비트코인을 해킹할 수 있는 양자 컴퓨터의 등장은 언제쯤 가능할까요?
양자 컴퓨터가 기존 암호화를 해독할 수 있는 시기는 언제일까요? 이 질문에 대한 답변 시기가 지나치게 강조되면서 "양자 이후 암호화로의 시급하고 포괄적인 전환"을 요구하는 목소리가 높아지고 있습니다.
하지만 이러한 요구는 종종 시기상조의 마이그레이션에 따른 비용과 리스크 간과하고, 서로 다른 암호화 도구가 직면한 위협이 근본적으로 다르다는 점을 인식하지 못합니다.
- 양자 후 암호화는 비용과 관계없이 즉시 도입해야 합니다. 이미 "HNDL"(숨겨진 복호화 공격) 공격이 존재하기 때문입니다. 오늘날 암호화된 민감한 데이터는 양자 컴퓨터가 상용화되기 수십 년 후에도 여전히 매우 중요한 가치를 지닐 것입니다. 양자 후 암호화는 성능 저하와 구현 리스크 수반하지만, 장기적인 기밀 유지가 필요한 데이터를 위한 유일한 선택지입니다.
- 양자역학 기반 디지털 서명은 또 다른 문제입니다. 앞서 언급한 "저장 공간 탈취 및 복호화" 공격에 덜 취약하지만, 내재된 비용과 리스크(크기 증가, 성능 부담, 미성숙한 솔루션, 잠재적 취약점) 때문에 즉각적인 조치보다는 신중한 계획이 필요합니다.
이러한 구분은 매우 중요합니다. 오해는 비용 편익 분석을 왜곡하여 팀이 코드 취약점과 같은 더 시급한 보안 리스크 간과하게 만들 수 있습니다.
양자 컴퓨팅 이후 암호화로의 성공적인 전환에 있어 진정한 과제는 실제 위협 수준에 맞춰 대응의 시급성을 조정하는 데 있습니다. 다음 섹션에서는 암호화, 서명, 영지식 증명 등 암호화 기술에 대한 양자 컴퓨팅의 위협에 대한 일반적인 오해를 바로잡고, 특히 블록체인에 미치는 영향에 초점을 맞춥니다.
타임라인: 암호를 해독할 수 있는 양자 컴퓨터가 등장하기까지 얼마나 남았을까요?
끊임없는 과장된 홍보에도 불구하고, 2020년대에 "암호화 관련 양자 컴퓨터"가 등장할 가능성은 극히 낮습니다.
"암호학 관련 양자 컴퓨터"라는 용어는 내결함성과 오류 수정 기능을 갖춘 양자 컴퓨터를 의미합니다. 이러한 양자 컴퓨터는 쇼어 알고리즘을 실행할 수 있으며, 합리적인 시간(예: 최대 한 달 동안 연속 작동) 내에 타원 곡선 암호화(예: secp256k1) 또는 RSA(예: RSA-2048)를 해독할 수 있을 만큼 충분히 큰 규모입니다.
공개적으로 이용 가능한 기술 발전 단계와 자원 평가에 따르면, 그러한 컴퓨터는 아직 먼 미래의 일입니다. 일부 기업들은 2030년 또는 2035년까지 실현 가능하다고 주장하지만, 현재까지 알려진 기술 발전 속도는 이러한 주장을 뒷받침하지 못합니다.
현재 이온 트랩, 초전도 큐비트, 중성 원자 시스템 등 어떤 양자 컴퓨팅 플랫폼도 RSA-2048이나 secp256k1을 해독하는 데 필요한 수십만 또는 수백만 개의 물리적 큐비트에 근접할 수 없습니다(정확한 숫자는 오류율과 오류 수정 방식에 따라 달라집니다).
