차 시스템 (multivariate quadratic systems, MQ)
-
동형사상 (isogenies).
왜 다섯 가지 다른 방법이 있는가? 양자 이후 암호 원시 요소의 보안은 양자 컴퓨터가 특정 수학적 문제를 효율적으로 해결할 수 없다는 가정에 기반한다. 그 문제가 더 '구조화'될수록, 우리가 그로부터 구성할 수 있는 암호 프로토콜은 더 효율적이 된다.
하지만 이는 장단점이 있다: 추가적인 구조는 공격 알고리즘에 더 많은 활용 공간을 제공한다. 이는 근본적인 모순을 만들어낸다—강한 가정은 더 나은 성능을 가능하게 하지만, 잠재적인 보안 취약점(즉, 가정이 틀렸다는 것이 밝혀질 가능성)의 대가를 치른다.
일반적으로 해시 기반 방법은 보안 측면에서 가장 보수적이며, 양자 컴퓨터가 이러한 프로토콜을 효과적으로 공격할 수 없다는 데 대해 우리가 가장 확신한다. 그러나 성능은 가장 나쁘다. 예를 들어 NIST가 표준화한 해시 기반 서명 체계는 최소 매개변수 설정에서도 크기가 7~8KB이다. 반면 오늘날 타원 곡선 기반 디지털 서명은 64바이트에 불과하다. 이는 약 100배의 크기 차이이다.
격자 기반 체계는 현재 배포의 주요 초점이다. NIST가 표준화를 위해 선택한 암호화 체계 하나와 서명 알고리즘 세 개 중 두 개가 모두 격자 기반이다. 격자 체계 하나인 ML-DSA(이전 이름 Dilithium)는 서명 크기가 128비트 보안 수준에서 2.4KB, 256비트 보안 수준에서 4.6KB까지 다양하며, 오늘날 타원 곡선 기반 서명보다 약 40~70배 더 크다. 다른 격자 체계인 Falcon은 약간 작은 서명을 갖는다(Falcon-512: 666바이트, Falcon-1024: 1.3KB) 하지만 복잡한 부동소수점 연산을 포함하며, NIST 자체가 이를 특별한 구현 과제로 표시했다. Falcon의 창시자 중 한 명인 Thomas Pornin은 이를 "내가 구현한 가장 복잡한 암호 알고리즘"이라고 불렀다.
격자 기반 디지털 서명의 구현 보안도 타원 곡선 기반 서명 체계보다 더 도전적이다: ML-DSA는 더 많은 민감한 중간값과 비단순한 거부 샘플링 논리를 갖춰 사이드채널 및 오류 보호가 필요하다. Falcon은 상수시간 부동소수점 문제를 추가하며, 실제로 Falcon 구현에 대한 여러 사이드채널 공격이 비밀 키를 복구한 바 있다.
이러한 문제들은 암호학 관련 양자 컴퓨터의 먼 위협보다 즉각적인 리스크를 구성한다.
성능이 더 높은 양자 이후 암호학 방법을 배포할 때는 신중할 이유가 충분하다. 역사적으로 Rainbow(MQ 기반 서명 체계)와 SIKE/SIDH(동형사상 기반 암호 체계) 같은 선두 후보들이 고전적으로도, 즉 오늘날의 컴퓨터로도, 양자 컴퓨터가 아니라 깨졌다.
이는 NIST 표준화 과정의 후반 단계에서 발생했다. 건강한 과학이 작동한 것이지만, 너무 이른 표준화와 배포가 역효과를 낼 수 있음을 보여준다.
앞서 언급했듯이, 인터넷 인프라는 서명 이주에 신중한 접근을 하고 있다. 한 번 시작되면 암호 전환이 얼마나 오래 걸리는지를 고려하면 이는 특히 주목할 만하다. MD5 및 SHA-1 해시 함수의 전환—기술적으로 이미 몇 년 전에 네트워크 관리 기관에 의해 폐기되었음—은 인프라에 실제로 구현되기까지 수년이 걸렸으며, 일부 경우 아직 진행 중이다. 이는 이러한 체계가 단지 미래 기술에 잠재적으로 취약한 것이 아니라 완전히 깨졌기 때문에 발생한 일이다.
