BIP-360 해설: 비트코인, 양자 공격에 대비하는 첫걸음을 내딛다 — 하지만 왜 이것이 단지 ‘첫 번째 단계’일까?
작성: Cointelegraph
번역: AididiaoJP, Foresight News
핵심 포인트
- BIP-360은 비트코인의 장기 기술 로드맵에 양자 내성(quantum resistance)을 공식적으로 포함시킨 첫 번째 제안으로, 급진적인 암호학적 체계 전환보다는 신중하고 점진적인 기술 진화를 표방한다.
- 양자 위협은 주로 노출된 공개 키(public key)를 대상으로 하며, 비트코인이 사용하는 SHA-256 해시 알고리즘에는 직접적인 영향을 미치지 않는다. 따라서 개발자들이 집중 해결하고자 하는 핵심 보안 과제는 공개 키 노출 최소화이다.
- BIP-360은 ‘머클 루트 지불(P2MR, Pay-to-Merkle-Root)’ 스크립트를 도입하여 탭루트(Taproot) 업그레이드에서 제공되던 키 경로 지불(key-path spending) 옵션을 완전히 제거함으로써, 모든 UTXO 지불이 반드시 스크립트 경로(script path)를 통해 이뤄지도록 강제함으로써 타원곡선 공개 키의 노출 위험을 극대한 수준까지 낮춘다.
- P2MR은 여전히 탭스크립트(Tapscript) 머클 트리를 통해 다중 서명(multisig), 타임록(time lock), 복잡한 에스크로 구조 등 스마트 계약의 유연성을 유지한다.
비트코인의 설계 철학은 그가 직면하는 엄격한 경제적·정치적·기술적 도전에 견딜 수 있도록 한다. 2026년 3월 10일 기준, 개발자 팀은 새로운 기술적 위협—즉 양자 컴퓨팅—에 대응하기 시작했다.
최근 발표된 비트코인 개선 제안(BIP) 360(BIP-360)은 양자 내성을 비트코인의 장기 기술 로드맵에 공식적으로 포함시킨 최초의 문서이다. 일부 언론 보도는 이를 중대한 전환으로 묘사하려 하지만, 실제 상황은 훨씬 신중하고 점진적이다.
본 기사는 BIP-360이 어떻게 P2MR 스크립트를 도입하고 탭루트의 키 경로 지불 기능을 제거함으로써 비트코인의 양자 위험 노출을 줄이는지 심층적으로 분석한다. 또한 이 제안이 어떤 개선점을 제공하며, 어떤 타협을 요구하는지, 그리고 왜 이것이 비트코인을 완전한 후양자 시큐어(post-quantum secure) 상태로 만들지 못하는지를 설명한다.
양자 컴퓨팅이 비트코인에 미치는 위협의 근원
비트코인의 보안은 암호학에 기반하며, 주로 타원곡선 디지털 서명 알고리즘(ECDSA)과 탭루트 업그레이드를 통해 도입된 슈노어(Schnorr) 서명을 포함한다. 전통적인 컴퓨터는 실용적인 시간 내에 공개 키로부터 비밀 키를 역산할 수 없다. 그러나 충분한 성능을 갖춘 양자 컴퓨터가 쇼어 알고리즘(Shor’s algorithm)을 실행한다면 타원곡선 이산 로그 문제(ECDLP)를 해독할 수 있어, 결과적으로 비밀 키의 안전성이 위협받게 된다.
여기서 중요한 차이점은 다음과 같다:
- 양자 공격은 주로 공개 키 암호 체계를 대상으로 하며, 해시 함수에는 영향을 미치지 않는다. 비트코인이 사용하는 SHA-256 알고리즘은 양자 컴퓨팅 환경에서도 비교적 탄탄하다. 그로버 알고리즘(Grover’s algorithm)은 단지 제곱근 수준의 가속만 가능할 뿐, 지수급 가속은 불가능하다.
- 실제 위험은 블록체인 상에서 공개 키가 공개되는 순간에 발생한다.
