지갑 1개를 9분 만에 해독: 구글의 양자 컴퓨팅 논문이 암호화 커뮤니티를 강타하다, 비트코인의 ‘Y2K 순간’이 도래했는가?
저자: 카피칠라, TechFlow
3월 31일, 구글 양자 AI 팀은 제목은 평이하지만 내용은 충격적인 백서를 발표했다.
논문의 핵심 결론은 다음과 같다: 비트코인과 이더리움 지갑을 보호하는 타원곡선 암호화(ECC-256)를 해독하는 데 필요한 양자 컴퓨팅 자원이 기존 추정치보다 약 20배 적다는 것이다. 구체적으로는, 초전도 양자 컴퓨터에서 약 1200개 미만의 논리 양자 비트(logical qubit)와 9000만 개의 토폴리 게이트(Toffoli gate)만으로도 약 50만 개의 물리 양자 비트(physical qubit)를 사용해 단 몇 분 만에 ECC-256를 해독할 수 있다는 것이다.
같은 날, 캘리포니아공과대학(Caltech)과 양자 하드웨어 스타트업 오라토믹(Oratomic)은 또 다른 논문을 발표했는데, 그 결론은 더욱 급진적이었다. 중성 원자(neutral atom) 아키텍처 기반 양자 컴퓨터를 사용하면 최소 약 1만 개의 물리 양자 비트만으로도 공격을 시작할 수 있으며, 약 2만 6000개의 양자 비트를 활용하면 ECC-256를 약 10일 안에 해독할 수 있다는 것이다.
이 두 논문이 함께 제시되면서, 암호화 산업 역사상 가장 심각한 양자 위협 경고가 발령된 셈이다.
“이론상 먼 위협”에서 “날짜를 세며 기다리는 역행 카운트다운”으로
이 두 논문의 충격적 영향력을 이해하려면 다음 시간선을 살펴봐야 한다: 2012년 학계는 ECC-256 해독에 약 10억 개의 물리 양자 비트가 필요하다고 추정했다. 2023년 다니엘 리친스키(Daniel Litinski)의 논문은 이를 약 900만 개로 줄였다. 구글의 새 논문은 이 숫자를 50만 개 이하로 낮췄다. 오라토믹은 이를 더 나아가 1만 개까지 압축했다.
단 20년 사이, 다섯 자리수(10⁵) 규모의 압축이 이루어진 것이다.
이는 양자 위협에 대한 논의 틀 자체가 완전히 바뀌었음을 의미한다. 과거 주류 담론은 “양자 컴퓨터가 암호 해독을 가능하게 하려면 수십 년이 걸릴 것”이었지만, 지금은 “하드웨어 발전 속도가 비선형적으로 가속화된다면 윈도우 기간은 고작 5~10년밖에 남지 않을 수도 있다”는 전망으로 바뀌었다. 이더리움 재단 연구원 저스틴 드레이크(Justin Drake)(그는 동시에 구글 논문의 공동 저자이기도 함)는 2032년까지 양자 컴퓨터가 secp256k1 ECDSA 개인 키를 해독할 확률이 최소 10%에 이를 것으로 추정한다.
구글 논문은 두 가지 공격 시나리오를 설명한다.
첫 번째는 ‘즉시 공격(on-spend attack)’이다. 비트코인 사용자가 거래를 시작하면 공개 키가 메모리풀(memory pool)에 잠시 노출된다. 충분히 빠른 양자 컴퓨터는 약 9분 내에 공개 키로부터 개인 키를 역산해 거래가 확인되기 전에 경쟁 거래를 발송함으로써 자금을 훔칠 수 있다. 비트코인의 평균 블록 생성 시간이 약 10분이라는 점을 고려할 때, 논문은 이 공격의 성공 확률이 약 41%에 달한다고 추정한다.
암호학 분야에서 41%의 해독 확률은 통계적 오차가 아니라 이미 무력화된 서명 체계를 의미한다.
두 번째는 ‘정적 공격(at-rest attack)’으로, 공개 키가 이미 블록체인 상에 노출된 휴면 지갑을 대상으로 한다. 이 유형의 공격에는 시간 제약이 없으므로, 양자 컴퓨터는 자신만의 속도로 천천히 계산할 수 있다. 논문은 현재 약 690만 BTC(총 공급량의 약 3분의 1)가 이러한 노출 상태에 있다고 추정하며, 여기에는 나카모토 시대의 초기 코인 약 170만 BTC와 주소 재사용으로 인해 공개 키가 이미 노출된 자금이 다수 포함되어 있다.
현재 가격 기준으로, 이 690만 BTC는 4500억 달러 이상의 가치를 지닌다.
