100만 물리 큐비트면 ‘ETH 암호 붕괴’… 양자컴퓨터, 블록체인 보안 ‘몇 분’ 만에 무력화하나

양자컴퓨터가 암호화폐 보안을 ‘몇 분 만에’ 무력화할 수 있다는 경고가 나왔다. 이더리움재단(Ethereum Foundation) 연구원 저스틴 드레이크(Justin Drake)는 현재 블록체인 생태계를 지탱하는 핵심 암호 기술 세 가지가 양자컴퓨팅에 취약하다며, 시점은 아직 불확실하지만 ‘산업 전체를 뒤흔들 수 있는 시스템 리스크’에 대비해야 한다고 강조했다.

드레이크는 이더리움(ETH) 프로토콜·암호 프로토콜·확장성 분야를 담당하는 핵심 연구자다. 2022년 이더리움의 지분증명(PoS) 전환을 이끈 ‘머지(The Merge)’에 깊게 관여했고, 이더리움 2.0과 후속 업그레이드 설계에도 참여해 왔다. 케임브리지대 수학 전공, 비트코인(BTC) 스타트업 창업 경험을 거쳐 2017년 이더리움재단에 합류한 인물이다. 그가 짚어낸 양자컴퓨팅 리스크는 단순한 이론 논의가 아니라, 이더리움을 포함한 모든 퍼블릭 블록체인이 언젠가 맞닥뜨릴 수 있는 ‘구조적 위협’으로 읽힌다.

양자컴퓨터, 암호키를 ‘몇 분’ 만에 부순다

드레이크가 가장 먼저 지적한 것은 양자컴퓨팅이 현행 암호 체계를 무너뜨리는 속도다. 그의 설명에 따르면 충분히 발전한 양자컴퓨터는 현재 안전하다고 여겨지는 공개키 암호를 ‘몇 분 단위’로 깨버릴 수 있다. 블록체인에서 사용하는 전자서명과 주소 체계 대부분이 바로 이 공개키 암호에 기반하고 있다는 점에서, 이는 곧 암호화폐 보안 자체가 더 이상 유효하지 않게 될 수 있음을 뜻한다.

그는 “양자컴퓨팅은 미시 물리학을 활용하는 전혀 다른 형태의 컴퓨팅”이라며, 문제가 되는 지점은 그 계산 능력 자체보다 “우리가 지금 쓰고 있는 암호를 정면에서 깨버린다”는 점이라고 짚었다. 특히 암호화폐 영역에서는 세 가지 구성요소가 핵심 취약지로 꼽힌다. 바로 타원곡선 디지털 서명(ECDSA), BLS 서명, 그리고 KCG(키 커버넌스·집합 서명 관련 구성요소)다.

드레이크에 따르면 이 세 가지는 모두 양자 알고리즘의 직접적인 공격 대상이다. ECDSA는 비트코인과 이더리움, 대부분의 1세대·2세대 체인에 기본으로 쓰이는 서명 방식이다. BLS 서명은 이더리움 지분증명 검증자, 다양한 지분 위임·롤업 시스템에서 핵심 도구로 활용되고 있다. KCG 역시 여러 참여자의 키·서명을 묶어 처리하는 최신형 암호 구성요소로, 프라이버시·확장성 솔루션에서 비중이 커지는 중이다.

즉, 비트코인 주소에서 이더리움 검증자, 다중서명 월렛, 롤업, 차세대 확장 솔루션까지, 오늘날 우리가 ‘보안 인프라’로 믿고 있는 암호 구조 대부분이 양자컴퓨팅의 진전에 따라 한꺼번에 위험에 노출될 수 있다는 의미다. 드레이크는 “이 구조를 이해하지 못하면 양자 리스크의 실체도 이해할 수 없다”며 암호 기초에 대한 업계 전반의 이해가 필요하다고 강조했다.

“2031년 즈음, 의미 있는 양자컴퓨터 등장 가능성”

양자컴퓨팅 위협에서 가장 논쟁적인 부분은 ‘언제 오느냐’다. 드레이크는 다수 연구자들의 견해를 인용해 “지금으로부터 10~15년 뒤쯤이면, 암호에 의미 있는 영향을 줄 수 있는 수준의 양자컴퓨터가 등장할 ‘상당한 확률’이 생길 것”이라고 내다봤다.

그는 구체적으로 “2031년쯤에는, 비록 1~2%와 같은 낮은 확률일지라도, 암호적으로 의미 있는 양자컴퓨터를 보게 될 가능성이 있다고 보는 것이 합리적”이라고 말했다. 이 수치는 단정적인 예측이라기보다, 블록체인 업계가 보안 전략·프로토콜 설계를 논의할 때 전제로 삼아야 할 ‘보수적 기준점’에 가깝다.

핵심은, 양자컴퓨팅 발전이 직선적이 아니라는 점이다. 물리 하드웨어, 오류율, 알고리즘, 제조 기술이 서로 맞물리며 진전되는 만큼, 겉으로 드러난 성능 향상보다 훨씬 빠르게 ‘암호를 깨는 데 필요한 조건’이 개선될 수 있다. 드레이크는 “시간표를 과소평가하는 것은 치명적”이라며, 업계가 지금부터 양자 내성(post-quantum) 암호 도입과 마이그레이션 전략을 준비해야 한다고 말했다.

이더리움 암호 깨는 데 필요한 큐비트, 1,000만→100만개로

이더리움에 대한 양자 위협은 이미 구체적인 숫자로 나타나기 시작했다. 드레이크에 따르면 불과 2~3년 전만 해도, 이더리움이 사용하는 암호를 깨는 최선의 알려진 양자 알고리즘은 약 1,000만 개의 ‘물리 큐비트’가 필요하다고 추정됐다. 하지만 1년 전, 새로운 연구 결과가 이를 ‘100만 개 수준’으로 낮췄다.