따라서 커뮤니티는 일반적으로 공개 키 노출을 가장 주요한 양자 위협 원천으로 간주한다.
2026년 기준 비트코인의 잠재적 취약점
비트코인 네트워크 내 다양한 주소 유형은 미래의 양자 위협에 대해 서로 다른 취약 수준을 보인다:
- 반복 사용 주소: 해당 주소에서 자금이 사용될 때 공개 키가 블록체인 상에 노출되며, 향후 암호학 관련 양자 컴퓨터(CRQC)가 등장하면 해당 공개 키는 위험에 처하게 된다.
- 구식 공개 키 지불(P2PK) 출력: 초기 비트코인 거래에서는 공개 키를 직접 거래 출력에 기재하였다.
- 탭루트 키 경로 지불: 탭루트 업그레이드(2021년)는 두 가지 지불 경로를 제공하였다. 하나는 간결한 키 경로(지불 시 조정된 공개 키가 노출됨)이며, 다른 하나는 스크립트 경로(머클 증명을 통해 특정 스크립트가 노출됨)이다. 이 중 키 경로가 양자 공격에 대한 이론상 가장 주요한 약점이다.
BIP-360은 바로 이 키 경로 노출 문제를 직접 해결하기 위해 설계되었다.
BIP-360의 핵심 내용: P2MR 도입
BIP-360 제안은 ‘머클 루트 지불(P2MR)’이라는 새로운 출력 유형을 추가한다. 이 유형은 구조 면에서 탭루트를 모방하지만, 한 가지 결정적인 변경 사항을 포함한다: 키 경로 지불 옵션을 완전히 제거한다.
탭루트가 내부 공개 키(internal public key)를 약속하는 것과 달리, P2MR은 오직 스크립트 트리의 머클 루트(Merkle root)만을 약속한다. P2MR 출력을 사용하는 절차는 다음과 같다:
스크립트 트리 내 하나의 리프 스크립트(leaf script)를 공개한다.
해당 리프 스크립트가 약속된 머클 루트에 속함을 입증하는 머클 증명(Merkle proof)을 제공한다.
전 과정에서 공개 키 기반의 어떠한 지불 경로도 존재하지 않는다.
키 경로 지불 제거가 초래하는 직접적 영향은 다음과 같다:
- 공개 키를 직접 노출시키는 서명 검증을 피할 수 있다.
- 모든 지불 경로는 양자 내성력이 더 높은 해시 기반 약속(hash-based commitment)에 의존한다.
- 블록체인 상에 장기간 남아 있는 타원곡선 공개 키의 수가 현저히 감소한다.
- 타원곡선 가정에 의존하는 방식보다 해시 기반 방법은 양자 공격에 대해 훨씬 우수한 저항력을 갖추고 있어, 잠재적 공격 면적이 크게 축소된다.
BIP-360이 유지하는 기능
흔한 오해 중 하나는 키 경로 지불을 포기하면 비트코인의 스마트 계약 또는 스크립트 기능이 약화된다는 것이다. 사실 P2MR은 다음 기능을 완전히 지원한다:
- 다중 서명 구성
- 타임록
- 조건부 지불
- 자산 상속 계획
- 고급 에스크로 설정
BIP-360은 이러한 모든 기능을 탭스크립트 머클 트리를 통해 구현한다. 이 방식은 완전한 스크립트 기능을 유지하면서도, 편리하지만 잠재적 위험이 있는 직접 서명 경로를 포기한다.
배경 지식: 나카모토는 초기 포럼 논의에서 양자 컴퓨팅을 간략히 언급하며, 양자 컴퓨팅이 현실화될 경우 비트코인이 더 강력한 서명 방식으로 전환할 수 있다고 언급하였다. 이는 미래 업그레이드를 위한 유연성을 확보하는 것이 비트코인의 초기 설계 사상 중 하나임을 시사한다.
