양자 컴퓨팅과 암호화폐: 위협과 해결책

양자 컴퓨팅은 암호화폐에 대한 가장 중대한 장기 암호학적 위협을 의미합니다. 오늘날의 양자 컴퓨터는 비트코인과 다른 블록체인을 보호하는 암호를 깨기에는 규모가 너무 작고 오류가 많지만, 기술은 빠르게 발전하고 있습니다. 위협의 성격, 현실적인 시간표, 그리고 개발 중인 방어책을 이해하는 것은 장기 암호화폐 보관 결정을 내리는 누구에게나 필수적입니다.

이 가이드는 양자 컴퓨팅이 암호화폐 보안에 미치는 영향을 기술적으로 근거 있게 평가합니다. 실제로 무엇이 위험한지, 무엇은 그렇지 않은지, 그리고 오늘 당장 할 수 있는 조치가 무엇인지 다룹니다.

양자 컴퓨팅의 기초

고전 컴퓨팅 vs. 양자 컴퓨팅

고전 컴퓨터는 정보를 비트로 처리합니다. 각 비트는 0 또는 1입니다. 양자 컴퓨터는 큐비트(qubit)를 사용하며, 큐비트는 0과 1의 중첩(superposition) 상태로 동시에 존재할 수 있습니다. 큐비트가 얽힘(entanglement) 상태가 되면 한 큐비트에 대한 연산이 다른 큐비트에 영향을 줄 수 있어, 특정 계산을 어떤 고전적 접근보다 지수적으로 빠르게 수행할 수 있습니다.

중요한 뉘앙스: 양자 컴퓨터가 고전 컴퓨터보다 모든 면에서 더 빠른 것은 아닙니다. 양자 알고리즘이 존재하는 특정 유형의 문제에서만 속도 향상이 있습니다. 많은 계산 작업은 양자 컴퓨팅으로도 이점이 없습니다.

암호화폐에서 중요한 문제들

암호화폐와 관련 있는 양자 알고리즘은 두 가지입니다.

쇼어(Shor) 알고리즘 — 정수 소인수분해와 이산 로그 문제를 효율적으로 풉니다. 이는 암호화폐 거래 서명에 사용되는 타원곡선 암호(ECDSA, 슈노르)를 직접적으로 위협합니다.
그로버(Grover) 알고리즘 — 비구조적 데이터베이스 검색에 대해 제곱근(2차) 수준의 속도 향상을 제공합니다. 이는 해시 함수(SHA-256, RIPEMD-160)와 대칭키 암호에 영향을 주며, 결과적으로 비트 보안을 사실상 절반으로 낮춥니다.

양자 컴퓨터가 위협하는 것

타원곡선 전자서명(ECDSA)

비트코인, 이더리움, 그리고 대부분의 다른 암호화폐는 거래 서명에 secp256k1 곡선의 ECDSA를 사용합니다. ECDSA의 보안은 타원곡선 이산 로그 문제(ECDLP)에 기반합니다. 즉, 공개키(곡선 위의 한 점)가 주어졌을 때 개인키(스칼라 곱의 계수)를 계산해내는 것은 계산적으로 불가능하다고 가정합니다.

쇼어 알고리즘은 충분히 큰 양자 컴퓨터가 있다면 ECDLP를 효율적으로 풀 수 있습니다. 이는 다음을 의미합니다.

공개키가 주어지면, 양자 컴퓨터가 개인키를 도출할 수 있습니다.
개인키를 얻으면 공격자는 거래 서명을 위조해 자금을 탈취할 수 있습니다.

이것이 암호화폐에 대한 양자 위협의 핵심입니다.

공개키는 언제 노출되는가?

쇼어 알고리즘에 따른 위협은 공격자가 공개키를 알고 있을 때만 적용됩니다. 비트코인에서는 주소 유형에 따라 공개키가 노출되는 시점이 다릅니다.

