700만 비트코인이 위험하다 — 코인베이스 자문위가 던진 '양자 시대'의 난제

세계 최대 가상자산 거래소 코인베이스의 양자컴퓨팅·블록체인 독립 자문위원회가 6월 발표한 보고서 '포스트-퀀텀 마이그레이션과 버려진 코인(Post-Quantum Migration and Abandoned Coins)'이 업계에 묵직한 질문을 던졌다. 양자컴퓨터가 현재의 암호 체계를 무력화할 미래에, 주인을 잃은 비트코인을 어떻게 처리할 것인가 하는 물음이다.

자문위는 스콧 애런슨(UT오스틴), 댄 보네(스탠퍼드), 저스틴 드레이크(이더리움 재단), 스리람 칸난(아이겐랩스·워싱턴대), 예후다 린델(코인베이스·바일란대), 달리아 말키(UC샌타바버라) 등 암호학·컴퓨터과학 분야 최고 권위자들로 구성됐다. 올해 1월 출범한 이 자문위는 학계와 산업계의 연구자들을 한데 모은 조직이다.

"위협은 오늘이 아니다, 그러나 준비는 지금"

보고서의 출발점은 분명하다. 양자컴퓨터는 아직 블록체인을 깨뜨릴 수 없다는 것이다. 자문위는 "언제 위협이 도래하는가"를 두고 논쟁하기보다, 그 시점을 알 수 없다는 사실 자체를 전제로 지금 당장 준비를 시작해야 한다고 강조한다. 실제로 비트코인·이더리움 등 주요 블록체인을 지키는 타원곡선 전자서명을 해독할 만큼 강력한 '암호학적으로 유의미한 양자컴퓨터(CRQC)'가 이르면 2030년쯤 등장할 가능성이 절반을 넘는다는 경고가 나온다. 참고로 구글은 지난 3월 자체 시스템의 포스트-퀀텀 암호 전환 시한을 2029년으로 제시한 바 있다.

블록체인이 양자 시대를 맞으려면 두 가지 질문에 답해야 한다고 보고서는 말한다. 하나는 순수한 기술 문제, 즉 모든 암호를 양자 내성으로 어떻게 전환할 것인가다. 다른 하나는 훨씬 까다로운 거버넌스 문제, 곧 새 양자 안전 주소로 옮겨지지 않은 '버려진 코인'을 어떻게 할 것인가다.

왜 비트코인인가 — '사토시의 코인'이라는 뇌관

이 문제가 유독 비트코인에서 심각한 이유는 구조에 있다. 초창기 비트코인 주소는 'P2PK(Pay to Public Key)' 방식이었다. 공개키 자체가 주소로 쓰여, 누구나 블록체인에서 공개키를 들여다볼 수 있다. 양자컴퓨터는 쇼어 알고리즘으로 공개키에서 개인키를 역산해낼 수 있기 때문에, 이런 주소는 사실상 무방비다. 보고서에 따르면 약 2만 개의 P2PK 공개키에 약 170만 비트코인이 묶여 있으며, 상당수는 사토시의 것이거나 개인키를 잃어버린 소유자의 것으로 추정된다.

이후 등장한 'P2PKH' 방식은 공개키의 해시값만 주소로 노출한다. 공개키를 한 번도 드러내지 않았다면 양자 공격에 직접 노출되지 않는다. 문제는 한 번이라도 거래에 사용해 공개키가 공개되거나, 같은 주소를 재사용하는 순간 곧바로 취약해진다는 점이다. 보고서는 분석업체 프로젝트11을 인용해, 주소 재사용으로 취약해진 비트코인이 약 500만 개에 이른다고 밝혔다. 이를 합치면 향후 양자 공격에 노출된 비트코인은 약 700만 개에 달하며, 이 가운데 약 500만 개는 분실된 사토시 시대 코인이 아니라 거래소의 대형 콜드월렛을 포함해 현재 활발히 쓰이는 자금이라는 점이 핵심이다. 잃어버린 코인만의 문제가 아니라는 뜻이다.

'두 개의 순수한 입장' — 태울 것인가, 내버려둘 것인가

자문위는 어떤 해법도 지지하지 않는 대신, 대립하는 입장들을 충실히 정리했다.

첫 번째 입장은 '소각'이다. 블록체인이 양자 내성 서명을 도입한 뒤 마감 시한을 정하고, 그 이후로는 ECDSA·슈노어 등 취약한 서명을 더 이상 받아들이지 않는 방식이다. 시한까지 코인을 옮기지 않은 주소는 영구히 사용 불능이 된다. 논거는 명료하다. 깨진 암호는 폐기하는 것이 모든 보안 체계의 상식이며, 서명이 곧 소유권 증명인 이상 암호가 깨진 코인을 양자 공격자가 가져가도록 두는 것은 정당한 소유자가 아닌 자에게 가치를 넘기는 일이라는 것이다. 또 북한 같은 제재 대상 국가가 막대한 비트코인을 손에 넣어 시장 신뢰와 비트코인의 정당성을 훼손하는 사태를 막을 수 있다는 점, 분실 코인이 한꺼번에 풀려 유통량이 급증하면 가격이 폭락할 수 있다는 점도 거론된다. 무엇보다 책임감 있게 자산을 옮긴 정당한 소유자들을 보호해야 한다는 윤리적 논리가 깔려 있다. 움직이지 않는 자의 방치가 네트워크 전체에 '부정적 외부효과'를 끼친다는 것이다.

