양자컴퓨터로 타원곡선 키 해독, 1 BTC Q-Day 상금 수상 – 2026 보안 현황

2026년 4월 24일, 독립 연구자인 Giancarlo Lelli가 클라우드 기반 양자 하드웨어를 사용해 15비트 타원곡선 공개키로부터 개인키를 도출하는 데 성공했습니다. 그는 Shor 알고리즘의 변형을 활용하였고, 그 결과를 입증했습니다. 퀀텀 보안 연구기관인 Project Eleven은 프로젝트 일레븐 공식 블로그를 통해 Lelli에게 1 BTC의 Q-Day 상금을 수여하며, 이는 비트코인, 이더리움 등 주요 블록체인 암호화 보호 체계에 대한 최대 규모의 양자 공격임을 밝혔습니다.

15비트 키는 실제 지갑을 보호하는 256비트 키와는 비교할 수 없는 수준으로, 비트코인 자체가 해킹된 것은 아닙니다. 하지만 양자컴퓨터가 실제 자산을 위협할 수 있을 정도로 발전하는 속도는 크립토 업계의 예상보다 더 빠르게 좁혀지고 있습니다. 2026년 1분기에 발표된 세 편의 논문은 이 타임라인을 크게 바꿔 놓았습니다.

Lelli의 시도와 그 의미

이 공격은 타원곡선 이산로그 문제(ECDLP)를 겨냥한 것이었습니다. 이는 개인키로부터 공개키를 생성하는 것은 가능하게 하지만, 기존 컴퓨터로는 공개키로부터 개인키를 역산하는 것이 현실적으로 불가능하도록 하는 수학적 기반입니다. 비트코인 송금 시, 지갑은 거래에 개인키로 서명하고, 그에 대응하는 공개키가 공개됩니다. 만약 누군가 공개키의 ECDLP를 풀 수 있다면, 개인키를 손에 넣게 되어 해당 자산에 접근할 수 있습니다.

Lelli가 해독한 15비트 키의 탐색 공간은 32,767가지에 불과합니다. 이는 2^256(실제 비트코인 보안 수준)과 비교하면 매우 미미하지만, 맥락이 중요합니다. 이전까지의 공개 기록은 2025년 9월 Steve Tippeconnic의 6비트 해독이었고, 이는 64개 탐색 공간에 불과했습니다. Lelli의 결과는 단번에 512배의 도약을 이룬 것이며, 상용 클라우드 양자 하드웨어로 이루어졌다는 점이 주목받았습니다.

중요한 것은 키 크기 자체가 아니라, 양자컴퓨터의 능력 개선 속도입니다. ECDLP를 연구하던 학자들은 이론 단계에서 실제 시연까지 1년이 채 안 되는 기간 내에 도달했습니다.

15비트와 256비트의 거리

솔직히 말해, 15비트와 256비트 사이의 간극은 현재의 어떤 양자컴퓨터로도 넘을 수 없는 수준입니다. 256비트 타원곡선 키는 약 10^77개의 가능성을 지니고 있습니다. 현재 양자 프로세서는 1,000~1,500 큐비트 수준이나, 대부분이 오랜 암호 연산엔 적합하지 않을 만큼 노이즈가 많습니다. 실제 비트코인 키를 해독하려면 훨씬 더 많은, 높은 품질의 큐비트와 고도의 오류 정정 기술이 필요합니다.

하지만 2026년 초, 세 편의 논문이 256비트 ECDLP 공격에 필요한 자원 추정치를 대폭 낮췄습니다.

Google Quantum AI의 2026년 3월 백서에 따르면, 최적화된 양자 회로 두 개로 ECDLP-256을 논리 큐비트 1,2001,450개, Toffoli 게이트 7,0009,000만 개로 풀 수 있습니다. 실제 하드웨어(표면 코드 오류 정정 적용) 기준으로는 50만 큐비트 이하가 필요하며, 이는 이전 추정치(약 1,000만 큐비트)의 20분의 1 수준입니다.

Caltech과 Oratomic의 후속 논문에서는 중성 원자 기반 양자 아키텍처로 1만 물리 큐비트만으로도 이 공격이 가능할 수 있음을 제시합니다. 이 아키텍처는 아직 실험 단계지만, QuEra, Pasqal 등의 기업이 대규모 연구개발 투자를 진행 중입니다.

