보상 허브 
2026년 4월 24일, 이탈리아의 독립 연구자인 지안카를로 렐리(Giancarlo Lelli)는 공개적으로 접근 가능한 양자 컴퓨터에서 15비트 타원곡선 키를 해독하여 Project Eleven의 1 BTC Q-Day 상금을 수상했습니다. 이 결과는 언젠가 비트코인, 이더리움, 그리고 타원곡선 암호화 기술에 의존하는 모든 블록체인에 위협이 될 수 있는 공격 유형의 가장 큰 공개 시연입니다. 7개월 전만 해도 기록은 6비트 키였으나, 렐리의 결과는 복잡도에서 512배 도약을 의미합니다.
실제 비트코인 지갑을 보호하는 256비트와 15비트 사이에는 여전히 큰 격차가 존재합니다. 하지만 기술 진보 속도와 2026년 3월 구글의 연구(완전한 해독에 필요한 큐비트 수를 50만 개 미만으로 예상)가 맞물리며, 논의의 초점이 '가능성'에서 '언제'로 이동했고 비트코인 개발자 커뮤니티는 구체적인 이주 계획을 논의하기 시작했습니다.
지안카를로 렐리가 실제로 한 일
렐리는 쇼어(Shor) 알고리즘의 변형을 사용해 32,767개의 가능한 값 중에서 공개키로부터 개인키를 추론했습니다. 그는 약 70큐비트의 클라우드 기반 양자 컴퓨터에서 이 실험을 진행했으며, 국립 연구소나 독점 칩, 기관 투자 없이 성공했습니다. 이 하드웨어는 누구나 적절한 지식이 있다면 대여해 사용할 수 있습니다.
표적이 된 것은 비트코인의 공개키와 개인키 쌍을 보호하는 수학적 기반인 타원곡선 이산로그 문제(ECDLP)입니다. 비트코인을 보낼 때, 지갑은 해당 공개키와 쌍을 이루는 개인키로 거래에 서명합니다. 기존 보안 가정은 어떤 컴퓨터도 공개키로부터 개인키를 역산할 수 없다는 점이지만, 렐리는 소규모이긴 해도 양자 컴퓨터로 이 문제가 가능함을 입증했습니다.
예를 들어, 기존 컴퓨터는 자물쇠의 모든 조합을 하나씩 시도하는 것과 같지만, 양자 컴퓨터는 쇼어 알고리즘을 이용해 여러 조합을 동시에 시도할 수 있어 문제 해결 속도가 기하급수적으로 빨라집니다. 15비트일 때 조합 수는 32,767개이지만, 256비트일 경우 우주에 존재하는 원자 수보다 많습니다.
동기에 대해 렐리는 Decrypt와의 인터뷰에서 "1년간 스스로 도전해보고 싶다는 생각과 기술 및 혁신에 대한 순수한 열정이 동기였다"고 밝혔습니다. 개인 연구자가 클라우드 하드웨어만으로, 개인적 예산과 일정에서 이뤄낸 성과라는 점도 기술적 결과만큼 중요합니다.
Project Eleven과 Q-Day 상금이란?
Project Eleven은 비트코인과 암호화폐 생태계를 위한 포스트-양자 보안 인프라를 개발하는 기업으로, 2025년 중반 600만 달러를 조달하여 양자 위협에 대비하고 있습니다.
Q-Day 상금은 공개 현상금으로, 실제 양자 하드웨어에서 가장 큰 타원곡선 키를 해독하는 첫 번째 사람에게 비트코인 1개를 지급하는 방식이었습니다. Q-Day란 양자 컴퓨터가 비트코인 지갑을 보호하는 암호를 뚫을 수 있게 되는 시점을 의미합니다. Project Eleven은 연구자들이 사적으로가 아니라 공개적으로 경계를 넓히도록 금전적 인센티브를 제공함으로써, 이 시점이 실제로 얼마나 가까워졌는지 측정하려 했습니다.
렐리 이전에는 2025년 9월 IBM의 133큐비트 양자 컴퓨터에서 스티브 티페코닉(Steve Tippeconnic)이 6비트 키를 해독해 최초의 공개 성공 사례로 기록되었습니다. 하지만 6비트 키는 64개의 값만 갖습니다. 렐리의 15비트 결과는 32,767개 값으로, 7개월 만에 512배 도약했습니다.
