양자 컴퓨팅이 블록체인에 미치는 위협은 얼마나 심각한가?

최근 버그의 위험은 양자 공격의 위험보다 훨씬 큽니다.

저자: 저스틴 탈러

편집자: Plain Language Blockchain

암호화와 관련된 양자 컴퓨터의 타임라인은 종종 과장되어 있어, 양자 이후 암호화로의 전환에 대한 시급하고 포괄적인 요구가 제기되고 있습니다.

그러나 이러한 호출은 종종 조기 마이그레이션의 비용과 위험을 간과하고 다양한 암호화 기본 요소 간의 매우 다른 위험 프로필을 무시합니다.

높은 비용에도 불구하고 양자 후 암호화는 즉각적인 도입이 필요합니다. 현재 암호화된 민감한 데이터는 수십 년 후 양자 컴퓨터가 등장하더라도 여전히 가치가 있기 때문에, HNDL(Harvest-Now-Decrypt-Later) 공격이 활발히 진행되고 있습니다. 양자 후 암호화의 성능 저하와 구현 위험은 분명히 존재하지만, 장기적인 기밀 유지가 필요한 데이터는 HNDL 공격 외에는 다른 선택지가 없습니다.

포스트 양자 시그니처는 여러 가지 고려 사항에 직면합니다. HNDL 공격에 덜 취약하며, 비용과 위험(더 큰 크기, 성능 오버헤드, 미숙한 구현, 오류) 때문에 즉각적인 마이그레이션보다는 신중하게 고려해야 합니다.

이러한 구분은 매우 중요합니다. 오해는 비용-편익 분석을 왜곡하여 팀이 버그와 같은 더 심각한 보안 위험을 간과하게 만들 수 있습니다.

포스트 양자 암호로의 성공적인 전환에 있어 진정한 과제는 긴급성과 실제 위협을 조화시키는 것입니다. 아래에서는 양자역학이 암호에 미치는 위협에 대한 일반적인 오해(암호화, 서명, 영지식 증명 등)를 명확히 하고, 특히 블록체인에 미치는 영향에 초점을 맞추겠습니다.

우리의 타임라인은 어떻게 진행되고 있나요?

많은 논의에도 불구하고, 2020년대에 암호화 관련 양자 컴퓨터(CRQC)가 등장할 가능성은 극히 낮습니다.

"암호화 관련 양자 컴퓨터"란 타원 곡선 암호화나 RSA 공격을 합리적인 시간 프레임(예: 최대 한 달의 연속 계산) 내에 해독할 수 있을 만큼 충분한 규모로 쇼어 알고리즘을 실행할 수 있는 내결함성, 오류 수정 양자 컴퓨터를 의미합니다.

공개적으로 이용 가능한 이정표와 자원 추정치를 합리적으로 해석하더라도, 암호학적으로 의미 있는 양자 컴퓨터는 아직 먼 미래에 도달할 수 있습니다. 기업들은 CRQC가 2030년 이전, 심지어 2035년보다 훨씬 이전에 출시될 수 있다고 주장하기도 하지만, 공개적으로 알려진 진전 상황은 이러한 주장을 뒷받침하지 않습니다.

배경 설명으로, 현재의 모든 아키텍처(포획된 이온, 초전도 큐비트, 중성 원자 시스템)에서 오늘날의 양자 컴퓨팅 플랫폼은 쇼어 알고리즘 공격 {RSA-2048} 또는 {secp}256{k}1을 실행하는 데 필요한 수십만에서 수백만 개의 물리적 큐비트(오류율 및 오류 수정 체계에 따라 다름)에 근접하지 못합니다.

제한 요소는 큐비트 수뿐만 아니라 게이트 충실도, 큐비트 연결성, 그리고 심층 양자 알고리즘을 실행하는 데 필요한 연속 오류 정정 회로의 깊이입니다. 현재 일부 시스템은 물리적 큐비트가 1,000개를 초과하지만, 원래 큐비트 수는 오해의 소지가 있습니다. 이러한 시스템은 암호학적으로 관련된 계산에 필요한 큐비트 연결성과 게이트 충실도가 부족하기 때문입니다.

최근 개발된 시스템들은 양자 오류 수정이 작동하기 시작하는 물리적 오류율에 근접했지만, 몇 개의 논리 큐비트 이상의 지속적인 오류 수정 회로 깊이를 구현한 사례는 아직 없습니다. 쇼어 알고리즘을 실제로 실행하는 데 필요한 수천 개의 고충실도, 심층 회로, 내결함성 논리 큐비트는 말할 것도 없습니다. 양자 오류 수정이 원칙적으로 실현 가능하다는 것을 증명하는 것과 암호 해독을 구현하는 데 필요한 규모 사이의 격차는 여전히 엄청납니다.

간단히 말해서, 큐비트의 수와 정확도가 몇 배나 증가하지 않는 한 암호화를 위한 양자 컴퓨터는 아직 먼 미래에 도달할 것입니다.

하지만 기업 보도자료와 언론 보도는 혼란을 야기할 수 있습니다. 다음은 흔히 발생하는 오해와 혼란의 원인 몇 가지입니다.

"양자 우위"를 주장하는 시연은 현재 인공적인 작업에 집중되어 있습니다. 이러한 작업은 실용성 때문이 아니라, 기존 하드웨어에서 실행될 수 있으면서도 상당한 양자 속도 향상을 보이는 것처럼 보이기 때문에 선택됩니다. 발표에서 이러한 사실이 종종 가려지는 경우가 많습니다.

