2026년 4월, 한 연구원이 실제 양자 컴퓨터로 15비트 타원 곡선 키(ECC) 해독에 성공하면서 Project Eleven의 Q-Day Prize와 1 BTC를 수상했습니다. 이 공개 실험은 모든 비트코인 지갑을 보호하는 암호화 기법의 새로운 취약점 가능성을 보여줍니다. 물론 실험에 사용된 키는 극히 작은 15비트에 불과하고, 비트코인의 256비트 ECDSA는 아직 안전합니다. 하지만 양자 하드웨어가 발전할수록 '이론적 위협'과 '실제 위험' 사이의 간극은 점점 줄어듭니다. 현재 약 690만 BTC(추정치, 사토시의 코인 100만 개 포함)가 공개키가 노출된 주소에 보관되어 있습니다.
비트코인 개발자들은 이런 상황을 수년간 모니터링해왔고, 2026년 2월 11일 공개 및 공식 BIP 저장소에 병합된 BIP-360이 바로 그 대응 방안입니다. 이 제안서는 Taproot(P2TR)와 거의 유사하게 동작하지만, 양자 컴퓨터가 악용 가능한 부분을 제거한 Pay-to-Merkle-Root(P2MR)라는 새로운 출력 유형을 제시합니다. BTQ Technologies는 2026년 3월 Bitcoin Quantum testnet v0.3.0에서 첫 실 구현을 배포했습니다.
Taproot의 양자 취약성
BIP-360이 해결하는 부분을 이해하려면 Taproot가 노출하는 데이터를 알아야 합니다.
비트코인은 Taproot 업그레이드(2021년 11월)로 P2TR(Pay-to-Taproot) 출력에 두 가지 송금 경로를 도입했습니다. 첫째는 키 경로로, 블록체인에 공개키가 바로 기록되고 소유자가 해당 개인키를 소유함을 증명합니다. 둘째는 스크립트 경로로, 머클 트리 구조에 숨겨진 스크립트 중 한 가지 조건이 사용될 때만 해당 브랜치의 정보가 노출됩니다.
키 경로 방식은 빠르고 저렴하며 개인정보 보호에 유리합니다. 하지만 공개키를 온체인에 평문으로 기록합니다. 현재는 어떠한 컴퓨터도 공개키에서 개인키를 역산할 수 없어 안전합니다. 그러나 충분히 강력한 양자 컴퓨터와 Shor 알고리즘이 결합되면 이 작업이 가능해집니다. 구글의 2026년 4월 백서에 따르면 256비트 ECC 해독에 필요한 실제 큐비트 수가 50만 개 미만으로 이전 추정치(수백만 개)보다 크게 줄었습니다. Caltech 및 Oratomic 논문에서는 중성 원자 기반 아키텍처에서 1만 개 큐비트로도 가능하다고 봅니다.
아직 그러한 컴퓨터는 존재하지 않지만, 관련 추정치는 계속 하락 중이며, 이미 공개키가 노출된 주소들은 계속 남아 있습니다. 모든 P2TR 키 경로 송금, 비트코인 초창기 Pay-to-Public-Key(P2PK) 출력, 과거 한 번이라도 송금을 했던 모든 주소(그 과정에서 공개키가 공개됨)가 양자 취약 코인 풀에 속합니다.
P2MR의 취약점 제거 방식
BIP-360의 대처법은 Bitcoin 스크립트 구조를 거의 바꾸지 않고 취약점을 제거하는 점에서 효율적입니다.
Taproot(P2TR)는 키 경로와 스크립트 트리의 머클루트 정보를 포함한 수정된 공개키로 출력을 약정합니다. P2MR은 키 경로 자체를 없애고, 공개키 대신 머클루트만 직접 약정합니다. 온체인에는 어떠한 공개키도 기록되지 않으며, 스크립트 브랜치가 실행될 때에만 해당 브랜치 내에서 공개키가 드러납니다.
즉, Taproot는 금고 문 바깥에 편리하게 걸려 있는 열쇠(공개키)와 봉투 속 예비 열쇠 역할의 스크립트가 함께 있는 구조이고, P2MR은 바깥 열쇠를 아예 없애고 모든 키를 내부 봉투에만 보관해, 실제로 필요한 순간에만 노출시키는 방식입니다.
