양자컴퓨터 ECC 암호 해독 성공, 쇼어 알고리즘과 양자 푸리에 변환이 비트코인을 위협하는 원리
2026년 4월 24일 독립 연구자 지안카를로 렐리(Giancarlo Lelli)가 공개 양자컴퓨터로 15비트 타원곡선암호(ECC, Elliptic Curve Cryptography) 키를 해독하고 1비트코인(약 1억 원) 현상금을 수령했습니다. 15비트는 비트코인의 256비트 보안에 비하면 극히 작은 규모이지만 양자컴퓨터가 ECC 암호 해독에 실제로 작동한다는 것을 증명한 역사적 사건입니다. 이 글에서는 타원곡선암호의 수학적 구조부터 쇼어 알고리즘이 이를 깨는 핵심 원리인 양자 푸리에 변환(QFT, Quantum Fourier Transform)까지 기술적으로 깊이 있게 다루겠습니다.
1. 타원곡선암호(ECC)란 무엇이고 왜 안전하다고 믿었나
1.1 ECC의 수학적 기반: 타원곡선 이산로그 문제(ECDLP)
타원곡선암호는 현재 비트코인과 이더리움을 포함한 대부분의 블록체인 네트워크가 채택한 공개키 암호 체계입니다. 핵심 원리는 "한 방향은 쉽고 반대 방향은 극도로 어려운" 수학적 비대칭성에 기반합니다.
타원곡선은 y² = x³ + ax + b 형태의 방정식이 정의하는 곡선이고 이 곡선 위의 점들 사이에는 "점 덧셈(point addition)"이라는 특수한 연산이 존재합니다. 기준점 G(생성점)를 잡고 개인키 d(큰 정수)를 선택한 뒤 G를 d번 반복 더하면 공개키 Q = d × G가 나옵니다. 이 계산은 컴퓨터로 순식간에 끝납니다.
문제는 반대 방향입니다. Q와 G를 알고 있을 때 "G를 몇 번 더해야 Q가 되는가"를 역산하는 것이 바로 타원곡선 이산로그 문제(ECDLP, Elliptic Curve Discrete Logarithm Problem)이고 고전 컴퓨터로는 사실상 풀 수 없다고 간주되어 왔습니다. 비트코인에서 개인키를 아는 사람만이 자산을 이동할 수 있는 이유가 바로 이 ECDLP의 난이도 덕분입니다.
비트코인은 secp256k1이라는 특정 타원곡선을 사용하며 개인키 길이가 256비트입니다. 256비트가 표현하는 경우의 수는 2²⁵⁶ 즉 약 1.16 × 10⁷⁷개로 관측 가능한 우주의 원자 수(약 10⁸⁰)에 근접하는 규모입니다.
고전 컴퓨터의 최선 알고리즘(Pollard's rho 등)으로도 약 2¹²⁸번의 연산이 필요하기 때문에 현존하는 모든 슈퍼컴퓨터를 동원해도 우주의 나이보다 긴 시간이 소요됩니다. 이것이 지금까지 비트코인이 "해킹 불가능하다"고 여겨져 온 수학적 근거입니다.
하지만 여기서 간과된 사실이 하나 있었습니다. ECC의 보안은 수학적으로 "증명된 불가능"이 아니라 "극도로 어려움"에 의존하고 있었다는 점입니다.
ECC는 비트코인뿐 아니라 SSL/TLS 인터넷 통신과 전자서명 등 현대 디지털 보안의 핵심 기반이기도 합니다. RSA 역시 소인수분해라는 비슷한 구조의 난제에 의존합니다.
양자컴퓨터라는 새로운 계산 패러다임이 등장하면서 바로 이 "어려움에 의존하는" 전제가 근본적으로 흔들리기 시작했습니다.
양자컴퓨터가 기존 암호 체계 전반에 미치는 위협의 전체 그림은 양자 컴퓨터가 오면 기존 암호는 다 뚫린다? 2025 보안 대응 가이드에서 확인할 수 있습니다.