이 회사는 수천 개의 물리적 큐비트를 달성했다고 주장합니다. 그러나 이는 양자 어닐링 머신을 지칭하는 것이지, 공개 키 암호화를 공격하기 위해 쇼어 알고리즘을 실행하는 데 필요한 게이트 모델 머신을 지칭하는 것이 아닙니다.

해당 회사는 "논리 큐비트"라는 용어를 자유롭게 사용할 수 있습니다. 물리적 큐비트는 노이즈가 많습니다. 앞서 언급했듯이 양자 알고리즘은 논리 큐비트를 필요로 하며, 쇼어 알고리즘은 수천 개의 큐비트를 필요로 합니다. 양자 오류 수정 기술을 사용하면 논리 큐비트는 많은 물리적 큐비트(일반적으로 오류율에 따라 수백 개에서 수천 개)로 구현할 수 있습니다. 그러나 일부 회사는 이 용어를 본래의 의미보다 훨씬 확장하여 사용하고 있습니다. 예를 들어, 최근 한 발표에서는 거리-2 코드와 단 두 개의 물리적 큐비트만을 사용하여 논리 큐비트를 구현했다고 주장했습니다. 이는 터무니없는 주장입니다. 거리-2 코드는 오류를 감지할 수는 있지만 수정할 수는 없기 때문입니다. 암호 분석을 위한 진정한 내결함성 논리 큐비트는 두 개가 아니라 각각 수백 개에서 수천 개의 물리적 큐비트를 필요로 합니다.

더 일반적으로, 많은 양자 컴퓨팅 로드맵은 클리포드 연산만 지원하는 큐비트를 지칭하기 위해 "논리 큐비트"라는 용어를 사용합니다. 이러한 연산은 고전 언어로 효율적으로 시뮬레이션될 수 있으므로 수천 개의 오류 정정 T 게이트(또는 더 일반적으로는 클리포드가 아닌 게이트)를 필요로 하는 쇼어 알고리즘을 실행하기에는 충분하지 않습니다.

로드맵 중 하나가 "X년 안에 수천 개의 논리적 큐비트를 달성하는 것"을 목표로 한다고 해도, 해당 회사가 같은 X년 안에 쇼어 알고리즘을 실행하여 고전 암호화를 해독할 것으로 기대한다는 의미는 아닙니다.

이런 관행은 숙련된 관찰자들 사이에서도 암호화 양자 컴퓨터에 얼마나 가까운지에 대한 대중의 인식을 심각하게 왜곡했습니다.

다시 말해, 일부 전문가들은 이러한 진전에 대해 실제로 기대감을 갖고 있습니다. 예를 들어, 스콧 아론슨은 최근 "현재 하드웨어 개발의 놀라운 속도"를 고려할 때,

저는 다음 미국 대선 전에 쇼어 알고리즘을 실행하는 내결함성 양자 컴퓨터가 등장할 가능성이 현실적으로 있다고 믿습니다.

아론슨은 나중에 자신의 발언이 암호학적으로 의미 있는 양자 컴퓨터를 암시하는 것은 아니라고 해명했습니다. 그는 15 = 3 × 5를 인수분해하는 완전한 내결함성을 갖춘 쇼어 알고리즘조차도 하나의 구현체로 간주될 수 있으며, 이는 연필과 종이로 훨씬 빠르게 계산할 수 있는 것이라고 주장했습니다. 표준은 암호학적으로 의미 있는 구현체가 아니라 소규모 쇼어 알고리즘 구현체입니다. 왜냐하면 양자 컴퓨터에서 15를 인수분해하는 이전 실험들은 완전한 내결함성 쇼어 알고리즘이 아닌 단순화된 회로를 사용했기 때문입니다. 게다가 이러한 실험들이 일관되게 15를 인수분해할 수 있었던 데에는 이유가 있습니다. 15를 법으로 하는 산술 계산은 쉽지만, 21과 같이 조금 더 큰 수를 인수분해하는 것은 훨씬 더 어렵습니다. 따라서 21을 인수분해할 수 있다고 주장하는 양자 실험들은 일반적으로 추가적인 힌트나 지름길에 의존합니다.

간단히 말해, 실용적인 암호화에 필수적인 {RSA-2048} 또는 {secp}256{k}1을 해독할 수 있는 암호학적으로 관련성 있는 양자 컴퓨터가 향후 5년 내에 등장할 것이라는 기대는 이를 뒷받침할 만한 공개적으로 알려진 진전이 없습니다.

10년이라는 시간도 여전히 야심 찬 목표입니다. 암호화와 관련된 양자 컴퓨터가 아직 얼마나 멀리 떨어져 있는지 생각해 보면, 발전에 대한 기대는 10년 이상의 시간적 흐름과 완전히 일치합니다.

그렇다면 미국 정부가 정부 시스템의 본격적인 포스트 양자(PQ) 이전을 2035년으로 정하는 것은 어떨까요? 저는 그것이 그렇게 대규모적인 전환을 완료하기에 적절한 일정이라고 생각합니다. 하지만 그때까지 암호화 관련 양자 컴퓨터가 개발될 것이라는 예측은 아닙니다.

어떤 상황에서 HNDL 공격이 적용 가능합니까(그리고 어떤 상황에서는 적용 불가능합니까)?

HNDL(Hidden-Nearest-Decryption) 공격은 공격자가 암호화된 트래픽을 저장해 두었다가 관련 양자 컴퓨터가 구축된 후 복호화하는 공격 방식을 말합니다. 국가 차원의 공격자는 미국 정부의 암호화된 통신을 대규모로 보관해 두었다가 기밀 통신 통제 센터(CRQC)가 실제로 가동된 후 수년이 지나서야 이를 복호화할 계획을 세울 가능성이 매우 높습니다.

