양자 컴퓨팅 기술은 특정한 암호학적 위협을 도입합니다: 노출된 공개 키로부터 개인 키를 역공학할 수 있는 능력입니다. 이는 기존 컴퓨터로는 의미 있는 규모로 실행할 수 없는 공격입니다.

비트코인도 이 발전에서 예외가 아닙니다. 하지만 위험은 대부분의 헤드라인이 암시하는 것보다 더 좁으며, 네트워크 전체에 고르게 적용되지도 않습니다.

노출 여부는 하나의 변수에 달려 있습니다: 지갑이 한 번이라도 거래에 서명한 적이 있는지입니다.

비트코인의 보안 작동 방식

비트코인 지갑은 서로 다른 기능을 수행하는 두 개의 별도 암호학적 계층으로 보호됩니다.

SHA-256 해시란 무엇인가

지갑이 생성되면 세 가지가 순서대로 만들어집니다 — 개인 키, 공개 키, 그리고 주소입니다. 이것들을 위에서 아래로 파생되는 층처럼 생각하면 됩니다:

• 개인 키: 층의 맨 위에 있습니다. 어떤 경우에도 지갑 밖으로 나가지 않으며 외부 세계에 노출되지 않습니다.

• 공개 키: 개인 키에서 파생된 뒤 두 개의 해싱 알고리즘을 순서대로 거칩니다 — 먼저 SHA-256, 그다음 RIPEMD-160입니다. 이 둘은 함께 공개 키를 비트코인 주소로 변환합니다. 두 함수 모두 단방향입니다. 공개 키는 그 두 단계 과정 뒤에 숨겨진 채로 남습니다.

• 주소: 그 해싱 과정의 출력입니다. 자금을 받기 위해 공개적으로 공유되는 것이 바로 이것입니다.

ECDSA 서명이란 무엇인가

지갑을 사용해 자금을 지출할 때 거래가 승인되어 브로드캐스트되고, 개인 키는 암호학적 서명을 생성하는 데 사용됩니다. 그 서명은 개인 키 자체를 드러내지 않고도 소유권을 증명합니다. 그러나 검증을 위해 공개 키도 함께 블록체인에 게시되어야 합니다.

이 순간 보안 모델이 달라집니다. 지출 전에는 주소만 보였습니다. 지출 후에는 공개 키가 블록체인에 영구적으로 남습니다.

양자 컴퓨팅이 노리는 대상

양자 컴퓨터는 SHA-256을 깨기에는 충분히 빠르지 않습니다. 현재까지는 고전적이든 양자적이든 알려진 어떤 알고리즘도 SHA-256을 직접적으로 깨지 못합니다. 양자 접근 방식인 그로버의 알고리즘은 해시 함수에 대해 이론적인 속도 향상을 제공하지만, 그로버의 알고리즘은 실질 보안을 256비트에서 약 128비트로 낮출 뿐이며, 이는 예상 가능한 어떤 공격에도 계산적으로 도달하기 어려운 수준입니다.

사용되지 않은 비트코인은 양자 공격으로부터 안전한가?

실질적으로, 콜드 스토리지에 보관되어 있고 한 번도 외부로 전송하는 거래를 만들지 않은 보유자는 여전히 SHA-256과 관련 해싱 메커니즘의 보호를 받습니다. 개인 키는 지갑을 떠난 적이 없고, 공개 키도 온체인에서 공개된 적이 없습니다. 알려진 어떤 알고리즘도 — 고전적이든 양자적이든 — 그러한 조건에서 개인 키를 유도할 수 없습니다.

초기 비트코인 거래, 특히 Pay-to-Public-Key(P2PK)를 사용한 거래는 해싱 계층 없이 공개 키를 직접 노출했습니다. 현대의 주소 형식(P2PKH 및 이후 방식)은 공개 키가 블록체인에 공개되기 전에 해싱하는 추가 보호 계층을 도입했습니다.

그 결과, 오래된 P2PK 출력에 보관된 코인은 서로 다른 위험 프로필을 가지며, 미래의 양자 시나리오에서 더 노출된 것으로 널리 간주됩니다.

“노출됨”은 무슨 뜻인가: 내 비트코인은 위험한가?

비트코인의 보안 모델에서 양자 노출은 정확한 정의를 가집니다. 그것은 이미 블록체인에 공개된 공개 키를 이론적으로 역공학하는 것입니다.