📘 이 섹션의 용어 설명
RSA — Rivest-Shamir-Adleman. 소인수분해의 어려움에 기반한 공개키 암호 알고리즘
SSL/TLS — Secure Sockets Layer / Transport Layer Security. 인터넷 통신을 암호화하는 보안 프로토콜
secp256k1 — 비트코인이 사용하는 특정 타원곡선의 표준 명칭
2. 쇼어 알고리즘이 ECC를 깨는 수학적 원리
2.1 양자컴퓨터는 ECC의 "역산의 어려움"을 어떻게 무력화하는가
1994년 미국 수학자 피터 쇼어가 발표한 쇼어 알고리즘은 타원곡선 이산로그 문제를 다항식 시간에 풀 수 있음을 수학적으로 증명했습니다. 이 알고리즘의 ECDLP 버전이 작동하는 구체적인 흐름은 다음과 같습니다.
1단계 — 중첩 생성:
두 개의 n비트 양자 레지스터(x₁과 x₂)를 준비하고 아다마르 게이트를 적용하여 0부터 2ⁿ-1까지의 모든 값을 동시에 품는 중첩 상태를 만듭니다.
2단계 — 주기 함수 평가:
보조 레지스터에서 f(x₁, x₂) = x₁·G + x₂·Q 형태의 타원곡선 점 연산을 수행합니다. Q = d×G이므로 이 함수를 정리하면 f(x₁, x₂) = (x₁ + d·x₂)·G가 됩니다.
핵심은 f의 값이 같아지는 (x₁, x₂) 쌍들 사이에 x₁ + d·x₂ ≡ 상수(mod q)라는 관계가 성립한다는 것입니다. 즉 2차원 평면 위에 기울기 d인 줄무늬 패턴이 형성됩니다.
3단계 — 역 양자 푸리에 변환(QFT⁻¹):
이 단계가 알고리즘의 핵심입니다. QFT⁻¹을 적용하면 정답 d와 관련된 주파수 성분만 보강 간섭으로 증폭되고 나머지는 상쇄 간섭으로 사라집니다.
4단계 — 측정과 키 추출:
측정하면 높은 확률로 s₂ ≡ d·s₁(mod q)을 만족하는 값이 나오고 여기서 d = s₂·s₁⁻¹(mod q)로 개인키를 바로 도출할 수 있습니다.
비유하면 거대한 바둑판에 타원곡선 연산값을 칠했을 때 같은 값이 칠해진 칸들이 기울기 d인 대각선 줄무늬를 형성합니다. 고전 컴퓨터는 칸을 하나하나 확인해야 하지만 양자컴퓨터는 줄무늬 전체를 중첩으로 한 번에 준비한 뒤 QFT⁻¹이라는 "프리즘"을 통과시켜 기울기(=개인키)만 골라내는 것입니다.
중요한 점은 고전 컴퓨터에서 2¹²⁸번 걸리던 연산이 양자컴퓨터에서는 비트 수의 세제곱 정도인 다항식 시간으로 줄어든다는 것입니다. 이것은 양자 우위가 단순히 "빠른 정도"가 아니라 복잡도 자체의 차원이 바뀌는 수준의 변화를 의미합니다.
현재 비트코인이 사용하는 ECC 암호 해독이 양자컴퓨터로 가능해지는 수학적 근거가 바로 이 쇼어 알고리즘입니다. 이 알고리즘이 발표된 1994년 바로 그 시점에서 ECC 기반 암호의 종말은 수학적으로 이미 선고된 셈이었습니다.
3. 양자 푸리에 변환(QFT) — ECC 해독의 핵심 열쇠
3.1 QFT의 수학적 정의와 고전 DFT와의 결정적 차이
양자 푸리에 변환은 쇼어 알고리즘 전체의 핵심 서브루틴이자 양자컴퓨터가 고전 컴퓨터를 압도하는 근본 이유입니다. 수학적 정의는 다음과 같습니다.