BIP-360의 실무적 영향
BIP-360은 순수 기술 개선처럼 보이지만, 월렛, 거래소, 에스크로 서비스 등 다양한 계층에 광범위한 영향을 미칠 것이다. 이 제안이 채택될 경우, 새로운 비트코인 출력의 생성, 사용, 보관 방식을 점진적으로 재정의하게 되며, 특히 장기 양자 내성을 중시하는 사용자에게 깊은 영향을 줄 것이다.
- 월렛 지원: 월렛 애플리케이션은 선택 가능한 P2MR 주소(예: ‘bc1z’로 시작)를 ‘양자 강화(quantum-hardened)’ 옵션으로 제공하여, 사용자가 새 자금을 수령하거나 장기 보유 자산을 저장할 수 있도록 할 수 있다.
- 거래 수수료: 스크립트 경로 사용은 더 많은 증거 데이터(witness data)를 필요로 하므로, 탭루트 키 경로 지불보다 P2MR 거래가 약간 더 크고, 결과적으로 거래 수수료가 약간 증가할 수 있다. 이는 보안성과 거래의 간결성 사이에서 이루어지는 타협을 반영한다.
- 생태계 협업: P2MR의 전면 배포는 월렛, 거래소, 에스크로 기관, 하드웨어 월렛 등 다양한 이해관계자의 상응하는 업데이트를 요구한다. 관련 계획 및 조율 작업은 수년 전부터 시작되어야 한다.
배경 지식: 각국 정부는 이미 ‘먼저 수집 후 해독(collect-now-decrypt-later)’ 위협을 인식하고 있으며, 이는 현재 암호화된 데이터를 대량으로 수집·저장해두고 향후 양자 컴퓨터가 등장하면 이를 해독하려는 전략이다. 이 전략은 비트코인에서 이미 노출된 공개 키에 대한 잠재적 우려와 동일한 맥락이다.
BIP-360의 명확한 한계
BIP-360은 비트코인의 미래 양자 위협에 대한 방어 능력을 강화하지만, 이는 완전한 암호학적 체계 재구성은 아니다. 이 제안의 한계를 이해하는 것도 매우 중요하다:
- 기존 자산은 자동으로 업그레이드되지 않음: 사용자가 자금을 P2MR 출력으로 직접 이체하기 전까지, 기존의 미사용 거래 출력(UTXO)은 여전히 취약성을 지닌다. 따라서 마이그레이션 과정은 전적으로 사용자의 개별 행동에 달려 있다.
- 신규 후양자 서명을 도입하지 않음: BIP-360은 기존 ECDSA 또는 슈노어 서명을 대체하기 위해 격자 기반 서명(예: Dilithium 또는 ML-DSA)이나 해시 기반 서명(예: SPHINCS+)을 채택하지 않는다. 단지 탭루트 키 경로에서 발생하는 공개 키 노출 패턴만 제거할 뿐이다. 기반 계층에서 전면적으로 후양자 서명으로 전환하려면 훨씬 규모가 큰 프로토콜 변경이 필요하다.
- 절대적인 양자 면역을 제공하지 않음: 만일 갑작스럽게 실용화 가능한 CRQC가 등장하더라도, 그 충격을 완화하려면 마이너, 노드, 거래소, 에스크로 기관 간 대규모·고강도 협업이 필요하다. 장기간 미사용 상태로 남아 있는 ‘잠자는 코인(sleeping coins)’은 복잡한 거버넌스 문제를 야기하며 네트워크에 막대한 부담을 줄 수 있다.
개발자들의 선제적 전략 수립 동기
양자 컴퓨팅 기술 발전의 경로는 불확실성이 크다. 일부 관점에서는 실용화까지 수십 년이 걸릴 것으로 예측하지만, 다른 관점에서는 IBM이 2020년대 말 목표로 삼는 오류 정정 양자 컴퓨터, 구글의 양자 칩 돌파, 마이크로소프트의 위상 양자 컴퓨팅 연구, 미국 정부가 설정한 2030–2035년 암호 시스템 전환 기한 등이 관련 기술의 가속화를 시사한다.
