양자 컴퓨팅과 블록체인: 시급한 위협에 대응하기

최근 발견된 버그 리스크 양자 컴퓨팅 공격의 위험성보다 훨씬 더 큽니다.

원문: 양자 컴퓨팅과 블록체인: 실제 위협에 걸맞은 긴급성

저자: 저스틴 탈러

작성자: Plain Language Blockchain

암호화와 관련된 양자 컴퓨터의 개발 일정은 종종 과장되어 왔으며 , 이로 인해 양자 이후 암호화로의 전환이 시급하고 포괄적으로 요구되고 있습니다.

하지만 이러한 요구는 종종 시기상조의 마이그레이션에 따른 비용과 리스크 간과하고, 서로 다른 암호화 기본 요소 간의 리스크 프로필이 크게 다르다는 점을 무시합니다.

양자 후 암호화는 비용이 많이 들지만 즉각적인 도입이 필수적입니다. HNDL(Harvest-Now-Decrypt-Later) 공격은 이미 진행 중인데, 이는 오늘날 암호화된 민감한 데이터가 수십 년 후 양자 컴퓨터가 등장하더라도 여전히 가치가 있을 것이기 때문입니다. 양자 후 암호화의 성능 오버헤드와 구현 리스크 분명히 존재하지만, HNDL 공격으로 인해 장기적인 기밀 유지가 필요한 데이터는 다른 선택의 여지가 없습니다 .

양자 후 서명은 다른 고려 사항에 직면합니다. HNDL 공격에 덜 취약 하지만, 비용과 리스크(더 큰 크기, 성능 오버헤드, 미성숙한 구현 및 오류) 때문에 즉각적인 전환보다는 신중한 검토가 필요합니다.

이러한 차이점은 매우 중요합니다. 오해는 비용 편익 분석을 왜곡하여 팀이 버그 와 같은 더 중요한 보안 리스크 간과하게 만들 수 있습니다.

양자 후 암호화로의 성공적인 전환에 있어 진정한 과제는 시급성과 실제 위협 수준을 적절히 조화시키는 데 있습니다. 아래에서는 암호화, 서명, 영지식 증명 등 암호화 기술에 대한 양자 역학의 위협에 대한 일반적인 오해를 바로잡고, 특히 블록체인에 미치는 영향에 초점을 맞추겠습니다.

우리의 일정은 어떻게 진행되고 있나요?

많은 논의에도 불구하고, 2020년대에 암호학 관련 양자 컴퓨터(CRQC)가 등장할 가능성은 극히 낮습니다 .

"암호학 관련 양자 컴퓨터"란 내결함성과 오류 수정 기능을 갖춘 양자 컴퓨터를 의미하며, 타원 곡선 암호화나 RSA 공격을 합리적인 시간(예: 최대 한 달의 연속 계산 시간) 내에 해독할 수 있을 만큼 충분한 규모로 쇼어 알고리즘을 실행할 수 있는 컴퓨터를 말합니다.

공개적으로 이용 가능한 주요 개발 일정과 자원 추정치를 합리적으로 해석해 보면, 암호학적으로 의미 있는 양자 컴퓨터를 구현하기까지는 아직 갈 길이 멉니다 . 일부 기업들은 CRQC가 2030년 이전, 심지어 2035년 훨씬 이전에도 상용화될 수 있다고 주장하지만, 공개적으로 알려진 개발 진행 상황은 이러한 주장을 뒷받침하지 못합니다 .

배경 설명을 드리자면, 현재의 모든 아키텍처 (트랩 이온, 초전도 큐비트, 중성 원자 시스템 )에서 오늘날의 양자 컴퓨팅 플랫폼은 Shor 알고리즘 공격 {RSA-2048} 또는 {secp}256{k}1을 실행하는 데 필요한 수십만에서 수백만 개의 물리적 큐비트 (오류율 및 오류 수정 방식에 따라 다름) 에 근접하지 않습니다 .

제한 요소는 큐비트 수뿐만 아니라 게이트 충실도 , 큐비트 연결성 , 그리고 심층 양자 알고리즘을 실행하는 데 필요한 연속 오류 정정 회로의 깊이에도 있습니다 . 현재 일부 시스템은 물리적 큐비트 수가 1,000개를 넘지만 , 최초의 큐비트 수는 오해의 소지가 있습니다 . 이러한 시스템은 암호학적으로 관련된 계산에 필요한 큐비트 연결성과 게이트 충실도를 갖추지 못하고 있기 때문입니다.

최근 개발된 시스템들은 양자 오류 수정이 작동하기 시작하는 물리적 오류율 에 근접했지만 , 몇 개의 논리 큐비트 이상의 지속적인 오류 수정 회로 깊이를 구현한 사례는 아직 없습니다 . 쇼어 알고리즘을 실제로 실행하는 데 필요한 수천 개의 고충실도, 심층 회로, 내결함성 논리 큐비트는 말할 것도 없습니다. 양자 오류 수정이 원칙적으로 실현 가능하다는 것을 증명하는 것과 암호 해독을 구현하는 데 필요한 규모 사이의 격차는 여전히 엄청납니다.

요약하자면, 큐비트 수와 정확도가 모두 몇 자릿수 이상 향상되지 않는 한, 암호화용 양자 컴퓨터는 아직 먼 미래의 일입니다.

하지만 기업 보도자료와 언론 보도는 혼란을 야기할 수 있습니다. 다음은 흔히 발생하는 오해와 혼란의 원인 몇 가지입니다.

