Quantum Horizon: An evaluation of quantum computing as a threat to Bitcoin and Ethereum

이 논문은 양자 컴퓨팅이 채굴보다는 쇼어 알고리즘을 통한 디지털 서명 파괴를 통해 비트코인과 이더리움에 상당하지만 관리 가능한 위협을 제기한다는 점을 주장하며, 핵심적인 과제는 기술 그 자체보다는 2050년까지 암호학적으로 유의미한 양자 컴퓨터가 등장할 확률이 60%로 예상되는 가운데 적시의 거버넌스 주도적 양자 내성 암호로의 이전에 있다는 것을 강조한다.

핵심

거시적 관점: 다가오고 있지만, 관리 가능한 폭풍

비트코인과 이더리움을 매우 높은 보안을 자랑하는 두 개의 거대한 금고라고 상상해 보세요. 수년 동안 사람들은 언젠가 초지능형 "양자 컴퓨터"가 이 금고의 자물쇠를 따버릴지도 모른다며 걱정해 왔습니다.

이 논문은 그 위협이 실재하지만, 내일 당장 일어날 재앙은 아니라고 주장합니다. 저자들은 우리가 폭풍 구름을 명확히 보고 있으며, 어떤 자물쇠가 취약한지 정확히 알고 있고, 그 자물로를 교체할 설계도까지 가지고 있다고 말합니다. 유일하게 발생할 수 있는 문제는 운영 주체(소위 "거버넌스" 팀)가 행동하는 데 너무 느린 경우뿐입니다.

다음은 논문의 주요 핵심 내용에 대한 분석입니다.

---

1. 두 가지 서로 다른 "초능력" (Shor vs. Grover)

사람들은 종종 두 가지 서로 다른 유형의 양자 컴퓨터 공격을 혼동하곤 합니다. 이 논문은 이 둘을 섞어서 생각해서는 안 된다고 강조합니다.

• 진짜 위협 (쇼어 알고리즘 - Shor's Algorithm): 마스터 키.
  • 비유: 당신의 은행 계좌에는 당신이 돈의 주인임을 증명하는 디지털 서명(고유한 인장)이 있습니다. 쇼어 알고리즘은 당신의 공개 인장을 보고 즉시 비밀 개인키를 알아낼 수 있는 마법 같은 장치와 같습니다.
  • 결과: 만약 양자 컴퓨터가 이 키를 손에 넣으면, 당신의 서명을 위조하여 코인을 훔칠 수 있습니다. 이것이 바로 위험 요소입니다.
• 가짜 위협 (그로버 알고리즘 - Grover's Algorithm): 빠른 추측.
  • 비유: 비트코인 채굴은 컴퓨터가 숫자를 추측하여 승리하는 거대한 로또와 같습니다. 그로버 알고리즘은 이 추측 속도를 높여주는 부스터와 같습니다. 컴퓨터가 추측하는 속도를 (정확히는 시간의 제곱근만큼) 두 배 빠르게 만듭니다.
  • 결과: 논문에 따르면 이것은 문제가 되지 않습니다. 이는 마치 인간에게 페라리와의 경주에서 조금 더 빠른 계산기를 쥐여준 것과 같습니다. 네트워크는 난이도를 조절(로또를 더 어렵게 만듦)하기만 하면 되며, 양자 컴퓨터는 여전히 시스템을 장악하기에는 너무 느릴 것입니다. 채굴은 안전합니다.

2. 타임라인: "곧" 오지만, "지금"은 아니다

이 마법 같은 "마스터 키" 기계는 언제쯤 존재하게 될까요?

• 현재: 우리는 아직 그것을 가지고 있지 않습니다. 현재 우리가 가진 최고의 기계들은 자물쇠를 부수기 위해 필요한 슈퍼 탱크에 비하면 단 한 대의 자전거 수준입니다. 우리는 필요한 전력량에 도달하기까지 약 400~500배 정도의 거리가 남아 있습니다.
• 예측: 저자들은 전문가들의 추측과 하드웨어 발전 속도를 결합한 복잡한 시뮬레이션(기상 예보와 같은 방식)을 실행했습니다.
  • 2035년까지: 해당 기계가 존재할 확률은 약 6분의 1입니다.
  • 2040년까지: 그 확률은 **30%**로 올라갑니다.
  • 2050년까지: 그 확률은 약 **60%**에 달합니다.
• 핵심 요점: "패닉할 때"는 아니지만, 분명히 "짐을 싸기 시작해야 할 때"입니다. 우리는 기계가 도착하기 전 문제를 해결할 수 있는 약 10년에서 15년의 창을 가지고 있습니다.