양자 컴퓨팅의 병목 현상은 큐비트 수뿐만 아니라 게이트 충실도, 큐비트 간 연결성, 그리고 심층 양자 알고리즘 실행에 필요한 연속 오류 수정 회로의 깊이에도 있습니다. 현재 일부 시스템은 1000개 이상의 물리적 큐비트를 보유하고 있지만, 이 숫자만으로는 충분하지 않습니다. 암호화 연산에 필요한 연결성과 충실도가 부족하기 때문입니다.
최근 시스템들이 양자 오류 정정에 필요한 물리적 오류율 임계값에 점차 근접하고 있지만, 아직까지는 몇 개의 논리 큐비트조차 안정적으로 처리할 수 없는 상황이며, 쇼어 알고리즘 실행에 필요한 수천 개의 고충실도, 심층 회로, 내결함성 논리 큐비트를 처리하는 것은 더욱 요원한 일입니다. 원리 증명과 암호 해독에 필요한 규모 사이의 격차는 여전히 엄청납니다.
요약하자면, 암호학 관련 양자 컴퓨터는 큐비트 수와 정확도가 몇 배나 향상될 때까지는 아직 먼 미래의 일입니다.
하지만 기업 보도자료와 언론 보도는 종종 혼란을 야기합니다. 혼란을 야기하는 주요 요인은 다음과 같습니다.
- "양자 우위" 시연: 지금까지 시연된 대부분의 작업은 정교하게 설계되었지만, 기존 하드웨어에서 실행 가능하고 "빠르게 보이는" 이유만으로 실제 유용성은 떨어집니다. 이러한 점은 홍보 과정에서 종종 축소됩니다.
- "수천 개의 물리적 큐비트"라는 주장은 일반적으로 양자 어닐링 장치를 가리키는 것이지, 공개 키 암호화를 공격하는 데 필요한 쇼어 알고리즘을 실행할 수 있는 게이트 기반 양자 컴퓨터를 의미하는 것은 아닙니다.
- "논리 큐비트"의 오용: 물리적 큐비트는 노이즈가 많기 때문에 실제 알고리즘에는 오류 정정을 통해 여러 물리적 큐비트로 구성된 "논리 큐비트"가 필요합니다. 쇼어의 알고리즘은 수천 개의 논리 큐비트를 필요로 하며, 각 논리 큐비트는 일반적으로 수백에서 수천 개의 물리적 큐비트를 필요로 합니다. 그러나 일부 기업은 자사의 성능을 과장하고 있습니다. 예를 들어, 최근에는 "거리-2" 오류 정정 코드(오류를 감지만 할 수 있고 정정은 할 수 없음)를 사용하여 논리 큐비트당 단 2개의 물리적 큐비트로 48개의 논리 큐비트를 구현했다고 주장하는 사례가 있는데, 이는 사실상 무의미합니다.
- 오해의 소지가 있는 로드맵: 많은 로드맵에서 설명하는 "논리 큐비트"는 "클리포드 연산"만 지원하는 경우가 많습니다. 클리포드 연산은 기존 컴퓨터로 효율적으로 시뮬레이션할 수 있지만, 대량"비클리포드 게이트"(예: T 게이트)를 필요로 하는 쇼어 알고리즘을 실행하기에는 불충분합니다. 따라서 로드맵에서 "X년 안에 수천 개의 논리 큐비트를 구현하겠다"고 주장하더라도, 그 시점까지 기존 암호를 해독할 수 있을 것이라는 의미는 아닙니다.
이러한 관행들은 양자 컴퓨팅의 발전에 대한 대중(노련한 관찰자들을 포함하여)의 인식을 심각하게 왜곡시켰습니다.