N = 2ⁿ 차원 공간에서 QFT는 계산 기저 |j⟩를 다음과 같이 변환합니다.
$$|j\rangle \xrightarrow{\text{QFT}} \frac{1}{\sqrt{N}} \sum_{k=0}^{N-1} e^{\frac{2\pi i \cdot jk}{N}} |k\rangle$$
역 양자 푸리에 변환(QFT⁻¹)은 지수부의 부호만 반대입니다.
$$|k\rangle \xrightarrow{\text{QFT}^{-1}} \frac{1}{\sqrt{N}} \sum_{j=0}^{N-1} e^{-\frac{2\pi i \cdot jk}{N}} |j\rangle$$
수학적 커널 자체는 고전적 이산 푸리에 변환(DFT)과 완전히 동일합니다. 푸리에 해석학을 아는 분이라면 매우 친숙한 형태일 것입니다. 그러면 무엇이 다를까요? 핵심 차이를 정리하면 다음과 같습니다.
| 비교 항목 | 고전 DFT/FFT | 양자 QFT |
|---|---|---|
| 연산 복잡도 | O(N log N) = O(n·2ⁿ) | O(n²) — 지수적으로 빠름 |
| 결과 접근 | 모든 계수를 자유롭게 열람 | 측정 시 하나만 확률적으로 획득 |
| 입력 준비 | O(N) 시간으로 명시적 입력 | 양자 병렬성으로 자동 생성 |
| 공간 구조 | ℂᴺ 복소 벡터 공간 | (ℂ²)⊗ⁿ 텐서곱 힐베르트 공간 |
| 분해 원리 | 알고리즘적 트릭(쿨리-투키) | 물리적 텐서곱 구조에서 자연 도출 |
가장 극적인 차이는 연산 복잡도입니다.
n = 256일 때 고전 FFT는 약 256 × 2²⁵⁶번의 연산이 필요하지만 QFT는 약 65,536개의 양자 게이트만으로 충분합니다. 이 지수적 속도 차이가 쇼어 알고리즘으로 ECC를 해독할 수 있는 근본 이유입니다.
다만 QFT에는 근본적 제약이 있습니다.
2ⁿ개의 푸리에 계수가 양자 상태의 확률 진폭으로 동시에 존재하지만 측정하는 순간 단 하나의 값만 확률적으로 얻게 되고 나머지는 붕괴합니다. 쇼어 알고리즘이 천재적인 이유는 이 제약 안에서도 정답이 높은 확률로 나오도록 간섭 패턴을 설계했다는 점에 있습니다.
ECDLP에서 QFT⁻¹이 구체적으로 하는 일은 다음과 같습니다.
2단계에서 형성된 "기울기 d인 줄무늬" 중첩 상태에 QFT⁻¹을 적용하면 s₂ - d·s₁ ≡ 0(mod q)인 (s₁, s₂) 쌍에서만 보강 간섭이 일어나고 나머지는 상쇄됩니다. 마치 백색광에서 프리즘이 특정 파장만 분리하듯 QFT⁻¹은 개인키에 해당하는 주파수 성분만 골라내는 것입니다.
이것이 양자컴퓨터가 비트코인을 포함한 ECC 기반 암호 해독을 가능하게 만드는 수학적 핵심입니다.
📘 이 섹션의 용어 설명
DFT — Discrete Fourier Transform. 이산 푸리에 변환. 디지털 신호를 주파수 성분으로 분해하는 수학적 변환
FFT — Fast Fourier Transform. 고속 푸리에 변환. DFT를 효율적으로 계산하는 알고리즘
QFT⁻¹ — Inverse Quantum Fourier Transform. 역 양자 푸리에 변환. QFT의 역연산으로 쇼어 알고리즘의 핵심 단계
💡 쇼어 알고리즘에 사용되는 양자 게이트의 작동 원리가 궁금하시다면 양자 게이트는 어떻게 양자 컴퓨터를 움직이는가?도 함께 읽어보세요.
4. 렐리의 15비트 ECC 해독이 증명한 것과 양자 하드웨어 현황
4.1 약 70큐비트 클라우드 양자컴퓨터로 45분 만에 개인키 도출
렐리는 약 70큐비트 규모의 공개 클라우드 양자 디바이스에서 쇼어 알고리즘의 변형을 실행하여 15비트 타원곡선 개인키를 약 45분 만에 공개키로부터 도출했습니다. 15비트의 탐색 공간은 2¹⁵ = 32,768개로 고전 컴퓨터로도 순식간에 전수조사가 가능한 규모입니다.