• 현재 "양자 우위"를 주장하는 시연은 주로 사람이 만든 작업 에 초점을 맞추고 있습니다. 이러한 작업은 실용성 때문이 아니라 기존 하드웨어에서 실행되면서도 상당한 양자 속도 향상을 보이는 것처럼 보이기 때문에 선택됩니다. 이러한 사실은 발표에서 종종 가려지곤 합니다 .
• 해당 회사는 수천 개의 물리적 큐비트를 구현했다고 주장합니다. 그러나 이는 양자 어닐링 장치를 가리키는 것이지, 공개키 암호화를 공격하는 쇼어 알고리즘을 실행하는 데 필요한 게이트 모델 장치를 의미하는 것은 아닙니다.
• 기업들은 "논리 큐비트"라는 용어를 자유롭게 사용할 수 있습니다 . 물리적 큐비트는 노이즈가 많습니다. 앞서 언급했듯이 양자 알고리즘은 논리 큐비트를 필요로 하며, 쇼어 알고리즘은 수천 개의 큐비트를 필요로 합니다. 양자 오류 수정 기술을 사용하면 논리 큐비트는 많은 물리적 큐비트(일반적으로 오류율에 따라 수백 개에서 수천 개)로 구현할 수 있습니다. 그러나 일부 기업들은 이 용어를 원래 의미보다 훨씬 확장하여 사용하고 있습니다 . 예를 들어, 최근 한 발표에서는 거리-2 코드와 단 두 개의 물리적 큐비트를 사용하여 논리 큐비트를 구현했다고 주장했습니다. 이는 터무니없는 주장 입니다. 거리-2 코드는 오류를 감지 할 수는 있지만 수정할 수는 없기 때문입니다. 암호 분석을 위한 진정한 내결함성 논리 큐비트는 두 개가 아니라 각각 수백 개에서 수천 개의 물리적 큐비트를 필요로 합니다 .
• 일반적으로 많은 양자 컴퓨팅 로드맵에서는 클리포드 연산만 지원하는 큐비트를 "논리 큐비트"라고 부릅니다. 이러한 연산은 고전 언어로 효율적으로 시뮬레이션 할 수 있기 때문에 수천 개의 오류 정정 T 게이트 (또는 일반적으로 비클리포드 게이트)가 필요한 쇼어 알고리즘을 실행하기에는 불충분합니다.
• 로드맵 중 하나가 "X년까지 수천 개의 논리 큐비트를 달성"하는 것을 목표로 한다 하더라도, 그것이 회사가 같은 X년에 쇼어 알고리즘을 사용하여 기존 암호를 해독할 수 있을 것이라고 기대한다는 의미는 아닙니다.

이러한 관행들은 노련한 전문가들 사이에서조차 암호화 양자 컴퓨터 개발이 얼마나 가까워졌는지에 대한 대중의 인식을 심각하게 왜곡시켰습니다.

다시 말해, 일부 전문가들은 이러한 진전에 대해 실제로 기대감을 갖고 있습니다. 예를 들어, 스콧 아론슨은 최근 "현재 진행되고 있는 놀라운 하드웨어 개발 속도를 고려할 때," 라고 썼습니다 .

저는 이제 다음 미국 대통령 선거 전에 쇼어 알고리즘을 실행하는 내결함성 양자 컴퓨터를 갖게 될 가능성이 현실적 이라고 생각합니다.

아론슨은 나중에 자신의 발언이 암호학적으로 의미 있는 양자 컴퓨터를 암시하는 것은 아니라고 해명했습니다 . 그는 15 = 3 × 5를 인수분해하는 완전한 내결함성을 갖춘 쇼어 알고리즘조차도 하나의 구현체로 간주될 수 있으며, 이는 연필과 종이로 훨씬 빠르게 계산할 수 있는 것이라고 주장했습니다. 표준은 암호학적으로 의미 있는 구현체가 아니라 소규모 쇼어 알고리즘 구현체입니다 . 왜냐하면 양자 컴퓨터에서 15를 인수분해하는 이전 실험들은 완전한 내결함성 쇼어 알고리즘이 아닌 단순화된 회로를 사용했기 때문입니다. 게다가 이러한 실험들이 일관되게 15를 인수분해할 수 있었던 데에는 이유가 있습니다. 15를 법으로 하는 산술 계산은 쉽지만, 21과 같이 조금 더 큰 수를 인수분해하는 것은 훨씬 더 어렵습니다. 따라서 21을 인수분해할 수 있다고 주장하는 양자 실험들은 일반적으로 추가적인 힌트나 지름길에 의존합니다.

요컨대, 실용적인 암호화 에 매우 중요한 RSA-2048 또는 secp256k1을 해독할 수 있는 암호학적으로 의미 있는 양자 컴퓨터가 향후 5년 내에 등장할 것이라는 기대는 이를 뒷받침할 만한 공개적으로 알려진 진전이 없습니다 .

10년이라는 기간조차도 여전히 야심찬 목표입니다. 암호화와 관련된 양자 컴퓨터 기술이 아직 얼마나 요원한지를 고려하면, 10년 이상이라는 시간표가 진전에 대한 기대감을 갖게 하는 데에 충분히 부합합니다 .

그렇다면 미국 정부가 정부 시스템 의 전면적인 양자 컴퓨팅(PQ) 전환을 2035년까지 완료하는 것은 어떨까요? 저는 그러한 대규모 전환을 완료하기에 합리적인 시점 이라고 생각합니다. 하지만 그렇다고 해서 그때까지 암호화 관련 양자 컴퓨터가 존재할 것이라는 예측은 아닙니다 .

HNDL 공격은 어떤 상황에서 적용 가능하며, 어떤 상황에서 적용되지 않습니까?

HNDL(Hidden-Nearest-Decryption) 공격은 공격자가 암호화된 트래픽을 저장해 두었다가 관련 양자 컴퓨터가 구축된 후 복호화하는 공격 방식을 말합니다. 민족 차원의 공격자는 미국 정부의 암호화된 통신을 대규모 로 보관해 두었다가 기밀 통신 통제 센터(CRQC)가 실제로 존재하게 된 후 수년이 지나서야 이를 복호화할 가능성이 매우 높습니다.

