저자: Luke, Mars Finance
라스베이거스의 밤이 저물어갈 무렵, 암호화폐 고위 전문가들은 비트코인 2025 컨퍼런스에서 비공개 오찬을 즐기며 보기 드문 엄숙함을 보였습니다. 하지만 분위기는 쇠퇴의 번잡함보다는 더 깊은 우려로 가득했습니다. 한때 먼 미래로 여겨졌던 파괴적 기술인 양자 컴퓨팅이 놀라운 속도로 다가오고 있으며, 그 위협은 비트코인의 겉보기에 파괴 불가능해 보였던 암호화 장벽에 이미 드리워져 있었습니다. 강력한 양자 컴퓨터가 몇 년 안에 비트코인의 개인 키를 해독하여 약 420억 달러 상당의 비트코인을 위험에 빠뜨릴 수 있다는 경고가 나오고 있으며, 심지어 시장 전체에 영향을 미치는 "현금화 사건"을 촉발할 수도 있다는 주장도 제기되고 있습니다.
이는 과장이 아닙니다. 구글 양자 인공지능 팀의 최근 연구는 불길에 기름을 부었습니다. 현재 널리 사용되는 RSA 암호화 알고리즘을 해독하는 데 필요한 양자 리소스가 이전 추정치보다 20배나 낮다는 것입니다. 비트코인은 RSA 대신 타원 곡선 디지털 서명 알고리즘(ECDSA)을 사용하지만, 둘 다 수학 기반 양자 알고리즘의 잠재적 위협에 직면해 있습니다. Casa 공동 창립자 제임슨 롭의 주장은 여전히 생생하게 기억됩니다. "비트코인 커뮤니티는 합의에 도달하고 양자 위협이 진정한 존재적 위기로 번지기 전에 완화할 방법을 찾아야 합니다."
양자 컴퓨팅에 의해 "파괴"될 수 있는 미래는 얼마나 멀리 있을까요? 이는 단순히 기술적인 문제일 뿐만 아니라 신뢰, 부, 심지어 신흥 산업의 운명에 관한 문제이기도 합니다.
양자 유령은 어떻게 비트코인 암호화 문을 두드릴까?
양자 컴퓨팅이 비트코인에 미치는 위협을 이해하려면 먼저 비트코인 보안의 초석인 ECDSA를 살펴봐야 합니다. 간단히 말해, 비트코인 지갑을 생성하면 한 쌍의 키가 생성됩니다. 개인 키(절대적으로 기밀로 유지해야 함)와 공개 키(공개 가능)입니다. 공개 키는 일련의 해시 연산을 통해 비트코인 주소를 생성합니다. 거래 시에는 개인 키를 사용하여 거래에 디지털 서명을 하고, 네트워크의 다른 사람들은 공개 키를 사용하여 서명이 실제로 본인인지, 거래 정보가 변조되지 않았는지 확인할 수 있습니다. 기존 컴퓨터에서는 개인 키와 공개 키를 역으로 변환하는 것이 수학적으로 불가능하며, 이것이 비트코인 보안의 기반입니다.
그러나 양자 컴퓨터, 특히 1994년 피터 쇼어(Peter Shor)가 제안한 쇼어 알고리즘(Shor algorithm)의 등장은 이러한 상황을 완전히 바꾸어 놓았습니다. 쇼어 알고리즘은 큰 수의 소인수분해와 이산대수 문제를 효율적으로 풀 수 있으며, 이는 RSA나 ECDSA와 같은 공개 키 암호 시스템의 보안을 위한 수학적 기반입니다. 충분히 강력한 양자 컴퓨터가 구축되어 안정적으로 작동하면, 이론적으로 쇼어 알고리즘을 사용하여 알려진 공개 키로부터 해당 개인 키를 빠르게 계산할 수 있습니다.