Address Type	Public Key Exposure	Quantum Risk
P2PKH (Legacy, 1...)	지출 시 노출	첫 지출 이후 위험
P2SH (3...)	지출 시 노출	첫 지출 이후 위험
P2WPKH (bc1q...)	지출 시 노출	첫 지출 이후 위험
P2TR (Taproot, bc1p...)	주소 자체에 노출	즉시 위험
Pay-to-Public-Key (P2PK)	공개키가 주소	즉시 위험

핵심 인사이트: pay-to-public-key-hash(P2PKH, P2SH, P2WPKH) 기반 비트코인 주소는 해당 주소에서 거래에 서명(지출)하기 전까지 공개키가 노출되지 않습니다. 그 전에는 공개키의 해시만 블록체인에 보이므로 쇼어 알고리즘으로 해시를 역산할 수 없습니다.

하지만 한 번이라도 주소에서 지출하면(거래에 공개키가 포함되어 공개키가 드러나면), 그 공개키는 블록체인에 영구히 기록됩니다. 이후 양자 컴퓨터를 가진 공격자는 개인키를 도출해 그 주소에 남아 있는 자금을 훔칠 수 있습니다.

탭루트(P2TR) 주소는 공개키를 직접 노출합니다(주소가 해시가 아니라 조정된 공개키를 인코딩). 따라서 탭루트 주소는 이론적으로 해시 기반 주소 유형보다 양자 공격에 더 취약할 수 있습니다. 다만 키 조정(tweaking)이 약간의 추가 복잡성을 제공합니다.

가장 위험한 주소들

사토시의 코인 — 초기 비트코인은 Pay-to-Public-Key(P2PK) 형식을 사용했는데, 이 경우 공개키가 곧 주소입니다. 사토시의 것으로 추정되는 약 110만 BTC는 P2PK 형식에 있으며 직접적으로 취약합니다.
재사용된 주소 — 한 번이라도 송금에 사용된 주소는 공개키가 노출됩니다. 그 이후 해당 주소로 들어오는 자금은 취약해집니다.
탭루트 주소 — 주소에 공개키가 보입니다.
오래 대기 중인 거래 — 거래가 확인되기 전 오랜 시간 동안 멤풀에 머무르면, 양자 공격자가 거래에서 공개키를 추출한 뒤 개인키를 도출해 충돌 거래를 만들어 경쟁적으로 제출할 수 있습니다.

위협받지 않는 것(또는 덜 위협받는 것)

해시 알고리즘(SHA-256, RIPEMD-160)

그로버 알고리즘은 해시 역상(preimage) 탐색에 제곱근 수준의 속도 향상을 제공해 비트 보안을 사실상 절반으로 낮춥니다.

SHA-256: 256비트 보안이 양자 공격에 대해 128비트 보안으로 감소
RIPEMD-160: 160비트 보안이 양자 공격에 대해 80비트 보안으로 감소

128비트 보안은 여전히 강력(2^128 연산 필요)하다고 여겨지며, 현재의 해시 기반 보호는 양자 컴퓨팅으로 인해 당장 위험해지지 않습니다.

비트코인 채굴(작업증명)

그로버 알고리즘은 이론적으로 채굴(타깃 이하 해시를 만드는 논스 찾기)에 속도 향상을 제공할 수 있지만, 이점은 제곱근 수준(2차)에 불과하며, 현재로서는 막대한 양자 하드웨어 비용을 정당화할 만큼 경제성이 없습니다. 또한 난이도 조정 메커니즘이 채굴 속도 향상을 보정합니다.

대칭키 암호(AES)

그로버 알고리즘은 대칭키 암호의 유효 키 길이를 절반으로 줄입니다(AES-256은 AES-128 수준의 보안과 동급). 양자 환경에서 128비트 보안을 갖는 AES-256은 여전히 강력합니다.

타임라인: 양자 컴퓨터는 언제 위협이 될까?

양자 컴퓨팅의 현재 상태(2025)

2025년 기준으로 가장 큰 양자 컴퓨터는 대략 1,000~1,500개의 물리 큐비트를 보유하고 있습니다. 하지만 이는 오류율이 높은 “노이즈 큐비트”입니다. secp256k1에 대해 쇼어 알고리즘을 실행하려면 다음이 필요합니다.