이것이 바로 암호화 기술로 즉시 전환해야 하는 이유입니다. 적어도 10년에서 50년 이상 기밀 유지가 필요한 사람이라면 말입니다.

하지만 모든 블록체인이 의존하는 디지털 서명은 암호화와는 다릅니다 . 공격 발생 시 추적할 수 있는 기밀성이 보장되지 않습니다 .

다시 말해, 암호화 양자 컴퓨터가 등장하면 서명 위조가 가능해질 수도 있지만, 과거의 서명은 암호화된 메시지와 같은 비밀 정보를 "숨기지" 않습니다. 디지털 서명이 CRQC 이전에 생성되었다는 사실만 알고 있다면 위조할 수 없습니다 .

이러한 이유로 양자 후 디지털 서명으로의 전환은 양자 후 암호화로의 전환보다 시급성이 떨어집니다 .

주요 플랫폼들은 이에 맞춰 조치를 취하고 있습니다. 크롬 과 클라우드플레어는 전송 계층 보안(TLS)에 하이브리드 {X}25519+{ML-KEM} 암호화를 도입했습니다. 편의상 이 글에서는 암호화 방식을 사용하겠지만, 엄밀히 말하면 TLS와 같은 안전한 통신 프로토콜은 공개 키 암호화가 아닌 키 교환 또는 키 캡슐화 메커니즘을 사용합니다.

여기서 "하이브리드"라는 용어는 양자 후 보안 체계(ML-KEM)와 기존 체계({X}25519)를 동시에 사용하여 두 체계의 보안을 결합하는 것을 의미합니다 . 이러한 방식으로 ML-KEM을 통해 HNDL 공격을 방지하는 동시에, ML-KEM이 현재의 컴퓨터에서도 안전하지 않은 것으로 판명될 경우 {X}25519를 통해 기존 보안을 유지할 수 있습니다.

애플의 iMessage 또한 PQ3 프로토콜을 통해 이러한 하이브리드 양자 암호화를 사용하며, Signal은 PQXDH 및 SPQR 프로토콜을 통해 이를 사용합니다.

반면, 현재의 양자 후 디지털 서명 방식은 성능 저하를 초래하기 때문에(이에 대해서는 이 글 후반부에서 자세히 설명하겠습니다), 암호학적으로 의미 있는 양자 컴퓨터가 실제로 상용화될 때까지 핵심 네트워크 인프라에 양자 후 디지털 서명을 도입하는 것이 지연되고 있습니다.

zkSNARK (영지식 간결 비대화형 지식 논증)는 서명과 마찬가지로 블록체인의 장기적인 확장성과 개인정보 보호에 핵심적인 역할을 합니다. 이는 오늘날의 양자 내성 암호화 및 서명 방식과 마찬가지로 타원 곡선 암호화를 사용하는 비양자 내성 zkSNARK의 경우에도 영지식 속성 은 양자 내성을 유지 하기 때문입니다.

영지식 속성은 양자 컴퓨팅 공격자에게조차 비밀 증인에 대한 정보가 증명 과정에서 드러나지 않도록 보장하므로, 나중에 "최초 접근"을 통해 해독될 수 있는 기밀 정보가 존재하지 않습니다 .

따라서 {zkSNARK} 는 선제 복호화 공격에 쉽게 취약하지 않습니다 . 오늘날 생성된 양자화되지 않은 서명이 안전한 것처럼, 암호학적으로 의미 있는 양자 컴퓨터가 등장하기 전에 생성된 모든 {zkSNARK} 증명은 신뢰할 수 있습니다(즉, 증명된 명제는 절대적으로 참입니다). 심지어 {zkSNARK}가 타원 곡선 암호화를 사용하더라도 마찬가지입니다. 암호학적으로 의미 있는 양자 컴퓨터가 등장한 후에야 공격자는 거짓 명제 에 대한 설득력 있는 증명을 찾을 수 있을 것입니다.

이것이 블록체인에 어떤 의미를 갖는가?

대부분의 블록체인은 HNDL 공격에 노출되지 않습니다.

• 오늘날 비트코인 과 이더리움 과 같은 대부분의 비개인정보 보호 블록체인은 거래 승인을 위해 주로 양자역학적 암호화가 아닌 디지털 서명을 사용합니다. 즉, 암호화 대신 디지털 서명을 사용합니다.
• 마찬가지로, 이러한 서명은 HNDL 리스크 아닙니다 . "먼저 획득하여 복호화" 공격은 암호화된 데이터 에 적용됩니다. 예를 들어, 비트코인 ​​블록체인은 공개되어 있습니다. 양자 컴퓨팅 위협은 서명 위조 (자금 탈취를 위해 개인 키를 유추하는 행위)이지, 이미 공개된 거래 데이터를 복호화하는 것이 아닙니다. 따라서 HNDL 공격으로 인한 즉각적인 암호화 시급성은 사라집니다.
• 유감스럽게도 연방준비제도 와 같은 신뢰할 만한 기관의 분석조차도 비트코인이 HNDL 공격에 취약하다고 잘못 주장했는데 , 이는 양자 후 암호화로의 전환을 시급하게 해야 한다는 인식을 과장하는 오류입니다.
• 그렇지만 시급성이 낮아졌다고 해서 비트코인이 기다릴 수 있다는 의미는 아닙니다 . 프로토콜을 변경하는 데 필요한 엄청난 사회적 협력 으로 인해 다양한 시간적 압박에 직면하고 있습니다.