어떤 비트코인이 양자 포격에 가장 먼저 노출될까요? 가장 먼저 영향을 받는 것은 공개 키를 직접 노출하는 주소입니다. 가장 전형적인 것은 비트코인 초창기에 사용되었던 P2PK(Pay-to-Public-Key) 주소로, 주소 자체 또는 관련 거래에서 공개 키가 직접 노출됩니다. 이러한 주소에는 사토시 나카모토의 것으로 알려진 초기 "제네시스" 비트코인을 포함하여 수백만 개의 비트코인(약 190만~200만 개)이 아직 잠복해 있는 것으로 추정됩니다. 또한, 더 일반적인 P2PKH(Pay-to-Public-Key-Hash) 주소는 주소 자체가 공개 키의 해시 값이며 비교적 안전하지만, 해당 주소에서 지출 거래가 발생하면 해당 주소의 공개 키가 거래 데이터에 노출됩니다. 이러한 주소가 재사용될 경우(즉, 동일한 주소에서 여러 번 거래가 전송될 경우) 공개 키는 계속 노출되고 위험에 노출됩니다. 딜로이트와 다른 기관들의 이전 분석에 따르면, 주소 재사용 등의 이유로 공개 키가 노출된 비트코인의 수는 수백만 개에 달할 수 있습니다. 슈노르 서명과 같은 기술적 최적화가 도입되었음에도 불구하고, 새로운 탭루트(P2TR) 주소를 포함하여 일부 경우 공개 키 또는 그 변형이 여전히 유추될 수 있어 양자 위협으로부터 완전히 자유롭지는 못합니다.
여러 취약 주소에 예치된 비트코인의 총량을 종합해 보면, 전체 비트코인 공급량의 일정 비율을 차지할 수 있습니다. 이전 추정치(예: 2022년)에 따르면 약 400만~600만 개의 비트코인이 고위험에 노출되어 있는 것으로 나타났습니다. 현재 비트코인 가격을 기준으로 대략적으로 계산하면(예: 비트코인 1개당 7만 달러 가정), 이 자금의 가치는 2,800억~4,200억 달러에 이를 수 있습니다. 이것이 "420억 달러"라는 위험 경고에 대한 더 합리적인 설명일 수 있습니다. 이는 정확한 수치를 의미하는 것이 아니라, 막대한 자산이 잠재적 위험에 노출되어 있다는 경고이기 때문입니다.
더욱 우려스러운 것은 소위 "단거리 공격"입니다. 비트코인 거래를 시작하면 공개 키와 거래 정보가 네트워크에 브로드캐스트되고, 채굴자들이 이를 패키징하여 확인할 때까지 기다립니다. 이 과정은 보통 10분에서 60분 정도 소요됩니다. 양자 컴퓨터가 이 짧은 시간 안에 브로드캐스트된 공개 키에서 개인 키를 해독할 수 있다면, 새로운 거래를 생성하여 더 높은 수수료로 비트코인을 먼저 이체할 수 있습니다. 이 공격이 현실화된다면 거의 모든 유형의 비트코인 거래가 즉각적인 위협에 직면하게 될 것입니다.
양자 하드웨어 경쟁: 이론에서 현실로의 경쟁
오랫동안 쇼어 알고리즘을 실행하여 실제 암호 시스템을 해독할 수 있는 양자 컴퓨터를 개발하는 것은 불가능한 일로 여겨졌습니다. 그러나 최근 몇 년간의 진전은 주목할 만하며, 특히 양자 비트(큐비트)의 품질, 양, 그리고 오류 정정 능력 향상에 큰 영향을 미쳤습니다. 양자 컴퓨터의 암호 해독 능력을 진정으로 측정하는 핵심은 물리적 큐비트의 수뿐만 아니라, 복잡한 알고리즘을 안정적으로 실행할 수 있는 "논리 큐비트"의 수와 품질입니다.