이것이 암호화가 즉시 전환되어야 하는 이유입니다. 적어도 10~50년 이상 기밀 유지가 필요한 사람이라면 누구나 그렇게 해야 합니다.

하지만 모든 블록체인이 의존하는 디지털 서명은 암호화와 다릅니다. 공격으로 인해 발생한 기밀성을 추적할 수 없습니다.

다시 말해, 암호화 양자 컴퓨터가 등장하면 서명 위조가 실제로 가능해질 수 있지만, 과거의 서명은 암호화된 메시지처럼 비밀을 "숨기지" 않습니다. 디지털 서명이 CRQC 이전에 생성되었다는 것을 아는 한, 위조는 불가능합니다.

이로 인해 양자 디지털 서명으로의 전환은 양자 암호화로의 전환보다 덜 시급합니다.

주요 플랫폼은 이에 따라 조치를 취하고 있습니다. Chrome과 Cloudflare는 전송 계층 보안(TLS)을 위한 하이브리드 {X}25519+{ML-KEM} 암호화를 출시했습니다.

이 글에서는 읽기 편하도록 암호화 방식을 사용하겠습니다. 하지만 엄밀히 말하면 TLS와 같은 보안 통신 프로토콜은 공개 키 암호화가 아닌 키 교환이나 키 캡슐화 메커니즘을 사용합니다.

여기서 "하이브리드"라는 용어는 양자 이후 안전 방식(즉, ML-KEM)과 기존 방식({X}25519)을 동시에 사용하여 통합된 보안을 보장하는 것을 의미합니다. 이렇게 하면 ML-KEM을 통해 HNDL 공격을 (바람직하게는) 차단하는 동시에, ML-KEM이 오늘날의 컴퓨터에서도 안전하지 않다고 판명될 경우 {X}25519를 통해 기존 보안을 유지할 수 있습니다.

Apple의 iMessage도 PQ3 프로토콜을 통해 이 하이브리드 양자 암호화를 배포하고 Signal은 PQXDH 및 SPQR 프로토콜을 통해 배포합니다.

이와 대조적으로, 암호학적으로 관련성이 있는 양자 컴퓨터가 실제로 등장할 때까지 중요 네트워크 인프라에 대한 포스트 양자 디지털 서명의 도입이 지연되고 있습니다. 그 이유는 현재의 포스트 양자 서명 방식이 성능 저하를 초래하기 때문입니다(이에 대해서는 이 글의 뒷부분에서 자세히 설명하겠습니다).

zkSNARK(영지식 간결 비대화형 지식 논증)는 서명과 마찬가지로 블록체인의 장기적인 확장성과 개인정보 보호에 핵심적인 역할을 합니다. 이는 오늘날의 양자 내성 암호화 및 서명 방식과 마찬가지로 타원 곡선 암호화를 사용하는 비양자 내성 zkSNARK조차도 영지식 속성 자체는 양자 내성을 가지기 때문입니다.

영지식 속성은 비밀 증인에 대한 정보가 증명 과정에서 공개되지 않도록 보장합니다. 심지어 양자 적대자에게도 공개되지 않으므로 나중에 "첫 번째 접근"을 통해 복호화할 수 있는 기밀 정보가 없습니다.

따라서 {zkSNARK}는 선제 복호화 공격에 쉽게 취약하지 않습니다. 오늘날 생성된 양자화되지 않은 서명이 안전한 것처럼, 암호학적으로 의미 있는 양자 컴퓨터가 등장하기 전에 생성된 모든 {zkSNARK} 증명은 신뢰할 수 있습니다(즉, 증명된 명제는 절대적으로 참입니다). {zkSNARK}가 타원 곡선 암호화를 사용하더라도 마찬가지입니다. 암호학적으로 의미 있는 양자 컴퓨터가 등장한 후에야 공격자는 거짓 명제에 대한 설득력 있는 증명을 찾을 수 있을 것입니다.

이는 블록체인에 어떤 의미를 갖나요?

대부분의 블록체인은 HNDL 공격에 노출되지 않습니다.

오늘날 비트코인과 이더리움과 같은 대부분의 비공개 블록체인은 거래 승인을 위해 주로 비포스트 양자 암호화를 사용합니다. 즉, 암호화 대신 디지털 서명을 사용합니다.

마찬가지로, 이러한 서명은 HNDL에 위협이 되지 않습니다. "먼저 복호화(get-first-decrypt)" 공격은 암호화된 데이터에 적용됩니다. 예를 들어, 비트코인의 블록체인은 공개되어 있으며, 양자 위협은 서명 위조(자금을 훔치기 위해 개인 키를 도출하는 것)이지, 이미 공개적으로 이용 가능한 거래 데이터를 복호화하는 것이 아닙니다. 이는 HNDL 공격으로 인해 발생하는 즉각적인 암호화 긴급성을 제거합니다.

안타깝게도 연방준비제도와 같은 신뢰할 수 있는 출처의 분석조차도 비트코인이 HNDL 공격에 취약하다고 잘못 주장했습니다. 이는 양자 암호학 이후의 전환이 시급하다는 사실을 과장하는 오류입니다.

그렇지만 시급성이 낮아졌다고 해서 비트코인이 기다릴 수 있다는 의미는 아닙니다. 프로토콜을 변경하는 데 필요한 엄청난 사회적 협력으로 인해 다양한 시간적 압박에 직면해 있습니다.

현재까지 예외는 프라이버시 체인으로, 이 중 다수는 수신자와 금액을 암호화하거나 다른 방식으로 숨깁니다. 양자 컴퓨터가 타원 곡선 암호화를 해독할 수 있게 되면 이러한 기밀성을 확보하고 소급적으로 익명성을 해제할 수 있습니다.

