Coinbase 자문단 "블록체인 양자 위협 현실화 전에 마이그레이션 시작해야"
원제: Coinbase Advisers Warn Quantum Computing Will Crack Blockchain Encryption — And The Window to Prepare Is Narrowing
Coinbase가 소집한 암호학·컴퓨터과학 분야 전문가 6인 자문단이 블록체인 암호화를 해독할 수준의 양자컴퓨터가 언젠가 구현될 것이라고 결론 짓고, 업계에 양자내성 암호로의 전환을 즉시 시작할 것을 촉구하는 포지션 페이퍼를 발표했다.
저자: Matt Swayne

자문단 구성과 핵심 결론
이번 포지션 페이퍼는 Scott Aaronson(텍사스대 오스틴), Dan Boneh(스탠퍼드대), Justin Drake(이더리움 재단), Sreeram Kannan(Eigen Labs·워싱턴대), Yehuda Lindell(Coinbase·바일란대), Dahlia Malkhi(UC 산타바바라) 등 6인으로 구성된 독립 자문위원회가 작성했다. 자문단은 현재 위협이 임박했다는 선언은 피하면서도, 마이그레이션에 수년이 소요된다는 점을 들어 지금 당장 준비에 착수해야 한다고 강조했다. 미국 국립표준기술연구소(NIST)가 2035년까지 양자내성 암호(PQC) 전환 완료를 권고한 것도 이 맥락에서 언급된다.
왜 공개키 암호가 취약한가
비트코인과 이더리움을 포함한 대부분의 블록체인은 타원곡선 기반 공개키 암호에 의존한다. 1994년 수학자 Peter Shor가 고안한 Shor 알고리즘은 양자컴퓨터가 이 역산 문제를 지수적으로 빠르게 풀 수 있음을 이론적으로 증명했다. 반면 비트코인 채굴에 쓰이는 해시 함수 기반 작업증명(PoW)은 Grover 알고리즘이 적용되더라도 속도 향상이 이차적 수준에 그치고, 전용 채굴 칩 대비 양자컴퓨터의 운용 부담이 훨씬 크다는 점에서 당분간 실질 위협이 없다고 판단됐다. 취약 지점은 트랜잭션 승인에 쓰이는 디지털 서명이다. 자문단 추산에 따르면 공개키가 블록체인 상에 노출된 비트코인 지갑에 약 690만 BTC가 보관돼 있으며, 그중 약 170만 BTC는 구형 지갑 포맷 탓에 공개키가 영구 노출된 상태다. 특히 11개 대형 주소에 집중된 약 100만 BTC는 강력한 양자컴퓨터 등장 여부를 탐지하는 조기 경보 지표로 활용될 수 있다고 자문단은 제안했다.
현재 기술 수준과 남은 과제
현재 Google, IBM 등이 보유한 수백 큐비트 수준의 양자 시스템은 오류율이 높아 Shor 알고리즘 실행에 필요한 내결함성 양자컴퓨터와는 거리가 멀다. 초기 추산에서는 2048비트 암호 해독에 수백만 물리 큐비트와 수조 번의 연산이 필요하다고 봤는데, 최근 연구가 이를 약 두 자릿수 정도 낮춰 수정했다. 그러나 자문단은 실제 배포된 암호를 위협하는 규모에 도달하려면 현 수준에서 여전히 최소 두 자릿수의 추가 기술 도약이 필요하다고 진단했다. 주목할 이정표로는 소규모 수(예: 21)에 대한 내결함성 Shor 알고리즘 시연, 무한정 유지 가능한 단일 논리 큐비트 구현 등이 제시됐으며 이 중 어느 것도 아직 달성되지 않았다. Quantinuum과 Google이 약 100 물리 큐비트 시스템에서 2큐비트 게이트 충실도 약 99.9%를 달성한 성과는 긍정적이지만, 수만 큐비트 규모로 확장 시에도 이 충실도가 유지될지는 미지수다.
PQC 전환의 기술적 난제와 권장 전략
NIST는 2024년 8월 ML-KEM(공개키 암호화), ML-DSA(격자 기반 디지털 서명), SLH-DSA(해시 기반 서명) 3종의 표준을 확정했고, 네 번째 표준인 FN-DSA의 최종화가 진행 중이다. 문제는 크기와 속도다. 비트코인·이더리움 트랜잭션에 쓰이는 기존 서명은 64바이트인 데 반해 ML-DSA 서명은 2,420바이트(약 38배), SLH-DSA는 최대 17,000바이트 이상에 달하며 서명 생성 속도도 수천 배 느리다. 이를 그대로 대체할 경우 트랜잭션 처리량이 90% 이상 감소하고 수수료 급등 및 저장 용량 폭증이 불가피하다. 자문단이 권장하는 실행 계층 전략은 '1-of-2 서명'으로, 지갑이 기존 타원곡선 키와 양자내성 키를 함께 등록하되 두 가지 중 하나의 서명만으로 트랜잭션을 승인하는 방식이다. 양자 위협이 현실화되기 전까지는 성능 저하 없이 기존 방식을 유지하고, 위협이 가시화되면 신속히 전환 스위치를 올릴 수 있다.
전문은 원문에서 읽으세요
이 페이지는 Claude 가 작성한 편집 요약입니다. 원문 기사의 전체 내용·이미지·저자 의도는 아래 링크에서 확인할 수 있습니다.
The Quantum Insider 에서 원문 읽기