3. 실제로 누가 위험한가? ("노출된" 코인들)

모든 비트코인이나 이더리움 코인이 위험에 처한 것은 아닙니다. 이는 "인장"(공개 키)이 어디에 노출되어 있는지에 따라 달라집니다.

• 안전 구역 (새로운 주소): 만약 당신이 사용하지 않은 새로운 주소에 돈을 넣어두었다면, 당신의 비밀 키는 일방향 거울 뒤에 숨겨져 있습니다. 양자 컴퓨터라도 당신이 돈을 쓰기 전까지는 그것을 볼 수 없습니다.
• 위험 구역 (재사용된 주소): 만약 당신이 이전에 한 번이라도 해당 주소에서 돈을 사용했다면, 당신의 "인장"은 이제 블록체인 위에 영원히 공개된 상태입니다. 양자 컴퓨터는 거기에 들어있는 어떤 돈이든 훔칠 수 있습니다.
• "유실" 구역 (불가피한 리스크):
  • 비트코인: 약 230만 개의 코인이 휴면 상태(키를 분실했거나 사토시와 같은 초기 시절의 코인)입니다. 이 소유자들은 절대 돈을 움직일 수 없습니다. 양자 컴퓨터가 도착하면 이 코인들은 영원히 사라집니다. 이는 영구적인 손실이지만, 정해진 양(전체 비트코인의 약 12%)입니다.
  • 이더리움: 이더리움은 은행 계좌처럼 작동하기 때문에(같은 주소를 재사용함), 현재 전체 이더리움의 **50~65%**가 "노출"되어 있습니다. 하지만 유실된 비트코인과 달리, 이 소유자들은 자신의 돈을 안전한 곳으로 옮길 수 있습니다.

4. 경주: 제때 고칠 수 있을까?

이 논문은 소프트웨어 업그레이드(이전)에 걸리는 시간과 양자 컴퓨터가 도착하는 데 걸리는 시간을 비교합니다.

• 업그레이드 계획: 우리는 이미 새로운 "양자 내성" 자물쇠(2024년에 확정된 표준)를 가지고 있습니다.
  • 이더리움은 쉬운 경로를 가지고 있습니다. 전체 네트워크를 중단시키지 않고도 개별 계정들이 하나씩 자물쇠를 업그레이드할 수 있도록 허용할 수 있습니다.
  • 비트코인은 더 어려운 경로를 가집니다. 이는 규칙을 바꾸기 위한 거대한 커뮤니티의 합의가 필요하며, 정치적으로 매우 어렵습니다.
• 경주 결과: 만약 우리가 지금(2026년) 업그레이드를 시작한다면, 2029~2031년까지 작업을 완료할 수 있습니다. 이는 양자 컴퓨터가 도착할 것이라는 가장 낙관적인 예측(2035년)보다 몇 년 앞서는 수치입니다.
• 진짜 위험: 우리가 패배하는 유일한 방법은 지체하는 것입니다. 만약 커뮤니티가 너무 오래 논쟁하여 2033년까지 시작하지 못한다면, 문을 열어둔 채로 기계를 맞이하게 될 수도 있습니다.

5. 더 큰 그림 (다른 암호화폐들)

저자들은 상위 20개 암호화폐를 살펴보았습니다.

• 나쁜 소식: 아직 완전히 안전한 곳은 없습니다. 그들 모두 양자 컴퓨터가 깰 수 있는 유형의 "자물쇠"를 사용하고 있습니다.
• 좋은 소식: 일부(XRP나 솔라나 등)는 이미 새로운 자물쇠를 테스트하고 있습니다. 반면 도지코인 같은 것들은 뒤처져 있습니다.
• 교훈: 어떤 수학적 방식을 사용하는지는 중요하지 않습니다. 중요한 것은 업그레이드할 계획이 있는지, 그리고 돈을 쓰기 전까지 키를 잘 숨기고 있는지입니다.

요약: 우리는 무엇을 해야 하는가?

논문은 **"패닉"이 아닌 "준비된 긴박함"**의 자세로 결론을 맺습니다.

