작성: 펠릭스, PANews
이번 주에 발표된 두 편의 새로운 연구 논문(하나는 구글에서, 다른 하나는 캘리포니아 공과대학에 기반을 둔 스타트업 오라토믹의 연구원들이 발표한 논문)은 암호학 분야에서 오랫동안 제기되어 온 질문, 즉 양자 컴퓨팅이 현대 암호를 해독할 수 있을 만큼 강력해지면 어떤 일이 벌어질 것인가에 대한 의문을 다시 불러일으켰습니다.
연구진은 이 분야의 발전이 암호화 및 기타 디지털 인프라의 기반이 되는 암호 시스템을 예상보다 빠르게 위협할 수 있다고 경고합니다. 연구에 따르면 미래의 컴퓨터는 기존에 생각했던 것보다 훨씬 적은 큐비트와 계산 단계로 타원 곡선 암호화(ECC)를 해독할 수 있을 것으로 예상됩니다. 캘리포니아 공과대학(Caltech)은 필요한 큐비트 수를 1만~2만 개 정도로 추정하고 있습니다.
두 논문 모두 ECC 문제를 해결하는 데 필요한 자원이 이전에 예상했던 것보다 적을 수 있으며, 많은 사람들이 멀게만 여겼던 해결 시기를 단축할 수 있다고 시사합니다.
이러한 연구 결과에 대해 비트코인 보안 연구원 저스틴 드레이크는 2032년까지 암호화를 해독할 수 있는 양자 컴퓨터가 등장할 확률이 최소 10%라고 밝혔습니다. 구글 연구원 크레이그 기드니 또한 2030년까지 암호화를 해독할 수 있는 양자 컴퓨터가 개발될 확률이 10%라고 예상했습니다.
양자 컴퓨팅이 지갑을 해킹할 수 있는 이유는 무엇일까요?
양자 컴퓨터는 기존 컴퓨터와는 작동 방식이 다릅니다. 두 가지 상태(0 또는 1)만 가지는 비트 대신, 여러 상태를 동시에 가질 수 있는 큐비트를 사용합니다. 이러한 특징 덕분에 양자 컴퓨터는 특정 알고리즘(특히 쇼어 알고리즘)을 실행할 수 있는데, 이론적으로 이러한 알고리즘은 현대 암호화의 기반이 되는 수학적 문제를 오늘날의 컴퓨터보다 효율적으로 해결할 수 있습니다.
이러한 수학적 문제는 비트코인, 이더리움, 그리고 인터넷의 많은 부분을 지탱하는 기반이 됩니다. ECC 기반 시스템은 검증은 쉽지만 역설계는 극도로 어렵도록 설계되었습니다. 현재 메타마스크와 같은 주요 지갑들은 BIP32 표준을 기반으로 하는데, 이 표준의 장점은 모든 키를 12/24개의 니모닉 구문만으로 생성할 수 있다는 점입니다. 즉, 개인 키를 노출하지 않고 공개 키만으로 새로운 주소를 생성할 수 있습니다. 이러한 설계의 수학적 기반이 바로 ECC입니다.
하지만 충분히 강력한 양자 컴퓨터는 공개 키로부터 개인 키를 유추할 수 있으며, 이로 인해 자금, 신원, 암호화된 통신 내용이 노출될 수 있습니다. 이러한 일이 현실이 되는 순간을 흔히 "Q-데이"라고 부릅니다.
갤럭시 디지털의 연구 책임자인 알렉스 쏜은 향후 5년 안에 양자 컴퓨터가 비트코인을 공격할 확률은 낮지만, "구글의 이번 연구는 'Q 데이'가 생각보다 가까워졌을 가능성을 시사한다"고 말했다. 그럼에도 불구하고 비트코인 개발자들은 완화책과 새로운 양자 후 암호화 통합 방식에 대한 연구를 강화하고 있다.
다양한 네트워크는 각기 다른 과제를 제시하며, 전통적인 금융 부문이 가장 큰 타격을 입을 것으로 예상됩니다.
다이내믹의 공동 창립자 겸 CEO인 이타이 투르반은 블록체인 업계가 "지금 당장 행동해야 한다"고 말하면서도 모든 블록체인이 동일한 위험에 직면하는 것은 아니라고 경고했습니다.
"주소가 재사용되지 않는다면 비트코인의 UTXO 모델은 단기적인 보호 기능을 제공할 수 있지만, 이더리움의 계정 모델에는 이와 유사한 대안이 없습니다. 하지만 과거에 거래된 모든 계정의 공개 키는 온체인에 영구적으로 저장됩니다." "기관들은 이러한 위험이 균일하게 적용되는 것이 아니라는 점을 이해하고 지금 당장 해결해야 합니다."
각 네트워크는 이 문제에 대해 서로 다른 평가를 내리고 있으며, 전문가들은 특정 프로젝트에 미치는 영향에 대해 각기 다른 견해를 가지고 있습니다. 시그넘(Sygnum)의 디지털 자산 생태계 연구 책임자인 루카스 슈바이거는 이더리움이 "계정 추상화와 양자 컴퓨팅 문제에 대한 진지한 접근 방식을 통해 유리한 위치에 있다"고 믿는 반면, "비트코인의 경우 기술적인 문제라기보다는 거버넌스와 조정의 문제이지만, 충분히 관리 가능한 과제"라고 평가합니다.
