구글 양자 AI 공식 발표: 비트코인 암호화 해독에 필요한 양자 비트 수, 20배 감소
저자: 라이언 바부시(Ryan Babbush) & 하르트무트 네벤(Hartmut Neven), Google Quantum AI
번역: TechFlow
TechFlow 서문: 이 글은 오늘날 양자 위협 논의에 대한 최신 원문 자료로, 언론 매체의 재보도가 아니라 구글 양자 AI의 양자 알고리즘 연구 담당 이사와 엔지니어링 부사장이 공동으로 발표한 공식 기술 블로그이다.
핵심 결론은 단 하나뿐이다: 비트코인의 타원곡선 암호화(ECC)를 해독하는 데 필요한 물리적 양자 비트(qubit) 수에 대한 이전 추정치가 지금은 약 20배 감소하였다. 구글은 또한 ‘영지식 증명(zero-knowledge proof)’ 방식으로 검증 자료를 공개함으로써, 제3자가 공격 세부 정보를 유출하지 않고도 해당 결론을 독립적으로 검증할 수 있도록 하였다—이러한 공개 방식 자체도 주목할 만하다.
전문:
2026년 3월 31일
라이언 바부시(Ryan Babbush), 구글 양자 AI 양자 알고리즘 연구 담당 이사; 하르트무트 네벤(Hartmut Neven), 구글 양자 AI 및 구글 리서치 엔지니어링 부사장
우리는 미래 양자 컴퓨터의 암호 해독 능력을 명확히 밝히고, 그 영향을 완화하기 위해 취해야 할 조치들을 개괄하는 새로운 접근 방식을 모색하고 있다.
양자 자원 추정
양자 컴퓨터는 화학, 신약 개발, 에너지 분야 등 기존에 해결 불가능했던 문제들을 해결할 잠재력을 지녔다. 그러나 대규모 암호 관련 양자 컴퓨터(CRQC)는 현재 널리 사용되는 공개키 암호 체계를 해독할 수 있으며, 이러한 암호 체계는 개인의 기밀 정보를 포함한 다양한 시스템을 보호한다. 구글을 비롯한 각국 정부 및 기관들은 오랫동안 이 보안 위협에 대응해 왔다. 과학과 기술의 꾸준한 진전에 따라 CRQC는 점차 현실화되고 있으며, 이는 후양자 암호(PQC)로의 전환을 요구한다—그렇기에 우리도 최근 2029년까지의 전환 일정표를 제시한 것이다.
우리 백서에서, 타원곡선 암호학(ECC)의 핵심인 256비트 타원곡선 이산대수 문제(ECDLP-256)를 해독하는 데 필요한 양자 컴퓨팅 ‘자원’(즉, 양자 비트와 양자 게이트)에 대한 최신 추정치를 공유한다. 여기서 자원 추정치는 논리적 양자 비트(수백 개의 물리적 양자 비트로 구성된 오류 정정 양자 비트)와 토플리 게이트(비용이 높은 기본 양자 비트 연산으로, 많은 알고리즘의 실행 시간을 결정하는 주요 요소)의 수로 표현된다.
구체적으로, 우리는 ECDLP-256를 공격하기 위한 쇼어 알고리즘(Shor algorithm)을 구현하는 두 개의 양자 회로(양자 게이트의 연속 배열)를 설계하였다. 하나는 1,200개 미만의 논리적 양자 비트와 9,000만 개의 토플리 게이트를 사용하며, 다른 하나는 1,450개 미만의 논리적 양자 비트와 7,000만 개의 토플리 게이트를 사용한다. 우리는 이러한 회로가 구글의 일부 주력 양자 프로세서와 일치하는 표준 하드웨어 성능 가정 하에, 50만 개 미만의 초전도 양자 비트를 갖춘 CRQC에서 몇 분 이내에 실행될 수 있다고 추정한다.
이는 ECDLP-256 해독에 필요한 물리적 양자 비트 수를 약 20배 감소시킨 것으로, 양자 알고리즘을 내결함성 양자 회로로 컴파일하는 긴 최적화 과정의 연장선상에 있다.
후양자 암호학을 통한 암호화폐 보호
대부분의 블록체인 기술 및 암호화폐는 현재 보안의 핵심 측면을 위해 ECDLP-256에 의존하고 있다. 본 논문에서 설명한 바에 따르면, PQC는 후양자 블록체인 보안을 실현하는 성숙한 경로이며, CRQC가 존재하는 세계에서도 암호화폐 및 디지털 경제의 장기적 실현 가능성을 보장할 수 있다.
