양자컴퓨터 비트코인 해킹할 수 있을까요? 현재로서는 중론인데 이론적으로는 가능하다고 해요. 특히 비트코인은 현실가능한 영역에 있어서 화재가 되고 있는데요.
뉴스에서 양자컴퓨터, 또 옆에서는 비트코인, 이 두 단어가 같이 나오면 왠지 무서운 말처럼 들리더라구요.
누군가는 “양자 오면 코인 끝”이라고 툭 던지고, 또 누군가는 “걱정할 필요 없다”며 고개를 젓는데요. 이런 말들이 섞이면 보통은 더 헷갈리기만 하잖아요.
그래서 오늘은 어려운 수식은 최대한 뒤로 밀고, 왜 “양자컴퓨터가 발전하면 비트코인이 위험할 수 있다”는 전망이 나오는지, 실제로 어디가 아픈 곳인지, 일반인 눈높이로 차근차근 풀어보려 하구요. 과장 없이 담백하게 정리해보겠습니다.
먼저 양자컴퓨터가 기존 컴퓨터와 뭐가 다른지 감을 잡고, 그 다음 비트코인의 보안 구조(타원곡선 서명인 ECDSA·Schnorr, 그리고 SHA-256 기반 해시/주소 체계)를 아주 쉽게 이해시켜 드리겠습니다.
이어서 양자 쪽의 핵심 플레이어인 쇼어 알고리즘(서명 깨기와 직결)과 그로버 알고리즘(해시 쪽 난이도를 낮추는 역할)이 각각 어디를, 어떻게 노리는지 사례를 들어 설명하구요.
마지막으로 “그렇다면 지금 우리는 뭘 할 수 있나”까지, 현재 표준화 흐름(NIST의 PQC 표준)도 곁다리로 살짝 짚어보겠습니다.
다 모르겠고 결론만 보고 싶다 하시면 맨 마지막 항목만 보셔도 무방합니다.
목차
양자컴퓨터, 뭐가 그렇게 다르길래 ‘보안’이 흔들리나요?
일반 컴퓨터는 0과 1을 또박또박 하나씩 세는 계산기라면, 양자컴퓨터는 ‘겹겹이 겹친 상태’를 한꺼번에 다루는 애라고 보면 편하겠어요.
이 겹침(중첩)과 얽힘(얽힘은 서로 멀리 있어도 상태가 묶여 있는 현상) 덕분에 어떤 수학 문제들은 훨씬 빠르게 풀어버립니다.
특히 쇼어 알고리즘은 정수 소인수분해와 이산 로그 문제를 ‘다항시간’에 풀도록 설계되어 있는데, 이산 로그는 타원곡선 위에서도 비슷한 구조라서 ECDSA나 슈노르(Schnorr) 같은 서명에 치명적이에요.
한마디로 “공개키에서 개인키를 거꾸로 찾는” 길이 열릴 수 있다는 뜻이구요.
반면 그로버 알고리즘은 ‘완전탐색(브루트포스)’을 똑똑하게 가속하는 아이입니다.
무턱대고 N가지 케이스를 다 뒤져야 하는 문제를 √N 단계 정도로 줄여줘요.
이 성질이 해시 함수(예: SHA-256)의 ‘정답 찾기 난이도’를 절반 지수만큼 낮춥니다.
그래서 SHA-256의 전상(image) 찾기가 이론상은 2^256이 아니라 2^128 수준으로 내려가요.
숫자만 보면 확 줄어 보이지만 여전히 천문학적으로 크다는 것도 같이 기억해야 공포 마케팅에 휩쓸리지 않겠죠.
여기까지가 큰 그림이에요.
정리하면, 양자는 서명 쪽은 ‘근본적인’ 돌파구(쇼어), 해시 쪽은 ‘속도 상향’(그로버)을 제공합니다.
그래서 비트코인 보안에서 서명 파트가 더 예민한 이유가 되는 거구요.
비트코인의 보안은 ‘서명’과 ‘해시’의 이중 잠금 — 어디가 약점일까요?
비트코인은 돈을 쓰는 사람을 증명할 때 타원곡선 디지털 서명(ECDSA)을 씁니다.
2021년 탭루트(Taproot) 업그레이드로 슈노르(Schnorr) 서명도 들어왔는데, 수학적 뿌리는 똑같이 secp256k1 타원곡선의 이산 로그 난제예요.
즉, 양자 시나리오에선 두 서명 모두 쇼어 알고리즘에 취약합니다. “Schnorr로 바꿨으니 안전”은 오해였던 셈이죠.
주소 쪽은 다릅니다.
널리 쓰이는 P2PKH(‘공개키 해시로 지불’) 형태는 공개키를 바로 드러내지 않고 RIPEMD-160(SHA-256(pubkey)), 즉 HASH160으로 한 번 더 싸서 보여줘요.
그래서 코인을 ‘받아만’ 두면 공개키가 안 보이고, 보낼 때에야 공개키가 노출됩니다.
이 구조 덕에 양자 공격자에게 “키가 드러나는 짧은 순간만 버티면 된다”는 시간이 생기죠.
반대로 P2TR(Taproot) 는 출력에 공개키 자체를 박아 놓는 구조라 받아두는 순간부터 공개키가 영구히 노출됩니다.
이건 양자 시대에 상대적으로 불리한 노출면이에요.
그렇다고 해시가 허술하냐 하면 그건 또 아니구요.
SHA-256 자체는 그로버로도 2^128 수준이라 현실성이 아주 낮습니다.
주소에 쓰는 RIPEMD-160과 합친 HASH160은 길이가 160비트라 그로버 관점에서 2^80 정도까지 떨어지지만, 여전히 상상을 초월하는 양이구요.