즉, "1,000만 큐비트가 필요하다"에서 "1만 큐비트면 될 수도 있다"로 단 3개월 만에 인식이 바뀐 것입니다. Project Eleven의 연구진은 이 흐름을 물리학적 한계가 아니라 공학적 문제로 전환되고 있다고 설명합니다.

실제로 위험에 노출된 비트코인

모든 비트코인 주소가 동일한 위험에 처한 것은 아닙니다. 양자 위협은 블록체인상에 이미 공개키가 노출된 주소에 집중됩니다.

입금만 하고 한 번도 출금하지 않은 주소는 공개키의 해시만 노출될 뿐입니다. 해시는 추가 보호층 역할을 하며, ECDLP가 깨져도 해시 자체가 깨지지 않는 한 자산은 안전합니다. 하지만 한 번이라도 해당 주소에서 출금하면, 거래 서명 과정에서 전체 공개키가 네트워크에 영구적으로 노출됩니다.

Project Eleven은 약 690만 BTC가 공개키가 노출된 주소에 보관되어 있다고 추산합니다. 이는 전체 비트코인 공급량의 1/3, 2026년 기준 5,500억 달러 이상에 해당합니다. 이 중에는 Satoshi Nakamoto가 채굴한 것으로 추정되는 110만 BTC도 포함되어 있으며, 이는 초창기 Pay-to-Public-Key 포맷이 기본이었기 때문입니다.

개인 투자자가 참고할 부분은 명확합니다. 현대 지갑을 사용해 매 거래마다 새로운 주소를 사용한다면, 과거 주소 재사용자보다 양자 공격 노출 위험이 훨씬 낮아집니다.

비트코인 개발자들의 대응

비트코인 개발 커뮤니티도 손 놓고 있지 않습니다. BIP-360(Pay-to-Merkle-Root, P2MR)은 Taproot와 유사하지만, 양자에 취약한 키패스 방식 지출을 완전히 제거한 새로운 트랜잭션 아웃풋 타입을 제안합니다. BIP-360 하에서는 타원곡선이 아닌 포스트-퀀텀 암호학 기법으로 서명을 진행하며, 2026년 초 BTQ Technologies에 의해 테스트넷에 도입되었습니다.

이 토대 위에, BIP-361이 2026년 4월 14일 공식 저장소에 등록되었습니다. BIP-361(Post Quantum Migration and Legacy Signature Sunset)은 일정 기간 내에 기존 ECDSA 주소에서 반드시 포스트-퀀텀 주소로 자금을 이동하도록 하고, 기한 내 이전하지 않은 자산은 네트워크상에서 동결하는 방안을 담고 있습니다.

이 마지막 항목이 논란의 핵심입니다. 기존 코인을 동결하면, 사토시의 110만 BTC 등 오랜 기간 미사용된 자산들이 영구적으로 사용할 수 없게 될 수 있습니다. 일부 개발자들은 네트워크 보호를 위해 불가피하다고 주장하지만, 다른 이들은 사유재산권 침해라는 측면에서 반대하고 있습니다. 이 결정은 비트코인 역사상 가장 격렬한 거버넌스 쟁점이 될 전망입니다.

Google은 업계 전체가 2029년까지 포스트-퀀텀 암호 표준으로 이행할 것을 제시했으며, 비트코인은 약 3년 내에 소프트포크를 통한 서명 방식 변경을 준비해야 할 상황입니다. 이는 Taproot 도입에 4년이 걸렸던 것을 감안하면 매우 빠듯한 일정입니다.

이더리움 등 다른 블록체인에는 어떤 의미인가?

비트코인이 주로 주목받지만, 양자 위협은 ECDSA나 유사 타원곡선 서명을 사용하는 이더리움 및 모든 블록체인에 적용됩니다. 특히 이더리움은 계정 단위 구조로 인해 노출 위험이 더 클 수 있습니다. 한 번이라도 거래를 보낸 모든 이더리움 주소는 공개키가 영구 노출되고, 주소 재사용 비율도 높습니다. 따라서 ETH의 양자 취약 노출 비중이 비트코인보다 더 높을 가능성이 큽니다.