우리는 후양자 블록체인의 사례와, 기존에 양자 취약점을 지닌 블록체인에 PQC를 실험적으로 배포한 사례를 제시한다. 또한, PQC와 같은 실행 가능한 솔루션이 이미 존재하더라도 실제 적용에는 시간이 소요되므로, 즉각적인 조치의 필요성이 날로 커지고 있음을 강조한다.
아울러 암호화폐 커뮤니티를 위해 단기 및 장기적으로 보안성과 안정성을 향상시키기 위한 추가 권고 사항도 제시한다. 예를 들어, 취약한 지갑 주소를 노출하거나 반복 사용하지 않도록 하는 것과, 폐기된 암호화폐 문제에 대한 잠재적 정책 옵션 등을 포함한다.
우리의 취약점 공개 방식
보안 취약점 공개는 논란의 여지가 있는 주제이다. 한편에서는 ‘비공개(non-disclosure)’ 입장을 취하며, 취약점을 공개하는 것은 공격자에게 작동 매뉴얼을 제공하는 것과 같다고 주장한다. 다른 한편에서는 ‘완전 공개(full disclosure)’ 운동이, 일반 대중이 보안 취약점을 인지함으로써 경계를 유지하고 스스로 보호 조치를 취할 수 있을 뿐 아니라 보안 수정 작업을 촉진한다고 본다. 컴퓨터 보안 분야에서는 이러한 논쟁이 ‘책임 있는 공개(responsible disclosure)’와 ‘조율된 취약점 공개(coordinated vulnerability disclosure)’라는 일련의 중간 방식으로 수렴되었다. 이 두 방식 모두, 영향을 받는 시스템이 보안 수정 조치를 출시할 시간을 확보하도록 설정된 금지 기간(ban period) 동안 취약점을 공개하는 것을 지지한다. 카네기멜런대학교 CERT/CC 및 구글의 Project Zero와 같은 최정상급 보안 연구 기관들은 엄격한 마감 기한을 적용한 책임 있는 공개 방식을 채택하였으며, 이는 국제 표준 ISO/IEC 29147:2018으로도 채택되었다.
블록체인 기술에서의 보안 취약점 공개는 또 하나의 특별한 요인으로 인해 더욱 복잡해진다: 암호화폐는 단순한 탈중앙화 데이터 처리 시스템이 아니다. 그 디지털 자산의 가치는 네트워크의 디지털 보안성뿐만 아니라, 일반 대중이 시스템에 대해 갖는 신뢰성에도 기반한다. 디지털 보안 차원에서 CRQC 공격에 노출될 수 있는 동시에, 공포(Fear), 불확실성(Uncertainty), 의심(Doubt)—즉 FUD—기술에 의해 대중의 신뢰도 훼손될 수 있다. 따라서 ECDLP-256 해독을 위한 양자 알고리즘에 대한 비과학적이며 근거 없는 자원 추정치 자체가 시스템에 대한 일종의 공격이 될 수도 있다.
이러한 고려 사항들이, 타원곡선 암호학 기반 블록체인 기술에 대한 양자 공격 자원 추정치를 신중하게 공개하려는 우리의 접근 방식을 이끌었다. 첫째, 우리는 블록체인이 양자 공격에 면역인 영역을 명확히 규정함과 동시에, 후양자 블록체인 보안 분야에서 이미 이루어진 진전을 강조함으로써, 우리가 다루는 주제가 초래할 수 있는 FUD 위험을 줄이고자 하였다. 둘째, 우리는 근본적인 양자 회로를 공유하지 않으면서도, ‘영지식 증명(zero-knowledge proof)’이라는 최첨단 암호학 구조를 공개하여 우리의 자원 추정치를 뒷받침하였다. 이를 통해 제3자는 민감한 공격 세부 정보를 유출하지 않으면서도 우리의 주장을 독립적으로 검증할 수 있다.
우리는 양자 기술, 보안, 암호화폐 및 정책 분야의 전문가들과 추가 논의를 환영하며, 향후 책임 있는 공개 규범에 대해 공동의 합의를 도출하고자 한다.
이 작업을 통해 우리의 목표는 암호화폐 생태계 및 블록체인 기술의 장기적이고 건강한 발전을 지원하는 것이다. 이 기술들은 디지털 경제에서 점차 더 중요한 위치를 차지하고 있다. 앞으로 우리는 이러한 책임 있는 공개 방식이 양자 계산 연구자들과 더 광범위한 일반 대중 사이에서 중요한 대화를 촉발하고, 양자 암호 해석 연구 분야에 모범 사례를 제시하기를 기대한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@GoogleResearch