추정 요구사항: 약 2,500개의 논리 큐비트
필요 물리 큐비트: 오류 정정 오버헤드 때문에 대략 100만~2,000만 개의 물리 큐비트가 필요(큐비트 품질 및 오류 정정 방식에 따라 달라짐)
현재 격차: 충분한 품질의 물리 큐비트를 확보하기까지 약 10^3~~10^4배(3~~4자릿수) 부족

전문가 타임라인 추정치

Source	Estimate for Cryptographically Relevant QC	Year
NIST	"향후 10년 내는 아니고, 다음 20년 내일 가능성"	2035-2045
IBM Quantum 로드맵	2033년까지 10만+ 큐비트(그 자체로는 불충분)	N/A
Google Quantum AI	2030년까지 오류 정정에서 중요한 이정표	N/A
여러 학술 추정치	ECDSA를 깨는 능력까지 15~30년	2040-2055
비관적 시나리오	예상치 못한 돌파구로 타임라인 가속	2030-2035

암호학자들의 합의는 위협이 실제이지만 임박하지는 않았다는 것입니다. 대부분의 추정치는 양자 컴퓨터가 ECDSA를 깨기까지 15~30년이 걸릴 것으로 봅니다. 다만 양자 컴퓨팅의 진전이 때때로 기대를 뛰어넘은 적도 있어, 안일함은 금물입니다.

“지금 저장, 나중에 복호화” 위협

오늘날 양자 컴퓨터가 ECDSA를 깰 수 없더라도, 적대자는 향후 양자 능력이 생겼을 때 악용할 목적으로 지금부터 모든 블록체인 데이터를 기록해둘 수 있습니다. 비트코인의 경우 거래에서 한 번이라도 노출된 모든 공개키는 블록체인에 영구히 기록됩니다. 이 데이터는 사후적으로 보호할 수 없습니다.

이 “지금 수집, 나중에 복호화(harvest now, decrypt later)” 전략은, 오늘 노출된 공개키가 15~30년 뒤 취약해질 수 있음을 뜻합니다. 장기 보유자에게는 유의미한 위협입니다.

포스트-양자 암호(PQC)

NIST 포스트-양자 표준

NIST는 수년간 포스트-양자 암호 알고리즘을 표준화하는 과정을 주도해왔습니다. 첫 번째 표준은 2024년에 확정되었습니다.

ML-KEM(구 CRYSTALS-Kyber)

격자 기반 키 캡슐화 메커니즘(암호화/키 교환 용도):

Module Learning With Errors(MLWE) 문제에 기반
이 문제에 대한 알려진 효율적 양자 알고리즘 없음
비교적 작은 키 크기와 빠른 연산

ML-DSA(구 CRYSTALS-Dilithium)

격자 기반 전자서명 방식:

Module Learning With Errors 및 Short Integer Solution 문제에 기반
암호화폐에서 ECDSA를 대체할 잠재적 후보
서명 크기가 ECDSA보다 큼(약 2,400바이트 vs 약 72바이트)

SLH-DSA(구 SPHINCS+)

해시 기반 전자서명 방식:

보안이 전적으로 해시 함수의 성질에 기반
양자에 취약할 수 있는 수학적 구조에 의존하지 않음
서명 크기가 매우 큼(약 17,000~49,000바이트)이지만 보안 가정이 매우 보수적
격자 기반 가정이 깨질 경우를 대비한 백업으로 유용

포스트-양자 서명 vs. ECDSA

Property	ECDSA (secp256k1)	ML-DSA (Dilithium)	SLH-DSA (SPHINCS+)
양자 내성	아니오	예	예
공개키 크기	33 bytes	~1,312 bytes	~32-64 bytes
서명 크기	~72 bytes	~2,420 bytes	~17,000-49,000 bytes
검증 속도	빠름	빠름	더 느림
키 생성 속도	빠름	빠름	보통
수학적 기반	타원곡선 DLP	격자 문제	해시 함수

서명 크기의 큰 증가가 블록체인 도입에서 가장 큰 과제입니다. 비트코인 블록 크기는 제한되어 있고, 서명이 커지면 블록당 처리 가능한 거래 수가 줄어듭니다.