이러한 프라이버시 블록체인의 경우, 공격의 심각성은 블록체인 설계 방식에 따라 다릅니다. 예를 들어, 모네로(Monero)의 곡선 기반 링 서명과 키 이미지(이중 지출 방지를 위해 각 출력에 사용되는 연결성 태그)의 경우, 공개 원장 자체만으로도 지출 그래프를 사후적으로 재구성할 수 있습니다. 하지만 다른 블록체인에서는 피해가 더 제한적입니다. 자세한 내용은 Zcash의 암호화 엔지니어이자 연구원인 션 보위(Sean Bowe)의 설명을 참조하십시오.

사용자 거래가 암호학적으로 관련된 양자 컴퓨터에 노출되지 않는 것이 중요하다면, 프라이버시 체인은 가능한 한 빨리 포스트 양자 원시 구조(또는 하이브리드 방식)로 전환해야 합니다. 또는 복호화 가능한 비밀을 체인에 저장하지 않는 아키텍처를 채택해야 합니다.

비트코인의 고유한 과제: 거버넌스 + 노후화

특히 비트코인의 경우, 두 가지 현실이 양자 이후 디지털 서명으로의 전환을 시급히 시작하도록 이끌었습니다. 이 두 가지 모두 양자 기술과는 관련이 없습니다.

한 가지 우려 사항은 거버넌스 속도입니다. 비트코인은 변화 속도가 느립니다. 커뮤니티가 적절한 해결책에 합의하지 못하면, 어떤 논쟁적인 문제든 파괴적인 하드포크를 촉발할 수 있습니다.

또 다른 우려 사항은 비트코인 ​​전환 이후 양자 서명을 수동적으로 이전할 수 없다는 점입니다. 소유자는 직접 코인을 이전해야 합니다. 이는 구식이고 양자 공격에 취약한 코인을 보호할 수 없다는 것을 의미합니다. 일부 추산에 따르면 양자 공격에 취약하고 잠재적으로 구식이 될 수 있는 비트코인은 수백만 개에 달하며, 현재 가격 기준으로 수백억 달러(2025년 12월 기준)에 이를 것으로 예상됩니다.

하지만 비트코인에 대한 양자 위협은 갑작스럽고 하룻밤 사이에 닥치는 재앙이 아니라, 선택적이고 점진적인 공격 과정이 될 것입니다. 양자 컴퓨터는 모든 암호화를 동시에 해독할 수 없습니다. 쇼어 알고리즘은 한 번에 하나의 공개 키만 공격 대상으로 삼아야 합니다. 초기 양자 공격은 매우 비용이 많이 들고 시간이 오래 걸릴 것입니다. 따라서 양자 컴퓨터가 하나의 비트코인 ​​서명 키를 해독할 수 있게 되면, 공격자들은 고가치 지갑을 선택적으로 공격할 것입니다.

또한, 주소 재사용을 피하고 공개 키를 온체인에 직접 노출하는 탭루트 주소를 사용하지 않는 사용자는 프로토콜 변경 없이도 상당 부분 보호됩니다. 이들의 공개 키는 코인이 사용되기 전까지 해시 함수 뒤에 숨겨져 있기 때문입니다. 최종적으로 지출 거래를 브로드캐스트할 때 공개 키가 노출되고, 거래 확인을 필요로 하는 정직한 지출자와 개인 키를 찾아 실제 소유자의 거래가 확정되기 전에 코인을 사용하려는 양자 컴퓨팅 공격자 간에 짧고 실시간적인 경쟁이 벌어집니다. 따라서 진정으로 취약한 코인은 공개 키가 노출된 코인, 즉 초기 P2P K-출력, 재사용된 주소, 그리고 탭루트 보유 코인입니다.

사용이 중단된 취약한 암호화폐에 대한 쉬운 해결책은 없습니다. 몇 가지 옵션은 다음과 같습니다.

비트코인 커뮤니티는 마이그레이션되지 않은 모든 코인을 파괴한다고 선언하는 "마크 데이"에 동의했습니다.

폐기된 양자 취약 코인은 암호학적으로 관련된 양자 컴퓨터를 소유한 사람이라면 누구나 쉽게 압수할 수 있습니다.

두 번째 옵션은 심각한 법적 및 보안 문제를 야기할 수 있습니다. 개인 키 없이 양자 컴퓨터를 사용하여 코인을 소유하는 것은 (법적 소유권이나 선의를 주장하더라도) 여러 관할권의 절도 및 컴퓨터 사기법에 따라 심각한 문제를 야기할 수 있습니다.

더욱이 "폐기된"이라는 용어 자체는 활동이 없다는 전제에 기반합니다. 하지만 이러한 코인에 암호화 키를 가진 실제 소유자가 없는지 여부는 아무도 확실히 알 수 없습니다. 과거에 이러한 코인을 소유했다는 증거만으로는 암호를 해독하고 코인을 되찾을 법적 권한을 부여하기에 충분하지 않을 수 있습니다. 이러한 법적 모호성은 폐기되고 취약한 양자 코인이 법적 제한을 무시하려는 악의적인 행위자의 손에 넘어갈 가능성을 높입니다.

비트코인 특유의 마지막 문제는 낮은 거래 처리량입니다. 마이그레이션 계획이 확정되고 모든 양자 취약 자금이 양자 보안 이후 주소로 이동하더라도, 비트코인의 현재 거래 속도로는 여전히 수개월이 걸릴 것입니다.

이러한 과제로 인해 비트코인은 지금부터 후속 양자 전환을 계획하는 것이 매우 중요합니다. 암호화 양자 컴퓨터가 2030년 이전에 출시될 수 있기 때문이 아니라, 수십억 달러 상당의 코인을 이전하는 데 필요한 거버넌스, 조정, 기술적 물류를 해결하는 데 수년이 걸릴 것이기 때문입니다.