물론, 이러한 발전은 정말 흥미진진합니다. 예를 들어, 스콧 아론슨은 최근 "놀라울 정도로 빠른 하드웨어 발전 속도"를 고려할 때 "다음 미국 대선 전에 쇼어 알고리즘을 실행할 수 있는 내결함성 양자 컴퓨터가 등장할 가능성이 매우 높다"고 주장했습니다. 그러나 그는 나중에 이것이 암호학 관련 양자 컴퓨터를 의미하는 것은 아니라고 해명했습니다. 단순히 15 = 3 × 5 (종이와 펜으로 계산하는 것보다 빠름)를 내결함성으로 소인수분해하는 것만으로도 그의 주장이 실현된 것으로 볼 수 있다는 것입니다. 이는 아직 소규모 시연 단계이며, 이러한 실험은 항상 15를 대상으로 합니다. 15를 법으로 하는 연산이 간단하기 때문입니다. 21과 같이 조금 더 큰 수는 훨씬 더 어렵습니다.
주요 결과: 실용적인 암호화에 필수적인 RSA-2048 또는 secp256k1을 해독할 수 있는 암호화 관련 양자 컴퓨터가 향후 5년 내에 개발될 가능성은, 그 진전을 뒷받침하는 공개적인 근거가 부족합니다. 10년이라는 시간조차도 여전히 야심찬 목표입니다.
그러므로 이러한 진전에 대한 기대감은 완공까지 10년 이상 걸릴 것이라는 예상과 모순되지 않습니다.
그렇다면 미국 정부가 정부 시스템의 완전한 양자 컴퓨팅 전환 시한을 2035년으로 정한 것은 어떻게 생각하십니까? 저는 이것이 대규모 변혁을 완료하기 위한 합리적인 시점이라고 생각하지만, 그렇다고 해서 암호학 관련 양자 컴퓨터가 그때까지 반드시 등장할 것이라고 예측하는 것은 아닙니다.
"지금 훔치고 나중에 해독하기" 공격: 누구에게 적용 가능하고 누구에게 적용되지 않는가?
"지금 훔치고 나중에 해독하라"는 공격은 공격자가 암호화된 트래픽을 현재 저장해 두었다가 암호화 기능을 갖춘 양자 컴퓨터가 개발되면 해독하려는 의도를 말합니다. 국가 차원의 적대 세력은 이미 미국 정부의 암호화된 통신 내용을 대량 보관하고 있을 가능성이 있으며, 이는 향후 해독을 위한 것일 수 있습니다.
따라서, 최소한 10년에서 50년 이상 기밀 유지가 필요한 데이터의 경우, 암호화 기술을 즉시 업그레이드해야 합니다.
하지만 디지털 서명(모든 블록체인의 핵심)은 암호화와 다릅니다. 디지털 서명은 기밀성 추적을 요구하지 않습니다. 미래에 양자 컴퓨터가 등장하더라도 서명은 그 시점 이후에만 위조될 수 있으며, 과거의 서명을 "복호화"할 수는 없습니다. 양자 컴퓨터가 등장하기 전에 생성된 서명임을 증명할 수 있다면 위조는 불가능합니다.
따라서 역방향 양자 디지털 서명으로의 전환은 암호화로의 전환보다 훨씬 덜 시급합니다.
이것이 바로 주류 플랫폼들이 하고 있는 일입니다.
- Chrome과 Cloudflare는 네트워크 TLS 암호화를 위해 X25519와 ML-KEM을 결합한 하이브리드 솔루션을 배포했습니다. "하이브리드"란 양자 후 보안 솔루션(ML-KEM)과 기존 솔루션(X25519)을 모두 사용하여 두 가지 보안 방식을 모두 제공하는 것을 의미합니다. 이를 통해 HNDL 공격으로부터 보호하는 동시에 양자 후 보안 솔루션이 실패할 경우에도 기존 보안 방식을 유지할 수 있습니다.
- 애플의 iMessage(PQ3 프로토콜)와 Signal(PQXDH 및 SPQR 프로토콜) 또한 유사한 하이브리드 양자 후 암호화를 사용합니다.