특정 암호화폐에 대한 시사점

비트코인

비트코인이 양자 컴퓨팅에 대응하는 방식은 대체로 다음을 포함할 가능성이 큽니다.

새 주소 유형 — 포스트-양자 서명을 사용하는 새 주소 유형을 도입하는 소프트포크(세그윗이나 탭루트 업그레이드와 유사)
마이그레이션 기간 — 사용자는 (양자에 취약한) 기존 주소에서 (양자에 강한) 새 주소로 자금을 옮겨야 함
서명 집계 — 포스트-양자 서명을 집계해 온체인 부담을 줄이기 위한 연구
해시 기반 주소의 지속적 유용성 — 아직 한 번도 사용되지 않은 P2PKH 주소(공개키가 공개된 적 없음)는 해시 보호를 통해 양자 내성을 제공

비트코인 커뮤니티는 포스트-양자 제안을 활발히 논의하고 있지만, 구체적인 구현 일정은 아직 정해지지 않았습니다.

이더리움

이더리움도 유사한 도전에 직면합니다.

이더리움 계정은 첫 거래 이후 항상 공개키가 노출됩니다(ECDSA 서명에서 ecrecover로 공개키를 복구 가능).
계정 기반 모델과 주소 재사용 패턴 때문에 대부분의 활성 계정은 공개키가 노출되어 있습니다.
더 유연한 업그레이드 메커니즘(하드포크) 덕분에 포스트-양자 서명 도입이 더 빠를 수 있습니다.
다른 블록 구조와 가스 모델로 인해, PQC의 더 큰 서명 크기 제약이 비트코인보다 덜할 수 있습니다.

비탈릭 부테린은 양자 내성을 이더리움의 장기 우선순위로 언급해왔고, 계정 추상화(ERC-4337)는 임의의 서명 스킴을 지원할 수 있는 경로를 제공합니다.

기타 블록체인

일부 블록체인은 양자 내성을 선제적으로 다루고 있습니다.

QRL(Quantum Resistant Ledger) — 해시 기반 서명(XMSS)으로 처음부터 설계
Algorand — 포스트-양자 서명 통합에 관한 연구를 공개
IOTA — 윈터니츠 1회용 서명(해시 기반, 양자 내성)을 사용하지만 실용적 제약이 있음

오늘 할 수 있는 일

1. 해시로 보호되는 주소 유형 사용

비트코인의 경우, 양자 내성이 우선이라면 P2TR(탭루트)보다 공개키 해시만 노출하는 P2PKH, P2SH, P2WPKH 주소를 사용하세요. 다만 어떤 주소든 한 번 지출하면 공개키가 노출됩니다.

2. 주소를 절대 재사용하지 않기

모든 거래마다 새 주소를 사용하세요. 한 주소에서 지출한 뒤에는 남은 잔액도 새롭고 미사용인 주소로 옮기세요. 이렇게 하면 공개키가 노출되는 시간을 최소화할 수 있습니다. HD 지갑(BIP-44)은 새 주소를 자동으로 생성해 이를 쉽게 합니다.

3. 공개키 노출 시간을 최소화하기

큰 규모의 콜드 스토리지 보유분에 대해서는 다음과 같은 워크플로를 고려할 수 있습니다.

공개키가 한 번도 노출된 적 없는 주소로 자금을 수신
지출이 필요할 때 한 번의 거래로 전액을 이동(노출된 주소에 잔액이 남지 않게)
거스름돈은 새롭고 노출되지 않은 주소로 전송

이 방식은 공격자가 알려진 공개키를 악용할 수 있는 창을 최소화합니다.

4. 포스트-양자 동향 모니터링

다음 사항을 지속적으로 확인하세요.

NIST 포스트-양자 표준화 진행 상황
비트코인 및 이더리움의 양자 내성 관련 프로토콜 업그레이드 제안
양자 컴퓨팅 하드웨어 및 오류 정정의 발전
양자 내성 주소 유형을 도입하는 소프트포크/하드포크 가능성

양자 내성 주소 유형이 제공되면 보유 자산을 신속히 마이그레이션하세요.