비트코인에 대한 양자 위협은 실재하지만, 시간적 압박은 양자 컴퓨터의 임박한 위협 때문이 아니라 비트코인 ​​자체의 한계에서 비롯됩니다. 다른 블록체인들도 양자 취약성으로 인한 자금 조달 문제에 직면하고 있지만, 비트코인은 독특한 취약점을 가지고 있습니다. 초기 거래에서 공개키를 블록체인에 직접 저장하는 P2P(Peer-to-Peer) 방식의 결제를 사용했기 때문에, 비트코인의 상당 부분이 암호학적으로 관련된 양자 컴퓨터의 공격에 특히 취약합니다. 이러한 기술적 차이점은 비트코인의 오랜 역사, 가치 집중, 낮은 처리량, 그리고 경직된 거버넌스와 결합되어 문제를 더욱 악화시킵니다.

위에서 설명한 취약점은 비트코인 ​​디지털 서명의 암호화 보안에는 적용되지만, 비트코인 ​​블록체인의 경제적 보안에는 적용되지 않습니다. 이러한 경제적 보안은 작업 증명(PoW) 합의 메커니즘에서 비롯되는데, 이 메커니즘은 세 가지 이유로 양자 컴퓨터가 쉽게 공격할 수 없습니다.

PoW는 해싱에 의존하므로 Grover의 검색 알고리즘의 2차 양자 속도 향상에만 영향을 받고 Shor의 알고리즘의 기하급수적 속도 향상에는 영향을 받지 않습니다.

그로버 탐색을 구현하는 데 드는 실질적인 오버헤드 때문에 양자 컴퓨터가 비트코인의 작업증명 메커니즘에서 조금이라도 속도 향상을 달성할 가능성은 극히 낮습니다.

속도가 상당히 빨라지더라도 이러한 속도 향상은 대규모 양자 채굴자에게 소규모 채굴자에 비해 이점을 제공하지만, 비트코인의 경제적 보안 모델을 근본적으로 훼손하지는 않을 것입니다.

양자 이후 서명의 비용과 위험

블록체인이 양자 이후 서명을 서둘러 배포해서는 안 되는 이유를 이해하려면 성능 비용과 양자 이후 보안이 여전히 진화하고 있다는 우리의 확신을 이해해야 합니다.

대부분의 포스트 양자 암호화는 다음 다섯 가지 방법 중 하나를 기반으로 합니다.

  • 해시시
  • 부호화
  • 격자
  • 다변수 2차 시스템(MQ)
  • 동위생식.

왜 다섯 가지 다른 접근 방식이 있을까요? 모든 포스트 양자 암호 원시 알고리즘의 보안은 양자 컴퓨터가 특정 수학 문제를 효율적으로 해결할 수 없다는 가정에 기반합니다. 문제가 더 "구조화"될수록, 그 문제를 기반으로 구축할 수 있는 암호 프로토콜의 효율성이 높아집니다.

하지만 여기에는 장단점이 있습니다. 추가적인 구조는 공격 알고리즘이 악용할 여지를 더 많이 만들어냅니다. 이는 근본적인 모순을 야기합니다. 더 강력한 가정은 더 나은 성능을 달성할 수 있지만, 잠재적인 보안 취약성(즉, 가정이 틀렸다고 증명될 가능성 증가)을 감수해야 한다는 것입니다.

일반적으로 해시 기반 방식은 양자 컴퓨터가 이러한 프로토콜을 효과적으로 공격할 수 없다는 확신이 가장 크기 때문에 보안 측면에서 가장 보수적인 방식입니다. 하지만 성능 면에서는 가장 떨어집니다. 예를 들어, NIST에서 표준화한 해시 기반 서명 방식은 최소 매개변수 설정에서도 7~8KB의 크기를 차지합니다. 반면, 오늘날 사용되는 타원 곡선 기반 디지털 서명은 64바이트에 불과합니다. 크기 면에서 약 100배의 차이가 납니다.

격자 암호화 방식은 오늘날 주요한 활용 분야입니다. 미국 국립표준기술연구소(NIST)는 표준화를 위해 격자 기반 방식을 선택했으며, 세 가지 서명 알고리즘 중 두 가지도 격자 기반입니다. ML-DSA(이전 명칭: Dilithium)라는 격자 방식은 128비트 보안 수준에서 2.4KB, 256비트 보안 수준에서 4.6KB 크기의 서명을 생성하는데, 이는 현재 사용되는 타원 곡선 기반 서명보다 약 40~70배 더 큽니다. 또 다른 격자 방식인 Falcon은 서명 크기가 약간 더 작지만(Falcon-512는 666바이트, Falcon-1024는 1.3KB), 복잡한 부동 소수점 연산을 포함하고 있어 NIST 자체에서도 구현에 있어 특히 어려운 과제로 지적하고 있습니다. Falcon 개발자 중 한 명인 토마스 포르닌은 이를 "내가 구현해 본 암호화 알고리즘 중 가장 복잡한 알고리즘"이라고 불렀습니다.

격자 기반 디지털 서명을 구현하는 것은 타원 곡선 기반 서명 방식보다 더 어렵습니다. ML-DSA는 더 민감한 중간 단계와 자명하지 않은 거부 논리를 가지고 있어 부채널 및 오류 보호가 필요합니다. Falcon은 상수시간 부동 소수점 문제를 추가합니다. 실제로 Falcon 구현에 대한 여러 부채널 공격으로 비밀 키가 복구되었습니다.