현재까지는 수신자와 금액을 암호화하거나 숨기는 프라이버시 체인이 예외입니다 . 양자 컴퓨터가 타원 곡선 암호화를 해독할 수 있게 되면 이러한 기밀성을 확보하고 사후적으로 익명성을 해제 할 수 있게 됩니다.

이러한 프라이버시 블록체인의 경우, 공격의 심각성은 블록체인 설계 방식에 따라 다릅니다. 예를 들어, 모네로(Monero)의 곡선 기반 링 서명과 키 이미지(이중 지출 방지를 위해 각 출력에 사용되는 연결성 태그)의 경우, 공개 원장 자체만으로도 지출 그래프를 사후적으로 재구성할 수 있습니다. 하지만 다른 블록체인에서는 피해가 더 제한적입니다. 자세한 내용은 Zcash의 암호화 엔지니어이자 연구원인 션 보위(Sean Bowe)의 설명을 참조하십시오.

사용자 거래가 암호학적으로 관련된 양자 컴퓨터에 노출되지 않는 것이 중요하다면, 프라이버시 체인은 가능한 한 빨리 양자 후 암호화 기본 요소(또는 하이브리드 방식)로 전환해야 합니다. 또는, 해독 가능한 비밀 정보를 온체인 저장하지 않는 아키텍처를 채택해야 합니다.

비트코인의 고유한 과제: 거버넌스 + 노후화

특히 비트코인의 경우, 양자역학적 디지털 서명으로의 전환을 시급히 시작해야 하는 두 가지 현실이 존재합니다. 이 두 가지 현실은 양자 기술과는 관련이 없습니다.

한 가지 우려는 거버넌스 속도입니다. 비트코인은 변화 속도가 느립니다. 커뮤니티가 적절한 해결책에 합의하지 못하면, 사소한 문제라도 파괴적인 하드 포크 촉발할 수 있습니다.

또 다른 우려 사항은 비트코인 ​​전환 이후 양자 서명을 수동적으로 이전 할 수 없다는 점입니다. 소유자는 직접 코인을 이전해야 합니다 . 이는 구식이고 양자 공격에 취약한 코인을 보호할 수 없다는 것을 의미합니다. 일부 추산 에 따르면 양자 공격에 취약하고 잠재적으로 구식인 BTC는 수백만 개에 달하며 , 현재 가격 기준으로 수백억 달러 (2025년 12월 기준)에 이를 것으로 예상됩니다.

하지만 비트코인에 대한 양자 위협은 갑작스럽고 하룻밤 사이에 닥치는 재앙이 아니라, 선택적이고 점진적인 공격 과정이 될 것입니다. 양자 컴퓨터는 모든 암호화를 동시에 해독할 수 없습니다 . 쇼어의 알고리즘은 한 번 에 하나의 공개 키만 공격 대상으로 삼아야 합니다. 초기 양자 공격은 매우 비용이 많이 들고 시간이 오래 걸릴 것입니다. 따라서 양자 컴퓨터가 하나의 비트코인 ​​서명 키를 해독할 수 있게 되면, 공격자들은 고가치 지갑을 선택적으로 공격 할 것입니다.

또한, 주소 재사용을 피하고 공개 키를 온체인 직접 노출하는 탭루트 주소를 사용하지 않는 사용자는 프로토콜 변경 없이도 상당 부분 보호됩니다 . 이들의 공개 키는 코인이 사용되기 전까지 해시 함수 뒤에 숨겨져 있기 때문입니다 . 최종적으로 지출 거래를 브로드캐스트할 때 공개 키가 노출되고, 거래 확인을 필요로 하는 정직한 지출자 와 개인 키를 찾아 실제 소유자의 거래가 확정되기 전에 코인을 사용하려는 양자 컴퓨팅 공격자 간에 짧고 실시간적인 경쟁이 벌어 집니다 . 따라서 진정으로 취약한 코인은 공개 키가 노출된 코인 , 즉 초기 P2P K-출력 , 재사용된 주소 , 그리고 탭루트 보유 코인 입니다.

방치된 취약한 암호화폐 에 대한 쉬운 해결책은 없습니다 . 몇 가지 옵션은 다음과 같습니다.

• 비트코인 커뮤니티는 마이그레이션되지 않은 모든 코인이 소멸되는 "기준일"을 정하기로 합의했습니다.
• 버려진 양자 암호화 취약 동전은 암호학적으로 관련된 양자 컴퓨터를 소유한 사람이라면 누구든 쉽게 탈취 할 수 있습니다.

두 번째 선택지는 심각한 법적 및 보안 문제를 야기할 수 있습니다. 개인 키 없이 양자 컴퓨터를 사용하여 코인을 소유하는 것은, 설령 법적 소유권이나 선의를 주장하더라도, 많은 관할권에서 절도 및 컴퓨터 사기 관련 법률 위반으로 심각한 문제를 초래할 수 있습니다 .

더욱이 "폐기된"이라는 용어 자체는 활동이 없다는 전제 에 기반합니다. 하지만 이러한 코인에 암호화 키를 가진 실제 소유자가 없는지 여부는 아무도 확실히 알 수 없습니다 . 과거에 이러한 코인을 소유했다는 증거만으로는 암호를 해독하고 코인을 되찾을 법적 권한을 부여하기에 충분하지 않을 수 있습니다 . 이러한 법적 모호성은 폐기되고 취약한 양자 코인이 법적 제한을 무시하려는 악의적인 행위자의 손에 넘어갈 가능성을 높입니다.

비트코인만의 마지막 문제는 낮은 거래 처리량 입니다. 양자 컴퓨팅에 취약한 모든 자금이 양자 컴퓨팅 이후 보안 주소로 이전되는 마이그레이션 계획이 확정된다 하더라도, 현재 비트코인의 거래 속도로는 몇 달이 걸릴 것입니다.