반면, 핵심 네트워크 인프라에 양자 후 디지털 서명을 도입하는 것은 암호학 관련 양자 컴퓨터가 실제로 상용화될 때까지 지연되고 있습니다. 이는 현재의 양자 후 서명 방식이 성능 저하를 초래하기 때문입니다(자세한 내용은 아래 참조).
영지식 증명(zkSNARK)은 서명과 유사한 상황에 있습니다. 양자 컴퓨팅 환경에서 안전하지 않은 zkSNARK(타원 곡선 암호화를 사용하는 증명)조차도 "영지식" 속성 덕분에 양자 컴퓨팅 환경에서 안전합니다. 이 속성은 증명이 비밀에 대한 어떠한 정보도 드러내지 않도록 보장합니다(양자 컴퓨터조차도 이를 감지할 수 없습니다). 따라서 미래에 복호화를 위해 비밀을 "도용"할 수 없습니다. 그러므로 zkSNARK는 HNDL 공격에도 쉽게 취약하지 않습니다. 양자 컴퓨터가 등장하기 전에 생성된 모든 zkSNARK 증명은 (타원 곡선 암호화를 사용하더라도) 신뢰할 수 있으며, 양자 컴퓨터가 등장한 후에야 공격자가 거짓 증명을 위조할 수 있습니다.
이것이 블록체인에 어떤 의미를 갖는가?
대부분의 블록체인은 HNDL 공격에 쉽게 취약하지 않습니다.
비트코인이나 이더 과 같은 현재의 개인정보 보호 기능이 없는 블록체인처럼, 이들 블록체인의 양자 컴퓨팅 기반 암호화 기술은 주로 암호화가 아닌 거래 승인(즉, 디지털 서명)에 사용됩니다. 이러한 서명은 HNDL(High-Non-Double Data Litigation) 리스크 초래하지 않습니다. 비트코인 블록체인을 예로 들면, 이는 공개되어 있으므로 양자 컴퓨팅 위협은 공개적으로 이용 가능한 거래 데이터를 해독하는 것이 아니라 서명 위조(자금 탈취)에 있습니다. 따라서 HNDL로 인한 즉각적인 암호화 기술의 필요성은 사라집니다.
유감스럽게도 연방준비제도와 같은 권위 있는 기관의 분석조차도 비트코인이 HNDL 공격에 취약하다고 잘못 주장하며 전환의 시급성을 과장했습니다.
물론, 긴급성이 줄어들었다고 해서 비트코인이 안심할 수 있는 것은 아닙니다. 프로토콜 변경에 필요한 막대한 사회적 협력으로 인해 다양한 시간적 압박에 직면하고 있습니다(자세한 내용은 아래 참조).
현재로서는 프라이버시 체인이 예외입니다. 많은 프라이버시 체인은 수신자와 자금 규모를 암호화하거나 숨깁니다. 이러한 기밀 정보는 현재 도난당할 수 있으며, 미래에 양자 컴퓨터가 타원 곡선 암호화를 해독하면 소급적으로 복호화될 수 있습니다. 공격의 심각성은 설계 방식에 따라 다릅니다(예를 들어, 모네로의 링 서명 및 키 매핑은 거래 그래프 전체를 재구성할 수 있습니다). 따라서 사용자가 자신의 거래가 미래의 양자 컴퓨터에 노출될 것을 우려한다면, 프라이버시 체인은 가능한 한 빨리 양자 컴퓨팅 기반의 암호화 기술(또는 하이브리드 방식)로 전환하거나, 해독 가능한 비밀 정보를 체인에 기록하지 않는 아키텍처를 채택해야 합니다.
비트코인의 고유한 과제: 거버넌스 교착 상태와 "휴면 코인"
비트코인의 경우, 양자 이후 서명에 대한 계획을 서둘러 시작해야 하는 두 가지 현실적인 요인이 있는데, 이 두 가지 요인 모두 양자 기술 자체와는 아무런 관련이 없습니다.