큐비트 수가 10분의 1로 줄었다는 것은 단순한 숫자 변화가 아니다. 실제 구현 가능성, 비용, 필요한 공학적 난이도가 동시에 떨어졌다는 의미다. 다시 말해 이더리움이 의존하고 있는 암호 구조를 공격하는 데 필요한 양자컴퓨터의 규모가 생각보다 빠르게 현실적인 범위로 다가오고 있는 셈이다.

이더리움 커뮤니티 입장에서는 이 수치 변화가 곧 ‘시간표 압축’으로 이어진다. 같은 발전 곡선을 전제하면, 향후 5~10년 사이에 추가적인 알고리즘 개선이 이뤄질 수 있고, 그때마다 필요한 큐비트 수는 또 줄어든다. 드레이크는 이런 추세가 “이더리움뿐 아니라 모든 메이저 체인이 양자 내성 전략을 최우선 과제로 올려야 할 이유”라고 짚었다.

그는 또 “큐비트 숫자의 의미를 제대로 이해하는 것이 중요하다”고 덧붙였다. 물리 큐비트가 많다는 것은 시스템이 그만큼 복잡하고 불안정하다는 뜻이지만, 알고리즘·오류 보정 기술이 개선되면 해당 숫자는 기하급수적으로 줄어들 수 있다. 따라서 현재의 큐비트 추정치는 ‘안전 마진’이 아니라, 보수적으로 잡은 출발점에 가깝다는 설명이다.

오류 보정: 물리 큐비트 vs 논리 큐비트

양자컴퓨팅이 이론에서 실전으로 넘어가려면 반드시 해결해야 할 문제가 ‘오류 보정(error correction)’이다. 드레이크는 “양자 시스템은 본질적으로 노이즈가 심하기 때문에, 그대로는 신뢰할 수 있는 계산을 할 수 없다”고 설명한다. 이 때문에 여러 개의 ‘물리 큐비트’를 묶어 하나의 ‘완전한 논리 큐비트’를 형성하는 과정이 필요하다.

이 구조 때문에 외부에서 들리는 큐비트 숫자는 종종 오해를 낳는다. 예를 들어 어떤 암호를 깨기 위해 1,000개의 논리 큐비트가 필요하다면, 실제 하드웨어에는 수십만~수백만 개의 물리 큐비트가 요구될 수 있다. 드레이크가 언급한 100만 개 수준의 물리 큐비트 추정치는 이런 오류 보정 과정을 이미 반영한 수치다.

오류 보정은 양자컴퓨터 개발의 가장 큰 난제이자, 동시에 암호화폐 업계에 주어진 ‘시간 벌이’이기도 하다. 하지만 그는 “오류 보정 기술이 개선될수록, 같은 성능을 내는 데 필요한 물리 큐비트 수는 빠르게 줄어들 것”이라며, 이를 과신해 대비를 미뤄서는 안 된다고 강조한다. 블록체인 프로젝트들은 양자 내성 서명 체계, 주소 구조 변경, 체인 업그레이드 경로 등을 지금부터 설계해 두어야 한다는 지적이다.

양자컴퓨터 등장 시, 블록체인 ‘시스템 리스크’ 현실화

드레이크가 가장 우려하는 지점은 ‘개별 프로젝트’가 아니라 ‘산업 전체’다. 그는 “만약 암호적으로 의미 있는 양자컴퓨터가 등장한다면, 사실상 게임 오버에 가깝다”고 잘라 말했다. 이때 위험에 노출되는 것은 특정 체인이 아니라, 공개키 기반 암호를 사용하는 모든 블록체인이다.

그는 “양자컴퓨터를 가장 먼저 만든 주체는 사실상 어느 체인이든 원하는 만큼 코인을 훔칠 수 있다”고 경고했다. 블록체인에는 이미 수많은 공개키가 온체인 형태로 노출돼 있다. 양자컴퓨터가 이 공개키로부터 개인키를 역산해낼 수 있다면, 공격자는 마음대로 서명을 위조해 자산을 자신의 주소로 옮기는 트랜잭션을 만들어 낼 수 있다.

이 시나리오가 현실화되면, 블록체인이 전제로 삼아온 ‘소유권’ 개념 자체가 흔들린다. 자산 보관 기간이 길수록, 오래된 주소일수록 위험은 커진다. 드레이크는 이 상황을 “산업 전체에 걸친 시스템 리스크”로 규정하며, 단일 프로젝트 차원을 넘어 업계 공동의 대응이 필요하다고 강조했다.

그가 제시한 핵심 메시지는 명확하다. 첫째, 양자컴퓨팅은 여전히 초기 단계지만, 암호를 깨는 데 필요한 알고리즘·하드웨어 조건은 생각보다 빠르게 개선되고 있다. 둘째, 현행 ECDSA·BLS·KCG 기반 구조는 모두 양자 공격에 취약하며, 비트코인·이더리움은 물론 대다수 블록체인이 같은 문제를 안고 있다. 셋째, 2030년대 초를 전후해 ‘암호적으로 의미 있는’ 양자컴퓨터가 등장할 가능성에 대비해, 지금부터 양자 내성 암호 전환 로드맵을 마련해야 한다.

그는 끝으로 “양자 리스크를 과장해 공포를 조장할 필요는 없지만, 무시하는 것은 더 위험하다”고 지적했다. 블록체인 업계가 이 문제를 기술·거버넌스·표준화 과제로 끌어올려 논의할 경우, 양자컴퓨팅은 기존 시스템을 무너뜨리는 위협이 아니라, 새로운 보안 패러다임을 여는 계기가 될 수도 있다는 게 드레이크의 시각이다.