2026.04 · (주)페블러스 데이터 커뮤니케이션팀

읽는 시간: ~15분 · English

Executive Summary

2026년 3월 31일, Google Quantum AI·UC Berkeley·Ethereum Foundation·Stanford 공동 연구팀이 57페이지짜리 백서를 공개했다. 논문의 결론은 간결하다. 비트코인과 이더리움이 사용하는 ECDSA secp256k1 암호화를 깨려면 50만 물리 큐비트 미만의 양자컴퓨터가 필요하다 — 기존 추정치의 20분의 1 수준이다. 그리고 이 이상적 조건에서 실행 시간은 최소 9분이다.

언론은 "9분만에 비트코인 해킹"이라는 헤드라인을 뽑았다. 그런데 그 9분에는 전제가 있다. 50만 큐비트급 암호학적으로 관련된 양자컴퓨터(CRQC)가 이미 존재해야 한다. 현재 최고 사양의 양자컴퓨터인 Google Willow는 105 물리 큐비트다. 필요한 양의 5,000분의 1. 즉각적인 위협은 없다.

그러나 논문은 두 가지 중요한 경고를 담고 있다. 첫째, 지금 암호화된 데이터를 수집해 미래의 양자컴퓨터로 해독하는 HNDL(Harvest Now, Decrypt Later) 공격은 오늘 당장 시작될 수 있다. 둘째, 전체 비트코인의 약 32%에 해당하는 690만 BTC는 이미 공개키가 노출되어 양자 공격에 취약하다. 5~10년이 걸리는 마이그레이션을 시작하기에 지금이 늦지 않았지만, 더 늦어서도 안 된다.

<50만
물리 큐비트
ECDSA 해독에 필요한 이론적 최솟값 (초전도 아키텍처 기준)
5,000배
현재 격차
Google Willow 105 큐비트 vs 필요량 500,000 큐비트
6.9M
취약 BTC
공개키 노출된 비트코인 — 전체의 약 32%, 주소 재사용 포함
9분
이론적 실행 시간
CRQC 존재 가정, 최적 조건, 41% 성공 확률 — 즉각 위협 아님

원논문 정보

제목: "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations"
발표: 2026년 3월 31일
저자: Ryan Babbush, Craig Gidney, Hartmut Neven (Google Quantum AI), Justin Drake (Ethereum Foundation), Dan Boneh (Stanford), Thiago Bergamaschi (UC Berkeley) 외
분량: 57페이지 + 영지식증명 검증 포함

1. 논문이 말하는 것 — 정확한 수치

Google Quantum AI 팀이 공개한 논문의 핵심은 알고리즘 효율 개선이다. 비트코인의 ECDSA(타원곡선 디지털 서명 알고리즘)를 구동하는 secp256k1 곡선을 깨기 위한 양자 자원 소요량을 기존 2023년 추정치 대비 약 20배 줄이는 데 성공했다.

논리 큐비트 요구량 (ECDLP-256 기준)

논문은 두 가지 회로 옵션을 제시한다. 두 옵션 모두 알고리즘적 자원은 이론적 범위이며, 물리적 구현은 별도의 오류 수정 체계가 필요하다.

옵션 논리 큐비트 Toffoli 게이트 특징
회로 1 ≤1,200개 약 9천만 개 게이트 수 최소화
회로 2 ≤1,450개 약 7천만 개 시공간 트레이드오프 최적화

물리 큐비트와 실행 시간

논리 큐비트 1,200개를 물리 큐비트로 환산하면 훨씬 큰 수가 된다. Surface code 오류 수정을 적용하고 오류율 10⁻³, 초전도 아키텍처, 평면 4-연결 구조를 가정할 때, 논문은 50만 물리 큐비트 미만이면 충분하다고 추정한다. 단, 이것은 이론적 최솟값이다.

<50만
물리 큐비트
초전도 아키텍처, surface code, 오류율 10⁻³ 가정
9~23분
실행 시간 범위
최적 조건 포함 사전계산 후 실행 시 최소 9분
41%
성공 확률
비트코인 블록타임 10분 내 이상적 조건에서

9분의 맥락 — 중요한 전제 조건

'9분'은 두 단계 공격의 두 번째 단계만의 시간이다. 첫 번째 단계인 오프라인 사전계산은 그 이전에 이미 완료되어 있어야 한다. 그리고 무엇보다, 이 9분 시나리오는 CRQC — 암호학적으로 관련된 양자컴퓨터 — 가 이미 존재한다는 가정에서 출발한다. 현재 그런 기계는 세상에 없다.

기존 대비 개선 폭

이 논문의 진정한 의미는 개선 속도에 있다. 2023년 포토닉 아키텍처 기반 추정치는 약 900만 큐비트였다. 이번 논문은 그것을 50만으로 줄였다 — 약 18배 개선이다. 그 이전 흐름을 보면 개선 속도 자체가 가속되고 있다.

