Circle은 30개 이상의 블록체인에 걸쳐 있는 USDC 락 체인징 프로젝트를 어떻게 처리할 계획입니까?
작성 및 편집: KarenZ, Foresight News
양자 컴퓨터의 성능이 어느 날 충분히 강력해진다면, 블록체인은 두 가지 근본적인 보안 가정 대면 될 것입니다. 첫째, 서명이 여전히 "내가 나다"를 증명할 수 있는지 여부, 둘째, 오늘 암호화된 데이터가 미래에 복호화될 수 있는지 여부입니다.
Circle의 최신 보고서인 "Circle의 양자 후 보안 로드맵"은 바로 이 문제를 다루고 있습니다. 핵심 주장은 간단합니다. ECDSA, Ed25519, BLS를 포함하여 오늘날 블록체인에서 널리 사용되는 타원 곡선 암호화는 충분히 강력한 양자 컴퓨터에 취약하다는 것입니다. 더 큰 문제는 EVM 온체인 에서 계정이 처음으로 거래를 브로드캐스팅할 때 공개 키를 노출하는 경우가 많다는 점입니다. 비트코인과 같은 온체인 에서는 이미 공개 키를 사용하거나 재사용했거나 특정 스크립트를 통해 공개 키를 노출한 주소 또한 유사한 리스크 에 노출됩니다.
저자 라인업만 봐도 이 논문이 일반적인 대중 과학 기사가 아님을 알 수 있습니다. 저자로는 Circle의 최고 소프트웨어 엔지니어인 Mira Belenkiy, Duc V. Le, Gordon Liao, Vipin Singh Sehrawat, Dragos Rotaru, 그리고 Interop Labs(Axelar 네트워크의 최초 개발사)의 공동 창립자이자 현재 Circle에 재직 중인 Sergey Gorbunov를 비롯한 여러 Circle 엔지니어들이 참여했습니다. 또한, 스탠포드 대학교의 응용 암호학 분야 저명한 학자인 Dan Boneh도 공동 저자로 참여했습니다.
이 논문의 가장 중요한 측면은 "양자 컴퓨팅이 암호화폐를 파괴할 것인가?"라는 식의 공포 조장성 주장이 아니라, 문제를 현실적인 엔지니어링 마이그레이션 문제로 분석한 점입니다. Circle은 양자 컴퓨팅 이후의 마이그레이션은 단순한 업그레이드가 아니라 지갑, 스마트 계약, 수탁, 클라우드 서비스, 검증자, 규제 규칙 등 모든 영역에 걸친 "장기적인 재배치"라고 주장합니다.
이 논문은 양자 공격 대면 여러 유형 리스크 설명합니다.
첫 번째 유형은 계정 위조입니다. 주소의 공개 키가 노출되면 양자 공격자는 잠재적으로 개인 키를 복구하여 직접 거래를 위조할 수 있습니다. 해당 보고서는 프로젝트 일레븐의 비트코인 위험 지표(Bitcoin RisQ Metrics)를 인용하여 잔액 보유한 수백만 개의 주소가 이미 양자 공격 리스크 에 노출되었으며, 여기에는 약 1,400만 개의 비트코인 주소가 포함된다고 밝혔습니다.
두 번째 유형은 "먼저 수집하고 나중에 복호화하는"리스크 입니다. 공격자는 현재 암호화된 데이터를 저장해 두었다가 미래에 양자 컴퓨팅이 성숙해지면 복호화합니다.
세 번째 범주는 컨센서스 레이어 리스크 입니다. 검증자의 서명 키가 복구될 경우 이중 서명, 검열 또는 심지어 기록 변경으로 이어질 수 있습니다. 네 번째 범주는 네트워크 계층 리스크 입니다. P2P 통신 및 TLS를 통한 RPC와 같이 기존 키 교환에 의존하는 부분도 업그레이드해야 합니다.
Circle의 3단계 마이그레이션 로드맵
Circle의 로드맵은 단순히 하나의 서명 알고리즘을 다른 알고리즘으로 교체하는 것이 아니라 "준비 단계, 하이브리드 전환 단계, 최종 전환 단계"의 세 단계로 구성됩니다. 각 단계는 리스크 우선순위가 다릅니다. 개인정보 보호가 최우선이며, 계정과 스마트 계약은 점진적으로 이전해야 하고, 합의 알고리즘과 인프라는 생태계, 하드웨어 및 표준이 성숙된 후에 전환될 예정입니다.
Arc 로드맵의 공격 유형 및 대응 단계, 출처: Circle 양자 후 보안 로드맵 문서.
