양자 컴퓨터의 등장 시기 에 대한 과장된 예측이 흔히 제기되는데, 이는 기존 암호화 시스템에 실질적인 위협을 가하며, 즉각적이고 대규모적인 양자 후 암호화로의 전환을 요구하는 목소리가 높아지고 있습니다.
하지만 이러한 요구는 종종 시기상조의 마이그레이션에 따른 비용과 리스크 간과하고, 서로 다른 암호화 기본 요소들이 완전히 다른 리스크 프로필에 대면 사실을 무시합니다.
양자 후 암호화는 비용이 많이 들지만 즉시 도입해야 합니다. 현재 암호화로 보호되는 민감한 데이터는 수십 년 후 양자 컴퓨터가 실제로 상용화되더라도 여전히 가치가 있기 때문에, HNDL(Harvest-now-decrypt-later) 공격이 이미 진행되고 있습니다. 양자 후 암호화의 성능 저하와 구현 리스크 에도 불구하고, HNDL 공격은 장기적인 기밀 유지가 필요한 데이터에 대해서는 대안이 없음을 의미합니다.
양자 후 서명에 대한 고려 사항은 완전히 다릅니다. 양자 후 서명은 HNDL 공격의 영향을 받지 않으며, 비용과 리스크(더 큰 크기, 성능 오버헤드, 미성숙한 구현 및 잠재적 취약점) 때문에 즉시 구현하기보다는 신중하게 진행해야 합니다.
이러한 차이점은 매우 중요합니다. 오해는 비용 편익 분석을 왜곡하여 팀이 취약점 자체와 같은 더 중요한 보안 리스크 간과하게 만들 수 있습니다.
양자 컴퓨팅 이후 암호화로 성공적으로 나아가기 위한 진정한 과제는 "긴급성"과 "실제 위협"을 조화시키는 것입니다. 아래에서는 양자 위협과 암호화, 서명, 영지식 증명을 포함한 암호화 기술에 미치는 영향에 대한 일반적인 오해를 명확히 하고, 특히 블록체인에 미치는 영향에 초점을 맞추겠습니다.
우리는 지금 시간의 어느 단계에 와 있을까요?
일부 유명 인사들이 주장하여 주목을 받았음에도 불구하고, 2020년대에 "암호화에 실질적인 위협이 되는 양자 컴퓨터(CRQC)"가 등장할 가능성은 극히 낮습니다.
추신: 암호학에 실질적인 위협이 되는 양자 컴퓨터는 이하에서 CRQC로 지칭하겠습니다.
여기서 언급된 "암호화에 실질적인 위협이 되는 양자 컴퓨터"는 내결함성과 오류 정정 기능을 갖춘 양자 컴퓨터를 의미하며, 타원 곡선 암호화 또는 RSA를 합리적인 프레임 내에 공격할 수 있을 만큼 충분한 규모로 쇼어 알고리즘을 실행할 수 있는 능력을 말합니다(예: 연속적인 계산을 최대 한 달 동안 수행하여 secp256k1 또는 RSA-2048을 해독).
공개적으로 이용 가능한 주요 개발 현황과 자원 평가에 따르면, 이러한 종류의 양자 컴퓨터를 구현하기까지는 아직 갈 길이 멉니다. 일부 기업들은 CRQC가 2030년 또는 심지어 2035년 이전에 등장할 가능성이 높다고 주장하지만, 공개된 연구 결과는 이러한 주장을 뒷받침하지 못합니다.
현재의 양자 컴퓨팅 아키텍처(이온 트랩, 초전도 큐비트, 중성 원자 시스템)로는 RSA-2048 또는 secp256k1을 공격하는 쇼어 알고리즘을 실행하는 데 필요한 수십만에서 수백만 개의 물리적 큐비트(정확한 숫자는 오류율 및 오류 수정 방식에 따라 다름)에 근접하는 플랫폼을 구현할 수 없습니다.
제한 요소는 큐비트 수뿐만 아니라 게이트 충실도, 큐비트 연결성, 그리고 심층 양자 알고리즘 실행에 필요한 오류 정정 회로의 깊이에도 있습니다. 현재 1,000개 이상의 물리적 큐비트를 가진 시스템도 있지만, 단순히 숫자만 보는 것은 오해의 소지가 있습니다. 이러한 시스템들은 암호화 연산을 수행하는 데 필요한 연결성과 게이트 충실도를 갖추지 못하고 있기 때문입니다.
최근 개발된 시스템들은 양자 오류 수정이 실현 가능한 물리적 오류 수준에 근접했지만, 아직까지 지속 가능한 오류 수정 회로 깊이를 갖춘 몇 개의 논리 큐비트 이상을 구현한 사례는 없습니다. 쇼어 알고리즘을 실행하는 데 실제로 필요한 수천 개의 고충실도, 심층 회로, 내결함성 논리 큐비트는 말할 것도 없습니다. 양자 오류 수정의 이론적 실현 가능성을 입증하는 것과 암호 해독에 필요한 규모에 실제로 도달하는 것 사이에는 여전히 큰 격차가 존재합니다.
요컨대, 큐비트 수와 정확도가 동시에 몇 배씩 증가하지 않는 한, "암호화에 실질적인 위협이 되는 양자 컴퓨터"는 여전히 먼 꿈에 불과합니다.
하지만 기업 보도자료와 언론 보도는 오해의 소지가 매우 큽니다. 흔히 발생하는 오해는 다음과 같습니다.