블록체인과 인터넷 인프라의 독특한 도전
다행히 이더리움이나 솔라나처럼 오픈소스 개발자 커뮤니티에 의해 적극적으로 유지되는 블록체인은 전통적인 네트워크 인프라보다 더 빠르게 업그레이드할 수 있다. 반면 전통적인 네트워크 인프라는 자주적인 키 교체 덕분에, 공격 면이 초기 양자 기계가 표적을 삼는 속도보다 빠르게 움직이는 이점을 갖는다—이것은 블록체인에겐 사치인데, 코인과 관련 키는 무한정 노출될 수 있기 때문이다.
그러나 전반적으로 블록체인은 여전히 네트워크의 신중한 서명 이주 접근법을 따르는 것이 좋다. 두 설정 모두 서명은 HNDL 공격에 노출되지 않으며, 키가 얼마나 오래 지속되든 상관없이, 미숙한 양자 이후 체계로 너무 일찍 전환하는 비용과 리스크는 여전히 크다.
또한 너무 일찍 전환하는 것이 특히 위험하고 복잡한 블록체인만의 도전도 있다: 예를 들어 블록체인은 서명 체계에 독특한 요구사항이 있는데, 특히 많은 서명을 빠르게 집계할 수 있어야 한다는 점이다. 오늘날 BLS 서명은 매우 빠른 집계가 가능하기 때문에 자주 사용되지만, 양자 이후에 안전하지 않다. 연구자들은 SNARK 기반의 양자 이후 서명 집계를 탐색하고 있다. 이 작업은 유망하지만 여전히 초기 단계이다.
SNARK의 경우, 커뮤니티는 현재 주도적인 양자 이후 옵션으로 해시 기반 구조에 집중하고 있다. 그러나 큰 전환이 다가오고 있다: 나는 향후 몇 개월 및 몇 년 안에 격자 기반 옵션이 매력적인 대안이 될 것이라고 믿는다. 이러한 대안은 증명 길이가 더 짧다는 점을 포함하여 여러 면에서 해시 기반 {SNARKs}보다 더 나은 성능을 제공할 것이며, 이는 격자 기반 서명이 해시 기반 서명보다 더 짧은 것과 유사하다.
현재 더 큰 문제: 구현 보안
향후 수년간 구현 취약점은 암호학 관련 양자 컴퓨터보다 더 큰 보안 리스크가 될 것이다. {SNARKs}의 경우 주요 관심사는 프로그램 오류(bugs)이다.
버그는 이미 디지털 서명 및 암호 체계에서 도전 과제였으며, {SNARKs}는 훨씬 더 복잡하다. 실제로 디지털 서명 체계는 "나는 내 공개키에 대응하는 개인키를 알고 있으며, 이 메시지를 승인합니다."라는 진술에 대해 매우 간단한 {zkSNARK}로 간주될 수 있다.
양자 이후 서명의 경우 즉각적인 리스크는 사이드채널 및 오류 주입 공격과 같은 구현 공격도 포함된다. 이러한 공격 유형은 문서화되어 있으며, 배포된 시스템에서 비밀 키를 추출할 수 있다. 이들은 먼 양자 컴퓨터보다 더 시급한 위협을 구성한다.
커뮤니티는 {SNARKs} 내 버그를 식별하고 수정하며, 사이드채널 및 오류 주입 공격에 저항하도록 양자 이후 서명 구현을 강화하는 데 수년을 투자할 것이다. 양자 이후 {SNARKs} 및 서명 집계 체계에 관한 논의가 아직 끝나지 않았기 때문에, 너무 일찍 전환하는 블록체인은 하위 최적 체계에 묶일 위험이 있다. 더 나은 옵션이 등장하거나 구현 취약점이 발견되면 다시 이주해야 할 수도 있다
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
a16z