구글 양자 인공지능팀 연구원인 크레이그 기드니는 2025년 초 업데이트된 연구에서 기존 네트워크 보안에 흔히 사용되는 2048비트 RSA 암호화를 해독하는 데 기존 추정치인 수천만 개의 물리적 큐비트가 더 이상 필요하지 않을 수 있으며, "100만 개 미만의 노이즈 큐비트"만으로도 "일주일 이내에" 완료될 수 있다고 지적했습니다. 추정치의 이러한 상당한 감소는 근사 나머지 연산, 더욱 효율적인 논리적 큐비트 저장, 그리고 "매직 상태" 정제 기법 적용과 같은 알고리즘 최적화 및 오류 정정 기술의 발전 덕분입니다. 기드니는 이러한 양자 컴퓨터가 여전히 5일 연속 안정적인 작동 및 매우 낮은 게이트 오류율과 같은 까다로운 조건을 충족해야 하며, 이는 현재 기술 수준을 훨씬 뛰어넘는 것이라고 강조했지만, 이는 의심할 여지 없이 우리의 인식 속 "양자 보안 거리"를 단축시키는 것입니다. 비트코인에서 사용하는 ECDSA(secp256k1 곡선)의 경우, RSA-2048의 최신 추정치와 비교했을 때 해독에 필요한 구체적인 양자 자원에 대한 정확하고 널리 인정된 공개 데이터는 없지만, 암호학 커뮤니티의 일반적인 견해는 수학적 구조로 인해 양자 컴퓨터가 RSA를 해독하는 것보다 ECDSA를 해독하는 것이 더 쉬울 수 있다는 것입니다.
하드웨어 측면에서는 여러 거대 기업들이 따라잡기 위해 노력하고 있습니다. IBM의 양자 로드맵은 야심적입니다. "오스프리(Osprey)" 프로세서는 433개의 물리적 큐비트를, "콘도르(Condor)"는 실험적으로 1,121개의 물리적 큐비트를 달성했습니다. 더 중요한 것은 IBM이 큐비트의 품질과 오류 정정 기능 향상에 집중하고 있다는 것입니다. "헤론(Heron)" 프로세서(133큐비트)는 낮은 오류율로 현재 개발의 초점이 되고 있으며, 2025년에는 1,386개의 물리적 큐비트를 가진 "쿠카부라(Kookaburra)" 시스템을 출시하여 다중 칩 연결을 통해 더 큰 규모를 달성할 계획입니다. IBM의 장기적인 목표는 2029년까지 200개의 고품질 논리 큐비트를 가진 "스타링(Starling)" 시스템을 구축하는 것이며, 이 시스템은 최대 1억 개의 양자 게이트 연산을 수행할 것으로 예상됩니다.
구글 또한 계속해서 노력하고 있습니다. 105개의 물리적 큐비트를 탑재한 것으로 알려진 "윌로우" 칩은 2025년 초에 공개되었습니다. 구글 팀은 이 칩을 "확장 가능한 논리적 큐비트의 설득력 있는 프로토타입"이라고 설명했으며, 결함 허용 양자 컴퓨팅을 구현하는 데 중요한 단계인 양자 오류 수정 분야에서 "임계값 이하"의 진전을 이루었습니다.
퀀티넘(Quantinuum)은 2025년 폭탄 선언을 했습니다. 자사의 "헬리오스(Helios)" 양자 컴퓨팅 시스템이 그해 말 상용화될 예정이며 "최소 50개의 고충실도 논리 큐비트"를 지원할 수 있을 것이라고 발표한 것입니다. 이 발표가 완전히 실현된다면, 특히 특정 응용 분야에서 양자 컴퓨팅이 실험적 연구에서 실제 컴퓨팅 역량으로 전환되는 데 중요한 이정표가 될 것입니다. 퀀티넘은 또한 2025년 5월, 기록적인 논리 큐비트 순간이동 충실도를 달성하며 고품질 논리 큐비트 구축 분야에서 퀀티넘의 선도적인 입지를 더욱 확고히 했습니다.
그럼에도 불구하고, 내결함성 양자 컴퓨터가 비트코인을 위협하는 데 걸리는 시간에 대한 전문가들의 예측은 여전히 엇갈리고 있습니다. 낙관적인(혹은 관점에 따라 비관적인) 예측은 향후 3~5년 안에 발생할 수 있다고 하는 반면, 최소 10년 이상 걸릴 것이라고 예측하는 사람들도 있습니다. 중요한 것은 양자 위협이 "온/오프" 변이가 아니라 확률을 높이는 과정이라는 것입니다. 하드웨어의 모든 발전과 알고리즘의 모든 최적화는 그 카운트다운을 조용히 단축시키고 있습니다.