양자 우위를 달성했다고 주장하는 시연들은 종종 인위적으로 만들어진 문제들을 대상으로 합니다. 이러한 문제들은 실용성을 고려하여 선택된 것이 아니라, 기존 하드웨어에서 실행되면서도 상당한 양자 속도 향상을 보이는 것처럼 보이기 때문에 선택됩니다. 하지만 이러한 점은 홍보 과정에서 의도적으로 축소되는 경우가 많습니다.
해당 회사는 수천 개의 물리적 큐비트를 구현했다고 주장합니다. 그러나 이는 일반적으로 양자 어닐링 장치를 가리키는 것이지, 공개키 암호화를 공격하는 쇼어 알고리즘을 실행하는 데 필요한 게이트 모델 양자 컴퓨터를 의미하는 것은 아닙니다.
이 회사는 "논리 큐비트"라는 개념을 잘못 사용하고 있습니다. 물리적 큐비트는 본질적으로 노이즈가 많으며, 양자 알고리즘은 논리 큐비트를 필요로 합니다. 앞서 언급했듯이 쇼어 알고리즘은 수천 개의 논리 큐비트를 필요로 합니다. 양자 오류 수정을 사용하면 하나의 논리 큐비트는 일반적으로 수백에서 수천 개의 물리적 큐비트로 구성됩니다(오류율에 따라 다름). 그러나 일부 회사는 이 용어를 터무니없이 오용하고 있습니다. 예를 들어, 한 회사는 최근 거리-2 인코딩을 통해 논리 큐비트당 단 두 개의 물리적 큐비트만으로 48개의 논리 큐비트를 구현했다고 주장했습니다. 이는 명백히 비논리적입니다. 거리-2 인코딩은 오류를 감지할 뿐 수정할 수는 없기 때문입니다. 실제 암호 해독에 사용되는 내결함성 논리 큐비트는 단 두 개가 아니라 각각 수백에서 수천 개의 물리적 큐비트를 필요로 합니다.
일반적으로 많은 양자 컴퓨팅 로드맵에서는 클리포드 연산만 지원하는 큐비트를 "논리 큐비트"라고 부릅니다. 이러한 연산은 고전 알고리즘으로 효율적으로 시뮬레이션할 수 있기 때문에 수천 개의 오류 정정 T 게이트(또는 일반적으로 비클리포드 게이트)가 필요한 쇼어 알고리즘을 실행하기에는 불충분합니다.
따라서 로드맵에서 "특정 연도 X까지 수천 개의 논리 큐비트를 달성하겠다"고 명시되어 있더라도, 이는 해당 회사가 같은 연도 X에 쇼어 알고리즘을 사용하여 기존 암호를 해독할 수 있을 것으로 기대한다는 의미는 아닙니다.
이러한 관행은 "우리가 진정한 CRQC에 얼마나 가까워졌는지"에 대한 대중(그리고 심지어 업계 전문가)의 인식을 심각하게 왜곡했습니다.
그럼에도 불구하고 일부 전문가들은 이러한 진전에 대해 매우 고무되어 있습니다. 예를 들어 스콧 아론슨은 최근 "현재 하드웨어 개발의 놀라운 속도"를 고려할 때, 다음 미국 대통령 선거 이전에 쇼어 알고리즘을 실행하는 내결함성 양자 컴퓨터를 갖게 될 가능성이 충분히 있다고 믿는다고 밝혔습니다.
그러나 아론슨은 나중에 자신의 발언이 암호학적으로 뛰어난 양자 컴퓨터를 의미하는 것은 아니라고 해명했습니다. 즉, 완전한 내결함성을 갖춘 쇼어 알고리즘이 15 = 3 × 5(종이와 펜으로 훨씬 빠르게 계산할 수 있는 숫자)만 성공적으로 인수분해하더라도 자신의 관점 타당하다고 여길 것이라는 것입니다. 여기서 기준은 여전히 쇼어 알고리즘의 미시적 실행일 뿐, 암호학적으로 의미 있는 실행이 아닙니다. 이전의 15 인수분해 실험에서는 완전한 내결함성을 갖춘 쇼어 알고리즘이 아닌 단순화된 회로를 사용했습니다. 또한 양자 실험에서 15를 인수분해하는 경우가 계속되는 것은 우연이 아닙니다. 15를 법으로 하는 산술 계산은 매우 간단한 반면, 21과 같이 조금 더 큰 숫자를 인수분해하는 것은 훨씬 더 어렵기 때문입니다. 따라서 21을 인수분해한다고 주장하는 일부 양자 실험은 종종 힌트나 지름길에 의존합니다.
요컨대, RSA-2048이나 secp256k1을 해독할 수 있는 양자 컴퓨터가 향후 5년 안에 등장할 것이라는 예상을 뒷받침할 만한 공개된 증거는 없습니다 (이것이 암호학계의 진정한 관심사입니다).
10년이라는 예측조차도 여전히 다소 낙관적인 전망입니다. 진정한 암호화 기능을 갖춘 양자 컴퓨터가 등장하기까지는 아직 갈 길이 멀기 때문에, 10년 이상의 시간표를 받아들이면서도 그 발전에 대해 기대감을 갖는 것은 충분히 가능한 일입니다.
그렇다면 미국 정부가 정부 시스템 전체를 양자 후 암호화 시스템으로 전환하는 목표 시점을 2035년으로 정했다는 것은 무엇을 의미할까요? 저는 이러한 대규모 전환을 완료하기에 합리적인 시점이라고 생각합니다. 하지만 이는 "CRQC가 그 시점에 등장할 것"이라는 예측은 아닙니다.
HNDL 공격은 어떤 시나리오에서 적용 가능하며, 어떤 시나리오에서는 적용되지 않습니까?
