저자: Kapiqila, Deep Tide TechFlow

3월 31일, 구글 양자 AI 팀은 제목은 평범하지만 내용은 폭발적인 백서를 발표했습니다.

이 논문의 핵심 결론은 비트코인과 이더리움 지갑을 보호하는 타원 곡선 암호화(ECC-256)를 해독하는 데 필요한 양자 컴퓨팅 자원이 기존 추정치보다 약 20배 적다는 것입니다. 구체적으로, 초전도 양자 컴퓨터에서 50만 개 미만의 물리적 큐비트, 1,200개 미만의 논리적 큐비트, 그리고 9천만 개의 토폴리 게이트를 사용하면 단 몇 분 만에 해독할 수 있습니다.

같은 날, 캘리포니아 공과대학과 양자 하드웨어 스타트업인 오라토믹은 더욱 급진적인 결론을 담은 또 다른 논문을 발표했습니다. 중성 원자 구조를 사용하는 양자 컴퓨터는 약 1만 개의 물리적 큐비트만으로도 공격을 시작할 수 있으며, 2만 6천 개의 큐비트를 사용하면 약 10일 만에 ECC-256 암호를 해독할 수 있다는 내용입니다.

이 두 논문을 종합해 보면, 이는 암호화폐 업계 역사상 양자 컴퓨팅 위협에 대한 가장 심각한 경고라고 할 수 있습니다.

"이론상으로는 먼 위협"에서 "끝까지 카운트다운할 수 있는 상황"으로

이 두 논문의 영향력을 이해하려면 시간적 흐름을 살펴볼 필요가 있습니다. 2012년 학계에서는 ECC-256 암호를 해독하는 데 약 10억 개의 물리적 큐비트가 필요할 것으로 추산했습니다. 2023년 다니엘 리틴스키의 논문은 그 수치를 약 900만 개로 줄였습니다. 구글의 새로운 논문은 그 수치를 50만 개 미만으로 낮췄고, 오라토믹은 한 걸음 더 나아가 1만 개까지 줄였습니다.

지난 20년 동안 압축률은 5배나 증가했습니다.

이는 양자 위협에 대한 논의 틀이 완전히 바뀌었음을 의미합니다. 과거에 지배적이었던 "양자 컴퓨터가 암호를 해독하려면 수십 년이 걸릴 것"이라는 주장은 이제 "하드웨어 발전 속도가 비선형적으로 빨라진다면, 기회의 창은 5년에서 10년밖에 되지 않을 수도 있다"로 바뀌었습니다. 이더리움 재단의 연구원이자 구글 논문의 공동 저자인 저스틴 드레이크는 2032년까지 양자 컴퓨터가 secp256k1 ECDSA 개인 키를 해독할 확률이 최소 10%에 달할 것으로 추정합니다.

구글의 논문은 두 가지 유형의 공격 시나리오를 설명합니다.

첫 번째 유형은 "온스펜드 공격"입니다. 비트코인 ​​사용자가 거래를 시작하면 공개 키가 메모리 풀에 잠시 노출됩니다. 충분히 빠른 양자 컴퓨터는 약 9분 만에 공개 키로부터 개인 키를 추론하고, 해당 거래가 확정되기 전에 자금을 훔치기 위한 경쟁 거래를 시작할 수 있습니다. 비트코인 ​​블록 생성 시간이 평균 약 10분이라는 점을 고려하면, 이 논문은 이러한 유형의 공격 성공 확률을 약 41%로 추정합니다.

암호학 분야에서 서명을 해독할 확률이 41%라는 것은 통계적 오류가 아니라, 이미 해당 서명 체계가 취약해졌다는 것을 의미합니다.

두 번째 유형은 "저장 상태 공격(at-rest attack)"으로, 공개 키가 이미 블록체인에 노출된 휴면 지갑을 대상으로 합니다. 이러한 유형의 공격에는 시간 제한이 없으며, 양자 컴퓨터는 자체 속도로 계산할 수 있습니다. 논문에서는 약 690만 BTC(전체 공급량의 3분의 1)가 이러한 노출 상태에 있다고 추정하는데, 여기에는 사토시 나카모토 시대의 초기 코인 약 170만 개와 주소 재사용으로 인해 공개 키가 노출된 상당량의 자금이 포함됩니다.

현재 가격으로 환산하면 이 690만 비트코인은 4,500억 달러 이상의 가치를 지닙니다.

Taproot: 개인정보 보호를 강화하기 위해 만들어졌지만, 오히려 공격 표면을 넓혔습니다.