그렇다면 왜 이것이 중요할까요? 핵심은 양자 알고리즘이 실제 양자 하드웨어에서 올바르게 작동하여 정답을 도출했다는 사실 자체입니다. 2025년 9월 스티브 티피코닉의 6비트 해독(64개 후보) 대비 탐색 공간이 512배 확대되었고 이는 양자 암호 공격의 실행 가능성이 빠르게 커지고 있음을 의미합니다.
"변형(variant)"이란 현재 오류가 많은 NISQ(노이즈가 많은 중규모 양자컴퓨터) 시대 하드웨어에서 실제로 동작하도록 양자 회로를 최적화한 것을 말합니다. 예를 들어 모듈러 역원 계산에 완전한 양자 회로 대신 고전적 룩업 테이블을 활용하거나 여러 비트를 묶어 처리하는 윈도우 산술 기법을 적용하여 게이트 수를 줄이는 방식입니다.
동시에 이론적 진전도 가속되고 있습니다. 2026년 3월 구글의 백서는 256비트 ECC 공격에 필요한 물리 큐비트 수를 50만 개 미만으로 제시했고 칼텍과 Oratomic의 후속 논문은 중성원자 아키텍처로 1만 큐비트까지 낮출 수 있다고 발표했습니다.
구글과 오라토믹의 연구가 비트코인 보안에 미치는 영향에 대해서는 양자컴퓨터가 비트코인을 깬다? 구글·오라토믹 연구 결과와 대응 방법에서 더 자세히 다루고 있습니다. 현재 주요 양자 하드웨어의 발전 현황은 다음과 같습니다.
| 기업/기관 | 큐비트 유형 | 주요 성과 (2025~2026) |
|---|---|---|
| IBM | 초전도 | Nighthawk 프로세서로 5,000+ 2큐비트 게이트 처리. 2029년 내결함성 목표 |
| 초전도 | Willow 칩(105큐비트)으로 오류 보정 임계치 이하 달성 | |
| Quantinuum | 포획이온 | 98 물리 큐비트에서 94 논리 큐비트 시연. 손익분기점 돌파 |
| QuEra | 중성원자 | 물리/논리 큐비트 비율 2:1 달성. 260 물리 큐비트 시스템 납품 |
| Microsoft | 위상 큐비트 | Majorana 1 칩(8 위상 큐비트). 100만 큐비트 확장 경로 제시 |
| PsiQuantum | 광자 | 시카고·브리즈번에서 100만 큐비트 광자 시스템 구축 중 |
업계 대부분은 2029~2033년 사이에 대규모 내결함성 양자컴퓨터를 목표로 하고 있으며 15비트에서 256비트까지의 간극은 이제 "물리학의 벽"이 아니라 "엔지니어링 과제"로 재정의되고 있습니다. 비트코인의 256비트 ECC 암호 해독까지는 아직 거리가 있지만 그 방향은 분명해지고 있습니다.
📘 이 섹션의 용어 설명
NISQ — Noisy Intermediate-Scale Quantum. 현재 양자컴퓨터의 발전 단계로 큐비트 수가 수십~수백 개이며 오류율이 높은 시기
내결함성(Fault-tolerant) — 양자 오류 보정을 통해 안정적인 대규모 연산이 가능한 양자컴퓨터의 목표 단계
논리 큐비트 — 여러 개의 물리 큐비트를 묶어 오류를 보정한 안정적인 큐비트 단위
📌 하드웨어 기술을 더 깊이 알고 싶다면 IBM 퀀텀 나이트호크: 120 큐비트로 양자 우위를 여는 4가지 혁신과 Willow 칩 완전 해부: 구글이 보여준 양자 오류 정정의 현실성도 함께 읽어보세요.