"지금 저장하고 나중에 복호화하는(HNDL)" 공격이란 공격자가 모든 암호화된 통신 내용을 현재 저장해 두었다가 암호화 기술에 실질적인 위협이 되는 양자 컴퓨터가 등장하면 복호화하는 방식을 말합니다. 국가 지원을 받는 공격자들이 이미 미국 정부의 암호화된 통신 내용을 대규모로 저장해 두고 양자 컴퓨터가 상용화되면 이를 복호화할 준비를 하고 있다는 것은 확실합니다. 따라서 10년에서 50년 이상 기밀 유지가 필요한 기관이라면, 암호화 시스템을 지금 당장 새로운 기술로 전환해야 합니다.
하지만 모든 블록체인이 의존하는 기술인 디지털 서명은 암호화와는 다릅니다. 디지털 서명에는 사후에 손상될 수 있는 "기밀성"이 없습니다.
다시 말해, 양자 컴퓨터의 등장으로 디지털 서명을 위조하는 것이 가능해지겠지만, 과거의 서명이 암호화된 메시지와 같은 비밀 정보를 "숨기는" 것은 아닙니다. 디지털 서명이 CRQC(양자 컴퓨터 기반 양자 컴퓨터) 등장 이전에 생성되었다는 사실이 확인된다면 위조할 수 없습니다.
따라서 양자 디지털 서명으로의 역방향 전환은 암호화 시스템의 전환만큼 시급하지 않습니다.
이는 주요 플랫폼의 조치에서도 확인할 수 있습니다. 크롬과 클라우드플레어는 웹 전송 계층 보안(TLS) 암호화에 하이브리드 X25519+ML-KEM 방식을 도입했습니다. [이 글에서는 가독성을 위해 이러한 방식을 "암호화 방식"이라고 부르겠습니다. 엄밀히 말하면 TLS와 같은 안전한 통신 프로토콜은 공개 키 암호화가 아닌 키 교환 또는 키 캡슐화 메커니즘을 사용합니다.]
여기서 "하이브리드"라는 용어는 양자 컴퓨팅 이후 보안 솔루션(ML-KEM)과 기존 솔루션(X25519)을 동시에 사용하여 두 가지 보안을 모두 확보하는 것을 의미합니다. 이 접근 방식은 ML-KEM을 통해 HNDL 공격을 방지하는 동시에, ML-KEM이 현재 컴퓨터에서도 안전하지 않은 것으로 판명될 경우 X25519를 통해 기존의 보안 보장을 제공하는 것을 목표로 합니다.
애플의 iMessage 또한 PQ3 프로토콜에서 유사한 하이브리드 양자 후 암호화를 사용하며, Signal은 PQXDH 및 SPQR 프로토콜에 이 메커니즘을 구현했습니다.
반면, 핵심 웹 인프라를 양자 후 디지털 서명으로 전환하는 것은 현재의 양자 후 서명 방식이 상당한 성능 저하를 초래하기 때문에(이 글 후반부에서 자세히 설명), "CRQC가 실제로 상용화될 시점"까지 연기될 것입니다.
zkSNARK(영지식, 간결하고 비대화형 지식 증명)는 블록체인의 미래 확장성과 개인정보 보호에 핵심적인 역할을 하며, 양자 컴퓨팅 위협 측면에서 디지털 서명과 유사합니다. 이는 일부 zkSNARK가 현재의 암호화 및 서명에 사용되는 것과 동일한 타원 곡선 암호화를 사용하기 때문에 양자 후 보안을 완벽하게 갖추지 못하더라도, "영지식"이라는 특성 덕분에 양자 후 보안에 부합하기 때문입니다.
영지식 속성은 양자 컴퓨팅 공격자 대면 비밀 증인에 대한 어떤 정보도 유출되지 않도록 보장합니다. 따라서 사전에 "수집"하여 나중에 해독할 수 있는 기밀 정보는 존재하지 않습니다.
따라서 zkSNARK는 HNDL 공격의 영향을 받지 않습니다. 오늘날 생성된 양자화되지 않은 디지털 서명이 안전한 것처럼, zkSNARK 증명은 CRQC 이전에 생성된 경우, 타원 곡선 암호화를 사용하더라도 신뢰할 수 있습니다(즉, 증명의 명제는 참이어야 합니다). CRQC가 등장한 이후에야 공격자가 "겉보기에는 유효하지만 실제로는 결함이 있는" 증명을 구성할 수 있게 되었습니다.
이것이 블록체인에 어떤 의미를 갖는가?
대부분의 블록체인은 HNDL 공격에 취약하지 않습니다. 오늘날 비트코인과 이더 과 같은 대부분의 비프라이버시 블록체인은 거래 승인에 주로 양자 컴퓨팅 이후 암호화가 아닌 디지털 서명을 사용합니다.
다시 한번 강조하지만, 디지털 서명은 HNDL 공격에 취약하지 않습니다. "먼저 수집하고 나중에 복호화하는" 공격은 암호화된 데이터에만 적용됩니다. 예를 들어 비트코인 블록체인은 공개되어 있습니다. 양자 컴퓨팅 위협은 공개적으로 이용 가능한 거래 데이터를 복호화하는 것이 아니라 서명을 위조(개인 키를 추출하여 자금을 훔치는 행위)하는 데 있습니다. 즉, 현재 블록체인에서 HNDL 공격은 즉각적인 암호학적 위협이 되지 않습니다.
유감스럽게도, 연방준비제도를 포함한 일부 신뢰할 만한 기관들은 여전히 비트코인이 HNDL 공격에 취약하다고 잘못 주장하고 있으며, 이는 양자 암호화로의 전환이 시급하다는 인식을 과장하는 오류입니다.