시점 연구 필요 큐비트 개선 배수
2023년 기존 포토닉 아키텍처 ~900만 기준
2025.5 Craig Gidney — RSA-2048 ~100만 약 9배 개선
2026.2 Iceberg Quantum — LDPC 코드 ~10만 (RSA) 추가 10배
2026.3 Google Quantum AI — ECC 특화 <50만 (ECC) 2023 대비 ~20배

한 가지 기술적으로 흥미로운 사실이 있다. ECC(타원곡선 암호화)는 RSA보다 키 길이가 짧아 일반적으로 더 안전하다고 여겨졌지만, 양자 공격에서는 오히려 더 취약하다. RSA-2048 해독에 약 4,098 논리 큐비트가 필요한 반면, P-256 ECC 해독에는 약 2,330 논리 큐비트만 필요하다. 짧은 키 길이가 양자 알고리즘의 효율성을 높이는 역설이다.

2. 언론 vs 현실 — 팩트체크

논문이 공개된 직후, CCN·TheStreet·CoinFomania 등 다수의 암호화폐 미디어가 "9분만에 비트코인 해킹 가능"이라는 헤드라인을 내보냈다. 어떤 언론은 "$1.7M BTC가 위험에 처했다"고 보도했다. 논문 저자들이 의도한 메시지와 언론이 전달한 메시지 사이의 간극을 항목별로 살펴본다.

주장 언론 보도 논문 실제 내용 판정
9분 해킹 "지금 비트코인을 9분 만에 해킹 가능" CRQC 존재 가정, 이상적 조건, 41% 성공 확률의 이론적 시뮬레이션 과장
즉각 위협 "지금 당장 비트코인이 위험" 현재 최고 사양(105 큐비트)과 필요량(50만) 사이 약 5,000배 격차 오보
50만 큐비트 "50만 큐비트면 충분" 이론적 최솟값. 실제 오류 수정 오버헤드 포함 시 훨씬 더 많이 필요 가능 부분 정확
취약 BTC 규모 "$1.7M BTC 위험" 가장 취약한 P2PK 유형 약 1.72M BTC, 주소 재사용 포함 시 6.9M BTC 부분 정확
논문의 메시지 "양자 시한폭탄" "지금 당장 준비를 시작해야 한다 — 하지만 즉각적 위협은 아니다" 왜곡

왜 과장 보도가 해롭는가

과장 보도는 두 가지 측면에서 해롭다. 첫째, 실제 위협이 아닌 것에 대한 공황을 유발해 시장의 불필요한 변동성을 키운다 — 실제로 이번 논문 발표 후 BTC는 -1.61%, ETH는 -1.19% 단기 하락했다. 둘째, 더 심각하게는, 진짜 즉각적인 위협인 HNDL 공격에 대한 준비를 방해한다. "곧 해킹된다"는 소음 속에서 "지금 수집, 나중에 해독"이라는 조용하고 실질적인 위협이 묻힌다.

Galaxy Digital의 암호화폐 리서치 헤드 Alex Thorn은 "위협은 실재하나 과장됐으며, FUD(공포·불확실성·의심)에 가까운 측면이 있다"고 평가했다. ARK Invest도 즉각적인 양자 위협이 없다는 입장을 유지했다. 그러나 이들도 장기적 위협 자체를 부정하지는 않는다.

3. 하드웨어 격차 5,000배 — 왜 즉각 위협이 아닌가

논문이 말하는 50만 큐비트와 현실 사이의 간극을 이해하려면, 양자 하드웨어의 현재 상태를 살펴봐야 한다. 단순히 큐비트 수만의 문제가 아니라, 오류율과 오류 수정 체계의 문제이기도 하다.

시스템 물리 큐비트 발표 시점 비고
Google Willow 105 2024.12 오류율 단일큐비트 0.035%, 2큐비트 0.33%
IBM Nighthawk 120 2025 218 조정 가능 커플러
IBM Kookaburra (목표) ~4,158 2026 목표 3칩 연결 시 1,386×3
CRQC 필요량 <500,000 이론 이 논문 기준

Google Willow의 105 물리 큐비트와 필요한 50만 물리 큐비트 사이의 간극은 단순한 숫자 차이가 아니다. 현재 오류율로는 논리 큐비트 1개를 구현하는 데 수백에서 수천 개의 물리 큐비트가 필요하다. Surface code 표준으로 10⁻⁶ 오류율을 달성하려면 distance-27 논리 큐비트가 필요하고, 이는 1,457개의 물리 큐비트에 해당한다. 즉, 논리 큐비트 수 × 물리 큐비트 오버헤드라는 이중의 장벽이 있다.

논리 큐비트 vs 물리 큐비트 — 핵심 개념

물리 큐비트는 실제 하드웨어의 불안정한 양자 상태다. 논리 큐비트는 여러 물리 큐비트를 조합해 오류 수정 후 얻어지는 안정적인 추상적 큐비트다. 이 논문이 말하는 "50만 물리 큐비트"는 오류 수정이 완벽하게 작동하는 이상적 조건을 가정한 것이다. 현실에서 이 조건을 충족하려면 더 많은 물리 큐비트가 필요할 수 있다.