5. 양자 내성을 고려한 시드 문구 보안

당신의 시드 문구는 PBKDF2와 SHA-512 해싱으로 보호되며, 양자 컴퓨터가 이를 효율적으로 깨지는 못합니다(그로버 알고리즘은 해싱에 대해 제곱근 수준의 속도 향상만 제공). 256비트 시드 문구는 양자 공격에 대해서도 128비트 보안을 유지하며, 이는 충분하다고 여겨집니다.

SafeSeed 도구

SafeSeed Seed Phrase Generator 는 256비트 엔트로피의 시드 문구를 생성해, 해싱에 대한 미래의 양자 위협에서도 강한 보안을 유지합니다. 올바른 주소 관리(재사용 금지, 해시로 보호되는 주소 사용)와 결합하면, 시드 문구 기반 콜드 스토리지를 양자 시대에 대비할 수 있습니다.

흔한 오해

"양자 컴퓨터가 하룻밤 사이에 비트코인을 무너뜨릴 것이다"

거짓입니다. 양자 컴퓨터가 ECDSA에 대해 쇼어 알고리즘을 돌릴 만큼 강력해지더라도, 공격은 공개키당 상당한 계산 시간이 필요하며 특정 취약 주소를 표적으로 합니다. 비트코인 네트워크는 (양자 컴퓨팅의 이정표가 공개적으로 추적되므로) 사전 경고를 받을 것이며, 위협이 현실화되기 전에 포스트-양자 업그레이드를 구현할 가능성이 큽니다.

"모든 암호화폐는 똑같이 취약하다"

거짓입니다. 취약성은 공개키가 노출되었는지에 달려 있습니다. 사용되지 않은 P2PKH 주소에 있는 자금은 양자 공격에 강한 해시 함수로 보호됩니다. 반면 거래를 수행한 주소(공개키가 보임)에 있는 자금은 더 취약합니다.

"지금 당장 양자 내성 암호로 바꿔야 한다"

긴급하지는 않습니다. 대부분의 추정치로 위협은 15~30년 뒤입니다. 포스트-양자 암호 표준은 아직 성숙하는 과정에 있고, 너무 이른 도입은 충분히 분석되지 않은 알고리즘에서 새로운 취약점을 가져올 수 있습니다. 다만 인지와 계획은 지금부터 시작해야 합니다.

"양자 컴퓨팅 때문에 암호화폐는 무가치해진다"

거짓입니다. 양자 컴퓨팅은 존재론적 위협이 아니라 암호학적 도전입니다. 은행, 군 통신, 인터넷 보안을 보호할 양자 안전 알고리즘이 암호화폐도 보호할 것입니다. 블록체인은 과거에 주소 유형과 스크립팅 기능을 업그레이드해왔듯이 서명 스킴도 업그레이드할 것입니다.

"양자에 대한 128비트 보안은 부족하다"

가시적인 미래에 128비트 보안은 암호학 커뮤니티에서 충분 이상으로 여겨집니다. NIST의 포스트-양자 표준도 128비트 보안 수준을 기준으로 설계되었습니다. 128비트 보안을 깨려면 2^128 연산이 필요하며, 이는 어떤 예측 가능한 계산 능력으로도 도달하기 어렵습니다.

마이그레이션 과제

가장 큰 실무적 과제는 암호 알고리즘 자체가 아니라 마이그레이션 과정입니다.

비활성 지갑 — 키를 잃었거나, 사망했거나, 코인을 방치한 지갑(약 300만~400만 BTC로 추정)은 마이그레이션할 수 없습니다. 양자 컴퓨터가 성숙하면 이들은 취약해집니다.
사토시의 코인 — 사토시의 것으로 추정되는 약 110만 BTC의 P2PK 주소는, 사토시(누구든)가 아직 활동 중이 아니라면 양자 내성 주소로 옮길 수 없습니다.
조정(코디네이션) — 모든 사용자가 새 주소 유형으로 자금을 옮기도록 요구하는 소프트포크 또는 하드포크는 엄청난 조정 과제입니다.
시간 압박 — 양자 컴퓨팅이 예상보다 빠르게 발전하면, 마이그레이션 가능한 시간 창이 불편할 정도로 짧아질 수 있습니다.