하지만 이러한 "긴급성 감소"가 비트코인이 무기한 기다릴 수 있다는 의미는 아닙니다. 비트코인은 프로토콜 업그레이드에 필요한 막대한 사회적 협력 때문에 다른 종류의 시간적 압박에 직면하고 있습니다. (비트코인의 고유한 과제는 아래에서 더 자세히 논의될 것입니다.)
현재 예외적인 경우는 프라이버시 체인인데, 많은 프라이버시 체인이 암호화 또는 다른 수단을 통해 수신자와 금액을 숨깁니다. 이러한 유형의 기밀 정보는 사전에 "수집"될 수 있으며, 양자 컴퓨터가 타원 곡선 암호화를 해독할 수 있게 되면 나중에 익명성을 해제할 가능성이 있습니다.
이러한 프라이버시 체인의 경우, 공격의 심각성은 체인의 설계 방식에 따라 다릅니다. 예를 들어, 모네로(Monero)의 타원 곡선 기반 링 서명과 키 이미지(이중 지출 방지를 위해 각 출력에 사용되는 고유하고 체인에 공유 가능한 태그)를 사용하는 경우, 공개 원장만으로도 향후 전체 거래 흐름 그래프를 재구성할 수 있습니다. 그러나 다른 프라이버시 체인에서는 피해 규모가 더 제한적일 수 있습니다. 자세한 내용은 Zcash의 암호화 엔지니어이자 연구원인 션 보위(Sean Bowe)의 설명을 참조하십시오.
만약 사용자들이 "미래에 양자 컴퓨터의 등장으로 거래 내역이 노출되지 않도록 하는 것"이 매우 중요하다고 생각한다면, 프라이버시 체인은 가능한 한 빨리 양자 후 암호화 기본 요소(또는 하이브리드 방식)로 마이그레이션해야 합니다. 또는, 해독 가능한 비밀 정보를 온체인 저장하지 않는 아키텍처를 채택해야 합니다.
비트코인의 고유한 과제: 거버넌스 메커니즘 + 버려진 코인
비트코인의 경우, 양자 기술 자체와는 무관하게 양자 디지털 서명으로의 전환이 시급한 두 가지 현실이 있습니다. 첫 번째는 거버넌스 속도입니다. 비트코인은 진화 속도가 매우 느립니다. 커뮤니티 적절한 해결책에 합의하지 못할 경우, 어떤 논쟁적인 사안이라도 파괴적인 하드 포크를 촉발할 수 있습니다.
두 번째 우려는 비트코인의 양자 서명으로의 전환이 수동적인 이동으로는 이루어질 수 없다는 점입니다. 코인 보유자가 직접 자금을 이동시켜야 합니다. 이는 버려졌지만 여전히 양자 위협에 노출된 코인은 보호받지 못한다는 것을 의미합니다. 일부 추산에 따르면 양자 취약성이 있거나 잠재적으로 버려진 비트코인의 수는 수백만 개에 달하며, 현재 가격 기준으로 수천억 달러(2025년 12월 기준)에 이를 것으로 예상됩니다.
하지만 양자 위협이 비트코인의 갑작스럽고 파괴적인 하룻밤 사이의 붕괴를 초래하지는 않을 것입니다. 오히려 선택적이고 점진적인 공격으로 나타날 가능성이 더 큽니다. 양자 컴퓨터는 모든 암호화 방식을 한 번에 해독할 수 없습니다. 쇼어의 알고리즘은 공개 키를 하나씩 해독해야 합니다. 초기 양자 공격은 매우 비용이 많이 들고 시간이 오래 걸릴 것입니다. 따라서 양자 컴퓨터가 비트코인 서명 키 하나를 해독할 수 있게 되면 공격자들은 가장 가치가 높은 지갑을 우선적으로 공격할 것입니다.
또한, 사용자가 주소 재사용을 피하고 탭루트 주소(공개 키를 온체인 직접 노출하는 주소)를 사용하지 않는 한, 프로토콜 자체가 업그레이드되지 않았더라도 본질적으로 보호됩니다. 공개 키는 사용될 때까지 해시 함수 뒤에 숨겨져 있기 때문입니다. 공개 키는 사용자가 최종적으로 지출 거래를 브로드캐스트할 때만 공개되며, 이때 짧은 "순간적인 경쟁 상황"이 발생합니다. 정직한 사용자는 가능한 한 빨리 거래를 확인해야 하는 반면, 양자 컴퓨팅 공격자는 거래가 확인되기 전에 개인 키를 찾아 코인을 먼저 사용하려고 시도합니다. 따라서 진정으로 취약한 코인은 공개 키가 수년 동안 노출된 코인, 즉 초기 P2PK 출력, 재사용된 주소 및 탭루트 포지션 입니다.
이미 버려진 깨지기 쉬운 동전들에 대해서는 현재로서는 마땅한 해결책이 없습니다. 대안으로는 다음과 같은 것들이 있습니다.
비트코인 커뮤니티 모든 미이동 코인이 소멸되는 "기준일"을 정하기로 합의했습니다.
양자역학적 리스크 에 노출된 버려진 코인은 CRQC 소유자라면 누구나 압수할 수 있도록 허용합니다.
두 번째 선택지는 심각한 법적 및 보안 문제를 야기합니다. 양자 컴퓨터를 사용하여 개인 키 없이 자금에 접근하는 것은, 설령 정당한 소유권 확보 또는 선의의 행위라고 주장하더라도, 많은 관할권에서 절도 및 컴퓨터 사기 관련 법률에 위배될 수 있습니다.