5. PQC 전환이 시급한 이유 — ECC는 깨질 수학적 운명이었다
5.1 주기 구조에 의존하는 암호는 양자 푸리에 변환에 근본적으로 취약하다
ECC와 RSA가 양자컴퓨터에 취약한 이유는 본질적으로 같습니다. 두 암호 체계 모두 "숨겨진 주기 구조"에 보안을 의존하고 있고 양자 푸리에 변환은 바로 이 주기 구조를 추출하도록 설계된 도구이기 때문입니다. 1994년 쇼어 알고리즘이 발표된 순간부터 이 수학적 운명은 결정되어 있었습니다.
반면 양자내성암호(PQC, Post-Quantum Cryptography)는 주기 구조가 아닌 완전히 다른 수학적 난제에 기반합니다. 미국 NIST는 2016년부터 PQC 표준화 프로젝트를 추진하여 2024년 8월 최종 표준을 발표했습니다. 대표적 표준 알고리즘은 다음과 같습니다.
ML-KEM(구 CRYSTALS-Kyber): 격자 기반 키 캡슐화 메커니즘으로 FIPS 203으로 표준화되었습니다. 다차원 격자에서 가장 짧은 벡터를 찾는 문제의 어려움에 기반하며 이 문제는 양자컴퓨터로도 효율적으로 풀 수 있는 알고리즘이 현재까지 발견되지 않았습니다.
ML-DSA(구 CRYSTALS-Dilithium): 격자 기반 전자서명 알고리즘으로 FIPS 204로 표준화되었습니다. 비트코인의 ECDSA를 대체할 수 있는 양자 안전 서명 방식입니다.
이미 구글은 Chrome 브라우저에 PQC를 시범 적용했고 IBM은 자사 클라우드에 PQC를 도입했습니다. 블록체인 진영에서도 비트코인 BIP-360(양자내성 주소 유형 추가)이 제안되었으며 이더리움과 리플 등도 PQC 전환 계획을 발표한 상태입니다.
특히 경계해야 할 것은 "먼저 수집하고 나중에 해독(Harvest Now, Decrypt Later)" 공격입니다. 현재 암호화된 데이터를 저장해 두었다가 미래에 양자컴퓨터가 충분히 발전하면 한꺼번에 해독하는 전략으로 이미 국가 단위 행위자들이 실행 중이라는 분석이 있습니다. 이 때문에 구글은 양자 보안 전환 시한을 2029년으로 제시하며 선제적 대응을 촉구하고 있습니다.
한국에서도 KISA 암호이용활성화 포털을 통해 양자내성암호 전환 가이드와 표준화 동향을 확인할 수 있습니다. 개인 투자자라면 공개키가 노출된 오래된 지갑 주소의 재사용을 피하고 PQC 대응이 활발한 블록체인 프로젝트의 동향을 주시할 필요가 있습니다.
📘 이 섹션의 용어 설명
NIST — National Institute of Standards and Technology. 미국 국립표준기술연구소. PQC 표준을 제정한 기관
ML-KEM — Module-Lattice-Based Key-Encapsulation Mechanism. 격자 기반 키 캡슐화 알고리즘 (구 CRYSTALS-Kyber)
ML-DSA — Module-Lattice-Based Digital Signature Algorithm. 격자 기반 전자서명 알고리즘 (구 CRYSTALS-Dilithium)
ECDSA — Elliptic Curve Digital Signature Algorithm. 비트코인이 현재 사용하는 타원곡선 기반 전자서명 방식
BIP-360 — Bitcoin Improvement Proposal 360. 양자내성 주소 유형(P2MR)을 추가하자는 비트코인 개선 제안
HNDL — Harvest Now, Decrypt Later. 지금 암호화된 데이터를 수집해 두었다가 미래에 양자컴퓨터로 해독하는 공격 전략
🔗 양자내성암호(PQC)의 구체적인 알고리즘 원리와 기업 도입 방법에 대해서는 포스트 양자암호 완전 가이드: NIST 표준 ML-KEM부터 기업 도입까지에서 상세히 다루고 있으니 함께 읽어보시기 바랍니다.