타프루트(Taproot): 프라이버시 강화를 위해 도입했지만, 오히려 공격 면적을 넓혔다
논문에서 예상치 못한 발견 중 하나는, 비트코인의 2021년 타프루트 업그레이드가 양자 보안 측면에서 새로운 취약점을 만들어냈다는 점이다. 타프루트는 거래 효율성과 프라이버시를 향상시키기 위해 설계되었으며, 스노어(Schnorr) 서명 방식을 채택했다. 그러나 스노어 서명의 특성상 공개 키가 기본적으로 블록체인 상에 노출되며, 기존 주소 형식(P2PKH)에서 적용되던 “먼저 해시하고, 그 후에 노출”하는 보호 계층을 제거했다.
즉, 타프루트는 전통적 보안 측면에서는 개선되었지만, 양자 보안 관점에서는 오히려 문을 열어준 셈이다. 이로 인해 양자 공격에 취약한 비트코인 자산군은 초기 코인과 주소 재사용 자산에서, 이제 타프루트를 사용하는 모든 지갑으로 확대되었다.
이더리움: 문제는 더 크지만, 준비는 더 빨랐다
비트코인이 ‘지갑 수준’의 위험에 직면해 있다면, 이더리움의 문제는 ‘인프라 수준’의 것이다.
구글 논문은 이더리움이 다섯 가지 차원에서 양자 공격에 노출되어 있음을 지적한다: 개인 지갑, 스마트 계약 관리 키, PoS 스테이킹 검증, 레이어 2 네트워크, 그리고 데이터 가용성 샘플링 메커니즘. 논문은 이더리움 상위 1000개 지갑이 약 2050만 ETH를 보유하고 있으며, 한 개 키를 9분마다 해독할 수 있는 양자 컴퓨터라면 불과 9일 이내에 이 전체 자산을 탈취할 수 있다고 추정한다. 현재 ETH 가격 기준으로 이 자산의 가치는 약 415억 달러에 달한다.
더 근본적인 문제는 시스템적 리스크에 있다. 이더리움 상의 약 2000억 달러 규모의 스테이블코인 및 토큰화 자산은 관리자 키 서명에 의존하고 있고, 약 3700만 ETH의 스테이킹 자산 역시 동일하게 양자 공격에 취약한 디지털 서명으로 인증되고 있다. 만약 대규모 스테이킹 풀이 해킹된다면, 공격자는 합의 메커니즘 자체를 교란시킬 가능성조차 있다.
다만 이더리움에는 구조적 이점이 하나 있다: 블록 생성 시간이 고작 12초이며, 대부분의 거래는 1분 이내에 확인되며, 사설 메모리풀(private mempool)을 광범위하게 사용한다는 점이다. 따라서 ‘즉시 공격’이 이더리움에서 성공할 가능성은 비트코인보다 훨씬 낮다.
좋은 소식은 이더리움 커뮤니티가 보다 능동적으로 대응하고 있다는 점이다.
이더리움 재단은 지난주 pq.ethereum.org 웹사이트를 정식 론칭하여 8년간의 후양자 연구 성과를 집대성했으며, 10여 개 클라이언트 팀이 매주 테스트넷 개발을 추진 중이다. 비탈릭 부테린(Vitalik Buterin) 역시 이전에 양자 내성 로드맵을 발표한 바 있다. 반면 비트코인 커뮤니티는 거버넌스 문화가 보수적이어서, 양자 내성 지갑 형식을 도입하는 BIP-360 제안이 2월에 BIP 저장소에 병합되었음에도 불구하고, 이는 단지 공개 키 노출 문제 중 한 유형만 해결할 뿐이며, 완전한 암호학적 이주는 훨씬 대규모의 프로토콜 변경을 요구한다.
커뮤니티 반응: 공포, 이성적 낙관, 그리고 “이건 우리만의 문제가 아니다”
암호화 산업의 반응은 예상대로 여러 진영으로 분열되었다.
공포 진영의 대표는 프로젝트 일레븐(Project Eleven)의 CEO 알렉스 프루덴(Alex Pruden)이다. 그는 “이 논문은 암호화 산업이 양자 위협을 무시하기 위해 사용해온 모든 논거를 직접 반박한다”고 말했다. 드래곤플라이(Dragonfly)의 파트너 하세브 쿠레시(Haseeb Qureshi)는 X(구 트위터)에서 더 직설적으로 표현했다: “후양자 시대는 이제 훈련이 아니라 현실이다.”