일부 제안은 “격리(quarantine)” 기간을 도입합니다. 특정 블록 높이 이후에는 양자에 취약한 주소 유형에서의 거래를 제한하거나 추가 소유 증명을 요구하는 방식입니다. 이는 매우 논쟁적이며 커뮤니티의 강한 반발을 받을 가능성이 큽니다.

연구와 향후 방향

PQC를 위한 서명 집계

활발한 연구 분야 중 하나는 여러 포스트-양자 서명을 집계해 온체인 크기를 줄이는 것입니다. 슈노르 서명이 키 집계(MuSig2)를 가능하게 하듯, 격자 기반 서명에 대해서도 유사한 기법이 탐색되고 있습니다.

양자 키 분배(QKD)

일부 연구자는 암호화폐에 양자 키 분배를 사용하자고 제안했지만, 일반적으로 탈중앙 네트워크에는 비현실적이라고 여겨집니다(QKD는 참여자 간 직접 광학 채널이 필요).

하이브리드 스킴

ECDSA와 포스트-양자 알고리즘을 결합한 하이브리드 서명 스킴은 고전 및 양자 공격 모두에 대한 보안을 제공합니다. 둘 중 하나라도 안전하면 하이브리드도 안전합니다. 이는 비교적 새로운 포스트-양자 알고리즘의 보안성에 전적으로 베팅하지 않으면서 점진적 전환을 가능하게 합니다.

영지식 증명

타원곡선 암호가 아니라 해시 함수에 의존하는 영지식 증명 시스템(예: STARKs)은 본질적으로 양자 내성을 가집니다. 블록체인 확장(zkRollups)에서의 사용이 늘어나는 것 또한 양자 회복력에 기여합니다.

FAQ

양자 컴퓨터가 비트코인을 깰 수 있나요?

오늘은 아닙니다. 현재의 양자 컴퓨터는 비트코인의 암호를 깨는 데 필요한 알고리즘을 실행하기에는 너무 작고 노이즈가 큽니다. 가장 낙관적인 추정치조차 암호학적으로 의미 있는 양자 컴퓨터가 나오기까지 15~30년이 걸린다고 봅니다. 그때가 오기 전에 비트코인은 양자 내성 서명 스킴으로 업그레이드했을 가능성이 큽니다.

비트코인을 깨려면 큐비트가 얼마나 필요하나요?

추정치는 다양하지만, secp256k1 ECDSA를 깨려면 대략 2,500개의 논리 큐비트가 필요하며, 이는 현재 오류 정정 기술을 기준으로 대략 100만~~2,000만 개의 물리 큐비트에 해당합니다. 2025년의 가장 큰 양자 컴퓨터는 대략 1,000~~1,500개의 물리 큐비트를 보유합니다.

내 암호화폐는 양자 컴퓨터로부터 안전한가요?

가시적인 미래(10~20년 이상)에는 그렇습니다. 모범 사례(해시로 보호되는 주소 사용, 주소 재사용 방지, 시드 문구 안전 보관)를 따르면 자금은 강하게 보호됩니다. 양자 내성 주소 유형이 제공되면 보유 자산을 마이그레이션하세요.

포스트-양자 암호란 무엇인가요?

포스트-양자 암호는 고전 및 양자 컴퓨터의 공격 모두에 저항하도록 설계된 암호 알고리즘을 의미합니다. NIST는 격자 문제나 해시 함수의 성질처럼 양자 컴퓨터가 효율적으로 풀 수 없는 수학적 문제에 기반한 여러 PQC 알고리즘(ML-KEM, ML-DSA, SLH-DSA)을 표준화했습니다.

양자 위험 때문에 탭루트 주소 사용을 중단해야 하나요?

탭루트 주소에 대한 양자 위험은 이론적이며 수십 년 뒤의 이야기입니다. 현재 사용에서는 탭루트의 실질적 이점(낮은 수수료, 더 나은 프라이버시, 고급 스크립팅)이 양자 위험을 상회합니다. 다만 매우 장기적인 콜드 스토리지(20년 이상)라면 해시로 보호되는 주소 유형(P2WPKH)이 추가적인 양자 내성 레이어를 제공합니다.