이 논문에서 놀라운 발견 중 하나는 비트코인의 2021년 탭루트(Taproot) 업그레이드가 양자 보안 측면에서 새로운 취약점을 만들어냈다는 점입니다. 탭루트는 슈노르(Schnorr) 서명 방식을 사용하여 거래 효율성과 개인정보 보호를 개선하는 것을 목표로 했습니다. 그러나 슈노르 서명의 특징은 공개 키가 기본적으로 온체인에 노출된다는 점으로, 기존 주소 형식(P2PKH)에서 볼 수 있었던 "먼저 해시한 다음 노출하는" 보호 계층을 제거했습니다.

즉, 탭루트의 기존 보안 개선은 양자 보안에 대한 가능성을 열어줍니다. 이는 양자 공격에 취약한 비트코인 ​​풀을 초기 코인과 재사용 주소에서 탭루트를 사용하는 모든 지갑으로 확장합니다.

이더리움: 더 큰 문제에 직면했지만, 더 잘 대비하고 있습니다.

비트코인이 "지갑 수준"의 위험에 직면한다면, 이더리움의 문제는 "인프라 수준"의 문제입니다.

구글의 한 논문은 이더리움의 다섯 가지 계층이 양자 공격에 취약하다고 지적했습니다. 이 다섯 가지 계층은 개인 지갑, 스마트 계약 관리 키, PoS 스테이킹 검증, 레이어 2 네트워크, 그리고 데이터 가용성 샘플링 메커니즘입니다. 논문에 따르면 상위 1,000개 이더리움 지갑에는 약 2,050만 ETH가 보관되어 있으며, 9분마다 하나의 키를 해독할 수 있는 양자 컴퓨터가 있다면 9일도 채 안 되어 이 자산을 모두 없앨 수 있다고 합니다. 현재 ETH 가격으로 환산하면 이 자산의 가치는 약 415억 달러에 달합니다.

더 근본적인 문제는 시스템적 위험에 있습니다. 이더리움 네트워크에서 거래되는 약 2천억 달러 상당의 스테이블코인과 토큰화된 자산은 관리자 키 서명에 의존하고 있으며, 약 3천7백만 ETH의 스테이킹된 이더리움 또한 마찬가지로 취약한 디지털 서명을 통해 인증됩니다. 대규모 스테이킹 풀이 해킹당할 경우, 공격자는 합의 메커니즘 자체를 교란할 수도 있습니다.

하지만 이더리움은 구조적인 이점을 가지고 있습니다. 블록 생성 시간이 단 12초에 불과하고, 대부분의 거래는 1분 이내에 확인되며, 프라이빗 멤풀을 광범위하게 사용하기 때문에 비트코인에 비해 이더리움에서 "즉시 공격"이 훨씬 어렵습니다.

다행인 점은 이더리움 커뮤니티가 더욱 적극적으로 대응했다는 것입니다.

이더리움 재단은 지난주 pq.ethereum.org를 출범시켜 8년간의 양자 컴퓨팅 연구를 집대성했으며, 10개 이상의 클라이언트 팀이 매주 테스트넷 개발을 진행하고 있습니다. 비탈릭 부테린 또한 앞서 양자 컴퓨팅에 대한 내성을 갖춘 로드맵을 발표한 바 있습니다. 이와 대조적으로 비트코인 ​​커뮤니티의 거버넌스 문화는 더욱 보수적입니다. 양자 컴퓨팅에 내성을 갖춘 지갑 형식을 도입하는 BIP-360 제안이 2월에 BIP 저장소에 병합되었지만, 이는 공개 키 노출 문제 중 한 가지 유형만 해결하는 것입니다. 완전한 암호화 마이그레이션을 위해서는 훨씬 더 대규모의 프로토콜 변경이 필요합니다.

지역 사회의 반응: 공황, 합리적인 반응, 그리고 "이건 우리만의 문제가 아니야"

예상대로 암호화폐 업계의 반응은 여러 파벌로 나뉘었다.

공포를 조장하는 사람들은 프로젝트 일레븐의 CEO인 알렉스 프루덴이 대표적으로 말했습니다. "이 논문은 암호화폐 업계가 양자 컴퓨팅의 위협을 무시하기 위해 내세우는 모든 주장을 정면으로 반박합니다." 드래곤플라이의 파트너인 하세브 쿠레시는 X에서 더욱 직설적으로 말했습니다. "양자 이후 시대는 더 이상 훈련이 아닙니다."

합리적인 낙관론자는 CZ로 대표됩니다. 그는 암호화폐가 양자 컴퓨팅에 내성이 있는 알고리즘으로 업그레이드될 뿐이며 "패닉에 빠질 필요가 없다"고 주장합니다. 이 말은 기술적으로는 맞지만 중요한 문제를 간과하고 있습니다. 바로 분산형 블록체인은 은행이나 군사 네트워크처럼 소프트웨어 업데이트를 강제할 수 없다는 점입니다. 모든 당사자가 오늘 합의에 도달한다고 해도, 사용자 지갑부터 거래소 지원, 새로운 주소 형식에 이르기까지 비트코인 ​​인프라의 마이그레이션 주기는 5년에서 10년이 걸릴 수 있습니다.