구분선은 코인을 얼마나 오래 보유했는지 또는 잔액이 얼마나 큰지가 아닙니다. 지갑이 한 번이라도 거래에 서명했는지 여부입니다.

현재 네트워크 상황: 유통 중인 비트코인의 상당 부분은 한 번도 이동된 적이 없습니다. 그 코인들은 공개 키를 한 번도 드러낸 적이 없습니다. 따라서 공격 표면 밖에 완전히 놓여 있습니다.

그 단 하나의 사건, 즉 첫 지출이 양자 컴퓨팅이 이론적으로 노릴 수 있는 코인과 그렇지 않은 코인을 가르는 기준입니다.

양자 컴퓨터가 할 수 있는 것과 할 수 없는 것

충분히 강력한 기계가 존재하게 되면 양자 컴퓨터는 Shor의 알고리즘을 사용해 ECDSA를 효율적으로 깨뜨릴 수 있습니다. 양자 컴퓨터는 비트코인이 주소를 생성할 때 사용하는 잠금 유형(SHA-256이라고 함)을 깨는 데는 빠르지 않습니다.

그 구분이 전체 위험을 정의합니다:

• 사용되지 않은 비트코인: 손대지 않은 주소 뒤의 코인은 SHA-256의 보호를 받으며 양자 공격의 직접적인 대상이 되지 않습니다.

• 사용된 비트코인: 서명된 거래를 통해 이동한 코인은 공개 키가 드러났기 때문에, 이론적으로 양자 공격이 가능합니다.

위협은 실제적이고 정확하지만 네트워크 전체에 동일하게 영향을 미치지는 않습니다. 즉, 노출은 시간 기반이 아니라 사건 기반입니다.

비트코인 보유자가 오늘 양자 위험을 줄이는 방법

ECDSA를 깨는 장기적 시점은 여전히 불확실하지만, 개별 보유자를 위한 실질적인 대응은 간단합니다.

핵심 원칙은 간단합니다: 공개 키 노출을 최소화하세요.

• 콜드 스토리지 유지: 한 번도 거래에 서명한 적이 없는 지갑에 장기 보유 자산을 보관하세요.

• 주소 재사용을 피하기: 같은 주소에서 반복적으로 지출하지 마세요. 각 거래는 공개 키를 확인하고 노출시킵니다.

• 지출용으로 새 지갑 사용: hodl 지갑에서 거래를 하기 전에, 장기 보관소에서 새 지갑으로 자금을 옮긴 다음 그곳에서 지출하세요.

이 접근 방식은 주요 “hodl” 지갑이 항상 양자 공격 표면 밖에 머물도록 보장하는 한편, 더 작은 활성 지갑만 일시적으로 노출되게 합니다.

책임 있는 보유자가 지금 할 수 있는 일

실질적인 대응은 대부분의 보도보다 더 단순합니다.

당장 매도할 의사가 없는 보유자는 이미 가능한 가장 강한 위치에 있습니다. 현재 전문가 추정치는 의미 있는 양자 역량이 대략 5년에서 10년 정도 남았다고 보며, 이는 자금을 선제적으로 재배치할 수 있는 충분한 시간입니다.

결론

양자 컴퓨팅은 현재 형태의 비트코인에 존재론적 위협을 의미하지 않습니다. 그것은 이미 공개 키를 드러낸 지갑, 서명을 중단할 수 없는 거래소, 그리고 수년간의 주소 재사용을 통해 노출을 쌓아온 보유자들에게 집중된 정밀하고 측정 가능한 위협입니다.

유통 중인 비트코인의 대다수는 한 번도 거래에 서명한 적이 없습니다. 그것을 공격하는 데 필요한 키를 한 번도 공개한 적이 없습니다. 네트워크의 그 부분에 대해서는 오늘날 실질적인 의미에서 양자 위협이 존재하지 않습니다.

여기서 이야기의 핵심은 붕괴가 아닙니다. 오히려 책임 있는 보관에 무엇이 요구되는지가 바뀌고, 네트워크와 개발자, 그리고 보유자에게 대응할 수 있는 5년에서 10년의 창이 있다는 점입니다.

비트코인은 이전에도 존립 위기 서사를 겪었습니다. 그때마다 프로토콜 개선, 행동 변화, 인프라 개발로 대응해 왔습니다. 양자 컴퓨팅도 다르지 않을 것입니다.