바운드리스(Boundless)의 CEO인 시브 샹카르는 이것이 블록체인에만 국한된 문제가 아니라고 생각합니다. "만약 양자 컴퓨터가 이 시간 내에 개인 키 세트를 실제로 복구할 수 있다면, 인터넷 전체가 위험에 처할 것입니다."
루카스 슈바이거는 또한 "암호학적으로 중요한 양자 컴퓨터가 등장한다면, 적대 세력의 경제적 동기는 주로 전통적인 금융 인프라, 즉 전 세계적으로 약 154조 달러의 채권 자산과 128조 달러의 주식 자산을 보호하는 은행, 수탁기관, 결제 네트워크를 목표로 삼을 것"이라고 믿는다. "반면, 암호화 기술의 영향은 미미할 것이며, 암호화폐 생태계는 주요 공격 대상이 되기 전에 여러 차례 경고를 받을 것"이라고 그는 덧붙였다.
프로젝트 일레븐은 두 가지 해결책을 제시했습니다.
프로젝트 일레븐에 참여한 여러 과학자들이 이전에 두 가지 잠정적인 해결책을 제시하는 연구 논문을 발표했다는 점을 언급할 가치가 있습니다.
첫 번째 방법은 미국 국립표준기술연구소(NIST) 표준을 기반으로 하는 ML-DSA 지갑을 사용하는 것입니다. ML-DSA 지갑은 향상된 파생 기능을 지원합니다. 즉, 사용자는 부모 개인 키에서 자식 키를 파생할 수 있으며, 키 간의 비상관성(두 주소가 동일한 지갑에 속한다는 것을 아무도 알 수 없음)을 유지하고, 위조 불가능성(서명을 위조할 수 없음)을 입증할 수 있습니다.
하지만 ML-DSA의 한계는 비강화 파생 방식을 지원하지 않는다는 점입니다. ML-DSA 공개 키는 소수점 이하를 버림하여 계산되므로 사용자가 원하는 선형성을 확보할 수 없습니다. 따라서 지갑 모니터링 용도로만 사용하거나 공개 키만으로 새 주소를 생성하는 것은 불가능합니다.
두 번째 방식은 가우시안 분포 키를 사용하는 Raccoon 서명 방식의 수정 버전인 Raccoon-G를 사용합니다. Raccoon-G는 두 가지 문제를 해결합니다. 첫째, Raccoon-G는 완전하고 반올림되지 않은 공개 키를 발급하도록 수정되었습니다. 이는 서브키 파생에 필요한 선형 구조를 유지합니다. ECC 방식과 마찬가지로 공개 키에 정보를 추가하여 또 다른 유효한 공개 키를 얻을 수 있습니다.
둘째로, 가우시안 분포는 아름다운 수학적 특성을 가지고 있습니다. 두 가우시안 분포의 합은 여전히 가우시안 분포이지만, 분산은 예측 가능하고 약간 더 커집니다. 따라서 부모 키에 난수를 추가하여 자식 키를 생성하더라도 자식 키의 비밀 분포는 여전히 가우시안 분포를 따릅니다.
물론, 그 분포 범위는 더 넓어지겠지만, 통계적으로는 새로 생성된 키와 구별할 수 없으므로 공격자는 차이를 감지할 수 없습니다. 마치 온도가 약간 다른 두 컵의 물을 섞는 것과 같습니다. 결과는 여전히 물이지만 온도가 약간 다를 뿐이며, 갓 부은 물과 구별할 수 있는 사람은 아무도 없습니다.
하지만 Raccoon-G는 아직 표준화되지는 않았지만, 사용자 경험을 희생하지 않고 양자 컴퓨팅에 대한 내성을 갖춘 마이그레이션을 달성할 수 있음을 입증했습니다.
그렇다면 양자 컴퓨팅의 위험성은 단기적인 공학적 문제일까요, 아니면 장기적인 실존적 위협일까요? 슈바이거는 두 가지 표현 모두 양자 컴퓨팅의 위험성을 완전히 포괄하지 못한다고 생각합니다. "현재 양자 컴퓨팅은 기존 블록체인이나 공개키 암호화 방식에 위협이 되지 않으며, 양자 컴퓨터가 기존 서명 방식을 무력화할 만큼 강력해지기 전에 이러한 방식들은 거의 확실히 양자 컴퓨팅을 대체할 것입니다."
슈바이거는 이것이 "장기적인 엔지니어링 과제"이기는 하지만, 존재론적인 위협은 아니라고 낙관적으로 밝혔습니다. "암호화 커뮤니티(NIST의 양자 후 표준 포함)와 블록체인 프로젝트들은 이미 비상 계획을 수립하고 마이그레이션 경로를 테스트하고 있습니다."