기술적으로는 SegWit 버전 2를 사용하며, P2MR만의 주소 프리픽스를 가집니다. 메인넷 P2MR 주소는 bc1z로 시작(버전 2가 bech32m에서 z에 매핑)하며, Taproot(P2TR)는 bc1p(버전 1), 기존 SegWit은 bc1q(버전 0)으로 시작합니다. 이런 프리픽스 덕분에 P2MR 주소는 쉽게 식별됩니다.
테스트넷 구현 내용
BTQ Technologies는 2026년 3월 Bitcoin Quantum testnet v0.3.0에서 BIP-360의 완전한 구현을 공개했습니다. 이제 이론이 아닌 실제 테스트 네트워크에서 P2MR 트랜잭션 생성·송금이 가능합니다.
테스트넷에는 P2MR 탭스크립트 맥락에서 활성화된 다섯 가지 Dilithium 기반 포스트 양자 서명 연산자가 들어 있습니다. Dilithium(현재 NIST 표준 ML-DSA로 지정)은 기존 ECDSA 및 Schnorr 서명이 Shor 알고리즘에 취약한 것과 달리 양자 하드웨어로 풀 수 없는 격자 기반 수학에 의존합니다.
구현에는 P2MR 합의 검증, 머클루트 약정, 컨트롤 블록 검증, 양자 저항 트랜잭션 생성 및 송금을 위한 CLI 지갑 툴 등이 포함되어, 개발자들이 전체 플로우를 시험할 수 있습니다.
BIP-360의 중요한 설계 선택은 하위 호환성입니다. Taproot 지원 지갑·거래소·라이브러리들은 대부분의 코드를 재활용해 P2MR을 지원할 수 있어 메인넷 적용 시 도입 장벽이 낮습니다.
690만 개 취약 BTC의 의미
이 수치는 주목할 만하지만, 맥락이 매우 중요합니다.
Project Eleven 추정치에 따르면 전체 공급량의 1/3에 해당하는 약 690만 BTC가 이미 공개키가 온체인에 노출된 주소에 보관되어 있습니다. 이는 비트코인 초창기 P2PK 출력(Satoshi의 코인 포함), 과거 송금 이력이 있는 주소, P2TR의 키 경로 송금까지 모두 포함합니다.
만약 언젠가 256비트 ECC에 대해 Shor 알고리즘을 실행할 수 있을 만큼 강력한 양자 컴퓨터가 등장한다면, 노출된 공개키에서 개인키를 추출해 자금을 이동시킬 수 있습니다.
그러나 이는 어디까지나 '이론적' 위협입니다. Q-Day Prize로 확인된 것은 15비트 키 해독이며, 비트코인은 256비트 키를 사용합니다. 두 수치 간의 계산 복잡성 차이는 천문학적입니다. 연구 성과는 의미 있지만, 15비트에서 256비트로의 도약은 수년 내 실현이 불가능하다는 것이 대다수 관측입니다.
따라서, 실제 위협은 존재하지만 시점은 불확실하며, 비트코인 커뮤니티에도 준비할 시간이 있습니다. BIP-360은 이러한 준비의 일환입니다.
BIP-360이 하지 않는 것들
BIP-360은 제안서이며, 아직 프로토콜 변경이 아닙니다. 주요 제한사항은 다음과 같습니다:
- 메인넷에 활성화되지 않았습니다. 테스트넷 구현은 개념 입증일 뿐, 실제 적용엔 커뮤니티 합의와 소프트포크 과정이 필요합니다. 통상 수년 소요됩니다.
- 기존 주소를 자동 보호하지 않습니다. BIP-360 적용 시, 사용자는 직접 P2MR(bc1z) 주소로 코인을 옮겨야 양자 저항성을 갖게 됩니다. 이전 주소에 남은 코인은 여전히 취약합니다. 이는 자발적 이관입니다.
- 비트코인을 '완전한 양자 보호'로 만드는 것은 아닙니다. 현재 알려진 위협(Shor의 알고리즘 기반)에 대응하지만, 미래에 해시 함수나 격자 기반 암호에 대한 새로운 공격 벡터가 제시될 수 있습니다.
- 비트코인 채굴에는 영향을 주지 않습니다. 비트코인 채굴은 Shor 알고리즘에 저항하는 SHA-256 해시 함수를 사용합니다. 양자 컴퓨터가 Grover 알고리즘을 이용해 일부 속도를 높일 순 있으나, 보안 수준은 여전히 충분합니다.
트레이더에게 중요한 타임라인
BTC를 보유하고 있다면, 지금 당장 특별히 해야 할 일은 없습니다. 다만, 향후 타임라인을 주시하는 것이 좋습니다.