더욱이, "포기"라는 개념은 비활성 상태를 전제로 하지만, 해당 코인들이 실제로 키를 가진 활성 소유자를 잃었는지 여부는 아무도 확신할 수 없습니다. 설령 누군가가 과거에 이 코인들을 소유했었다는 것을 증명할 수 있다 하더라도, 암호화 보호 장치를 해제하여 코인을 "되찾을" 법적 권리가 없을 수도 있습니다. 이러한 법적 모호성으로 인해 양자 컴퓨팅 리스크 에 노출된 이러한 포기된 코인들은 법적 제약을 무시하는 악의적인 공격자의 손에 넘어갈 가능성이 매우 높습니다.
비트코인의 또 다른 독특한 문제는 거래 처리량이 극히 낮다는 점입니다. 마이그레이션 계획이 확정되더라도 현재 비트코인 거래 속도로는 양자 컴퓨팅 위협에 노출된 모든 자금을 양자 컴퓨팅 보안이 적용된 주소로 옮기는 데 수개월이 걸릴 것입니다.
이러한 과제들 때문에 비트코인은 지금부터 양자 컴퓨팅 이후의 마이그레이션을 계획해야 합니다. 이는 CRQC가 2030년 이전에 등장할 가능성이 높아서가 아니라, 거버넌스 체계를 구축하고 합의를 도출하며 수천억 달러 규모의 자산을 실제로 마이그레이션하는 데 필요한 기술적 물류를 구현하는 데 수년이 걸릴 것이기 때문입니다.
비트코인이 직면한 양자 컴퓨팅 위협은 실재하지만, 시간적 압박은 다가오는 양자 컴퓨터 때문이라기보다는 비트코인 자체의 구조적 한계에서 비롯됩니다. 다른 블록체인들도 양자 컴퓨팅에 취약한 자금 문제를 안고 있지만, 비트코인은 특히 독특합니다. 초기 거래에서 공개키를 블록 온체인 직접 노출하는 P2PK(pay-to-publickey) 방식을 사용했기 때문에 상당량의 BTC가 양자 컴퓨팅 위협에 노출되어 있습니다. 이러한 기술적 역사, 긴 블록체인 수명, 높은 가치 집중도, 낮은 처리량, 그리고 경직된 거버넌스는 비트코인의 문제를 더욱 심각하게 만듭니다.
위에서 설명한 취약점은 비트코인 디지털 서명의 암호학적 보안에만 해당하며, 비트코인 블록체인의 경제적 보안에는 영향을 미치지 않는다는 점에 유의해야 합니다. 비트코인의 경제적 보안은 작업증명(PoW) 합의 메커니즘에서 비롯되며, 이 메커니즘은 다음 세 가지 이유로 서명 방식보다 양자 공격에 덜 취약합니다.
작업증명(PoW)은 해시 함수에 의존하므로 그로버 탐색 알고리즘이 제공하는 제곱 함수적 속도 향상 효과만 누릴 수 있고, 쇼어 알고리즘이 제공하는 지수 함수적 속도 향상 효과는 누릴 수 없습니다.
그로버 탐색을 구현하는 데 드는 실제 오버헤드가 너무 커서 양자 컴퓨터가 비트코인의 작업증명(PoW) 방식보다 실질적인 속도 향상을 달성할 가능성은 극히 낮습니다.
양자 컴퓨터가 상당한 속도 향상을 이룰 수 있다 하더라도, 그 효과는 비트코인의 경제적 보안 모델을 근본적으로 약화시키기보다는 양자 해시레이트 가진 대규모 채굴자들에게 상대적인 이점을 줄 뿐입니다.
양자 후 서명의 비용 및 리스크
블록체인이 양자 후 보안 서명을 서둘러 도입해서는 안 되는 이유를 이해하려면 효율성 비용과 양자 후 보안 기술이 여전히 발전하고 있다는 점에 대한 확신을 모두 고려해야 합니다.
대부분의 양자 후 암호화는 해싱, 코드(오류 정정 코드), 격자, 다변수 2차 방정식(MQ) 및 동형 사상이라는 다섯 가지 방법 중 하나를 기반으로 합니다.
왜 다섯 가지 다른 방법이 있을까요? 그 이유는 양자 컴퓨터가 특정 수학 문제를 효율적으로 해결할 수 없다는 가정에 기반하여 양자 후 암호화 기본 요소의 보안이 확보되기 때문입니다. 문제의 구조가 "강력할수록" 더 효율적인 암호화 프로토콜을 구축할 수 있습니다.
하지만 이는 양날의 검과 같습니다. 구조가 많아질수록 공격 표면도 넓어져 알고리즘이 쉽게 뚫릴 수 있기 때문입니다. 이는 근본적인 모순을 야기합니다. 더 강력한 가정을 통해 성능을 향상시킬 수 있지만, 잠재적인 보안 취약점(즉, 가정이 틀린 것으로 판명될 확률 증가)을 감수해야 합니다.
전반적으로 보안 관점에서 볼 때, 해시 기반 방식은 양자 컴퓨터가 효율적으로 공격할 수 없다는 확신이 가장 크기 때문에 가장 보수적이고 견고한 방식입니다. 하지만 효율성은 가장 떨어집니다. 예를 들어, NIST 표준 해시 서명 방식은 가장 작은 매개변수 설정에서도 7~8KB의 서명 크기를 생성합니다. 반면, 현재 사용되는 타원 곡선 기반 디지털 서명은 64바이트에 불과하여 약 100배 더 작습니다.
