비트코인 방패 뚫는 양자컴퓨터…구글 “2029년 데드라인”

구글 퀀텀AI 연구진, 가상자산 양자 위협 백서 공개
‘사토시 비트코인’ 100만개 털리나…양자컴 위협
비트코인 230만개·이더리움 2050만개 ‘먹잇감’
50만개 큐비트로 수분 내 해독, 양자내성암호 시급

비트코인 핵심 암호(ECDLP-256) 해독에 필요한 양자컴퓨터 자원 추이. 하단의 붉은색 별표가 이번 구글 연구진의 추정치로, 과거 대비 논리적 큐비트와 토폴리 게이트 요구량이 획기적으로 줄었음을 보여준다. [자료 = 구글]

구글 연구진이 미래의 양자컴퓨터가 비트코인과 이더리움을 비롯한 주요 암호화폐의 핵심 암호 체계를 종전 예상보다 훨씬 적은 자원으로 깰 수 있다는 백서를 공개하며 가상자산 생태계에 비상이 걸렸다.

구글 연구진은 탈중앙 금융의 근간인 타원곡선 암호가 생각보다 일찍 무력화될 수 있다고 경고하면서, 모든 취약 블록체인 커뮤니티에 양자내성암호(PQC)로의 즉각적인 전환을 촉구했다.

구글 양자AI팀의 라이언 배부시 박사 등 9명의 공동 저자가 지난 30일(현지시간) 공개한 백서에 따르면 비트코인과 이더리움을 지키는 타원곡선 암호(ECDSA)를 무력화하는 데 필요한 양자 자원 추정치가 파격적으로 낮아졌다.

◆ 공격 문턱 20배 낮아졌다…‘9분의 공포’ 현실로

비트코인 주소 유형별 양자 공격 노출 자산 규모. 초기 방식인 P2PK 주소에 묶인 약 170만 BTC와 주소가 재사용된 P2PKH 등의 자산이 1차 해킹 타깃으로 지목됐다. [자료= 구글]

연구팀은 비트코인의 핵심 알고리즘(secp256k1)을 해킹하는 데 논리 큐비트 1200~1450개와 토폴리(Toffoli) 게이트 7000만~9000만개면 충분하다는 결과를 내놓았다.

이는 기존 학계의 추정치보다 물리적 하드웨어 요구량을 약 20배나 줄인 수치다. 구글은 표준 초전도 큐비트 아키텍처를 가정할 때, 50만개 미만의 물리 큐비트만으로 단 몇 분 안에 암호를 풀 수 있다고 분석했다.

더 충격적인 것은 공격 속도다. 연구진은 공격 알고리즘의 절반을 미리 계산해 두면, 지갑의 공개키가 노출되는 순간부터 개인키를 알아내는 데 걸리는 시간이 약 9~12분으로 단축된다고 강조했다.

비트코인의 블록 생성 주기가 평균 10분임을 감안하면, 거래가 블록에 기록되기 전 네트워크(멤풀) 상에서 공개키를 탈취해 개인키를 유도, 위조 거래를 삽입하는 형태의 ‘온스펜드(On-spend)’ 공격이 이론적으로 가능해진 셈이다. 연구진 분석에 따르면 이 시나리오에서 공격 성공 확률은 약 41%에 달한다.

◆ 사토시 코인 포함 230만 BTC·2050만 이더리움 ‘위험’

이더리움 네트워크 내 양자 공격 노출 자산 . 상위 1000개 계정에서만 약 2050만 ETH가 위험에 처해 있으며, 스마트 컨트랙트에 묶인 수천억 달러 규모의 실물자산(RWA)도 안전하지 않다. [자료= 구글]

백서는 현재 양자 공격에 무방비로 노출된 자산의 규모를 구체적인 수치로 제시했다. 비트코인의 경우, 초기 ‘사토시 시대’에 사용된 P2PK 스크립트에 묶인 약 170만 BTC가 가장 큰 타깃이다.

이 주소들은 공개키가 온체인에 그대로 노출되어 있어 양자컴퓨터의 손쉬운 먹잇감이 된다.

주소 재사용 등 보안 습관의 허점까지 고려하면 공격 위험에 처한 비트코인은 총 690만개에 달하며,이 중 5년 이상 움직이지 않은 ‘휴면 취약 자산’만 따져도 약 수천억 달러에 달하는 230만개에 이른다.