이러한 과제들 때문에 비트코인이 차세대 양자 컴퓨팅으로의 전환을 지금부터 계획하는 것이 매우 중요합니다. 이는 암호화 양자 컴퓨터가 2030년 이전에 등장할 수 있어서 가 아니라 , 수십억 달러 상당의 코인을 이전하는 데 필요한 관리, 조정 및 기술적 물류 문제를 해결하는 데 수년이 걸릴 것이기 때문입니다.

비트코인에 대한 양자 위협은 실재하지만, 시간적 압박은 양자 컴퓨터의 임박한 위협 때문이 아니라 비트코인 ​​자체의 한계에서 비롯됩니다 . 다른 블록체인들도 양자 취약성으로 인한 자금 조달 문제에 직면하고 있지만, 비트코인은 독특한 취약점을 가지고 있습니다 . 초기 거래에서 공개키를 직접 온체인 저장하는 P2P(Peer-to-Peer) 방식의 결제를 사용했기 때문에, 비트코인의 상당 부분이 암호학적으로 관련된 양자 컴퓨터의 공격에 특히 취약합니다 . 이러한 기술적 차이점은 비트코인의 오랜 역사, 집중된 가치, 낮은 처리량, 그리고 경직된 거버넌스 와 결합되어 문제를 더욱 악화시킵니다.

위에서 설명한 취약점은 비트코인 ​​디지털 서명 의 암호화 보안에 적용되는 것이지, 비트코인 ​​블록체인의 경제적 보안 에는 적용되지 않는다는 점 에 유의하시기 바랍니다. 비트코인 ​​블록체인의 경제적 보안은 작업증명(PoW) 합의 메커니즘 에서 비롯되며, 이 메커니즘은 다음 세 가지 이유로 양자 컴퓨터 공격에 취약하지 않습니다.

• 작업증명(PoW)은 해싱에 의존하므로 그로버 탐색 알고리즘 의 양자 속도 향상(제곱 함수 형태) 에만 영향을 받고, 쇼어 알고리즘의 양자 속도 향상(지수 함수 형태) 에는 영향을 받지 않습니다.
• 그로버 탐색을 구현하는 데 드는 실질적인 오버헤드 때문에 양자 컴퓨터가 비트코인의 작업증명 메커니즘에서 조금이라도 속도 향상을 달성할 가능성은 극히 낮습니다 .
• 상당한 속도 향상이 있더라도, 이러한 속도 향상은 대규모 양자 채굴자에게 소규모 채굴자보다 유리한 위치를 제공하겠지만, 비트코인의 경제적 보안 모델을 근본적으로 훼손하지는 않을 것입니다 .

양자 후 서명의 비용 및 리스크

블록체인이 양자 후 보안 서명을 서둘러 도입해서는 안 되는 이유를 이해하려면 성능 비용 과 양자 후 보안이 여전히 발전 중이라는 점에 대한 우리의 확신을 이해해야 합니다.

대부분의 양자 후 암호화는 다음 다섯 가지 방법 중 하나를 기반으로 합니다.

1. 해시시
2. 부호화
3. 격자
4. 다변수 2차 시스템(MQ)
5. 동형 발생.

왜 다섯 가지 다른 접근 방식이 있을까요? 양자 컴퓨터가 특정 수학 문제를 효율적으로 해결할 수 없다는 가정에 기반하여 모든 양자 후 암호화 기본 요소의 보안이 확보됩니다. 문제가 더욱 "구조화"될수록, 그 문제를 바탕으로 더욱 효율적인 암호화 프로토콜을 구축할 수 있습니다.

하지만 이러한 방식에는 장점과 단점이 있습니다 . 추가적인 구조는 공격 알고리즘이 악용할 여지를 더 많이 만들어냅니다 . 이는 근본적인 모순을 야기합니다. 더 강력한 가정을 통해 더 나은 성능을 달성할 수 있지만, 잠재적인 보안 취약점(즉, 가정이 틀린 것으로 판명될 가능성 증가 )을 감수해야 하기 때문입니다.

일반적으로 해시 기반 방식은 양자 컴퓨터가 이러한 프로토콜을 효과적으로 공격할 수 없다는 확신이 가장 크기 때문에 보안 측면에서 가장 보수적인 방식입니다 . 그러나 성능 면에서는 가장 떨어 집니다. 예를 들어, NIST에서 표준화한 해시 기반 서명 방식은 최소 매개변수 설정에서도 7~8KB의 크기를 차지합니다 . 반면, 오늘날 사용되는 타원 곡선 기반 디지털 서명은 64바이트에 불과합니다 . 크기 면에서 약 100배의 차이가 납니다.

격자 암호화 방식은 오늘날 주요한 활용 분야 입니다. 미국 국립표준기술연구소(NIST)는 표준화를 위해 격자 기반 방식을 선택했으며, 세 가지 서명 알고리즘 중 두 가지도 격자 기반입니다. ML-DSA (이전 명칭: Dilithium)라는 격자 방식은 128비트 보안 수준에서 2.4KB, 256비트 보안 수준에서 4.6KB 크기의 서명을 생성하는데, 이는 현재 사용되는 타원 곡선 기반 서명보다 약 40~70배 더 큽니다 . 또 다른 격자 방식인 Falcon은 서명 크기가 약간 더 작지만 (Falcon-512는 666바이트, Falcon-1024는 1.3KB), 복잡한 부동 소수점 연산을 포함하고 있어 NIST 자체에서도 구현상의 어려움 으로 태그. Falcon 개발자 중 한 명인 토마스 포르닌은 이를 "내가 구현해 본 암호화 알고리즘 중 가장 복잡한 알고리즘"이라고 불렀습니다 .