격자 구조는 현재 배포에서 핵심적인 부분입니다. NIST에서 선택한 유일한 암호화 방식과 세 가지 서명 알고리즘 중 두 가지가 격자 구조에 기반합니다. 한 격자 서명 방식(ML-DSA, 이전 명칭 Dilithium)은 128비트 보안에서 2.4KB, 256비트 보안에서 4.6KB의 서명 크기를 가지는데, 이는 현재 타원 곡선 서명보다 약 40~70배 더 큽니다. 또 다른 격자 방식인 Falcon은 서명 크기가 훨씬 작지만(Falcon-512는 666바이트, Falcon-1024는 1.3KB), 복잡한 부동 소수점 연산을 필요로 하는데, NIST 자체도 이를 구현상의 주요 과제로 태그 합니다. Falcon 설계자 중 한 명인 Thomas Pornin은 이를 "내가 구현해 본 암호화 알고리즘 중 가장 복잡한 알고리즘"이라고 불렀습니다.
구현 보안 측면에서 그리드 서명은 타원 곡선 방식보다 구현하기 훨씬 어렵습니다. ML-DSA는 더 민감한 중간 값과 복잡한 거부 샘플링 로직을 포함하고 있으며, 이 모든 것이 사이드 채널 공격 및 오류 기반 공격에 대한 보호가 필요합니다. Falcon은 상수 시간 부동 소수점 연산의 복잡성을 더욱 증가시키며, Falcon 구현을 대상으로 한 여러 사이드 채널 공격에서 개인 키가 성공적으로 복구되었습니다.
이러한 문제들이 제기하는 리스크 "암호화에 실질적인 위협을 가하는 양자 컴퓨터"와 같은 먼 미래의 위협과는 달리 즉각적입니다.
양자 컴퓨팅을 이용한 더욱 효율적인 암호화 방식에 대해 신중해야 할 이유는 충분합니다. 레인보우(MQ 기반 서명)나 SIKE/SIDH(동일 출처 암호화)와 같은 역사적으로 선도적인 방식들은 양자 컴퓨터가 아닌 현재의 컴퓨터를 이용해 "고전적인" 방식으로 해독된 바 있습니다.
이 일은 NIST 표준화 과정이 이미 상당 부분 진행된 단계에서 발생했습니다. 이는 건전한 과학적 과정을 반영하는 것이기도 하지만, 성급한 표준화 및 배포가 오히려 역효과를 초래할 수 있음을 보여줍니다.
앞서 언급했듯이 네트워크 인프라는 서명 마이그레이션을 신중하게 진행하고 있습니다. 이는 네트워크에서 암호화 전환이 시작되면 완료하는 데 수년이 걸리는 경우가 많다는 점에서 주목할 만합니다. MD5 및 SHA-1과 같은 해시 함수는 네트워크 표준 기관에서 공식적으로 사용 중단을 선언한 지 오래되었지만, 실제 마이그레이션은 수년 동안 계속되어 왔으며 일부 시나리오에서는 아직 완전히 제거되지 않았습니다. 이러한 알고리즘은 단순히 "미래에 언젠가 해독될 가능성이 있는" 것이 아니라 완전히 해독된 상태입니다.
블록체인과 네트워크 인프라의 고유한 과제
다행히 이더 이나 솔라나처럼 오픈소스 커뮤니티 에서 유지 관리하는 블록체인은 기존 네트워크 인프라보다 업그레이드가 더 쉽고 빠릅니다. 반면, 네트워크 인프라는 잦은 키 교체 덕분에 공격 표면이 초기 양자 컴퓨터보다 훨씬 빠르게 변화하는 이점을 누립니다. 블록체인은 코인과 키가 무기한 노출될 수 있기 때문에 이러한 이점을 누리지 못합니다. 따라서 블록체인 역시 서명 마이그레이션을 발전시키는 데 있어 네트워크가 사용하는 신중한 접근 방식을 유지해야 합니다. 두 방식 모두 서명 기반 HNDL 공격의 영향을 받지 않으며, 미성숙한 양자 컴퓨팅 솔루션으로 성급하게 마이그레이션할 경우 발생하는 비용과 리스크 은 여전히 크고 키 수명과 관계없이 변하지 않습니다.
또한 블록체인은 여러 가지 문제점을 안고 있어 성급한 마이그레이션을 특히 위험하고 복잡하게 만듭니다. 예를 들어 블록체인은 서명 체계에 있어 고유한 요구 사항을 가지고 있으며, 특히 "대량 서명을 신속하게 집계"해야 합니다. 현재 널리 사용되는 BLS 서명은 효율적인 집계 기능 때문에 선호되지만, 양자 후 보안이 부족합니다. 연구자들은 SNARK 기반의 양자 후 서명 집계 방식을 연구하고 있으며, 진전은 고무적이지만 아직 초기 단계에 머물러 있습니다.
SNARK 자체에 관해서는 현재 커뮤니티 주로 해시 기반 양자 보안 구조에 집중하고 있습니다. 하지만 상당한 변화가 예상됩니다. 저는 향후 몇 달, 몇 년 안에 격자 방식이 매우 매력적인 대안으로 떠오를 것이라고 확신합니다. 격자 방식은 증명 길이 단축 등 여러 측면에서 우수한 성능을 제공할 것입니다. 격자 방식 서명은 해시 방식 서명보다 짧습니다.
이제 더 심각한 문제는 운영 안전입니다.
향후 몇 년 동안 실질적인 취약점은 "암호화를 진정으로 위협하는 양자 컴퓨터"보다 훨씬 더 현실적이고 심각한 문제가 될 것입니다. SNARK의 주요 관심사는 바로 이러한 취약점(버그)입니다.
취약점은 디지털 서명 및 암호화 알고리즘에서 주요 과제였으며, SNARK는 훨씬 더 복잡합니다. 실제로 디지털 서명 체계는 "나는 공개 키에 해당하는 개인 키를 알고 있으며, 이 메시지를 승인했다"는 것을 증명하는 데 사용되는 매우 단순화된 zkSNARK로 볼 수 있습니다.