1. 사용자들을 위해: 오래된 주소를 재사용하지 마세요. 만약 오래된, 재사용된 주소에 돈이 있다면, 그것을 새로운 주소로 옮기세요. "양자 안전" 지갑이 출시되면 그곳으로 업그레이드할 계획을 세우세요.
2. 네트워크를 위해: 업그레이드 과정을 즉시 시작하세요. 비상사태가 터질 때까지 기다리지 마세요.
3. 결론: 위협은 실재하며 타임라인은 점점 짧아지고 있지만, 이 문제는 해결 가능합니다. 시스템을 무너뜨릴 수 있는 유일한 것은 우리가 수정하는 데 너무 느려지는 것입니다. "불가피한" 손실(유실된 코인들)은 작고 알려져 있지만, 나머지 네트워크는 구할 수 있습니다.

기술 요약

기술 요약: 퀀텀 호라이즌 (Quantum Horizon)

문제 제기
본 논문은 비트코인과 이더리움의 암호학적 보안에 가해지는 양자 컴퓨팅의 위협을 다룬다. 특히 두 가지 서로 다른 양자 알고리즘의 혼동을 겨냥한다. 즉, 타원 곡선 디지털 서명(secp256k1의 ECDs 및 BLS12-381의 BLS)을 위협하는 쇼어(Shor) 알고리즘과, 비구조적 탐색을 가속화하는 그로버(Grover) 알고리즘을 구분한다. 핵심 질문은 이러한 네트워크들이 포스트 양자 표준으로 마이그레이션(이전)하기 전에 암호학적으로 유의미한 양자 컴퓨터(CRQC)가 출현할 것인가, 그리고 기존 자산의 노출 범위는 어느 정도인가 하는 점이다.

방법론
저자들은 리소스 추정, 하드웨어 모델링, 체인 분석을 결합한 다각적인 접근 방식을 채택한다:

• 리소스 추정: 논문은 알고리즘의 발전(특히 인수를 위한 토폴리 게이트(Toffoli gate) 수의 2025~2026년 감소)과 하드웨어 스케일링 모델을 합성한다. 저자들은 논리적 큐비트(오류 정정됨)와 물리적 큐비트를 구분하며, 원시 큐비트 수와 기능적 기계 사이의 엔지니어링 격차를 고려하기 위해 "결함 허용 준비 지연(fault-tolerance readiness lag)"을 적용한다.
• 몬테카를로 예측: CRQC의 도래를 예측하기 위해 저자들은 네 가지 신호를 통합한다: (1) 알고리즘 개선에 따른 리소스 요구량 감소, (2) 하드웨어 스케일링 속도(물리적 큐비트 배가), (3) 결함 허용 준비 지연, (4) 전문가 설문 조사(Global Risk Institute, Mosca). 이 모델은 서로 다른 신호들을 단순히 평균 내는 대신, 그 불일치를 보존함으로써 이봉 분포(bimodal distribution)를 도출한다.
• 노출 분석: 저자들은 비트코인과 이더리움에 대한 세밀한 온체인 분석을 수행하여 "불가피한(irreducible)" 리스크(휴면/분실 코인)와 "마이그레이션 가능한(migratable)" 리스크(활성 코인)를 구분한다. 공개 키가 해시 기반 주소 뒤에 숨겨져 있는지 아니면 영구적으로 노출되었는지의 비율을 정량화하기 위해 체인 스캔을 활용한다.
• 채굴 경쟁력 모델링: 검증된 모델을 통해 그로버 알고리즘이 작업 증명(PoW)에 미치는 영향을 평가하며, 이때 결함 허용 연산 비용, 병렬화 제한, 네트워크 난이도 조정을 고려한다.