- 느린 거버넌스: 비트코인의 전환 과정은 더디게 진행되며, 사소한 논란이라도 파괴적인 하드 포크를 촉발할 수 있습니다.
- 수동적인 이동이 불가능합니다. 코인 보유자는 자산을 직접 이동시켜야 합니다. 이는 양자 공격에 취약한 버려진 코인이 보호받지 못하게 된다는 것을 의미합니다. 현재 가치로 수천억 달러에 달하는 이러한 "휴면" 상태의 양자 공격 취약 BTC가 수백만 개에 이를 것으로 추정됩니다.
하지만 양자 컴퓨팅 위협은 비트코인에 있어 하룻밤 사이에 닥치는 종말이 아니라, 선택적이고 점진적인 공격 과정입니다. 초기 양자 공격은 매우 비용이 많이 들고 시간이 오래 걸릴 것이며, 공격자들은 고가치 지갑을 선택적으로 공격할 것입니다.
또한, 주소 재사용을 피하고 탭루트 주소(공개 키를 온체인 직접 노출하는 주소)를 사용하지 않는 사용자는 프로토콜 업그레이드 없이도 본질적으로 안전합니다. 공개 키는 거래가 실행될 때까지 해시 값 뒤에 숨겨져 있기 때문입니다. 공개 키는 지출 거래가 브로드캐스트될 때만 노출되며, 이때 짧고 즉각적인 경쟁이 시작됩니다. 정직한 사용자는 가능한 한 빨리 거래를 확인하려고 시도하는 반면, 양자 컴퓨팅 공격자는 그 전에 개인 키를 계산하고 자금을 탈취하려고 시도합니다.
따라서 진정으로 취약한 코인은 공개 키가 노출된 코인, 즉 초기 P2PK 출력물, 재사용된 주소, 그리고 탭루트 방식으로 보유된 자산입니다.
버려지고 취약한 암호화폐에 대한 해결책은 상당히 까다롭습니다. 커뮤니티"마감일"을 정하여 그 기한이 지나면 이전되지 않은 코인을 모두 폐기하는 방안이 있고, 아니면 미래에 양자 컴퓨터를 소유하게 될 사람들이 해당 코인들을 가져가도록 내버려 두는 방안이 있습니다. 후자는 심각한 법적 및 보안 문제를 야기할 것입니다.
비트코인만의 마지막 과제는 낮은 거래 처리량입니다. 마이그레이션 계획이 확정된다 하더라도, 현재 속도로 모든 불안정한 자금을 이전하는 데는 몇 달이 걸릴 것입니다.
이러한 과제들은 비트코인이 양자 컴퓨터 이후의 전환을 지금부터 계획해야 한다는 것을 의미합니다. 양자 컴퓨터가 2030년 이전에 상용화될 수 있어서가 아니라, 수천억 달러에 달하는 자산을 이전하는 데 필요한 관리, 조정 및 기술적 물류 자체에 수년이 걸릴 것이기 때문입니다.
비트코인이 직면한 양자 위협은 실재하지만, 시간적 압박은 양자 컴퓨터의 임박한 위협보다는 비트코인 자체의 한계에서 비롯되는 경우가 많습니다.
참고: 위에서 언급한 서명 취약점은 비트코인의 경제적 보안(즉, 작업증명(PoW) 합의 알고리즘)에 영향을 미치지 않습니다. PoW는 해시 연산에 의존하며, 그로버 탐색 알고리즘으로 인한 2차적인 속도 향상에만 영향을 받습니다. 하지만 이 알고리즘은 실제 오버헤드가 매우 커서 상당한 속도 향상을 가져오기는 어려울 것으로 예상됩니다. 설령 속도 향상이 있더라도, 이는 비트코인의 경제적 보안 모델을 훼손하기보다는 대규모 채굴자들에게만 이점을 줄 뿐입니다.