첫 번째 단계는 "준비 단계"입니다. 이 단계의 목표는 ECDSA를 즉시 비활성화하는 것이 아니라 개발자와 사용자에게 마이그레이션 경로를 제공하는 것입니다. Arc는 메인넷에서 SLH-DSA-SHA2-128s 양자 후 서명 검증을 지원하여 스마트 계정이 온체인 양자 후 서명을 검증할 수 있도록 할 예정입니다. 간단히 말해, Arc는 먼저 새로운 잠금 방식을 인식할 수 있는 접근 제어 시스템을 스마트 계약에 설치하지만, 양자 후 서명은 크기가 크고 검증 속도가 느려 처리량과 사용자 경험에 영향을 미치기 때문에 단기적으로는 기본 트랜잭션 서명에 ECDSA가 계속 사용될 것입니다.
동시에 Arc는 X-Wing HPKE를 사용한 암호화된 거래 메모를 지원하고, 개인 정보 보호를 위한 실행을 통해 거래 내용, 계약 상태 및 실행 추적 정보를 보호합니다. Circle이 이 부분을 우선시하는 이유는 "오늘 기록하고 나중에 복호화하는" 방식의 개인 정보 보호 리스크 돌이킬 수 없기 때문입니다. 서명은 나중에 업그레이드할 수 있지만, 유출된 데이터는 다시 개인 정보로 복구할 수 없습니다.
Circle은 계정 계층에서 여러 전환 도구를 제안합니다. 예를 들어, EIP-4337 계정 추상화를 통해 스마트 계정은 양자 후 서명을 검증할 수 있습니다. 해시-앤-로테이트 방식을 통해 공개 키 해시만 온체인 저장하여 공개 키 평문 노출 시간을 최소화합니다. 또한 양자 후 공개 키 레지스트리를 통해 사용자는 주소와 양자 후 공개 키를 미리 연결할 수 있습니다. 이러한 설계의 공통 목표는 기본 프로토콜이 완전히 변환될 때까지 기다리지 않고 사용자가 계정 마이그레이션을 준비할 수 있도록 하는 것입니다.
두 번째 단계는 "하이브리드 전환"입니다. 이 단계는 가장 현실적이면서도 가장 복잡합니다. USDC 스마트 계약은 일정 기간 동안 기존 서명과 양자 후 서명을 모두 지원합니다. 생태계가 준비되면 예약 메커니즘을 통해 기존 서명 기능이 비활성화됩니다. Circle은 또한 다양한 체인의 마이그레이션 일정 및 양자 후 서명 알고리즘과의 호환성을 보장하기 위해 콜드 스토리지 자금을 멀티 서명 스마트 계약으로 이전할 계획입니다. USDC 스마트 계약은 30개 이상의 온체인 에 배포되어 있기 때문에 단일 체인 업그레이드 문제가 아니라, 각기 다른 알고리즘을 선택하고 일정을 설정하는 멀티체인 생태계로 인한 파편화 문제 대면 .
이 논문은 특히 ecrecover가 제기하는 문제점을 강조합니다. 대량 EVM 컨트랙트가 ECDSA 서명 검증에 ecrecover를 사용하지만, 이러한 컨트랙트 중 상당수는 더 이상 업그레이드가 불가능합니다. ecrecover를 단순히 비활성화하면 대량 애플리케이션이 제대로 작동하지 않게 되며, 계속 사용하면 양자 위조 리스크 발생합니다. Circle은 프로토콜 계층에서 하드 포크 통해 ecrecover의 동작 방식을 수정하여 기존 ABI를 유지하면서 양자 후 서명을 지원하는 유망한 해결책을 제시합니다. 이 솔루션은 새로운 컨트랙트뿐만 아니라 이미 배포되어 수정하기 어려운 기존 컨트랙트에 대한 마이그레이션 경로를 제공한다는 점에서 중요한 실질적인 의미를 갖습니다.
전환 단계에는 기본 인프라 업데이트도 포함됩니다. Circle은 내부 암호화 스택을 점검하고, 클라우드 서비스 제공업체, HSM, KMS, TEE, libp2p, TLS 및 기타 종속 요소가 양자 컴퓨팅 공격에 대비할 수 있는 역량을 갖추고 있는지 평가하고, 키를 올바른 순서로 교체해야 합니다. 특히, 해당 문서에서는 키 A가 키 B를 보호하고 키 B가 키 C를 보호하는 경우, A를 먼저 교체하고, 그 다음 B, 마지막으로 C를 교체해야 한다고 경고합니다. 양자 컴퓨팅 알고리즘을 사용하더라도 순서가 잘못되면 향후 이전에 가로챈 암호화된 자료가 노출될 가능성이 있습니다.