이성적 낙관 진영의 대표는 CZ이다. 그는 암호화폐가 단순히 양자 내성 알고리즘으로 업그레이드하기만 하면 되며, “공포를 가질 필요는 없다”고 주장한다. 이 주장은 기술적으로는 맞지만, 핵심 문제 하나를 간과하고 있다: 탈중앙화 블록체인은 은행이나 군사망처럼 소프트웨어 업데이트를 강제로 푸시할 수 없다는 점이다. 비트코인 인프라의 이주 주기는 사용자 지갑에서부터 거래소 지원, 새 주소 형식 도입까지 5~10년이 걸릴 수 있으며, 설령 오늘 당장 모든 이해관계자가 합의를 이룬다고 해도 그렇다.
“모든 것을 해독할 수 있다” 진영은 양자 컴퓨팅이 블록체인만을 위협하는 것이 아니라고 지적한다. 전 세계 은행 시스템, SWIFT 송금, 주식거래소, 군사 통신, HTTPS 웹사이트 등 모두 동일한 암호 체계에 의존하고 있다는 것이다. 구글 논문은 이에 대해 명확히 응답한다: 중앙화 시스템은 사용자에게 업데이트를 푸시할 수 있지만, 탈중앙화 블록체인은 그러지 못한다. 이것이 근본적 차이다.
가장 차가운 유머는 머스크의 발언에서 나왔다: “적어도 지갑 비밀번호를 잊어버렸다면, 미래에는 다시 찾을 수 있을 테니까.”
이해 상충과 이성적 할인
이 두 논문은 모두 ‘순수 학술’ 논문이 아니다.
캘텍/오라토믹 논문의 9명 저자 전원이 오라토믹의 주주이며, 그중 6명은 회사 직원이다. 이 논문은 과학적 성과이자 동시에 해당 기업의 중성 원자 하드웨어 기술 노선을 홍보하는 상업적 문서이기도 하다. 구글 논문 역시 완전히 중립적이지 않다. 구글은 자체 시스템을 후양자 암호학으로 이전하는 내부 마감일을 2029년으로 설정했는데, 논문의 결론은 바로 이 상업적 결정과 높은 일치를 보인다. 또한 구글은 보안상 이유로 실제 양자 회로 설계를 공개하지 않았으며, 미국 정부에 대한 결과 유효성 검증은 영지식 증명(zero-knowledge proof)을 통해 수행했다.
논문의 이해 상충은 어느 정도 할인되어야 하지만, 추세 자체는 할인되지 않는다. 누군가 “양자 위협이 과장됐다”고 주장할 때마다, 다음 논문은 필요한 양자 비트 수를 또 한 자릿수 단위로 감소시킨다.
현재 ‘Q-Day’까지 얼마나 남았는가?
현재 최첨단 양자 컴퓨터는 약 6000개의 양자 비트를 보유하고 있으나, 코히어런스 시간(coherence time)은 고작 약 13초에 불과하다. 6000개의 양자 비트에서 구글 논문이 요구하는 50만 개(또는 오라토믹이 주장하는 1만 개)까지는 여전히 막대한 공학적 격차가 존재한다.
하지만 암호화 투자자 맥켄나(McKenna)의 비유가 더 기억에 남는다: “Q-Day를 Y2K처럼 생각할 수는 있지만, 이번엔 진짜다.”
스타크웨어(StarkWare) 공동 창립자 엘리 벤-사손(Eli Ben-Sasson)은 비트코인 커뮤니티가 BIP-360을 가속화할 것을 촉구했다. 구글 본사는 코인베이스(Coinbase), 스탠포드 블록체인 연구소, 이더리움 재단과 협력해 책임 있는 이주를 추진 중이라고 밝혔다.
논쟁의 초점은 더 이상 “양자 컴퓨팅이 암호를 해독할 수 있느냐?”가 아니라, “암호화 산업이 하드웨어가 따라잡기 전에 이주를 완료할 수 있느냐?”로 옮겨갔다. 구글의 2029년 타임라인과 오라토믹 논문에서 제시된 양자 비트 수의 급격한 감소는, 업계에 주어진 버퍼 기간을 누구도 예상하지 못했던 수준으로 짧게 만들었다.
나카모토가 잠들어 있는 110만 BTC는 스스로 양자 안전 주소로 이주할 수 없다. 만약 양자 컴퓨터가 먼저 등장한다면, 이 700억 달러 이상의 디지털 유산은 역사상 최대 규모의 ‘디지털 난파선 수색’ 대상이 될 것이다. 구글 논문은 이를 위해 ‘디지털 수색권(digital salvage)’이라는 법적 프레임워크 유추까지 제시하며, 각국 정부가 이러한 이주 불가능한 휴면 자산을 처리하기 위해 입법 조치를 취해야 할 가능성도 암시하고 있다.
이것은 비트코인 백서에 전혀 예견되지 않은 문제이다: 사적 재산을 보호하는 수학적 장벽 자체가 무너진다면, “Code is Law”는 여전히 성립할 수 있을까?
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