양자 후 서명의 비용 및 리스크
블록체인이 양자역학 서명 기술을 서둘러 도입하지 않을 이유가 무엇일까요? 우리는 이러한 기술의 성능 비용을 이해하고, 이러한 새로운 솔루션이 여전히 발전 단계에 있다는 확신을 가져야 합니다.
양자 후 암호화는 주로 해시, 인코딩, 격자, 이차 방정식 시스템, 타원 곡선 호몰로지라는 다섯 가지 유형의 수학적 문제에 기반합니다. 이러한 다양성은 암호화 방식의 효율성이 해당 방식의 "구조"와 밀접한 관련이 있다는 사실에서 비롯됩니다. 문제가 구조화될수록 효율성은 높아지지만, 공격 알고리즘에 취약해질 가능성도 커지므로 근본적인 상충 관계가 존재합니다.
- 해시 방식은 가장 보수적인 방식(보안 신뢰도가 가장 높음)이지만 성능은 가장 떨어집니다. 예를 들어, NIST에서 표준화한 가장 작은 해시 서명은 7~8KB인 반면, 현재 사용되는 타원 곡선 서명은 64바이트에 불과하여 약 100배의 차이가 납니다.
- 현재 격자 구조 기반 암호화 방식이 배포의 중심이 되고 있습니다. NIST에서 선정한 유일한 양자 후 암호화 방식(ML-KEM)과 세 가지 서명 방식 중 두 가지(ML-DSA, Falcon)가 격자 구조 기반입니다.
- ML-DSA 서명 크기는 약 2.4~4.6KB로, 현재 서명 크기보다 40~70배 더 큽니다.
- Falcon 서명은 크기가 작지만(0.7~1.3KB), 상수 시간 부동 소수점 연산을 포함하는 매우 복잡한 구현 방식을 가지고 있으며, 사이드 채널 공격에 성공한 사례도 있습니다. Falcon의 창립자 중 한 명은 이를 "내가 구현해 본 암호화 알고리즘 중 가장 복잡한 알고리즘"이라고 불렀습니다.
- 구현 과정에서 더 큰 보안 문제가 발생합니다. 격자 기반 서명은 타원 곡선 서명보다 중간 값이 더 민감하고 거부 샘플링 로직이 복잡하여 더 강력한 사이드 채널 및 오류 주입 방지 기능이 필요합니다.
이러한 문제들이 제기하는 직접적인 리스크 먼 미래의 양자 컴퓨터가 제기하는 위험보다 훨씬 더 현실적입니다.
역사적 교훈은 우리에게 신중을 기해야 함을 일깨워줍니다. NIST 표준화 과정에서 유력한 후보였던 Rainbow(MQ 기반 서명)와 SIKE/SIDH(동일 출처 암호화)는 모두 기존 컴퓨터에 의해 해독되었습니다. 이는 성급한 표준화 및 배포의 리스크 보여줍니다.
인터넷 인프라는 서명 마이그레이션에 대해 신중한 접근 방식을 취해 왔는데, 이는 암호화 방식의 전환이 본질적으로 시간이 많이 소요된다는 점을 고려할 때 특히 주목할 만합니다(예를 들어 MD5/SHA-1에서 다른 방식으로의 마이그레이션은 수년이 걸렸고 아직 완전히 완료되지 않았습니다).
블록체인과 인터넷 인프라의 고유한 과제
오픈소스 커뮤니티 에서 유지 관리하는 블록체인(이더, 솔라나 등)의 장점은 기존 네트워크 인프라보다 업그레이드 속도가 빠르다는 것입니다. 단점은 기존 네트워크는 잦은 키 교환을 통해 공격 표면을 줄일 수 있는 반면, 블록체인의 코인과 관련 키는 장기간 노출될 수 있다는 점입니다.