두 번째 입장은 '아무것도 하지 않음'이다. 양자 안전 주소를 활성화하되, 그 이상은 손대지 말라는 것이다. 내 자산이 양자 공격에 도난당하는 위험을 감수하는 것도 내 권리이며, 누구의 통제도 받지 않고 소유권이 절대적이라는 점이 비트코인의 근본 원칙이라는 주장이다. 코인을 태우는 것은 도난당한 자금을 되돌리려 블록체인을 되감는 것과 본질적으로 다르지 않으며, 한 번 선례가 생기면 네트워크 차원의 '소유권 제재'로 번질 수 있다는 우려도 제기된다. 소유자가 시한을 넘긴 것이 정말 방치 때문인지, 아니면 수감·일시적 키 분실·뒤늦은 상속 같은 불가피한 사정 때문인지 가려낼 방법이 없다는 현실적 문제도 있다. 이 입장의 온건한 변형은 "실제로 양자컴퓨터가 주소를 깨뜨리는 것이 공개적으로 입증되기 전까지는 아무것도 하지 않는다"는 것이다.

절충안들 — 모래시계, BIP-361, PACTs

양극단 사이를 메우려는 중간 제안도 함께 소개됐다.

'모래시계(Hourglass)'는 블록당 P2PK 주소에서 인출 가능한 비트코인 수량을 제한한다. 가령 블록당 1개로 묶으면, 설령 양자컴퓨터가 주소를 깨더라도 한꺼번에 쏟아져 나오지 못해 가격 폭락을 막을 수 있다. 동시에 소각과 달리 정당한 소유자가 자금을 되찾을 길도 남겨둔다.

'BIP-361'은 ECDSA·슈노어 서명을 일정 시점 이후 금지하되, 그 뒤에는 영지식증명(ZK, 양자 내성 SNARK)으로 개인키의 해시 원본을 안다는 사실을 입증해 자금을 옮길 수 있게 한다. 양자컴퓨터는 공개키에서 개인키를 알아낼 수는 있어도 해시를 거꾸로 풀지는 못한다는 원리를 활용한다. 다만 이는 니모닉·HD지갑 시드 구문(BIP-32)으로 생성된 키에만 해당하며, 2012년 이전의 초창기 P2PK 주소에는 적용되지 않는다.

'PACTs'는 지금 당장 공개적으로 코인을 옮기고 싶지 않은 소유자를 위한 방식이다. 비트코인의 타임스탬프 기능을 이용해, 취약한 키로 만든 '양자 안전 주소로의 이체 거래'를 해시(커밋먼트) 형태로 미리 블록체인에 박아둔다. 양자 공격이 가능해지기 전에 생성된 거래이므로, 나중에 취약한 서명이 금지된 뒤에도 유효하게 인정받는다. 이 제안들은 서로 충돌하지 않아 둘 이상을 함께 채택할 수도 있다.

자문위의 결론 — "정답은 없다, 그러나 지금 시작하고 분명히 밝혀라"

보고서는 특정 해법을 권고하지 않는다. 정답은 없으며 결정은 비트코인 커뮤니티의 몫이라는 것이다. 대신 두 가지만큼은 분명히 했다.

첫째, 기술적 전환 작업을 지금 시작하라. 버려진 코인을 어떻게 할지의 문제는 어렵지만, 양자 내성 서명을 도입하는 기술 작업과는 별개다. 후자는 거버넌스 논쟁이 끝나기를 기다릴 이유가 없다. 둘째, 명확성을 확보하라. 커뮤니티가 이 문제를 진지하게 다루고 있으며 해결할 것이라는 분명한 메시지가 사용자의 불안을 가라앉힌다. 자문위는 이 결정이 어떻게 내려질지에 대한 불확실성 자체가 이미 기관투자가의 가상자산 진입을 가로막고 있다고 지적한다.

한국 시장에 던지는 함의

이 논쟁은 먼 미래의 기술 담론이 아니다. 거래소와 수탁업체가 보관한 콜드월렛 상당수가 '활발히 쓰이는 취약 자산'에 포함된다는 분석은, 한국의 거래소·커스터디 사업자에게도 직접적인 점검 과제를 안긴다. 또한 '코드가 곧 법'이라는 비트코인의 무정부적 소유권 철학과, 네트워크 전체의 경제적 생존을 위해 일부 자산을 소각할 수 있다는 공동체주의적 논리의 충돌은, 탈중앙화의 본질을 둘러싼 근본 질문을 다시 끄집어낸다. 양자컴퓨터가 실제로 도래하기 전에, 시장과 규제 당국이 어떤 좌표를 잡아둘 것인가 — 코인베이스 자문위가 던진 질문은 결국 우리 모두를 향한다.