비트코인의 "양자 반격": 비오는 날에 대비할 것인가, 아니면 손실을 만회할 것인가?
점점 더 명확해지는 양자 위협에 직면한 비트코인 커뮤니티는 속수무책입니다. 암호학 커뮤니티는 오래전부터 "포스트 양자 암호(PQC)" 연구를 시작했는데, 이는 알려진 양자 알고리즘의 공격을 방어할 수 있다고 여겨지는 새로운 암호 알고리즘입니다. 미국 국립표준기술원(NIST)은 수년간의 검토 끝에 키 캡슐화를 위한 CRYSTALS-Kyber와 디지털 서명을 위한 CRYSTALS-Dilithium, FALCON, SPHINCS+를 중심으로 표준화된 PQC 알고리즘들을 발표했습니다.
비트코인의 경우, SPHINCS+와 같은 해시 기반 서명 체계(HBS)는 아직 대규모 검증이 완료되지 않은 수학적 문제(예: 격자 암호)에 의존하지 않고, 잘 연구된 해시 함수의 충돌 저항성을 기반으로 보안을 구현하기 때문에 강력한 경쟁자로 간주됩니다. SPHINCS+는 XMSS와 같은 이전 버전과 달리 상태를 저장하지 않으므로 블록체인의 분산 특성에 특히 중요합니다. 그러나 해시 기반 서명은 일반적으로 큰 서명 크기, 긴 키 생성 및 검증 시간과 같은 문제에 직면하며, 이러한 모든 문제는 비트코인의 거래 효율성과 블록체인 저장 공간에 부담을 줄 수 있습니다. 비트코인의 핵심 기능을 희생하지 않고 이러한 PQC 알고리즘을 통합하는 것은 매우 어려운 기술적 과제입니다.
더 큰 과제는 비트코인을 기존 ECDSA에서 새로운 PQC 표준으로 어떻게 이전할 것인가입니다. 이는 단순히 코드 수준의 수정이 아니라 비트코인 프로토콜의 근본적인 업그레이드와 전 세계 수백만 사용자와 수천억 달러 규모의 자산에 대한 원활한 전환을 포함합니다.
첫 번째는 업그레이드 방식입니다. 소프트 포크와 하드 포크 중 어떤 방식을 선택해야 할까요? 소프트 포크는 기존 노드와 호환되며 일반적으로 위험성이 낮다고 여겨지지만, 복잡한 PQC 기능을 구현할 수 있는 자유도가 제한될 수 있습니다. 하드 포크는 기존 규칙과 호환되지 않으므로 모든 참여자가 업그레이드해야 합니다. 그렇지 않으면 블록체인 분할로 이어질 수 있으며, 이는 비트코인 역사상 종종 큰 논란과 커뮤니티 분열 위험을 동반합니다.
두 번째는 마이그레이션 메커니즘입니다. 사용자는 이전 주소(ECDSA)에 저장된 비트코인을 새로운 양자 저항(QR) 주소로 안전하게 전송할 수 있을까요? 이 프로세스는 마이그레이션 기간 동안 새로운 공격 벡터가 나타나는 것을 방지하는 동시에 안전하고 편리하도록 설계되어야 합니다.
비트코인 사상가 제임슨 롭은 널리 논의된 그의 논문 "양자 컴퓨터가 비트코인을 복구하도록 허용하는 것에 반대한다"에서 이 문제에 대한 심오한 통찰을 제시합니다. 그는 양자 컴퓨팅 능력을 가진 사람들이 PQC로 보호되지 않는 비트코인을 "복구"(실제로는 훔치는 것)하도록 허용된다면, 이는 소수의 기술 과두 세력에게 부를 재분배하는 것과 마찬가지이며, 비트코인의 공정성과 신뢰성을 심각하게 훼손할 것이라고 주장합니다. 그는 심지어 QR 주소로 이전되지 않은 비트코인이 프로토콜에 의해 "파기"되거나 영구적으로 사용할 수 없게 되는 "폐기일"을 설정하는 논란의 여지가 있는 아이디어를 제안하기도 했습니다. 롭은 이것이 일부 사용자에게 자산 손실(특히 오랫동안 휴면 상태였던 주소나 개인 키를 잃어버린 주소)로 이어질 수 있는 어려운 타협이며 심지어 하드 포크를 유발할 수도 있다는 것을 인정하지만, 비트코인 네트워크의 장기적인 무결성과 핵심 가치 제안을 보호하기 위해 고려해야 할 "쓴 약"이라고 생각합니다.