양자역학 기반 서명에 있어 진정으로 시급한 리스크 사이드채널 공격이나 오류 주입 공격과 같은 구현 공격이 포함됩니다. 이러한 유형의 공격은 이미 대량 시연되었으며 실제 시스템에서 개인 키를 클레임 할 수 있습니다. 따라서 이러한 공격의 위협은 "먼 미래의 양자 공격"보다 훨씬 더 즉각적입니다.
커뮤니티 향후 몇 년 동안 SNARK 취약점을 지속적으로 파악하고 수정하며, 사이드 채널 공격 및 오류 주입 공격에 대비하기 위해 양자 후 서명 구현을 강화할 것입니다. 양자 후 SNARK 및 서명 집계 솔루션이 완전히 개발되기 전에 성급하게 마이그레이션하면 블록체인이 최적화되지 않은 솔루션에 갇히게 될 리스크 있으며, 더 나은 솔루션이 등장하거나 현재 솔루션에 중대한 구현 취약점이 드러나면 다시 마이그레이션해야 할 수도 있습니다.
우리는 어떻게 해야 할까요? 일곱 가지 제안
위에서 논의한 현실을 바탕으로 개발자부터 정책 입안자에 이르기까지 다양한 이해관계자들에게 다음과 같은 조언을 드립니다. 핵심 원칙은 양자 위협을 심각하게 받아들이되, "암호화에 실질적인 위협을 가하는 양자 컴퓨터가 2030년 이전에 필연적으로 등장할 것"이라는 전제하에 행동해서는 안 된다는 것입니다. 현재의 기술 발전은 이러한 전제를 뒷받침하지 않습니다. 하지만 우리가 할 수 있고 또 해야 할 준비 작업은 여전히 많이 있습니다.
1. 하이브리드 암호화를 즉시 배포하세요
장기적인 기밀 유지가 중요하고 성능 저하가 허용 가능한 시나리오에서는 많은 브라우저, CDN 및 메시징 애플리케이션(예: iMessage 및 Signal)이 하이브리드 솔루션을 도입했습니다. 이러한 하이브리드 솔루션(양자 후 암호화와 기존 암호화를 결합)은 HNDL 공격으로부터 보호하는 동시에 양자 후 암호화 솔루션의 고유한 약점을 완화합니다.
2. 스탬프 크기가 커도 괜찮은 시나리오에서는 해시 스탬프를 즉시 사용하십시오.
소프트웨어/펌웨어 업데이트와 같이 빈도가 낮고 크기에 민감하지 않은 시나리오에서는 하이브리드 해시 서명을 즉시 도입해야 합니다. (하이브리드 방식은 해시 서명의 보안 가정이 의심스러워서가 아니라 새로운 체계의 구현 취약점을 방지하기 위한 것입니다.) 이는 양자 컴퓨터가 예기치 않게 등장할 경우 사회에 확실한 "구명정"을 제공하는 보수적이고 신중한 접근 방식입니다. 양자 컴퓨팅 시대에 대비한 서명 소프트웨어 업데이트 메커니즘이 마련되어 있지 않으면, CRQC(Content Recognition of Quantum Computer)의 등장 이후 부트스트래핑 문제에 직면하게 될 것입니다. 즉, 양자 위협에 대응하는 데 필요한 암호화 업데이트를 안전하게 배포할 수 없게 될 것입니다.
3. 블록체인은 양자역학 서명 기술을 서둘러 도입할 필요는 없지만, 지금부터 계획을 세워야 합니다.
블록체인 개발자들은 웹 PKI의 접근 방식을 본받아 양자 후 서명(Post-quantum signatures) 배포를 신중하게 진행해야 합니다. 이를 통해 양자 후 서명 솔루션의 성능과 보안 이해도가 더욱 향상될 시간을 확보할 수 있습니다. 또한 개발자들이 더 큰 서명을 수용할 수 있도록 시스템을 재설계하고 더 나은 집계 기술을 개발할 시간을 벌 수 있습니다. 비트코인 및 기타 블록체인 계층의 경우, 커뮤니티 양자 보안에 취약하거나 방치된 자금에 대한 마이그레이션 경로와 정책을 마련해야 합니다. 수동적인 마이그레이션은 불가능하므로 계획 수립이 매우 중요합니다. 비트코인이 직면한 과제는 대부분 기술적인 문제가 아니라, 느린 거버넌스와 대량 고가치, 잠재적으로 방치된 양자 보안 취약 주소와 같은 비기술적인 문제입니다. 이는 비트코인 커뮤니티 조기에 계획을 수립해야 할 필요성을 더욱 강조합니다.
동시에, 양자 후 SNARK 및 집계 서명에 대한 연구는 계속해서 발전해야 합니다(이는 몇 년 더 걸릴 수 있습니다). 다시 말하지만, 시기상조의 마이그레이션은 최적화되지 않은 솔루션에 갇히게 하거나 실질적인 취약점이 발견된 후 다시 마이그레이션해야 하는 상황으로 이어질 수 있습니다.
이더 계정 모델에 대한 참고 사항: 이더 양자 컴퓨팅 이후 마이그레이션에 서로 다른 영향을 미치는 두 가지 계정 유형을 지원합니다. 하나는 secp256k1 개인 키로 제어되는 외부 계정(EOA)이고, 다른 하나는 프로그래밍 가능한 인증 로직을 갖춘 스마트 계약 지갑입니다.
