소프트포크 없이 비트코인 양자 내성 가능하다…새 제안 등장

비트코인의 현행 보안 체계는 타원곡선 암호(ECDSA, secp256k1)에 의존한다. 이론적으로 충분한 성능을 갖춘 양자 컴퓨터가 쇼어(Shor) 알고리즘을 실행하면, 이산대수 문제를 풀어 서명을 위조하고 타인의 자금을 탈취할 수 있다는 구조적 취약점이 존재한다. 비트코인 생태계에서 이 문제에 대한 우려가 커지는 가운데, 프로토콜 변경 없이 방어가 가능하다는 연구 결과가 나왔다.

핵심 설계: 'QSB'란 무엇인가

스타크웨어(StarkWare)의 아비후 레비(Avihu Levy)는 지난 4월 9일 「소프트포크 없는 양자 안전 비트코인 트랜잭션(Quantum-Safe Bitcoin Transactions Without Softforks)」이라는 제목의 논문을 발표하며 양자 안전 비트코인(QSB, Quantum Safe Bitcoin) 설계안을 제안했다. QSB는 비트코인 기존 규칙과의 호환성을 유지하면서 양자 컴퓨터의 위협으로부터 트랜잭션을 보호하는 것을 목표로 한다.

이 설계의 핵심은 타원곡선 보안 대신 해시 기반 가정에 보안을 의존한다는 점이다. ECDSA는 검증 수단으로만 활용하고, 실질적인 보안 근거는 해시 프리이미지 내성(hash pre-image resistance)으로 대체한다. 이 접근법은 비트코인 스크립트에 일회용 서명 체계를 내장하는 기존 연구 '비노해시(Binohash)'에서 착안됐다.

작동 원리: 해시-서명 퍼즐

QSB의 핵심 구조는 '해시-서명 퍼즐'이다. 트랜잭션에서 파생된 공개키를 RIPEMD-160으로 해싱하고, 그 출력값을 ECDSA 서명 후보로 취급한다. 무작위 해시 중 유효한 서명 형식 요건을 충족하는 비율은 극히 낮아, 약 70조 4000억 분의 1의 확률로만 성공하는 작업증명(PoW) 조건이 형성된다.

이 퍼즐은 타원곡선 강도가 아닌 해시 특성에 의존하기 때문에 쇼어 알고리즘의 영향을 받지 않는다. 양자 공격자는 그로버(Grover) 알고리즘에 의한 이차적 속도 향상 효과만 얻게 되며, 논문은 쇼어 위협 모델 하에서 약 118비트 수준의 보안 강도가 유지된다고 추정했다.

세 단계로 이루어진 트랜잭션 처리

QSB 트랜잭션은 세 단계로 구성된다.

첫 번째는 핀닝(Pinning) 단계다. 유효한 해시-서명 출력값을 생성하는 트랜잭션 파라미터를 탐색하며, 트랜잭션을 고정된 구조에 결합(binding)한다.

두 번째는 다이제스트(Digest) 단계다. 두 차례의 다이제스트 라운드를 통해 내장 서명 서브셋을 선택하고, 트랜잭션 해시에 연결된 추가 증명을 생성한다.

세 번째는 조립(Assembly) 단계다. 필요한 모든 프리이미지와 검증 데이터를 포함해 트랜잭션을 완성한다.

제약과 한계: 현실적 트레이드오프

이 설계에는 명확한 한계가 있다. QSB 트랜잭션은 기본 릴레이 정책 한도를 초과하기 때문에 표준 네트워크 전파가 불가능하다. 대신 슬립스트림(Slipstream)과 같은 서비스를 통해 채굴자에게 직접 제출해야 한다. 또한 스크립트 용량과 연산 자원 소모가 크다는 점도 과제다.

그럼에도 불구하고 유효한 트랜잭션 생성 비용은 현실적인 수준으로 추정된다. 논문은 클라우드 GPU를 활용할 경우 총 연산 비용이 75달러에서 150달러 사이가 될 것으로 분석했다. 초기 테스트에서는 복수의 GPU를 병렬 운용해 수 시간 만에 퍼즐 풀이에 성공했다.

현 단계와 의미

프로젝트는 아직 완성 단계가 아니다. 논문과 스크립트 생성 도구는 완성됐으나, 전체 트랜잭션 조립 및 온체인 브로드캐스트는 아직 실증되지 않았다.

그럼에도 이 제안은 비트코인이 양자 컴퓨팅 시대에 어떻게 적응할 수 있는지를 탐색하는 연구의 흐름에 새로운 방향을 더했다는 점에서 주목받는다. 합의 업그레이드나 소프트포크 없이 기존 규칙 위에서 방어 체계를 구축한다는 접근은, 네트워크 장기 보안을 둘러싼 논의에서 하나의 독립적인 경로로 자리 잡을 가능성이 있다.