또 다른 개발자인 아구스틴 크루즈는 QRAMP(양자 저항 주소 마이그레이션 프로토콜)라는 구체적인 하드포크 제안을 제안했습니다. 이 제안은 의무적인 마이그레이션 기간을 설정하고, 마감일 이후에도 마이그레이션되지 않은 비트코인은 "소각"으로 간주하여 전체 생태계가 양자 안전 상태로 신속하게 전환되도록 "강제"하는 것을 목표로 합니다. 이러한 급진적인 제안은 커뮤니티가 양자 위협에 대응하는 방식에서 잠재적인 차이점과 분산형 거버넌스 모델 하에서 합의에 도달하는 데 따르는 어려움을 보여줍니다.
PQC 주소로 업그레이드하는 것 외에도 "주소 재사용 금지"의 모범 사례를 지속적으로 옹호하고 강화하는 것도 어느 정도 위험을 줄일 수 있지만, 이는 궁극적으로 임시방편일 뿐이며 ECDSA 자체에 대한 양자 알고리즘의 위협을 근절할 수는 없습니다.
생태적 방황: 관성과 변화 사이
비트코인 생태계는 이처럼 심각한 시스템적 위험에 얼마나 대비되어 있을까요? 양자 저항 원장(QRL)과 같은 일부 신흥 퍼블릭 체인 프로젝트는 설계 초기부터 PQC 기능을 내장하고 있으며, 알고랜드와 같은 프로젝트 또한 PQC 통합 솔루션을 적극적으로 모색하고 있습니다. 이들은 마치 가벼운 배처럼 포스트 양자 암호학의 흐름을 주도하려 하고 있습니다.
그러나 "톤십(ton ship)"과 같은 비트코인은 막대한 시장 가치, 광범위한 사용자 기반, 그리고 뿌리 깊은 탈중앙화 및 반검열 개념을 가지고 있어 핵심 프로토콜의 변경을 매우 어렵고 느리게 만듭니다. 개발자 커뮤니티는 양자 위협에 대한 이해를 심화하고 있으며, 관련 논의(예: 롭의 글, QRAMP 제안, bitcoin-dev 메일링 리스트에서의 산발적인 논의)도 진행 중이지만, 명확하고 널리 합의된 업그레이드 로드맵이 형성되기까지는 아직 갈 길이 멀어 보입니다. 현재 주류 비트코인 거래소, 지갑 서비스 제공업체, 또는 대규모 채굴 풀은 PQC 전환 계획에 대한 명확한 공개 정보를 제공하지 않고 있습니다. 이는 비트코인의 PQC 전환이 임박한 엔지니어링 구현이라기보다는 아직 이론적 연구 및 초기 논의 단계에 있음을 시사하는 측면이 있습니다.
이러한 상황은 비트코인을 "대마불사(big to fail)하지만, 진화는 너무 느리다"라는 딜레마에 빠뜨립니다. 강력한 네트워크 효과와 브랜드 인지도는 비트코인의 강점이지만, 급속한 기술 혁신 앞에서는 이러한 안정성이 때로는 일종의 관성으로 변할 수 있습니다.
"양자적 정착": 단순히 열쇠를 잃는 것 이상
양자 컴퓨터가 실제로 공격할 수 있는 능력을 갖추기 전에 비트코인이 PQC 전환을 완료하지 못한다면 어떻게 될까요? 이는 단지 일부 사용자가 비트코인을 잃는 문제가 아닙니다.
대규모 양자 공격은 시장에 "청산 사건"을 먼저 촉발할 수 있습니다. 신뢰가 흔들리면 공황 매도가 비트코인 가격에 엄청난 폭락을 초래할 수 있습니다. 이러한 충격파는 비트코인 자체에 국한되지 않고 전체 암호화폐 시장으로 확산될 가능성이 높으며, 암호화폐 분야에 큰 비중을 차지하는 기존 금융 기관에도 파급 효과를 미칠 수 있습니다.