Project Eleven은 또한 Yellowpages라는 포스트-양자 암호화 레지스트리도 출시 중입니다. 사용자는 하이브리드 키 쌍을 만들고, 이를 기존 BTC 주소에 연결된 증명서를 생성할 수 있습니다. 이는 비트코인 보유자에게 시급해지기 전에 이주 경로를 제공하기 위한 목적입니다.
왜 15비트와 256비트는 다르며, 그럼에도 추세가 중요한가?
비트코인은 256비트 타원곡선 암호를 사용하며, 렐리는 15비트를 해독했습니다. 엄밀하게 말하면 15비트는 실제 지갑 위협과는 거리가 멉니다. 256비트 키의 탐색 공간은 77자리 숫자로 표현될 만큼 거대하며, 비트가 하나 증가할 때마다 난이도는 2배가 됩니다.
하지만 진보의 속도가 연구자들의 관심을 끌고 있습니다. 2025년 9월 6비트 기록이 2026년 4월 15비트로 늘었고, 이는 더 이상 물리적 한계가 아닌 엔지니어링 도전임을 의미합니다. 현재 양자 컴퓨터는 최대 약 1,100 큐비트에 머물고 있지만, 구글 퀀텀 AI의 2026년 3월 백서에서는 전체 256비트 해독에 약 50만 큐비트가 필요하다고 추정했으며, 이는 이전 예상보다 20배 감소한 수치입니다.
Caltech과 Oratomic의 후속 논문에서는 중성 원자 아키텍처를 사용하면 이 수가 1만 큐비트까지 줄어들 수 있다고 제안했습니다. 이 연구가 확인된다면, 위협 일정이 크게 앞당겨질 수 있습니다. Quantum Insider에 따르면 최근 3개월간 발표된 3편의 논문이 위협 일정을 재정립했다고 보도했습니다.
| 이정표 | 해독된 키 크기 | 탐색 공간 | 날짜 |
|---|---|---|---|
| Steve Tippeconnic (IBM 133-qubit) | 6비트 | 64개 값 | 2025년 9월 |
| Giancarlo Lelli (cloud quantum) | 15비트 | 32,767개 값 | 2026년 4월 |
| 비트코인 전체 해독(추정) | 256비트 | 1.16 x 10^77개 값 | 미정 |
실제로 위험에 노출된 비트코인은 얼마나 될까
모든 비트코인 지갑이 동일하게 노출되는 것은 아니며, 핵심은 공개키가 블록체인에 노출되어 있는지 여부입니다. 약 690만 BTC가 지갑에서 이미 공개키가 온체인에 노출된 상태(이전 주소 포맷 또는 기존 주소에서 출금 시)로 보관되어 있습니다. 현재 시세 기준 약 6,500억 달러 상당에 해당합니다.
최신 비트코인 주소(Pay-to-Taproot, P2TR 또는 Pay-to-Witness-Public-Key-Hash, P2WPKH)는 자금을 출금하기 전까지 공개키가 노출되지 않지만, 트랜잭션에 서명하면 공개키가 드러납니다. 구글의 백서에 따르면, 양자 공격자는 이론적으로 약 9분 내에 비트코인 거래를 탈취할 수 있으며, 약 41% 확률로 블록 확정보다 빠를 수 있다고 합니다.
보유자에게 실질적 조언은 명확합니다. 이미 출금 이력이 있는 주소에 BTC를 보유 중이라면 공개키가 온체인에 노출되어 향후 양자 공격에 노출될 수 있습니다. 한 번도 출금하지 않은 주소는 공개키가 해시 뒤에 숨겨져 있어 추가적인 보호를 받습니다.
이 취약점은 비트코인에 국한되지 않습니다. ECDSA 또는 유사한 타원곡선 서명 체계를 사용하는 모든 블록체인은 동일한 위험에 노출되어 있으며, 이더리움, 솔라나 및 대다수 레이어1 네트워크도 예외가 아닙니다. 이더리움은 포스트-양자 연구 로드맵을 발표했고, 리플도 양자 이주 계획을 공개했으며, 스타크넷 등 일부 영지식증명 기반 시스템은 설계상 양자 내성이 있습니다. 하지만 보수적으로 업그레이드되는 비트코인은 가장 큰 가치를 보유한 만큼 이주가 더욱 어렵습니다.
BIP-360 및 비트코인의 포스트-양자 이주 계획
비트코인 개발자들은 Q-Day를 기다리지 않고 있습니다. 2026년 2월 소개된 BIP-360은 Pay-to-Merkle-Root(P2MR)라는 새로운 출력 유형을 제안합니다. 현행 주소와 달리, P2MR은 출금 시에도 절대 공개키를 노출하지 않습니다. 따라서 양자 공격에 완전한 내성을 가집니다.