1994년 쇼어 알고리즘이 발표된 순간 ECC와 RSA 기반 암호 체계의 종말은 수학적으로 예고되었습니다. 양자 푸리에 변환이라는 강력한 도구가 주기 구조에 기반한 암호의 핵심을 정확히 관통하기 때문입니다. 30년이 지난 2026년 4월 렐리의 15비트 ECC 해독은 그 수학적 예고가 물리적 현실로 전환되고 있음을 보여주는 분명한 이정표입니다.
현재 양자컴퓨터 하드웨어는 NISQ(Noisy Intermediate-Scale Quantum) 시대에서 오류 보정 시대로의 전환기에 있으며 IBM은 2029년까지 내결함성 양자컴퓨터를 구축하겠다는 로드맵을 제시하고 있습니다. 256비트 ECC를 실제로 깨기까지는 아직 상당한 거리가 있지만 그 간극을 메우는 속도가 예상보다 빠르게 가속되고 있는 것이 현실입니다.
지금 해야 할 일은 명확합니다. 기업은 PQC 전환 로드맵을 수립하고 개인은 암호화폐 자산의 공개키 노출을 최소화하며 업계 전체가 양자 시대의 보안 표준을 선제적으로 준비해야 합니다. 양자컴퓨터에 의한 비트코인 암호 해독은 이제 이론이 아니라 시간표의 문제입니다. Q-Day는 "올 것인가"가 아니라 "언제 올 것인가"의 문제이고 그 답은 해마다 더 가까워지고 있습니다.
자주 묻는 질문 (FAQ)
Q1. 양자컴퓨터가 비트코인을 해킹하면 내 지갑도 바로 털리나요?
모든 비트코인 지갑이 동일한 위험에 노출되는 것은 아닙니다. 양자컴퓨터의 ECC 암호 해독은 공개키가 블록체인에 노출된 주소만 공격할 수 있습니다. 초기 P2PK 형식 주소(사토시 나카모토의 약 100만 BTC 포함)는 공개키가 그대로 드러나 있어 가장 위험하고 한 번이라도 송금한 적 있는 P2PKH 주소도 공개키가 노출된 상태입니다. 반면 한 번도 자금을 보낸 적 없는 새 주소는 공개키가 해시 뒤에 숨겨져 있어 상대적으로 안전합니다. ARK 인베스트 보고서에 따르면 전체 비트코인 공급량의 약 34.6%가 양자 위협에 노출된 상태입니다.
Q2. 양자컴퓨터로 비트코인 채굴을 독점할 수도 있나요?
비트코인 채굴은 SHA-256 해시함수 기반의 작업증명(PoW)으로 이루어지는데 이 부분은 쇼어 알고리즘의 공격 대상이 아닙니다. 양자컴퓨터가 채굴에 활용할 수 있는 그로버 알고리즘은 탐색 속도를 제곱근만큼 줄여주지만 이를 실현하려면 약 19억 큐비트가 필요하다는 추정이 있어 현실성이 매우 낮습니다. 설령 가능해지더라도 비트코인 네트워크는 난이도를 자동 조절하기 때문에 블록 생성 속도는 10분으로 유지됩니다. 양자컴퓨터의 진짜 위협은 채굴이 아니라 ECC 기반 전자서명의 암호 해독에 있습니다.
Q3. 쇼어 알고리즘으로 ECC만 깨지나요? AES 같은 대칭키 암호도 위험한가요?
쇼어 알고리즘은 소인수분해와 이산로그 같은 "주기 구조" 문제에 특화되어 있어서 ECC와 RSA 같은 공개키 암호만 해독할 수 있습니다. AES 같은 대칭키 암호는 주기 구조에 기반하지 않기 때문에 쇼어 알고리즘으로는 깨지지 않습니다. 다만 그로버 알고리즘이 AES의 보안 강도를 절반으로 낮출 수 있어서 AES-128은 64비트 수준으로 약해집니다. 이에 대한 대응은 간단한데 AES-256을 사용하면 양자컴퓨터 시대에도 128비트 보안을 유지할 수 있습니다.
Q4. 구글이 말한 "9분 만에 비트코인 해독"이 정말 가능한 건가요?