이더리움 로드맵상으로는 Vitalik Buterin의 장기 "Splurge" 계획에 포스트-퀀텀 마이그레이션이 포함되어 있지만, 구체적 일정은 확정된 것이 없습니다. 재단 연구팀이 격자 기반 서명 방식에 대해 연구를 진행 중이지만, 실제 도입까진 시간이 필요합니다.

더 소규모 체인은 이마저도 어려울 수 있습니다. Solana, Avalanche처럼 ECDSA 혹은 EdDSA에 의존하는 체인은 마찬가지 위협에 노출되지만, 개발 역량상 대응이 더딜 수 있습니다. 아이러니하게도 "최신, 빠른" 블록체인들이 1990년대 암호학 가정 위에 설계되어 있다는 점이 이번 실험을 통해 드러났습니다.

자주 묻는 질문(FAQ)

지금 양자컴퓨터로 내 비트코인을 탈취할 수 있나요?

아닙니다. Lelli가 해독한 15비트 키는 실제 비트코인 지갑의 256비트 키에 비해 약 10^72배 작습니다. 공개된 양자컴퓨터 중에서는 필요한 큐비트 수나 오류정정 기술을 갖춘 곳이 없습니다. 위협은 존재하지만, 즉각적이지는 않습니다.

비트코인 암호를 깨는 데 몇 큐비트가 필요합니까?

Google의 2026년 3월 백서 기준, 표면 코드 오류정정 적용 초전도 아키텍처로 약 50만 물리 큐비트, Caltech과 Oratomic 논문에서는 중성 원자 플랫폼에서 1만 큐비트로 가능할 수 있다고 봅니다. 현재 상용 양자컴퓨터는 1,000~1,500 큐비트 수준이므로, 아직 현실적 공학적 격차가 큽니다.

BIP-360이 비트코인을 양자 공격으로부터 보호할 수 있나요?

BIP-360은 양자에 취약한 타원곡선 키패스가 없는 Pay-to-Merkle-Root라는 새 아웃풋 타입을 도입합니다. 2026년 초 테스트넷에 도입됐으며, BIP-361은 일정 시점 이후 레거시 주소를 동결하는 마이그레이션 타임라인을 포함합니다. 이들 프로포절이 활성화된다면 비트코인은 양자 저항성을 갖추게 되지만, 네트워크 전체의 동의와 소프트포크가 필요합니다.

내 비트코인을 보호하려면 새 주소로 옮겨야 하나요?

출금 이력이 없는 주소에 보관된 코인은 공개키가 노출되지 않아 양자 위험이 낮습니다. 출금 경험이 있다면 공개키가 온체인에 영구 기록됩니다. 매 거래마다 새로운 주소를 생성하는 현대 지갑 사용이 합리적 예방책이 될 수 있으나, 오늘날 양자컴퓨터로 이 취약점이 악용되지는 않습니다.

결론

15비트 ECC 해독은 비트코인에 대한 위기 상황이 아닙니다. 다만, 양자 위협이 추상적 개념에서 구체적 현실로 전환되고 있음을 의미합니다. 2026년 1분기만에 256비트 공격에 필요한 자원 추정치가 20배 줄었으며, 하드웨어 및 알고리즘 발전에 따라 향후 추가 하락 가능성도 있습니다. 비트코인 개발진은 BIP-360, BIP-361을 준비 중이지만, 네트워크 전체 서명 방식의 변경을 양자 하드웨어가 따라잡기 전에 완료하는 것이 관건입니다. 공개키 노출 주소에 보관된 690만 BTC가 가장 큰 위험에 노출되어 있으며, BIP-361 거버넌스 논의에 주목할 필요가 있습니다. 전체 네트워크의 새 암호 체계로의 마이그레이션을 위한 3년은 매우 짧은 시간이며, 이미 시계가 움직이기 시작했습니다.

본 기사는 정보 제공 목적이며, 금융 또는 투자 조언이 아닙니다. 암호화폐 거래에는 상당한 위험이 존재하므로, 투자 결정 전 반드시 스스로 조사하시기 바랍니다.