격자 기반 디지털 서명을 구현하는 것은 타원 곡선 기반 서명 방식보다 더 어렵습니다 . ML-DSA는 더 민감한 중간 인증과 복잡한 거부 논리를 필요로 하며, 사이드 채널 및 오류 보호가 요구됩니다. Falcon은 여기에 상수 시간 부동 소수점 문제를 추가합니다 . 실제로 Falcon 구현에 대한 여러 사이드 채널 공격으로 비밀 키가 복구된 사례가 있습니다 .

이러한 문제들은 암호화 관련 양자 컴퓨터가 제기하는 먼 미래의 위협과는 달리, 즉각적인 리스크 초래합니다.

고성능 양자 후 암호화 기법을 사용할 때는 신중해야 할 충분한 이유가 있습니다. 과거에 Rainbow (MQ 기반 서명 방식)나 SIKE/SIDH (호몰로지 기반 암호화 방식)와 같은 유력한 후보들이 양자 컴퓨터가 아닌 현대 컴퓨터를 사용하여 해독된 사례가 있습니다.

이는 NIST 표준화 과정에서 매우 늦게 발생한 일입니다. 이는 건전한 과학 발전의 한 예이지만, 성급한 표준화 및 배포가 오히려 역효과를 초래할 수 있음 을 보여줍니다.

앞서 언급했듯이 인터넷 인프라는 서명 마이그레이션에 신중한 접근 방식을 취하고 있습니다. 이는 인터넷의 암호화 전환이 시작되는 데 걸리는 시간을 고려할 때 특히 주목할 만합니다. 네트워크 관리자들이 사실상 몇 년 전에 사용을 중단했던 MD5 및 SHA-1 해시 함수에서 벗어나 새로운 방식으로 전환하는 데는 수년이 걸렸으며, 일부 경우에는 아직도 진행 중입니다. 이는 해당 방식들이 단순히 잠재적인 취약점이 아니라, 미래의 기술에 완전히 취약 하기 때문입니다.

블록체인과 인터넷 인프라의 고유한 과제

다행히 이더리움 이나 솔라나 처럼 오픈 소스 개발자 커뮤니티에서 활발하게 유지 관리되는 블록체인은 기존 네트워크 인프라보다 훨씬 빠르게 업그레이드될 수 있습니다. 반면, 기존 네트워크 인프라는 잦은 키 순환 덕분에 공격 표면이 초기 양자 컴퓨팅 공격 대상보다 훨씬 빠르게 변화합니다 . 블록체인은 코인과 관련된 키가 무기한 노출될 수 있기 때문에 이러한 이점을 누리지 못합니다.

하지만 일반적으로 블록체인은 네트워크의 신중하게 설계된 서명 마이그레이션 방식을 계속 준수 해야 합니다. 어떤 서명 설정 방식도 HNDL 공격에 네트워크를 노출시키지 않으며, 키 영속성 여부와 관계없이 미성숙한 양자 컴퓨팅 보안 체계로 성급하게 마이그레이션할 경우 발생하는 비용과 리스크 여전히 ​​상당합니다 .

블록체인에는 몇 가지 특수한 문제점이 있어 성급한 마이그레이션을 특히 위험하고 복잡하게 만듭니다. 예를 들어, 블록체인은 서명 체계, 특히 많은 서명을 신속하게 집계하는 능력에 대해 고유한 요구 사항을 가지고 있습니다. 현재 BLS 서명은 매우 빠른 집계가 가능하다는 장점 때문에 널리 사용되고 있지만, 양자 컴퓨팅 보안에는 취약합니다 . 연구자들은 SNARK 기반의 양자 컴퓨팅 보안 서명 집계 기술을 연구 하고 있습니다. 이 연구는 유망하지만 아직 초기 단계에 있습니다 .

SNARK 알고리즘 의 경우, 현재 커뮤니티는 양자 컴퓨팅 환경에서 가장 유력한 대안으로 해시 기반 구조 에 집중하고 있습니다. 하지만 큰 변화가 예상됩니다 . 향후 몇 달, 몇 년 안에 격자 기반 구조가 매력적인 대안으로 떠오를 것이라고 생각합니다. 이러한 격자 기반 구조는 해시 기반 SNARK 알고리즘보다 여러 면에서 더 나은 성능을 제공 할 것입니다. 예를 들어, 격자 기반 서명이 해시 기반 서명보다 짧은 것처럼, 증명 시간 도 단축될 것입니다.

지금 더 큰 문제는 안보를 확보하는 것입니다.

향후 몇 년 동안 취약점 악용은 암호학 관련 양자 컴퓨터보다 더 큰 보안 리스크 초래할 것입니다. {SNARKs}의 경우 주요 관심사는 프로그램 오류(버그) 입니다.

프로그램 오류는 이미 디지털 서명 및 암호화 체계에 어려움을 야기하고 있으며, {SNARK}는 훨씬 더 복잡합니다 . 실제로 디지털 서명 체계는 "나는 내 공개 키에 해당하는 개인 키를 알고 있으며, 이 메시지를 승인합니다."라고 명시하는 매우 간단한 {zkSNARK} 로 볼 수 있습니다.

양자 후 서명의 경우, 즉각적인 리스크 사이드 채널 공격 및 오류 주입 공격 과 같은 구현 공격이 포함됩니다. 이러한 유형의 공격은 잘 알려져 있으며 배포된 시스템에서 비밀 키를 클레임 할 수 있습니다. 이는 먼 미래의 양자 컴퓨터보다 훨씬 더 시급한 위협 입니다.