비상 상황이 아닌 경우, 이더 양자 후 서명 지원을 추가하면 업그레이드 가능한 스마트 계약 지갑은 계약 업그레이드를 통해 양자 후 검증으로 전환할 수 있습니다. 반면 EOA(Enhanced Ownership Wallet)는 자산을 새로운 양자 후 보안 주소로 이전해야 할 수 있습니다(이더 EOA를 위한 전용 마이그레이션 메커니즘을 제공할 수도 있습니다). 양자 비상 상황에서는 이더 연구원들이 하드 포크 솔루션을 제안했습니다. 취약한 계정을 동결 하고 사용자가 니모닉 단어 소유하고 있음을 증명하여 양자 후 보안 SNARK를 통해 자산을 복구할 수 있도록 하는 것입니다. 이 메커니즘은 EOA와 업그레이드되지 않은 스마트 지갑 모두에 적용됩니다.
사용자에게 미치는 실질적인 영향은 제대로 검증되고 업그레이드 가능한 스마트 지갑이 약간 더 원활한 마이그레이션 경로를 제공할 수 있다는 점이지만, 그 차이는 미미하며 지갑 제공업체에 대한 신뢰와 업그레이드 관리 측면에서 손해를 감수해야 한다는 것입니다. 계정 유형보다 더 중요한 것은 이더 커뮤니티 양자 컴퓨팅 이후를 대비한 기본 요소와 비상 계획을 지속적으로 추진하고 있다는 점입니다.
더 넓은 관점에서 볼 때, 많은 블록체인은 계정 신원을 특정 암호화 기본 요소에 긴밀하게 연결합니다. 예를 들어 비트코인과 이더 모두 secp256k1에 종속되어 있고, 다른 블록체인은 EdDSA에 종속되어 있습니다. 양자 컴퓨팅 이후 마이그레이션의 어려움은 계정 신원을 특정 서명 방식에서 분리하는 것의 중요성을 강조합니다. 이더 의 스마트 계정으로의 진화와 다른 블록체인에서의 계정 추상화 추세는 이러한 방향을 잘 보여줍니다. 즉, 계정이 온체인 기록과 상태를 유지하면서 인증 로직을 업그레이드할 수 있도록 하는 것입니다. 이는 양자 컴퓨팅 이후 마이그레이션을 더 간단하게 만들지는 않지만, 계정을 단일 서명 방식에 고정하는 것보다 훨씬 더 큰 유연성을 제공합니다. (또한 프록시 거래, 소셜 복구, 다중 서명 등의 다른 기능도 가능하게 합니다.)
4. 개인정보 보호 체인의 경우, 성능이 허용하는 한 마이그레이션을 우선시해야 합니다.
이러한 블록체인은 거래 세부 정보를 암호화하거나 숨기므로 HNDL 공격에 사용자 개인 정보를 노출시킵니다. 공격의 심각성은 설계 방식에 따라 다릅니다. 공개 원장만으로 거래 후 완전한 익명화 해제가 가능한 블록체인이 가장 리스크 합니다. 양자 후 암호화 솔루션 자체가 기존 시나리오에서 안전하지 않은 것으로 판명될 경우, 하이브리드 솔루션(양자 후 암호화 + 기존 암호화)을 채택하거나, 복호화 가능한 비밀 정보를 온체인 저장하지 않도록 아키텍처를 수정할 수 있습니다.
5. 단기적으로는 양자 위협 완화보다 실질적인 보안을 우선시해야 합니다.
특히 SNARK나 양자 후 서명과 같은 복잡한 기본 요소의 경우, 향후 몇 년 동안 CRQC보다 취약점 및 악용(사이드 채널 공격, 오류 주입)이 훨씬 더 현실적이고 시급한 문제가 될 것입니다. 지금 바로 감사, 퍼징, 형식 검증 및 다층 방어에 투자해야 합니다. 양자 위협에 대한 우려 때문에 더 시급한 실제 위협인 취약점 문제를 간과해서는 안 됩니다!
6. 양자 컴퓨팅 개발을 지원합니다.
국가 안보 관점에서 볼 때, 우리는 양자 컴퓨팅 연구 개발과 인재 양성에 지속적으로 투자해야 합니다. 만약 주요 적대국들이 미국보다 먼저 CRQC(계산 양자 컴퓨팅 능력)를 확보하게 된다면, 이는 미국과 전 세계에 심각한 국가 안보 리스크 될 것입니다.
7. 양자 컴퓨팅 관련 발표에 대해 올바른 관점을 유지하십시오.
양자 하드웨어가 성숙해짐에 따라 향후 몇 년 동안 대량 중요한 발표가 있을 것입니다. 역설적이게도 이러한 발표의 빈번함 자체가 우리가 CRQC(Conceptual Reactional Quantum Community)에 아직 한참 멀었다는 증거입니다. 각각의 이정표는 궁극적인 목표에 도달하기 위한 여러 다리 중 하나일 뿐이며, 각 다리를 건널 때마다 언론의 관심과 흥분이 고조됩니다. 보도 자료는 즉각적인 조치를 요구하는 신호가 아니라 비판적인 평가가 필요한 진행 상황 보고서로 간주해야 합니다.
물론, 미래에는 예상치 못한 획기적인 발전이 있어 진행 속도가 빨라질 수도 있고, 심각한 병목 현상이 발생하여 진행 속도가 늦어질 수도 있습니다.
저는 CRQC가 5년 안에 "절대적으로 불가능하다"고 생각하는 것이 아니라, "극히 가능성이 낮다"고 생각한다는 점을 강조하고 싶습니다. 위의 권장 사항들은 이러한 불확실성을 고려하여 마련되었으며, 취약점, 성급한 배포, 암호 마이그레이션 과정에서 흔히 발생하는 다양한 오류와 같은 보다 직접적이고 현실적인 리스크 피하는 데 도움이 될 수 있습니다.