하지만 전반적으로 블록체인은 네트워크의 신중한 서명 마이그레이션 전략을 따라야 합니다. 서명 측면에서 블록체인과 네트워크 모두 HNDL 공격에 완전히 안전한 것은 아니며, 시기상조의 마이그레이션은 상당한 비용과 리스크 수반합니다.
블록체인에는 성급한 마이그레이션을 특히 위험하게 만드는 몇 가지 고유한 복잡성이 있습니다.
- 서명 집계 요구 사항: 블록체인은 종종 대량 의 서명(예: BLS 서명)을 신속하게 집계해야 합니다. BLS는 빠르지만 양자 컴퓨팅 보안을 충족하지 못합니다. SNARK 기반 양자 컴퓨팅 보안 서명 집계에 대한 연구는 유망하지만 아직 초기 단계에 있습니다.
- SNARK의 미래: 현재 커뮤니티 해시 기반 양자 컴퓨팅 SNARK에 대해 낙관적이지만, 저는 향후 몇 달에서 몇 년 안에 격자 기반 SNARK 대안이 등장할 것이며, 증명 길이 등 여러 측면에서 더 나은 성능을 보일 것이라고 생각합니다.
지금 더 심각한 문제는 보안을 구현하는 것입니다.
향후 수년간, 악용 가능한 취약점은 양자 컴퓨터보다 더 큰 보안 리스크 초래할 것입니다. SNARK의 경우, 주요 위협은 프로그램적 취약점입니다. 디지털 서명과 암호화는 이미 어려움을 야기하지만, SNARK는 훨씬 더 복잡합니다. 사실, 디지털 서명은 zkSNARK의 매우 단순화된 형태로 볼 수 있습니다.
양자 후 서명의 경우, 사이드 채널링 및 오류 주입과 같은 공격이 더욱 시급한 위협입니다. 이러한 구현을 강화하는 데에는 커뮤니티 이 걸릴 것입니다.
따라서 상황이 안정되기 전에 성급하게 전환하면 최적의 솔루션이 아닌 것에 갇히게 되거나 취약점을 수정하기 위해 두 번째 마이그레이션을 해야 할 수도 있습니다.
우리는 어떻게 대응해야 할까요? 일곱 가지 제안.
위에서 언급한 현실을 바탕으로, 저는 모든 관계자(개발자부터 정책 입안자까지)에게 다음과 같은 제안을 드립니다. 핵심 원칙은 양자 위협을 심각하게 받아들이되, 암호학 관련 양자 컴퓨터가 2030년 이전에 등장할 것이라고 가정해서는 안 된다는 것입니다(현재의 진행 상황은 이러한 가정을 뒷받침하지 않습니다). 동시에, 우리가 지금 당장 시작할 수 있고 시작해야 할 몇 가지 사항이 있습니다.
- 하이브리드 암호화를 즉시 도입하십시오. 특히 장기적인 기밀성이 요구되고 비용이 허용 가능한 경우에 그렇습니다. 이미 많은 브라우저, CDN 및 메시징 애플리케이션(예: iMessage 및 Signal)에서 하이브리드 암호화를 도입하기 시작했습니다. 하이브리드 솔루션(양자 후 암호화 + 기존 암호화)은 HNDL 공격으로부터 보호하고 양자 후 암호화의 잠재적 취약점을 해결합니다.
- 데이터 크기가 큰 것을 허용할 수 있는 시나리오에서는 해시 기반 서명을 즉시 사용해야 합니다. 예를 들어 소프트웨어/펌웨어 업데이트와 같이 빈도가 낮고 크기에 민감하지 않은 시나리오에서는 하이브리드 해시 서명을 채택할 수 있습니다(하이브리드화는 새로운 방식의 구현 취약점에 대비하기 위한 것입니다). 이는 양자 컴퓨터가 예상치 못하게 조기에 등장할 경우를 대비한 안전한 "구명정" 역할을 합니다.
- 블록체인은 양자 서명 구현을 서두를 필요는 없지만, 이에 대한 계획은 즉시 시작해야 합니다.