이러한 문제들은 암호화 관련 양자 컴퓨터가 제기하는 먼 미래의 위협과는 달리, 당장 눈앞에 닥친 위험을 내포하고 있습니다.

고성능 포스트 양자 암호화 기법을 도입할 때는 신중해야 할 충분한 이유가 있습니다. 역사적으로 Rainbow(MQ 기반 서명 체계)나 SIKE/SIDH(호몰로지 기반 암호화 체계)와 같은 주요 후보들은 고전적 방법으로 해독되었습니다. 즉, 양자 컴퓨터가 아닌 오늘날의 컴퓨터를 사용하여 해독되었습니다.

이 사건은 NIST 표준화 과정의 매우 후반부에 발생했습니다. 이는 건전한 과학적 연구 결과이지만, 성급한 표준화와 배포는 오히려 역효과를 낳을 수 있음을 보여줍니다.

앞서 언급했듯이 인터넷 인프라는 서명 마이그레이션에 신중한 접근 방식을 취하고 있습니다. 이는 인터넷 암호화 전환이 시작되는 데 걸리는 시간을 고려할 때 특히 주목할 만합니다. 네트워크 관리자들이 사실상 몇 년 전에 사용을 중단했던 MD5 및 SHA-1 해시 함수에서 벗어나 새로운 방식으로 전환하는 데는 수년이 걸렸으며, 일부 경우에는 아직도 진행 중입니다. 이는 해당 방식들이 단순히 잠재적인 취약점이 아니라, 미래의 기술에 완전히 취약하기 때문입니다.

블록체인과 인터넷 인프라의 고유한 과제

다행히 이더리움이나 솔라나처럼 오픈 소스 개발자 커뮤니티에서 활발하게 유지 관리되는 블록체인은 기존 네트워크 인프라보다 훨씬 빠르게 업그레이드될 수 있습니다. 반면, 기존 네트워크 인프라는 잦은 키 순환 덕분에 공격 표면이 초기 양자 컴퓨팅 머신이 목표로 삼을 수 없을 정도로 빠르게 변화합니다. 하지만 블록체인은 코인과 관련된 키가 무기한 노출될 수 있기 때문에 이러한 이점을 누리지 못합니다.

그러나 일반적으로 블록체인은 네트워크의 신중하게 고안된 서명 마이그레이션 방식을 계속 준수해야 합니다. 두 서명 설정 모두 네트워크를 HNDL 공격에 노출시키지 않으며, 키 지속성과 관계없이 미숙한 포스트 양자 방식으로 조기 마이그레이션하는 데 따르는 비용과 위험은 여전히 ​​상당합니다.

블록체인에는 몇 가지 특수한 문제점이 있어, 성급한 마이그레이션은 특히 위험하고 복잡합니다. 예를 들어, 블록체인은 서명 체계, 특히 많은 서명을 신속하게 집계하는 능력에 대해 고유한 요구 사항을 가지고 있습니다. 현재 BLS 서명은 매우 빠른 집계가 가능하다는 장점 때문에 널리 사용되고 있지만, 양자 컴퓨팅 보안에는 취약합니다. 연구자들은 SNARK 기반의 양자 컴퓨팅 보안 서명 집계 기술을 연구하고 있으며, 이 연구는 유망하지만 아직 초기 단계에 있습니다.

SNARK 알고리즘의 경우, 현재 커뮤니티는 양자 컴퓨팅 환경에서 가장 유력한 대안으로 해시 기반 구조에 집중하고 있습니다. 하지만 큰 변화가 예상됩니다. 향후 몇 달, 몇 년 안에 격자 기반 구조가 매력적인 대안으로 떠오를 것이라고 생각합니다. 이러한 격자 기반 구조는 해시 기반 SNARK보다 여러 면에서 더 나은 성능을 제공할 것입니다. 예를 들어, 격자 기반 서명이 해시 기반 서명보다 짧은 것처럼, 증명 시간도 단축될 것입니다.

지금 더 큰 문제는 보안을 달성하는 것입니다.

향후 몇 년 동안 취약점 악용은 암호학 관련 양자 컴퓨터보다 더 큰 보안 위험을 초래할 것입니다. {SNARKs}의 경우, 주요 관심사는 프로그램 오류(버그)입니다.

프로그램 오류는 이미 디지털 서명 및 암호화 체계에 있어 난제이며, {SNARK}는 훨씬 더 복잡합니다. 실제로 디지털 서명 체계는 "내 공개 키에 해당하는 개인 키를 알고 있으며, 이 메시지를 승인합니다."라고 명시하는 매우 간단한 {zkSNARK}로 볼 수 있습니다.

포스트 양자 서명의 경우, 즉각적인 위험에는 사이드 채널 공격 및 결함 주입 공격과 같은 구현 공격도 포함됩니다. 이러한 유형의 공격은 잘 알려져 있으며, 구축된 시스템에서 비밀 키를 추출할 수 있습니다. 이러한 공격은 원격 양자 컴퓨터보다 더 시급한 위협입니다.

커뮤니티는 SNARKs의 절차적 버그를 식별하고 수정하며, 사이드 채널 공격 및 오류 주입 공격에 대한 저항력을 강화하기 위해 양자 후 서명 구현을 개선하는 데 수년간 노력할 것입니다. 양자 후 SNARKs 및 서명 집계 방식에 대한 논의가 아직 마무리되지 않은 상태이므로, 너무 일찍 전환하는 블록체인은 최적화되지 않은 솔루션에 갇힐 위험이 있습니다. 더 나은 옵션이 등장하거나 구현상의 취약점이 발견되면 다시 마이그레이션해야 할 수도 있습니다.