커뮤니티는 SNARK의 절차적 버그를 식별하고 수정하며, 사이드 채널 공격 및 오류 주입 공격에 대한 저항력을 강화하기 위해 양자 후 서명 구현을 개선하는 데 수년간 노력할 것입니다. 양자 후 SNARK 및 서명 집계 방식에 대한 논의가 아직 마무리되지 않은 상태 이므로, 너무 일찍 전환하는 블록체인은 최적화되지 않은 솔루션에 갇힐 리스크 있습니다 . 더 나은 옵션이 등장하거나 구현상의 취약점이 발견되면 다시 마이그레이션 해야 할 수도 있습니다.

우리는 어떻게 해야 할까요? 7가지 제안

위에서 설명한 현실들을 바탕으로, 건설업체부터 정책 입안자에 이르기까지 다양한 이해관계자들에게 조언을 드리면서 마무리하겠습니다. 핵심 원칙은 다음과 같습니다 . 양자 위협을 심각하게 받아들이되, 암호학적으로 중요한 양자 컴퓨터가 2030년 이전에 등장할 것이라는 가정에 따라 행동해서는 안 됩니다 . 현재까지의 개발 상황으로 볼 때 이러한 가정은 입증되지 않았습니다. 그럼에도 불구하고, 우리가 지금 할 수 있고 해야 할 일들이 있습니다.

하이브리드 암호화를 즉시 도입 해야 합니다.

적어도 장기적인 기밀 유지가 중요하고 비용이 감당할 수 있는 수준이라면 그렇습니다.

많은 브라우저, CDN 및 메시징 애플리케이션(예: iMessage 및 Signal)은 하이브리드 방식을 채택했습니다. 이러한 하이브리드 방식 (양자 후 보안 + 기존 보안 )은 HNDL 공격으로부터 보호하는 동시에 양자 후 보안 솔루션의 잠재적 취약점을 완화할 수 있습니다.

크기가 허용 가능한 수준이 되면 즉시 해시 기반 서명을 사용하십시오.

소프트웨어/펌웨어 업데이트와 같이 빈도가 낮고 크기에 민감하지 않은 시나리오에서는 즉시 하이브리드 해시 기반 서명을 도입해야 합니다. (하이브리드 방식은 해시 기반 서명의 보안 가정이 의심스러워서가 아니라, 새로운 방식의 구현 결함에 대비하기 위한 것입니다.)

이는 보수적인 접근 방식이며, 암호화용 양자 컴퓨터가 예상보다 빨리 등장할 가능성 이 희박한 경우에도 사회에 확실한 "구명정"을 제공합니다. 양자 후 서명 소프트웨어 업데이트를 사전에 배포하지 않으면 CRQC가 등장한 후 부트스트래핑 문제 에 직면하게 될 것입니다. 즉, 이에 대응하는 데 필요한 양자 후 암호화 수정 사항을 안전하게 배포할 수 없게 될 것입니다.

블록체인은 양자역학 서명 기술을 서둘러 도입할 필요는 없지만 , 계획은 즉시 시작해야 합니다 .

블록체인 개발자들은 PKI 커뮤니티의 리더십을 따라 양자 컴퓨팅 이후의 서명 배포에 신중한 접근 방식을 취해야 합니다. 이를 통해 양자 컴퓨팅 이후 서명 체계는 성능 및 보안 측면에서 지속적으로 발전할 수 있습니다. 또한, 이러한 접근 방식은 개발자들이 더 큰 서명을 처리할 수 있도록 시스템을 재설계 하고 더 나은 집계 기술을 개발할 시간을 확보해 줍니다.

• 비트코인 및 기타 L1 암호화폐의 경우, 커뮤니티는 버려진 양자 컴퓨팅 공격에 취약한 자금에 대한 마이그레이션 경로 와 정책을 명확히 정의해야 합니다. 수동적인 마이그레이션은 실현 불가능 하므로 사전 계획이 매우 중요합니다. 특히 비트코인은 느린 거버넌스 체계 와 대량고가 자산, 그리고 잠재적으로 버려진 양자 컴퓨팅 공격에 취약한 주소 등 비기술적인 문제점을 안고 있기 때문에, 비트코인 ​​커뮤니티가 지금 바로 계획을 시작하는 것이 더욱 중요합니다.
• 동시에, 양자 후 보안 위협(SNARK) 및 집계 가능한 서명에 대한 연구가 성숙될 때까지 기다려야 합니다(이는 몇 년 더 걸릴 수 있습니다). 다시 말하지만, 시기상조의 마이그레이션은 최적화되지 않은 솔루션에 갇히거나 구현 오류를 해결하기 위해 두 번째 마이그레이션이 필요할 리스크 수반합니다.
• 이더 계정 모델에 대한 참고 사항: 이더 컴퓨팅 이후 마이그레이션에 서로 다른 영향을 미치는 두 가지 계정 유형을 지원합니다. 하나는 {secp}256{k}1 개인 키로 제어되는 기존 계정 유형 인 외부 소유 계정(EOA) 이고, 다른 하나는 프로그래밍 가능한 권한 부여 로직을 갖춘 스마트 계약 지갑입니다 .
  • 비상 상황이 아닌 경우 , 이더 양자 후 서명 지원을 추가하면 업그레이드 가능한 스마트 계약 지갑은 계약 업그레이드를 통해 양자 후 검증으로 전환할 수 있습니다. 반면 EOA( Enhanced Ownership Agent)는 자금을 새로운 양자 후 보안 주소로 이전해야 할 수 있습니다(이더 EOA를 위한 전용 마이그레이션 메커니즘도 제공할 가능성이 높습니다).
  • 양자 컴퓨팅 비상 사태 발생 시, 이더 연구진은 취약한 계정을 동결하고 사용자가 양자 컴퓨팅 환경에서도 안전한 SNARK를 사용하여 니모닉 단어 에 대한 지식을 증명 함으로써 자금을 복구할 수 있도록 하는 하드 포크 계획을 제안했습니다. 이 복구 메커니즘은 EOA 및 아직 업그레이드되지 않은 모든 스마트 계약 지갑에서 작동합니다.
  • 사용자에게 미치는 실질적인 영향: 철저한 감사 업그레이드가 가능한 스마트 계약 지갑은 마이그레이션 과정을 다소 원활하게 만들어 줄 수 있지만, 그 차이는 미미하며 지갑 제공업체에 대한 신뢰도 및 업그레이드 관리 측면에서 감수해야 할 부분이 있습니다. 더욱 중요한 것은 이더리움 커뮤니티가 양자 컴퓨팅 이후의 기술 개발과 비상 대응 계획 수립에 지속적으로 매진하고 있다는 점입니다.
• 블록 체인 개발자를 위한 더 넓은 설계 교훈: 오늘날 많은 블록체인은 계정 신원을 특정 암호화 기본 요소 에 긴밀하게 연결합니다. 비트코인과 이더 은 secp256k1 기반의 ECDSA 서명을, 다른 블록체인은 EdDSA를 사용합니다. 양자 컴퓨팅 이후 마이그레이션의 어려움은 계정 신원을 특정 서명 체계에서 분리하는 것의 중요성을 강조합니다. 이더 리움이 스마트 계정을 향해 나아가고 온체인유사한 계정 추상화 기능을 도입하는 것은 이러한 추세를 반영합니다. 즉, 계정이 온체인 기록과 상태를 유지하면서 인증 로직을 업그레이드할 수 있도록 하는 것입니다 . 이러한 분리가 양자 컴퓨팅 이후 마이그레이션을 간단하게 만드는 것은 아니지만, 계정을 단일 서명 체계에 고정하는 것보다 훨씬 더 유연하게 만들어 줍니다. (이는 또한 스폰서 트랜잭션, 소셜 복구, 다중 서명과 같은 관련 없는 기능 도 가능하게 합니다.)