- 개발자들은 온라인 PKI 커뮤니티 의 신중한 접근 방식을 본받아 자신들의 솔루션을 더욱 성숙하게 만들어야 합니다.
- 비트코인과 같은 퍼블릭 블록체인은 "휴면" 및 취약한 자금에 대한 마이그레이션 경로와 정책을 정의해야 합니다. 특히 비트코인은 주요 과제가 기술적인 문제가 아닌 (느린 거버넌스, 다수의 고가 "휴면" 주소) 문제이기 때문에 지금부터 계획을 시작해야 합니다.
- 양자 후 SNARK 및 집계 가능한 서명에 대한 연구가 성숙될 수 있도록 충분한 시간(잠재적으로 몇 년 더)을 허용하고, 최적화되지 않은 솔루션에 섣불리 고정되지 않도록 해야 합니다.
- 이더 계정과 관련하여, (업그레이드 가능한) 스마트 계약 지갑은 더 원활한 마이그레이션 경로를 제공할 수 있지만, 그 차이는 크지 않습니다. 계정 유형보다 더 중요한 것은 양자 컴퓨팅 이후의 기본 요소 연구 및 비상 계획 수립에 대한 커뮤니티 지속적인 발전입니다. 더 넓은 설계적 관점에서, 계정 신원을 특정 서명 체계(예: 계정 추상화)에서 분리하면 양자 컴퓨팅 이후의 마이그레이션뿐만 아니라 스폰서 거래 및 소셜 복구와 같은 기능을 지원하는 데에도 더 큰 유연성을 제공합니다.
- 개인정보 보호 체인은 (성능이 허용 가능한 수준이라면) 전환 우선순위가 높아야 합니다. 현재 이러한 체인의 사용자 기밀성은 HNDL 공격에 노출되어 있습니다. 복호화 가능한 비밀 정보가 체인에 업로드되는 것을 방지하기 위해 하이브리드 솔루션이나 아키텍처 조정 방안을 고려할 수 있습니다.
- 단기적으로는 양자 위협을 과대평가하기보다는 구현 보안을 우선시해야 합니다. SNARK나 양자 후 서명과 같은 복잡한 암호화 기술의 경우, 향후 수년간 양자 컴퓨터 자체보다 취약점과 악용 사례가 더 큰 리스크 될 것입니다. 지금 바로 감사, 퍼징, 형식 검증, 그리고 심층 방어에 투자하십시오. 양자 컴퓨팅에 대한 불안감이 더 시급한 취약점 위협을 가리지 않도록 해야 합니다.
- 양자 컴퓨팅 연구 개발에 대한 지속적인 자금 지원은 국가 안보 관점에서 필수적이며, 자금 지원과 인재 개발에 대한 지속적인 투자가 필요합니다. 주요 적대국이 암호학 관련 양자 컴퓨팅 능력을 먼저 확보하게 된다면 심각한 리스크 될 것입니다.
- 양자 컴퓨팅 관련 소식에 대해서는 이성적으로 접근해야 합니다. 앞으로 더 많은 중요한 진전이 있을 것입니다. 하지만 각각의 진전은 우리가 목표에 아직 한참 멀었다는 것을 보여줄 뿐입니다. 보도 자료는 성급한 행동을 촉구하는 신호가 아니라, 비판적인 평가가 필요한 진행 상황 보고서로 받아들여야 합니다.
물론 기술적 혁신은 가속화될 수 있고, 병목 현상은 예측 기간을 연장시킬 수 있습니다. 5년 안에 절대 불가능하다고 주장하는 것이 아니라, 가능성이 매우 낮다는 것입니다. 위에서 제시한 조언을 따르면 취약점 구현, 성급한 배포, 암호화 전환 과정에서 흔히 발생하는 실수와 같은 더 직접적이고 발생 가능성이 높은 리스크 피할 수 있습니다.