우리는 어떻게 해야 할까요? 7가지 제안

위에서 설명한 현실들을 바탕으로, 건설업체부터 정책 입안자에 이르기까지 다양한 이해관계자들에게 조언을 드리면서 마무리하겠습니다. 핵심 원칙은 다음과 같습니다. 양자 위협을 심각하게 받아들이되, 암호학적으로 중요한 양자 컴퓨터가 2030년 이전에 등장할 것이라는 가정에 따라 행동해서는 안 됩니다. 현재까지의 개발 상황으로 볼 때 이러한 가정은 입증되지 않았습니다. 그럼에도 불구하고, 우리가 지금 할 수 있고 해야 할 일들이 있습니다.

우리는 즉시 하이브리드 암호화를 구축해야 합니다.

적어도 장기적인 기밀 유지가 중요하고 비용이 감당할 수 있는 수준이라면 그렇습니다.

많은 브라우저, CDN, 그리고 메시징 애플리케이션(예: iMessage 및 Signal)이 하이브리드 방식을 도입했습니다. 이러한 하이브리드 방식(포스트 퀀텀 + 클래식)은 HNDL 공격을 방어하는 동시에 포스트 퀀텀 솔루션의 잠재적 취약점을 완화할 수 있습니다.

크기가 허용 가능한 수준이 되면 즉시 해시 기반 서명을 사용하십시오.

소프트웨어/펌웨어 업데이트 및 이와 같이 빈도가 낮고 크기에 민감하지 않은 시나리오에서는 하이브리드 해시 기반 서명을 즉시 채택해야 합니다. (하이브리드 방식은 새로운 방식의 구현 결함을 방지하기 위한 것이지, 해시 기반 서명의 보안 가정에 의문이 제기되기 때문이 아닙니다.)

이는 보수적인 접근 방식이며, 암호화용 양자 컴퓨터가 예상보다 빨리 등장할 가능성이 희박한 경우에도 사회에 확실한 "구명정"을 제공합니다. 양자 후 서명 소프트웨어 업데이트를 사전에 배포하지 않으면 CRQC가 등장한 후 부트스트래핑 문제에 직면하게 될 것입니다. 즉, 이에 대응하는 데 필요한 양자 후 암호화 수정 사항을 안전하게 배포할 수 없게 될 것입니다.

블록체인은 양자역학 서명 기술을 서둘러 도입할 필요는 없지만, 계획 수립은 즉시 시작해야 합니다.

블록체인 개발자들은 PKI 커뮤니티의 리더십을 따라 양자 컴퓨팅 이후의 서명 배포에 신중한 접근 방식을 취해야 합니다. 이를 통해 양자 컴퓨팅 이후 서명 체계는 성능 및 보안 측면에서 지속적으로 발전할 수 있습니다. 또한, 이러한 접근 방식은 개발자들이 더 큰 서명을 처리할 수 있도록 시스템을 재설계하고 더 나은 집계 기술을 개발할 시간을 확보해 줍니다.

비트코인 및 기타 L1 암호화폐의 경우, 커뮤니티는 버려진 양자 컴퓨팅 공격에 취약한 자금에 대한 마이그레이션 경로와 정책을 명확히 정의해야 합니다. 수동적인 마이그레이션은 실현 불가능하므로 사전 계획이 매우 중요합니다. 특히 비트코인은 느린 거버넌스 체계와 수많은 고가 자산, 그리고 잠재적으로 버려진 양자 컴퓨팅 공격에 취약한 주소 등 비기술적인 문제점을 안고 있기 때문에, 비트코인 ​​커뮤니티가 지금 바로 계획을 시작하는 것이 더욱 중요합니다.

동시에, 포스트퀀텀(SNARK) 및 집계 가능 시그니처 연구가 성숙될 수 있도록 해야 합니다(이 과정에는 몇 년이 더 걸릴 수 있습니다). 성급한 마이그레이션은 최적이 아닌 솔루션에 갇히거나 구현 오류를 해결하기 위해 두 번째 마이그레이션이 필요할 위험을 수반합니다.

이더리움의 계정 모델에 대한 참고 사항: 이더리움은 양자 컴퓨팅 이후 마이그레이션에 서로 다른 영향을 미치는 두 가지 계정 유형을 지원합니다. 즉, {secp}256{k}1 개인 키로 제어되는 기존 계정 유형인 외부 소유 계정(EOA)과 프로그래밍 가능한 권한 부여 논리를 갖춘 스마트 계약 지갑입니다.

비상 상황이 아닌 경우, 이더리움이 양자 이후 서명에 대한 지원을 추가하면 업그레이드 가능한 스마트 계약 지갑은 계약 업그레이드를 통해 양자 이후 검증으로 전환할 수 있습니다. 반면 EOA는 자금을 새로운 양자 이후 보안 주소로 이체해야 할 수도 있습니다(이더리움은 EOA에 대한 전용 마이그레이션 메커니즘도 제공할 가능성이 높습니다).

양자 비상 사태 발생 시, 이더리움 연구진은 취약한 계정을 동결하고 사용자가 포스트 양자 보안(SNARK)을 사용하여 니모닉 구문에 대한 지식을 증명함으로써 자금을 복구할 수 있도록 하는 하드 포크 계획을 제안했습니다. 이 복구 메커니즘은 EOA 및 아직 업그레이드되지 않은 모든 스마트 컨트랙트 지갑에서 작동합니다.

사용자에게 미치는 실질적인 영향: 잘 감사되고 업그레이드 가능한 스마트 계약 지갑은 마이그레이션 경로를 약간 더 원활하게 제공할 수 있지만, 그 차이는 미미하며 지갑 제공업체에 대한 신뢰와 업그레이드 거버넌스 측면에서 상충 관계가 있습니다. 더 중요한 것은 이더리움 커뮤니티가 포스트 퀀텀 프리미티브 및 비상 대응 계획에 대한 연구를 계속하고 있다는 것입니다.