양자 컴퓨팅이 블록체인뿐만 아니라 글로벌 은행 시스템, SWIFT 송금, 증권 거래소, 군사 통신, HTTPS 웹사이트 등 동일한 암호화 시스템에 의존하는 모든 시스템을 위협할 수 있다는 주장이 제기되고 있습니다. 구글의 한 논문은 이 문제를 직접적으로 다루고 있는데, 중앙 집중식 시스템은 사용자에게 업데이트를 푸시할 수 있지만 분산형 블록체인은 그럴 수 없다는 것입니다. 이것이 바로 근본적인 차이점입니다.

가장 썰렁한 농담은 머스크가 한 말이었다. "적어도 지갑 비밀번호를 잊어버리더라도 나중에 다시 찾을 수는 있잖아요."

이해 상충과 합리적 할인

두 논문 모두 "순전히 학문적인" 논문은 아닙니다.

캘텍/오라토믹 논문의 저자 9명 전원은 오라토믹의 주주이며, 그중 6명은 회사 직원입니다. 이 논문은 과학적 성과인 동시에 회사의 중립 원자 하드웨어 로드맵을 상업적으로 홍보하는 역할을 합니다. 구글의 논문 역시 완전히 중립적이라고 할 수는 없습니다. 구글은 자체 시스템을 양자 후 암호화로 전환하는 시한을 2029년으로 정했으며, 논문의 결론은 이러한 사업적 결정과 매우 일관성이 있습니다. 더욱이, 보안상의 이유로 구글은 실제 양자 회로 설계를 공개하지 않고, 대신 영지식 증명을 사용하여 미국 정부에 결과의 유효성을 검증했습니다.

학술 논문에서 이해 충돌은 무시해야 하지만, 추세 자체는 무시할 수 없습니다. 누군가가 "양자 위협은 과장되었다"고 주장할 때마다, 다음 논문에서는 필요한 큐비트 수를 또 한 자릿수씩 줄입니다.

우리는 "Q-Day"까지 얼마나 남았나요?

현재 가장 발전된 양자 컴퓨터는 약 6,000개의 큐비트를 가지고 있으며, 결맞음 시간은 약 13초에 불과합니다. 6,000개의 큐비트와 구글 논문에서 요구하는 500,000개의 큐비트(또는 오라토믹이 주장하는 10,000개의 큐비트) 사이에는 여전히 엄청난 기술적 격차가 존재합니다.

하지만 암호화폐 투자자 맥케나의 비유는 더욱 기억에 남습니다. "Q-Day를 Y2K 사태와 비슷하게 생각할 수 있는데, 이번에는 실제로 일어나는 일입니다."

스타크웨어 공동 창립자 엘리 벤-사손은 비트코인 ​​커뮤니티에 BIP-360 배포를 가속화할 것을 촉구했습니다. 구글은 자체적으로 코인베이스, 스탠포드 블록체인 연구소, 이더리움 재단과 협력하여 책임 있는 마이그레이션을 추진하고 있다고 밝혔습니다.

이제 논쟁은 양자 컴퓨팅이 암호를 해독할 수 있는지 여부가 아니라, 하드웨어가 따라잡기 전에 암호화 업계가 양자 컴퓨팅으로 전환할 수 있는지 여부로 바뀌었습니다. 구글이 제시한 2029년이라는 시점과 오라토믹 논문에서 드러난 큐비트 수요의 급격한 감소는 업계에 예상보다 훨씬 짧은 여유 시간을 남겨두고 있음을 보여줍니다.

사토시 나카모토가 보유한 110만 개의 휴면 비트코인은 양자 컴퓨팅에 안전한 주소로 자동 이전될 수 없습니다. 만약 양자 컴퓨터가 먼저 등장한다면, 700억 달러 이상의 가치를 지닌 이 디지털 유산은 역사상 최대 규모의 "디지털 난파선 인양" 대상이 될 것입니다. 구글의 한 보고서는 "디지털 인양"에 대한 법적 프레임워크 비유를 제시하며, 이전이 불가능한 이러한 휴면 자산을 처리하기 위해 정부가 법률을 제정해야 할 수도 있다고 주장했습니다.

이는 비트코인 ​​백서에서 예상하지 못했던 질문입니다. 사유재산을 보호하는 수학적 장벽 자체가 무너진다면, "코드는 법이다"라는 원칙이 여전히 유효할 수 있을까요?