BTQ Technologies는 2026년 3월 테스트넷에서 BIP-360을 구현했습니다. P2MR 컨센서스, SegWit v2 출력, 지갑에서 생성·송금·서명·출금까지 완벽 지원됩니다.
동반 제안인 BIP-361은 단계별 이주 일정까지 제시합니다. 일정 내에 코인을 양자 내성 주소로 이동하지 않을 경우 결국 동결될 수 있습니다. 이는 논란의 여지가 있습니다. CoinDesk 보도에 따르면, 네트워크는 동결되는 코인과 도난 가능성 사이에서 선택해야 하며, 장기간 미사용 지갑(사토시의 약 110만 BTC 포함)은 자발적 이주가 불가합니다.
즉, 코인 동결은 '내 키=내 코인'이라는 비트코인의 핵심 원칙을 침해할 수 있습니다. 반면, 양자 취약 코인을 방치할 경우 향후 충분히 강력한 양자 컴퓨터를 가진 공격자가 단번에 탈취 가능성도 있습니다. 아직 커뮤니티 합의는 없으며, 렐리의 결과는 10년 이상의 유예기간이 있을 것이라는 낙관론에 경종을 울렸습니다. 7개월 만에 512배 진전된 것은 '시간이 충분하다'는 주장의 설득력을 떨어뜨립니다.
자주 묻는 질문
양자 컴퓨터가 지금 비트코인을 해독할 수 있나요?
아니요. 양자 하드웨어에서 해독된 가장 큰 키는 15비트입니다. 비트코인은 256비트 키를 사용합니다. 현재 양자 컴퓨터는 약 1,100 큐비트 수준이며, 전체 해독에는 50만 개 이상이 필요할 것으로 추정됩니다. 위협은 현실적이지만, 실질적인 공격 가능성은 최소한 10년 이상 남았다는 전망이 많습니다.
지안카를로 렐리는 누구인가요?
렐리는 2026년 4월 24일, 공개 양자 컴퓨터에서 15비트 타원곡선 키를 해독하여 Project Eleven의 1 BTC Q-Day 상금을 수상한 독립 이탈리아 연구자입니다. 그는 1년간 이 문제에 매진했으며, 누구나 대여 가능한 클라우드 기반 양자 하드웨어를 사용했습니다.
BIP-360이란 무엇이며, 비트코인을 양자 공격으로부터 어떻게 보호하나요?
BIP-360은 Pay-to-Merkle-Root(P2MR) 주소를 도입하여, 출금 시에도 공개키가 절대 노출되지 않도록 설계합니다. 이로써 신규 트랜잭션의 양자 공격 표면을 완전히 제거합니다. 2026년 3월 기준, 이미 비트코인 테스트넷에서 운영 중입니다.
양자 컴퓨팅에 취약한 비트코인은 얼마나 되나요?
약 690만 BTC가 온체인에서 공개키가 노출된 상태로, 양자 컴퓨터가 충분히 강력해질 경우 이론적으로 위험에 노출됩니다. 한 번도 출금하지 않은 주소의 코인은 해시만 노출되어 있어 상대적으로 더 안전합니다.
결론
지안카를로 렐리의 15비트 해독은 개념 증명이지 위기 상황은 아닙니다. 그러나 7개월 만에 6비트에서 15비트로의 진전, 완전 해독에 필요한 자원이 20배 감소했다는 구글 연구 결과 등은 비트코인 커뮤니티가 양자 내성을 장기 과제로만 볼 수 없다는 점을 시사합니다. BIP-360은 이미 테스트넷에 적용 중이고, 690만 BTC가 노출된 공개키를 가진 만큼 이주는 더 이상 미룰 수 없는 논의입니다. 구형 주소나 출금 이력이 있는 주소로 BTC를 보유 중이라면 BIP-360/361 제안의 동향을 주시해야 합니다. 연구자들은 많은 이들이 예상한 것보다 빠르게 진보하고 있으며, 방어책 또한 더 빠르게 마련되어야 합니다.
본 기사는 정보 제공을 목적으로 하며, 투자 또는 재정적 조언이 아닙니다. 암호화폐 거래는 상당한 위험을 수반할 수 있습니다. 투자 결정 전 항상 충분한 사전 조사를 하시기 바랍니다.