블록체인 개발자를 위한 더 넓은 설계 교훈: 오늘날 많은 블록체인은 계정 신원을 특정 암호화 기본 요소에 긴밀하게 연결합니다. 비트코인과 이더리움은 secp256k1 기반의 ECDSA 서명을, 다른 블록체인은 EdDSA를 사용합니다. 양자 컴퓨팅 이후 마이그레이션의 어려움은 계정 신원을 특정 서명 체계에서 분리하는 것의 중요성을 강조합니다. 이더리움이 스마트 계정을 향해 나아가고 있고 다른 블록체인에서도 유사한 계정 추상화 개념이 등장하고 있는데, 이는 계정이 온체인 기록과 상태를 유지하면서 인증 로직을 업그레이드할 수 있도록 하는 추세를 반영합니다. 이러한 분리가 양자 컴퓨팅 이후 마이그레이션을 간단하게 만드는 것은 아니지만, 계정을 단일 서명 체계에 고정하는 것보다 훨씬 더 유연하게 만들어 줍니다. (이는 또한 스폰서 트랜잭션, 소셜 복구, 다중 서명과 같은 관련 없는 기능도 가능하게 합니다.)

거래 내역을 암호화하거나 숨기는 프라이버시 체인의 경우, 성능이 허용 가능한 수준이라면 조기 전환을 우선시해야 합니다.

이러한 체인에서 사용자의 기밀성은 현재 HNDL 공격에 노출되어 있지만, 그 심각도는 설계에 따라 다릅니다. 공개 원장을 통해서만 완전한 추적성과 익명성 해제를 달성할 수 있는 체인은 가장 심각한 위험에 직면하게 됩니다.

양자 이후 방식이 고전적 기반에서도 안전하지 않다는 것이 증명되는 것을 방지하기 위해 하이브리드 방식(양자 이후 방식 + 고전적 방식)을 고려하거나, 해독 가능한 비밀을 체인에 두지 않도록 구조적 변경을 구현합니다.

단기적으로는 양자 위협을 완화하는 것보다 보안을 확보하는 것이 우선입니다.

특히 {SNARK}와 포스트 양자 서명과 같은 복잡한 암호화 기본 요소의 경우, 프로그램 오류와 구현 공격(사이드 채널 공격, 오류 주입)은 향후 몇 년 안에 암호학적으로 관련성이 있는 양자 컴퓨터보다 훨씬 더 큰 보안 위험을 초래할 것입니다.

지금 바로 감사, 퍼징, 형식 검증, 그리고 심층 방어/계층형 보안 접근 방식에 투자하십시오. 양자 컴퓨팅에 대한 우려가 더욱 시급한 절차적 오류 위협을 가리지 않도록 하십시오!

양자 컴퓨팅 개발에 자금을 지원합니다.

위에서 언급한 모든 사항들이 국가 안보에 미치는 중요한 함의 중 하나는 양자 컴퓨팅 분야에 대한 자금 지원과 인재 개발을 지속해야 한다는 것입니다.

주요 적대국이 미국보다 먼저 암호화 관련 양자 컴퓨팅 역량을 확보했다는 사실은 우리와 전 세계에 심각한 국가 안보 위협을 초래합니다.

양자 컴퓨팅 관련 발표 내용을 받아보세요.

양자 하드웨어가 발전함에 따라 앞으로 몇 년 동안 수많은 이정표가 등장할 것입니다. 역설적이게도, 이러한 발표의 빈도 자체가 암호학적으로 중요한 양자 컴퓨터가 등장하기까지 우리가 얼마나 멀리 떨어져 있는지를 보여줍니다. 각 이정표는 그 지점에 도달하기 전에 거쳐야 할 수많은 다리 중 하나를 나타내며, 각 이정표는 그 자체로 헤드라인을 장식하고 뜨거운 관심을 불러일으킬 것입니다.

보도자료는 성급한 조치를 취해야 할 계기가 아니라, 비판적인 평가가 필요한 진행 상황 보고서로 간주해야 합니다.

물론, 예상 일정을 앞당기는 놀라운 개발이나 혁신이 있을 수도 있고, 반대로 예상 일정을 연장하는 심각한 확장 병목 현상이 있을 수도 있습니다.

암호화 기능을 갖춘 양자 컴퓨터가 5년 안에 등장할 가능성이 전혀 없다고는 생각하지 않습니다. 다만 극히 낮은 가능성일 뿐입니다. 위의 권장 사항은 그러한 불확실성에도 견고하며, 이를 따르면 구현 오류, 성급한 배포, 그리고 잘못된 암호화 전환으로 인한 일반적인 함정과 같은 즉각적이고 발생 가능성이 높은 위험을 피할 수 있습니다.

공유하기:

작성자: 白话区块链

이 글은 PANews 입주 칼럼니스트의 관점으로, PANews의 입장을 대표하지 않으며 법적 책임을 지지 않습니다.

글 및 관점은 투자 조언을 구성하지 않습니다

이미지 출처: 白话区块链 침해가 있는 경우 저자에게 삭제를 요청하세요.

PANews 공식 계정을 팔로우하고 함께 상승장과 하락장을 헤쳐나가세요
Telegram 교류 그룹
Telegram 정보 채널
@PANews
추천 읽기
13분 전
1시간 전
2시간 전
2시간 전
2시간 전
3시간 전

인기 기사

업계 뉴스
시장 핫스팟
엄선된 읽을거리
구독 클릭

엄선 특집

App内阅读