구글의 2026년 3월 백서는 쇼어 알고리즘의 사전 계산 부분을 미리 준비해 두면 공개키가 노출되는 순간부터 약 9분 안에 개인키를 도출할 수 있다는 이론적 분석입니다. 비트코인의 블록 확인 시간이 평균 10분이므로 거래가 멤풀에 대기하는 동안 공격이 가능하다는 시나리오입니다. 다만 이것은 50만 큐비트 이상의 내결함성 양자컴퓨터가 존재한다는 전제 아래의 추정이며 현재 그런 하드웨어는 존재하지 않습니다. 업계에서는 이 수준에 도달하는 시점을 2029~2035년으로 보고 있습니다.
Q5. 이더리움이나 다른 블록체인도 같은 위험이 있나요?
이더리움을 포함하여 ECC 기반 전자서명(ECDSA 또는 EdDSA)을 사용하는 모든 블록체인이 동일한 양자 위협에 노출되어 있습니다. 이더리움은 비트코인과 같은 secp256k1 곡선을 사용하므로 쇼어 알고리즘에 의한 암호 해독 원리가 똑같이 적용됩니다. 이더리움 재단은 PQC 전환 계획을 발표했고 리플과 스타크웨어 등도 양자내성암호 도입을 준비하고 있습니다. 비탈릭 부테린은 4년 이내에 양자 대응 암호 체계로 전환할 것을 촉구한 바 있습니다.
Q6. 양자내성암호(PQC)로 전환하면 비트코인은 완전히 안전해지나요?
PQC로의 전환은 양자컴퓨터 위협에 대한 가장 근본적인 대응이지만 몇 가지 과제가 남아 있습니다. 첫째 비트코인은 탈중앙화 거버넌스 구조라 소프트포크나 하드포크에 대한 커뮤니티 합의가 필요하고 이 과정에 수년이 걸릴 수 있습니다. 둘째 PQC 알고리즘은 기존 ECC보다 키 크기와 서명 크기가 훨씬 커서 블록 용량과 거래 수수료에 영향을 줄 수 있습니다. 셋째 PQC로 전환하더라도 이미 공개키가 노출된 구 주소의 자산을 어떻게 처리할지가 논쟁 중입니다. BIP-360은 새로운 P2MR 출력 방식을 도입하여 공개키 노출 자체를 방지하는 접근을 제안하고 있습니다.
Q7. 개인 투자자가 지금 당장 할 수 있는 양자 대비 방법이 있나요?
가장 효과적인 방법은 비트코인 주소 재사용을 피하는 것입니다. 매번 새 주소로 자금을 수신하면 공개키가 노출되는 시간을 최소화할 수 있습니다. 오래된 P2PK 형식 주소에 자산이 있다면 최신 P2WPKH(네이티브 세그윗) 주소로 이전하는 것이 좋습니다. 또한 장기 보관 자산은 콜드 월렛에 보관하되 한 번도 송금에 사용하지 않은 주소에 두는 것이 안전합니다. 양자컴퓨터에 의한 ECC 암호 해독이 현실화되기 전에 BIP-360 등 PQC 전환 업데이트가 적용되면 새로운 양자내성 주소로 자산을 옮기면 됩니다.
Q8. "먼저 수집하고 나중에 해독(HNDL)" 공격이란 구체적으로 무엇인가요?
HNDL(Harvest Now, Decrypt Later)은 현재의 암호화된 통신 데이터를 대량으로 수집해 저장해 두었다가 미래에 양자컴퓨터가 충분히 발전하면 한꺼번에 해독하는 공격 전략입니다. 이것은 비트코인보다 SSL/TLS로 보호되는 금융거래 기록이나 기밀 통신에 더 직접적인 위협이 됩니다. 국가 단위 행위자들이 이미 이 전략을 실행 중이라는 분석이 있으며 이 때문에 구글과 NIST는 양자컴퓨터가 완성되기 전에 PQC로 전환해야 한다고 촉구하고 있습니다. 데이터의 수명이 긴 의료 기록이나 국방 정보일수록 지금 당장 PQC 전환이 시급합니다.
