양자 컴퓨터가 9분 만에 비트코인을 '해독'한다는 것이 실제로 의미하는 바

구글의 양자 AI 팀은 이번 주 초 미래의 양자 컴퓨터가 약 9분 만에 비트코인 공개 키로부터 개인 키를 도출할 수 있다고 밝혔습니다. 이 숫자는 소셜 미디어를 통해 급속히 확산되며 시장에 충격을 주었습니다.

그러나, 이것이 실제로 무엇을 의미하는가?

비트코인 거래가 어떻게 작동하는지부터 시작해 보겠습니다. 비트코인을 전송할 때, 사용자의 지갑은 개인 키로 거래에 서명하는데, 이 개인 키는 본인이 해당 코인을 소유하고 있음을 증명하는 비밀 번호입니다.

해당 서명은 또한 네트워크에 전송되어 마이너가 블록에 포함시킬 때까지 대기 영역인 메모풀에 머무르는 공유 가능한 주소인 공개 키를 공개합니다. 평균적으로 이 확인 작업은 약 10분 정도 소요됩니다.

귀하의 개인 키와 공개 키는 타원 곡선 이산 로그 문제라고 불리는 수학 문제로 연결되어 있습니다. 기존 컴퓨터는 유용한 시간 내에 이 수학 문제를 역으로 풀 수 없지만, 충분히 강력한 미래의 양자 컴퓨터가 쇼어 알고리즘을 실행하면 가능할 수 있습니다.

여기서 9분이라는 시간이 중요한 역할을 합니다. 구글의 논문에 따르면 양자 컴퓨터는 특정 공개 키에 의존하지 않는 공격의 일부를 사전에 계산하여 미리 준비("primed")할 수 있다고 밝혀졌습니다.

공개 키가 메모리풀에 나타나면, 해당 기계는 작업을 완료하고 개인 키를 도출하는 데 약 9분 정도밖에 걸리지 않습니다. 비트코인의 평균 확정 시간은 10분입니다. 이는 공격자가 원래 거래가 확정되기 전에 약 41%의 확률로 키를 도출하여 자금을 가로챌 수 있음을 의미합니다.

이것을 마치 도둑이 범용 금고 해킹 기계(사전 계산)를 만드는 데 몇 시간을 투자하는 것과 같다고 생각하십시오. 이 기계는 모든 금고에 사용할 수 있지만, 새로운 금고가 나타날 때마다 단지 몇 가지 최종 조정만 필요하며 — 그 마지막 단계에 약 9분이 소요됩니다.

그것이 바로 메풀 공격입니다. 이는 우려스럽지만 아직 존재하지 않는 양자컴퓨터가 필요합니다. 구글의 논문에 따르면 이러한 기계는 50만 개 이하의 물리적 큐비트가 필요하다고 추정합니다. 현재 가장 큰 양자 프로세서는 약 1,000개 수준입니다.

더 크고 즉각적인 우려 사항은 약 690만 개의 비트코인으로, 전체 공급량의 약 3분의 1에 해당하며, 이미 지갑에 보관되어 있다는 점입니다.공개 키가 영구적으로 노출되었습니다.

이는 네트워크 초기 몇 년 동안 사용된 페이-투-퍼블릭-키(pay-to-public-key) 형식의 비트코인 주소를 포함하며, 이 형식에서는 공개 키가 기본적으로 블록체인에 노출됩니다. 또한, 주소를 재사용한 모든 지갑을 포함하는데, 주소에서 지출이 이루어지면 남아 있는 모든 자금에 대한 공개 키가 공개되기 때문입니다.

이들 코인은 9분 경주가 필요하지 않습니다. 충분히 강력한 양자 컴퓨터를 보유한 공격자는 시간 압박 없이 노출된 키를 하나씩 차근차근 해독할 수 있습니다.

코인데스크가 화요일 초에 보도한 바와 같이, 비트코인의 2021년 Taproot 업그레이드는 이 문제를 악화시켰습니다. Taproot는 주소 작동 방식을 변경하여 공개 키가 기본적으로 온체인에 표시되도록 하였으며, 이로 인해 향후 양자 공격에 취약할 수 있는 지갑의 범위가 의도치 않게 확대되었습니다.

비트코인 네트워크 자체는 계속 운영될 것입니다. 마이닝은 현재의 접근 방식으로 양자 컴퓨터가 의미 있게 가속화할 수 없는 SHA-256이라는 다른 알고리즘을 사용합니다. 블록은 여전히 생성될 것입니다.

원장은 여전히 존재할 것입니다. 그러나 공개 키로부터 개인 키를 유도할 수 있다면, 비트코인을 가치 있게 만드는 소유권 보장이 무너집니다. 키가 노출된 누구든 도난 위험에 처하게 되며, 기관의 네트워크 보안 모델에 대한 신뢰가 붕괴됩니다.

해결책은 양자 내성 암호화(post-quantum cryptography)로, 이는 양자 컴퓨터가 해독할 수 없는 알고리즘으로 취약한 수학을 대체하는 것입니다. 이더리움은 이러한 전환을 위해 8년간 준비해왔습니다. 반면 비트코인은 아직 시작조차 하지 않았습니다.