이더리움도 양자 컴퓨팅의 영향을 받나요?

네. 이더리움은 비트코인과 동일한 ECDSA 암호를 사용하며 유사한 양자 위협에 직면합니다. 이더리움의 계정 모델 때문에 대부분의 활성 계정은 공개키가 노출되어 있습니다. 다만 이더리움의 업그레이드 메커니즘(하드포크, 계정 추상화)은 포스트-양자 서명을 도입할 경로를 제공합니다. 이더리움 재단도 양자 내성을 장기 우선순위로 인정해왔습니다.

SHA-256은 양자 안전한가요?

SHA-256은 ECDSA보다 양자 공격에 훨씬 강합니다. 그로버 알고리즘은 SHA-256의 유효 보안을 256비트에서 128비트로 낮추지만, 128비트는 여전히 매우 강력합니다. SHA-256은 가시적인 미래에 양자 안전하다고 볼 수 있습니다.

양자 컴퓨터가 도착하면 잃어버린/방치된 비트코인은 어떻게 되나요?

과거 거래로 인해 공개키가 노출된 주소에 있고, 소유자가 마이그레이션할 수 없는 자금은 양자 공격에 취약해집니다. 여기에는 사토시의 것으로 추정되는 약 110만 BTC와, 잃어버린 지갑으로 추정되는 300만~400만 BTC가 포함됩니다. 비트코인 커뮤니티가 이 코인들을 어떻게(혹은 아예) 다룰지는 열린 논쟁거리입니다.

양자 컴퓨팅의 기초​

고전 컴퓨팅 vs. 양자 컴퓨팅​

암호화폐에서 중요한 문제들​

양자 컴퓨터가 위협하는 것​

타원곡선 전자서명(ECDSA)​

공개키는 언제 노출되는가?​

가장 위험한 주소들​

위협받지 않는 것(또는 덜 위협받는 것)​

해시 알고리즘(SHA-256, RIPEMD-160)​

비트코인 채굴(작업증명)​

대칭키 암호(AES)​

타임라인: 양자 컴퓨터는 언제 위협이 될까?​

양자 컴퓨팅의 현재 상태(2025)​

전문가 타임라인 추정치​

“지금 저장, 나중에 복호화” 위협​

포스트-양자 암호(PQC)​

NIST 포스트-양자 표준​

ML-KEM(구 CRYSTALS-Kyber)​

ML-DSA(구 CRYSTALS-Dilithium)​

SLH-DSA(구 SPHINCS+)​

포스트-양자 서명 vs. ECDSA​

특정 암호화폐에 대한 시사점​

비트코인​

이더리움​

기타 블록체인​

오늘 할 수 있는 일​

1. 해시로 보호되는 주소 유형 사용​

2. 주소를 절대 재사용하지 않기​

3. 공개키 노출 시간을 최소화하기​

4. 포스트-양자 동향 모니터링​

5. 양자 내성을 고려한 시드 문구 보안​

흔한 오해​

"양자 컴퓨터가 하룻밤 사이에 비트코인을 무너뜨릴 것이다"​

"모든 암호화폐는 똑같이 취약하다"​

"지금 당장 양자 내성 암호로 바꿔야 한다"​

"양자 컴퓨팅 때문에 암호화폐는 무가치해진다"​

"양자에 대한 128비트 보안은 부족하다"​

마이그레이션 과제​

연구와 향후 방향​

PQC를 위한 서명 집계​

양자 키 분배(QKD)​

하이브리드 스킴​

영지식 증명​

FAQ​

양자 컴퓨터가 비트코인을 깰 수 있나요?​

비트코인을 깨려면 큐비트가 얼마나 필요하나요?​

내 암호화폐는 양자 컴퓨터로부터 안전한가요?​

포스트-양자 암호란 무엇인가요?​

양자 위험 때문에 탭루트 주소 사용을 중단해야 하나요?​

이더리움도 양자 컴퓨팅의 영향을 받나요?​

SHA-256은 양자 안전한가요?​

양자 컴퓨터가 도착하면 잃어버린/방치된 비트코인은 어떻게 되나요?​

관련 가이드​