거래 내역을 암호화하거나 숨기는 프라이버시 체인 의 경우, 성능이 허용 가능한 수준 이라면 조기 전환을 우선시해야 합니다 .

현재 온체인사용자의 기밀성은 HNDL 공격에 노출되어 있으며, 그 심각성은 설계 방식에 따라 다릅니다. 공개 원장만을 통해 완전한 추적성과 익명성 해제를 달성할 수 있는 블록체인이 가장 시급한 리스크 직면해 있습니다.

양자 후 보안 방식이 고전적인 방식에서도 안전하지 않다는 것이 입증되는 것을 방지하기 위해 (양자 후 보안 + 고전 보안) 하이브리드 방식을 고려하거나, 해독 가능한 비밀 키를 온체인 에 배치하지 않도록 아키텍처를 변경하는 것을 고려해 보세요.

단기적으로는 양자 위협을 완화하는 것보다 보안을 확보하는 것이 우선입니다 .

특히 SNARK와 같은 복잡한 암호화 기본 요소 및 양자 후 서명의 경우, 프로그램 오류 및 구현 공격 (사이드 채널 공격, 오류 주입)은 향후 몇 년 동안 암호학적으로 중요한 양자 컴퓨터보다 훨씬 더 큰 보안 리스크 초래할 것입니다.

지금 바로 감사, 퍼징, 형식 검증 , 그리고 심층 방어/계층형 보안 접근 방식 에 투자하십시오. 양자 컴퓨팅에 대한 우려가 절차적 오류라는 더 시급한 위협을 가리지 않도록 하십시오 !

양자 컴퓨팅 개발에 자금을 지원하십시오.

위에서 언급한 모든 사항들이 국가 안보에 미치는 중요한 함의 중 하나는 양자 컴퓨팅 분야에 대한 자금 지원과 인재 개발을 지속 해야 한다는 것입니다.

주요 적대국이 미국보다 먼저 암호화 관련 양자 컴퓨팅 능력을 확보했다는 사실은 우리와 전 세계에 심각한 국가 안보 리스크 초래합니다.

양자 컴퓨팅 관련 발표 소식을 받아보세요 .

양자 하드웨어가 성숙해짐에 따라 향후 몇 년 동안 수많은 중요한 이정표가 세워질 것입니다. 역설적이게도 이러한 발표의 빈도 자체가 암호학적으로 중요한 양자 컴퓨터가 등장하기까지 얼마나 멀었는지를 보여줍니다. 각 이정표는 그 지점에 도달하기 전에 넘어야 할 수많은 다리 중 하나이며, 각 이정표는 그 자체로 헤드라인을 장식하고 큰 기대감을 불러일으킬 것입니다.

보도자료는 갑작스러운 조치를 촉발하는 신호가 아니라, 비판적인 평가가 필요한 진행 상황 보고서 로 간주해야 합니다.

물론, 예상치 못한 발전이나 혁신 으로 인해 예상 일정보다 앞당겨질 수도 있고, 반대로 심각한 규모 확장 병목 현상 으로 인해 일정이 연장될 수도 있습니다.

저는 암호화 기능을 갖춘 양자 컴퓨터가 5년 안에 등장할 가능성이 전혀 없다고 주장하는 것은 아니지만, 극히 희박하다고 생각합니다. 위의 권장 사항들은 이러한 불확실성에도 불구하고 타당하며 , 이를 준수하면 구현 오류, 성급한 배포, 그리고 결함 있는 암호화 전환으로 인한 일반적인 문제점 과 같은 시급하고 발생 가능성이 높은 리스크 피할 수 있습니다.

저스틴 탈러 는 a16z의 연구 파트너이자 조지타운 대학교 컴퓨터 과학과 부교수입니다. 그의 연구 분야는 검증 가능한 계산, 복잡성 이론 및 대규모 데이터셋을 위한 알고리즘입니다.

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.