세 번째 단계는 "최종 전환"입니다. Circle은 생태계, 규제, 하드웨어 지갑, 클라우드 서비스 제공업체 및 블록체인 인프라가 모두 준비된 후에만 진정한 하드 전환을 실행할 것입니다. 그 시점이 되면 Arc 및 USDC 스마트 계약은 ECDSA 서명을 거부할 수 있으며, 검증자 서명은 양자 컴퓨팅 기반 서명 방식으로 전환될 것입니다. USDC를 호스팅하는 일부 블록체인이 장기적으로 충분한 양자 컴퓨팅 기반 보안 요구 사항을 충족하지 못할 경우, Circle은 양자 컴퓨팅 위조 리스크 으로부터 사용자 자산을 보호하기 위해 일부 계약 기능을 중단하거나 지원을 철회하는 방안을 고려할 수도 있습니다.
기존 계좌를 어떻게 처리할지가 가장 어려운 문제입니다.
하지만 최종 전환 과정에서 가장 어려운 문제가 발생합니다. 바로 이전되지 않은 계정의 자산은 어떻게 되는가 하는 것입니다. Circle은 보안이 취약한 계정을 동결 것은 도난 방지를 위한 것이며 자산 몰수를 의미하는 것은 아니라는 입장을 취하고 있습니다. 다시 말해, "기존 서명에 대한 제어 중지"와 "자산 보유자의 경제적 권리 박탈"은 별개로 처리해야 한다는 것입니다. 따라서 이 문서에서는 Arc로의 이전, 니모닉 단어 및 영지식 증명을 통한 복구, TEE 증명을 통한 복구, 그리고 제한적인 경우에 한해 오프체인 법률 문서, 수탁자 증명, 거래소 증명 또는 기존 문서를 통한 복구를 포함한 계정 복구에 큰 중요성을 부여합니다.
이는 논문에서 논의된 중요한 정책 문제인 계정 복구로 이어집니다. 양자 시대에는 전통적인 서명만으로는 소유권을 증명할 수 없으며, KYC(고객확인제도)만으로는 익명 주소의 소유자를 확인할 수 없을 수도 있습니다. Circle은 규제 당국이 마이그레이션 마감일 전에 사용자에게 어떻게 통지해야 하는지, 자산 소유권을 증명하기에 충분한 증거는 무엇인지, 자산 동결 기간이 얼마나 되어야 미청구 자산으로 간주되는지, 그리고 상속, 제재, 자금 동결 방지 및 법원 명령 관련 규칙이 어떻게 적용되어야 하는지 등을 사전에 명확히 해야 한다고 주장합니다. 논문은 업계가 이러한 규칙을 개발하는 데 5년에서 10년 정도의 시간이 있을 것으로 추정합니다.
이 보고서는 또한 신중한 평가를 제시합니다. 지나치게 빠른 마이그레이션은 잠재적으로 더 큰 리스크 초래할 수 있다는 것입니다. 예를 들어, 기업들이 현재 HSM(하드웨어 보안 모듈)을 사용하여 개인 키를 보호하다가 양자 컴퓨팅 이후 서명 기술을 따라잡기 위해 서둘러 이러한 키를 일반 CPU로 옮겨 서명에 사용한다면, 오히려 기존 해커에게 키를 탈취당할 위험이 더 커질 수 있습니다. Circle은 양자 컴퓨팅 이후 기술로의 마이그레이션을 조기에 준비해야 하지만, "안전해 보이는 것"을 위해 현재의 보안을 타협해서는 안 된다는 입장을 취하고 있습니다.
쉽게 말해, 서클(Circle)은 "양자 컴퓨터가 내일 당장 블록체인을 무너뜨릴 것"이라고 말하는 것이 아니라, 금융 인프라가 블록체인 보안 시스템의 결함이 입증될 때까지 기다릴 수 없다는 점을 강조하는 것입니다. 특히 30개 이상의 블록체인에서 작동하는 USDC와 같은 스테이블코인의 경우, 진정한 과제는 새로운 알고리즘을 선택하는 것뿐만 아니라 지갑, 스마트 계약, 수탁기관, 검증자, 클라우드 서비스 제공업체, 규제 기관, 그리고 사용자들이 함께 새로운 시스템으로 마이그레이션하도록 하는 것입니다.
양자 공격은 아직 실제로 구현되지는 않았지만, 그로 인한 마이그레이션 비용은 이미 상당 부분 부담으로 다가오고 있습니다.