더 광범위한 영향은 신뢰의 붕괴입니다. 비트코인이 "디지털 금"이라는 칭호를 얻은 이유는 주로 "파괴 불가능한" 암호화 보안 때문입니다. 만약 양자 컴퓨팅으로 인해 이 초석이 쉽게 무너진다면, 이를 기반으로 하는 모든 가치 담론과 적용 시나리오는 심각한 시험대에 오르게 될 것입니다. 디지털 자산에 대한 대중의 전반적인 신뢰는 동결점까지 떨어질 수 있습니다.
51% 공격, 주요 소프트웨어 취약점, 그리고 점점 더 강화되는 국제 규제 등 알려진 다른 비트코인 보안 위험과 비교했을 때, 양자 위협의 독특한 특징은 파괴적인 성격에 있습니다. 51% 공격은 이중 지출이나 거래 검토를 유발할 수 있지만, 개인 키를 직접 훔치기는 어렵습니다. 소프트웨어 취약점은 수정이 가능하며, 규제 압력은 규정 준수 및 애플리케이션 경계에 더 큰 영향을 미칩니다. 양자 공격이 현실화되면 기존 암호화 시스템에 대한 "차원 축소 공격"이 되어 자산의 궁극적 소유권을 직접적으로 위협하게 됩니다.
DES에서 AES로의 업그레이드부터 SHA-1 해시 알고리즘의 점진적인 폐기까지 암호학의 역사를 돌이켜보면, 모든 주요 암호 시스템 마이그레이션은 정부 및 표준 기구와 같은 중앙 집중화된 기관의 주도 하에 수년 또는 수십 년에 걸쳐 진행되는 긴 과정이었습니다. 비트코인의 탈중앙화 거버넌스 모델은 강력한 복원력과 검열 방지 기능을 제공하지만, 세계적인 기술 변화에 대응하기 위해 신속하고 통합된 조치가 필요할 때는 실패할 수 있습니다.
결론: 양자 안개 속에서 앞으로 나아갈 길 탐색
비트코인을 덮고 있는 다모클레스의 검, 양자 컴퓨팅이 언제 무너질지는 불확실하지만, 그 검의 냉기는 이미 뚜렷하게 드러납니다. 양자 컴퓨팅은 암호학 세계 전체, 특히 비트코인으로 대표되는 암호화폐 분야에 가장 심각한 장기적 도전 과제를 제기합니다.
비트코인 커뮤니티는 전례 없는 시험대에 직면해 있습니다. 바로 탈중앙화, 검열 반대, 그리고 법으로서의 코드라는 핵심 신념을 고수하면서 생존에 필수적인 기반 암호화 시스템을 어떻게 업그레이드할 것인가 하는 문제입니다. 이는 양자 컴퓨터 개발에 대한 경쟁일 뿐만 아니라, PQC 알고리즘 연구, 표준화, 비트코인 프로토콜 혁신, 커뮤니티 합의 결속, 그리고 글로벌 생태계의 조율된 마이그레이션을 아우르는 복잡한 시스템 엔지니어링이기도 합니다.
앞으로의 길은 불확실성으로 가득합니다. 앞으로의 길은 성공적으로 진화하여 양자 위협을 기술 혁신의 촉매제로 전환하고, 더 안전한 포스트 양자 시대로 진입할 수 있을까요? 아니면 합의와 마이그레이션의 어려움으로 인해 양자 컴퓨팅의 새벽에 결국 자취를 감추게 될까요? 역사의 수레바퀴가 앞으로 굴러가면서, 그 답은 향후 몇 년 동안 비트코인 커뮤니티의 모든 결정, 모든 코드 제출, 그리고 모든 치열한 논쟁 속에 숨겨져 있을지도 모릅니다. 이는 혁신, 위험, 그리고 끈기에 대한 미완의 이야기로 남을 것이며, 참여자든 관찰자든 우리 모두는 이 장엄한 변화의 직전에 서 있습니다.