주요 기여

1. 위협의 분리: 본 논문은 서명에 대한 위협(쇼어)과 채굴에 대한 위협(그로버)을 엄격히 분리한다. 결론적으로 서명은 취약하지만, PoW 채굴은 이차적(quadratic) 한계, 높은 결함 허용 비용, 제곱근 병렬화 벽으로 인해 양자 가속화에 의해 의미 있게 위협받지 않는다고 판단한다.
2. 이봉형 타임라인 예측: 단일 점 추정치 대신, 논문은 CRQC 도래에 대한 이봉 분포를 제시한다. 한 모드는 전문가 설문(2038~2040년 중심)을 반영하고, 다른 모드는 상향식 물리 모델(2052년 중심)을 반영한다. 결합된 예측은 2035년까지 CRQC가 등장할 확률을 약 1/6로 할당하며, 2050년까지는 약 60%로 상승한다.
3. 노출 계층화: 저자들은 "불가피한" 리스크의 하한선을 정량화한다. 비트코인의 경우, 약 230만 BTC(공급량의 12%)가 불가피하게 위험에 처해 있는 반면(휴면/분실), 약 370만 BTC는 마이그레이션 가능하다. 이더리움의 경우, 공급량의 50~65%가 공개된 키를 가진 "사용 중인" 계정에 위치한다고 추정하지만, 이는 계정 추상화(account abstraction)를 통해 대부분 마이그레이션 가능하다고 명시한다.
4. 거버넌스라는 구속 요인: 논문은 주요 병목 현상이 기술적 실현 가능성이 아니라 거버넌스라고 주장한다. 2026년에 시작되는 적시 마이그레이션은 낙관적인 2035년 CRQC 도래보다 앞서 2029~2031년 사이에 완료될 것으로 예상된다. 실패의 위험은 기술 구현 능력이 아닌 거버넌스의 마비에 있다.

결과

• 하드웨어 격차: 2026년 6월 기준, 최신 하드웨어는 약 1,0001,200개의 물리적 큐비트와 최대 100개의 논리적 큐비트를 보유하고 있다. secp256k1을 깨뜨리는 데는 약 1,2002,330개의 논리적 큐비트가 필요하며, 이는 공격적인 추정치에 대해서도 400~500배의 격차를, 보수적인 추정치에 대해서는 수십 배 이상의 격차를 의미한다.
• 채굴 안전성: 낙관적인 100 GHz 게이트 속도를 가진 단일 양자 기계는 약 21 TH/s를 달 정도로, 이는 현대 ASIC 한 대의 10분의 1 수준이다. 네트워크 난이도 조정이 양자 채굴 이점을 상쇄하여 "양자 채굴자" 위협을 무시할 만한 수준으로 만들 것이다.
• 취약성 분포:
  • 비트코인: 공급량의 약 30%가 휴지 상태에서 양자 노출 상태에 있다. 이 중 약 12%는 불가피한 리스크(휴면/분실)이며, 약 19%는 마이그레이션 가능하다.
  • 이더리움: 계정 재사용으로 인해 공급량의 약 50~65%가 휴지 상태에서 노출되어 있으나, 비트코인의 UTXO 모델보다 계정 추상화(EIP-7702/8141)를 통해 구조적으로 해결하기가 더 쉽다.
• 시장 준비도: 상위 20개 암호화폐에 대한 조사 결과, 완전한 포스트 양자 상태인 체인은 하나도 없었다. 준비도는 특정 곡선의 종류보다는 마이그레이션 진행 상황과 노출 모델(UTXO vs. 계정)에 의해 결정된다. 비트코인과 이더리움은 구체적인 마이그레이션 경로가 있음에도 불구하고 거버넌스의 복잡성 때문에 주요 체인 중 준비도가 낮은 쪽에 속한다.

의의 및 주장
본 논문은 비트코인과 이더리움에 대한 양자 위협이 실재하며, 광범위하지만, 경계가 명확하고 실질적으로 완화 가능하다고 주장한다.

• 완화 가능성: 위협은 디지털 서명에 국한된다. 근간이 되는 합의 메커니즘(PoW/PoS)과 해시 함수는 안전하다.
• 실행 가능성: "구속 요인"은 거버넌스의 속도이다. 저자들은 2026년에 즉각적인 마이그레이션을 시작하면 CRQC가 도래할 가능성이 있는 시점보다 몇 년 앞서 업그레이드를 마칠 수 있다고 단언한다.
• 잔여 리스크: 유일하게 수정 불가능한 손실은 휴면 코인(예: 사토시 시대의 비트코인)과 같은 "불가피한 핵심(irreducible core)"이며, 이는 시스템적 붕괴라기보다 경계가 명확하고 특성화 가능한 손실이다.
• 태도: 논문은 경고보다는 "준비된 긴박함(prepared urgency)"을 옹호한다. 알고리즘 발전으로 인해 타임라인이 압축되었으나, 탈중화된 커뮤니티가 CRQC가 출현하기 전(NIST의 ML-DSA 및 SLH-DSA와 같은) 포스트 양자 표준을 활성화하기 위해 효과적으로 협력한다면 마이그레이션의 창은 열려 있다고 결론짓는다.