마일스톤 | 진행상황 | 의미 |
BIP-360 발표 및 병합 | 완료 (2026년 2월) | 공식 제안, 동료 검토 완료 |
첫 테스트넷 구현 | 완료 (2026년 3월) | 코드 구현, 개발자 테스트 가능 |
Q-Day Prize (15비트 ECC 해독) | 완료 (2026년 4월) | 양자 위협 진전 확인 |
메인넷 소프트포크 활성화 | 미시작 | 커뮤니티 합의 필요, 수년 소요 예상 |
지갑 및 거래소 P2MR 지원 | 미시작 | bc1z 주소 인프라 도입 필요 |
사용자 bc1z 주소로 이동 | 아직 적용 불가 | 코인 수동 이동 필요 |
이 패턴은 모든 대형 비트코인 업그레이드와 유사합니다. 기술적 준비는 실제 적용보다 수년 앞서 진행됩니다. Taproot는 2018년 제안, 2021년 활성화, BIP-360은 아직 초기 단계로, 메인넷 적용까진 수년이 걸릴 전망입니다.
트레이더들에게 중요한 신호는 BIP-360 그 자체가 아니라, 양자 컴퓨팅 기술 관련 뉴스의 속도입니다. IBM, Google, Caltech 등에서 새로 발표되는 이정표, Q-Day Prize 결과 등은 시장 분위기에 영향을 미칠 수 있습니다.
자주 묻는 질문
현재 비트코인은 양자 컴퓨터로부터 안전한가요?
네. 2026년 4월, 공개된 최대 양자 공격은 15비트 키 해독입니다. 비트코인은 256비트 키를 사용하며, 현재 양자 하드웨어로는 따라잡을 수 없는 격차입니다. 전문가들은 암호화에 의미 있는 양자 컴퓨터가 등장하기까지 수년에서 수십 년이 걸릴 것으로 보고 있습니다.
bc1z 주소란?
BIP-360에서 제안된 Pay-to-Merkle-Root(P2MR) 출력의 주소 형식입니다. bc1z는 bech32m 인코딩 표준의 SegWit 버전 2를 뜻하며, bc1p는 Taproot(버전 1), bc1q는 native SegWit(버전 0)를 의미합니다. P2MR은 공개키를 온체인에 노출하지 않는 것이 특징입니다.
지금 비트코인을 양자 저항 주소로 옮겨야 할까요?
아닙니다. BIP-360은 아직 메인넷에 적용되지 않았으므로, P2MR 주소는 실제로 존재하지 않습니다. 향후 활성화 시, 코인을 새 bc1z 주소로 송금해야 보호를 받을 수 있습니다. 그 전까지는 일반적인 보안 수칙을 지키세요. 가능하다면 공개키가 노출되지 않은 주소 사용을 권장합니다.
양자 컴퓨터가 발전하면 사토시의 비트코인은 어떻게 되나요?
사토시의 추정 100만 BTC는 초창기 P2PK 출력에 저장되어 있어 공개키가 온체인에 노출되어 있습니다. 만약 256비트 ECDSA를 해독할 수 있는 양자 컴퓨터가 등장한다면, 누구든 해당 자금을 옮길 수 있습니다. BIP-360도 이미 잠겨 있는 기존 코인에는 적용할 수 없습니다. 이는 비트코인 장기 보안에서 가장 논란이 많은 사례 중 하나입니다.
결론
BIP-360은 긴급 패치가 아니라, 위험 신호가 확산되기 전에 미리 준비하는 비트코인 커뮤니티의 '비상 탈출구'입니다. 양자 위협은 현실적이지만 당장은 급하지 않습니다. P2MR은 Taproot의 스크립트 유연성을 유지하며 키 경로 취약성을 제거, 690만 BTC의 이론적 위험을 줄이는 새로운 경로를 제시합니다.
향후 2~3년간 현실적인 질문은 '양자 컴퓨터 때문에 당장 걱정해야 할까?'가 아니라 '양자 컴퓨팅 기술 발전 속도가 얼마나 빨라질까?'입니다. 새로운 이정표가 나올 때마다 위기감도 조정될 것입니다. BIP-360이 메인넷 활성화 단계에 진입하면, 미리 준비한 지갑과 거래소가 경쟁 우위를 가질 수 있습니다.
본 문서는 정보 전달용입니다. 암호화폐 거래는 상당한 위험을 수반하므로 투자 결정 전 충분한 조사와 검토가 필요합니다.