핵심 인프라의 전환에는 긴 시간 주기가 필요하다. 비트코인 개발자들은 BIP 설계, 소프트웨어 구현, 인프라 적응, 사용자 채택 등 전 과정에 걸친 체계적 계획이 필수적임을 강조한다. 양자 위협이 임박한 상황에서야 움직이게 되면, 시간 부족으로 인해 수동적으로 대응할 수밖에 없게 될 것이다.
커뮤니티가 광범위한 합의에 도달한다면, BIP-360은 단계적 소프트포크 방식으로 추진될 수 있다:
- P2MR 신규 출력 유형 활성화
- 월렛, 거래소, 에스크로 기관이 점진적으로 이를 지원하도록 업데이트
- 사용자가 수년에 걸쳐 자산을 새 주소로 점진적으로 이체
이 과정은 이전 세그윗(SegWit) 및 탭루트 업그레이드가 거쳐간 ‘선택적 사용 → 광범위 적용’의 경로와 유사하다.
BIP-360을 둘러싼 광범위한 논의
BIP-360의 시행 시기 및 잠재적 비용에 대한 논의는 여전히 진행 중이다. 핵심 논점은 다음과 같다:
- 장기 보유자에게 약간 증가하는 수수료 부담이 용인 가능한가?
- 기관 사용자가 먼저 자산 이체를 수행하여 모범 사례를 제시해야 하는가?
- 영원히 이동되지 않을 ‘잠자는’ 비트코인에 대해 어떻게 적절히 대처해야 하는가?
- 월렛 애플리케이션이 ‘양자 보안’ 개념을 사용자에게 정확히 전달하되, 불필요한 공포를 유발하지 않으면서도 효과적인 정보를 제공하려면 어떻게 해야 하는가?
이러한 논의는 여전히 계속되고 있다. BIP-360의 제안은 관련 논의를 심화시켰으나, 아직 모든 질문에 대한 해답을 제시하지는 못했다.
배경 지식: 양자 컴퓨터가 현재 암호학을 해독할 수 있다는 이론적 구상은 1994년 수학자 피터 쇼어(Peter Shor)가 쇼어 알고리즘을 제안했을 때부터 시작되었으며, 이는 비트코인의 출현보다 훨씬 이른 시기이다. 따라서 비트코인이 미래 양자 위협에 대해 계획하는 것은, 이미 30년 이상 된 이 이론적 돌파를 받아들이는 행위라 할 수 있다.
사용자가 현재 취할 수 있는 대응 조치
현재 양자 위협은 당장 다가온 위험이 아니므로, 사용자는 과도한 걱정을 할 필요가 없다. 그러나 신중한 조치를 취하는 것은 유익하다:
- 주소 재사용을 피하는 원칙을 준수한다.
- 항상 최신 버전의 월렛 소프트웨어를 사용한다.
- 비트코인 프로토콜 업그레이드 관련 동향을 주의 깊게 살핀다.
- 월렛 애플리케이션이 언제 P2MR 주소 유형을 지원하기 시작할지 주시한다.
- 대량의 비트코인을 보유한 사용자는 자신의 위험 노출 정도를 조용히 평가하고, 이에 따른 비상 계획(contingency plan)을 고려해야 한다.
BIP-360: 양자 내성 시대를 향한 첫걸음
BIP-360은 프로토콜 수준에서 비트코인의 양자 위험 노출을 줄이기 위한 첫 번째 구체적인 조치를 의미한다. 이는 새 출력의 생성 방식을 재정의함으로써 공개 키의 우발적 유출을 최소화하고, 장기적인 마이그레이션 계획을 위한 기반을 마련한다.
이 제안은 기존 비트코인을 자동으로 업그레이드하지 않으며, 현재의 서명 체계를 그대로 유지한다. 동시에 진정한 양자 내성 보안을 달성하기 위해서는 신중한 조율과 생태계 전체를 아우르는 지속적인 노력이 필요하다는 사실을 강조한다. 이는 장기적인 엔지니어링 실천과 단계적 커뮤니티 채택에 의존하며, 단일 BIP 제안으로 일蹴할 수 있는 문제가 아니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@Cointelegraph