이더리움의 상황은 더 심각하다. 계정 기반 모델의 특성상 한 번이라도 거래를 한 계정은 공개키가 영구 노출되는데 상위 1000개 계정이 보유한 약 2050만 ETH가 해킹 가시권에 들어와 있다.

또한 스마트 계약 관리자 키와 레이어2(L2) 브릿지의 취약점까지 합치면 생태계 전체의 합의 구조 자체가 흔들릴 수 있다는 지적이다.

연구진은 이번 결과를 제로지식 증명(ZK proof)으로 검증해 공개함으로써 실제 공격 회로를 노출하지 않으면서도 신뢰성을 담보했다. ‘책임 있는 공개 원칙’에 따라 공격 세부 회로는 공개하지 않았지만, 제3자가 암호학적으로 자원 추정치 자체를 검증할 수 있도록 했다.

◆ ‘패스트 클록’ vs ‘슬로우 클록’, 위협 시나리오 갈린다

구글 연구진이 제시한 양자컴퓨터 아키텍처에 따른 2가지 위협 시나리오. [자료=구글]

연구진은 양자컴퓨터 아키텍처를 ‘패스트 클록’(초전도·포토닉·실리콘 스핀 큐비트)과 ‘슬로우 클록’(중성원자·이온트랩)으로 나눠 두 가지 위협 시나리오를 제시했다.

패스트 클록이 먼저 구현될 경우 온스펜드 공격과 정적 보유자산 공격(at-rest attack)이 거의 동시에 가능해지지만, 슬로우 클록이 먼저 성숙할 경우 당분간 정적 공격만 현실화된다.

후자의 경우에도 최소한의 대응책인 ‘공개키 재사용 금지’와 ‘세그윗(SegWit) 주소 사용’만으로 피해를 크게 줄일 수 있다고 연구진은 설명했다.

연구진은 “어느 시나리오에서도 가장 안전한 선택은 PQC로의 즉각적인 전환”이라고 강조했다. 구글은 지난주 자체 보안 시스템을 2029년까지 PQC로 완전 전환한다는 로드맵을 공개한 바 있다.

연구진은 현시점에서 양자 위협이 임박한 것은 아니라고 선을 그으면서도 경계의 목소리를 높였다. QRL, 아벨리안(Abelian) 등 이미 PQC를 탑재한 블록체인과 알고랜드(팔콘 서명 도입), 솔라나(Winternitz Vault), XRP 레저(ML-DSA 서명 테스트) 등 선도적 전환 사례를 긍정적으로 평가하면서, “PQC 전환이 현실적이라는 것은 이미 입증됐다”고 밝혔다.

2029년 데드라인, ‘소각’이냐 ‘인양’이냐…사토시 코인의 운명

이번 백서에서 가장 논쟁적인 부분 중 하나는 ‘휴면 자산’ 처리 문제다. 나카모토 사토시가 보유한 것으로 추정되는 약 100만 BTC를 포함해 수십억 달러 상당의 P2PK 코인은 표준 소프트웨어 업데이트로는 양자 안전 주소로 이전할 수 없다.

이에 비트코인 커뮤니티는 크게 세 가지 대응 방향을 검토 중이다. 현 프로토콜 유지, 일정 기한 이후 해당 코인을 사용 불가로 처리하는 소각, 블록당 소비 속도를 제한하는 모래시계 방식이다.

지난해 샌프란시스코 ‘프레시디오 비트코인 양자 서밋’에서 세 방안에 대한 지지가 엇비슷하게 갈린 점은 커뮤니티 내 깊은 균열을 보여준다.

연구진은 여기에 더해 ‘배드 사이드체인(Bad Sidechain)’이라는 네 번째 방안을 제시했다. 양자컴퓨터로 회수된 휴면 자산을 특수 사이드체인으로 이전한 뒤, 오프체인 소유권 증명을 통해 원래 소유자에게 반환하는 구조로 전통 금융의 ‘배드뱅크’에서 착안한 개념이다.

정책 영역에서는 ‘디지털 구조(Digital Salvage)’를 법적으로 허용하는 규제 체계 구축, 국가 안보 차원의 대응, 비트코인 커뮤니티와의 적극적 대화 등 세 가지 공공 정책 방향도 제안됐다.

매튜 키멜 코인셰어스 투자전략가는 블룸버그에 “타임라인이 점점 짧아지고 구체화되고 있다”며 “이번 연구는 업계가 연구와 실행 계획에 속도를 내야 할 창을 더욱 좁혔다”고 말했다.