더구나 충돌을 찾는 건 또 다른 얘기인데, 충돌로는 서명 위조가 곧장 되지 않습니다.
즉, 비트코인에서 진짜 급한 건 해시가 아니라 서명 체인이라는 점, 이 포인트만 붙잡아도 뉴스 해석이 한결 쉬워지더라구요!
(a) 공개키가 드러나는 그 순간 ‘레이스’가 열린다
P2PKH 같은 해시형 주소는 보낼 때 공개키가 풀로 공개돼요.
이때 이론상 양자 공격자는 쇼어로 개인키 역산을 시도할 수 있고, 운 좋게 빨리 뽑아내면 트랜잭션 확정 전에 훔쳐 가는 레이스를 걸 수 있어요.
심지어 채굴자 협조가 조금만 있어도(재정렬 등) 그 창문을 더 벌릴 수 있다는 논의도 비트코인 커뮤니티에 꾸준히 있어 왔구요.
그래서 양자 위협이 현실화되면, “보낼 때 한방에 확정까지 빨리” 같은 운영상의 지침이 중요해집니다.
(b) Taproot·P2PK 처럼 ‘공개키 상시 노출’ 계정은 더 취약
P2TR, P2PK, 일부 멀티시그(P2MS) 처럼 받는 순간부터 공개키가 박혀 있는 유형은 시간이 공격자 편이에요.
상대는 언제든 쇼어를 돌릴 수 있고, 여러분은 코인을 건드리지 않아도 표적이 됩니다.
탭루트 자체가 나쁘다는 얘기가 아니라, 양자 관점에서 보면 노출면이 넓다는 딱 그 포인트예요.
(c) 해시 쪽은 ‘이론상 가속’이지만, 체인 붕괴급은 아님
그로버는 작업증명(채굴)이나 주소 프리이미지 찾기 난이도를 제곱근만큼 낮춰줄 뿐이라, 네트워크 전체를 당장 뒤엎을 수준은 아니라는 평가가 많습니다.
난이도 조정이라는 안전판도 있구요.
물론 장기적으로는 해시 길이나 파라미터를 손보는 논의가 나올 수 있지만, ‘서명 교체’가 우선순위가 높다는 데엔 큰 이견이 없어요.
꿀팁
주소 재사용을 피하고, 장기 보관분은 공개키가 즉시 노출되지 않는 유형(P2PKH 등) 을 고려하는 습관이 나쁘지 않겠어요.
큰 변곡점이 보이면 신속히 새 체계로 이동할 수 있게 키·월렛 위생을 유지하는 것도 중요하구요.
업계가 양자내성 서명을 채택하는 쪽으로 합의가 이뤄지면, 그때는 커뮤니티가 정한 마이그레이션 창구를 따라 차근차근 옮기면 됩니다.
NIST 표준화가 앞서가고 있으니, 기술적 토대는 계속 깔리고 있다는 점도 든든했구요.
양자컴퓨터, 코인 금고의 새 도둑인가?
이제 정리를 좀 해보자면, 지금 당장 실험실에 있는 양자컴퓨터 기술로는 여러분 지갑의 비트코인을 털 수는 없습니다.
현재 양자컴퓨터는 여전히 ‘기술 시제품’ 수준이라, 대규모 연산을 안정적으로 돌리기에는 한참 멀었죠.
하지만 암호 커뮤니티가 부랴부랴 움직이는 이유는, 새로운 암호 표준을 만들고 전 세계 시스템을 갈아타는 데 드는 시간이 어마어마하게 길기 때문입니다.
미국 NIST는 이미 양자내성(PQC) 암호 표준(ML-DSA, SLH-DSA 등)을 확정하고 산업계가 이를 채택하는 준비에 들어갔습니다.
‘내일 당장 위협’이 아니라 ‘언젠가 올 폭풍을 미리 대비’하는 셈이죠.
그럼 비트코인의 서명을 ECDSA 대신 Schnorr로 쓰면 어떨까요? 안타깝지만 큰 차이는 없습니다.
Schnorr도 ECDSA와 같은 ‘타원곡선 이산 로그 문제’를 바탕으로 설계돼 있어서, 쇼어 알고리즘에 뚫리는 구조 자체가 같습니다.
탭루트 업그레이드 덕분에 프라이버시와 스크립트 확장성은 좋아졌지만, 양자 안전성 문제는 여전히 그대로라는 뜻입니다.
진짜 안전하려면 완전히 다른 기반의 양자내성 서명으로 갈아타야 합니다.
마지막으로, ‘그로버 때문에 채굴이 망한다’는 이야기도 종종 들리는데, 이건 조금 오해가 섞여 있습니다.
그로버 알고리즘이 해시 탐색 속도를 올려주는 건 사실이지만, 2^128 난이도가 2^64로 ‘제곱근 수준’ 줄어드는 정도입니다.
여전히 상상을 초월하는 숫자고, 비트코인은 난이도 조정이라는 안전판도 있어서 네트워크가 하루아침에 무너질 가능성은 낮습니다.
그래서 업계의 시선은 채굴 보안보다 서명 교체 쪽에 더 무게가 실리고 있습니다.
결국 핵심은 하나입니다. 양자 시대를 맞이할 준비는 ‘언제’가 아니라 ‘지금’부터 시작해야 한다는 것.
서명 구조를 양자내성 방식으로 바꾸고, 주소 관리 습관을 개선하는 작은 습관이 먼 미래에 여러분의 자산을 지킬 첫 걸음이 될 수 있습니다.