알고리즘 개선 속도가 주는 신호

하드웨어 격차가 큰 것은 사실이지만, 논문의 진짜 경고는 알고리즘 개선 속도에 있다. 3개월 간격으로 세 편의 논문이 발표되며 필요 자원을 계속 줄이고 있다. 하드웨어도 전통적인 무어의 법칙을 훨씬 빠른 속도로 개선되고 있다. 5~10년 후를 예측하는 것이 점점 어려워지고 있다는 사실 자체가 하나의 신호다.

The Quantum Insider는 이 논문 발표를 "세 달 만에 세 편의 논문이 양자 위협 타임라인을 다시 쓰고 있다"고 평가했다. 2025년 5월 Craig Gidney의 RSA-2048 논문, 2026년 2월 Iceberg Quantum의 LDPC 코드 논문, 그리고 이번 Google의 ECC 논문이 연속으로 등장했다.

4. 취약한 BTC는 얼마나? — 6.9M의 의미

양자컴퓨터가 실제로 ECDSA를 깰 수 있게 되더라도, 모든 비트코인이 동등하게 위험한 것은 아니다. 위험도는 공개키가 블록체인에 노출됐는지 여부에 따라 극명하게 갈린다. 비트코인 주소 유형별로 취약성을 분석한다.

주소 유형별 취약성

P2PK (가장 취약)
1.72M BTC
공개키가 블록체인에 직접 노출

초기 비트코인 시대의 주소 형식. 사토시 나카모토의 초기 채굴 코인도 이 형식. 공개키가 그대로 보이므로 CRQC가 나타나면 즉시 공격 가능.

P2PKH (조건부 취약)
+약 5M BTC
주소 재사용 포함 추정

미사용 주소는 공개키 해시만 저장 — 비교적 안전. 그러나 한 번이라도 거래한 주소는 공개키가 블록체인에 노출된다. 주소를 재사용할수록 위험 증가.

새 주소 (안전)
약 68%
한 번도 거래하지 않은 주소

공개키가 블록체인에 노출되지 않은 주소. 거래 전까지 양자 공격으로부터 보호된다. 거래 시 공개키가 노출되는 짧은 시간이 취약점.

6.9M BTC의 구성

P2PK 주소의 약 1.72M BTC + 주소 재사용으로 공개키가 노출된 P2PKH 주소를 합산하면 약 690만 BTC — 전체 비트코인의 약 32%다. 이 690만 BTC 중 약 110만 BTC는 사토시 나카모토의 초기 채굴 코인으로 추정된다. 8년 이상 움직이지 않은 P2PK 형식의 코인이다.

Taproot의 역설

2021년 비트코인 Taproot 업그레이드는 프라이버시와 효율성을 높이기 위해 도입됐다. 그런데 역설적으로, Taproot는 공개키를 더 많이 블록체인에 노출시키는 경향이 있다. 이 논문은 Taproot 채택의 확산이 양자 공격에 취약한 BTC의 비율을 장기적으로 더 높일 수 있다고 지적한다.

이더리움의 추가 취약점

이더리움은 비트코인과 다른 추가적인 취약점도 있다. 논문은 이더리움 특유의 다섯 가지 취약 지점을 분석한다.

  • KZG 다항식 커밋 스킴: Ethereum의 데이터 가용성 체계. 신뢰 설정 과정에서 생성된 "toxic waste"를 양자컴퓨터가 복원할 수 있다면 증명 체계 자체가 무력화될 수 있다.
  • 검증자 키 노출: 이더리움 2.0의 BLS 서명에 사용되는 검증자 키들이 체인 상에 노출되어 있다.
  • 롤업 크로스체인 브릿지 키: L2 롤업과 L1 이더리움 사이의 브릿지에 사용되는 키들.
  • ECDSA 서명 스마트 컨트랙트: ECDSA 서명 검증을 내부적으로 사용하는 DeFi 프로토콜 스마트 컨트랙트.
  • 블록체인상 과거 키: 이미 블록체인에 기록된 과거의 공개키들. 이는 미래의 CRQC가 등장했을 때 소급하여 공격 가능한 타겟이 된다.

5. HNDL: 진짜 즉각적인 위협

양자컴퓨터가 아직 존재하지 않는다면, 지금 당장 무엇이 위험한가? 이 질문에 대한 답이 HNDL — Harvest Now, Decrypt Later(지금 수집, 나중에 복호화)다. 미 연방준비제도(Fed)가 2025년 발표한 논문을 포함해 다수의 기관이 이를 가장 즉각적인 위협으로 경고하고 있다.

HNDL 공격이란

오늘 전송되는 암호화된 데이터를 지금 수집해 저장해두고, 미래에 CRQC가 완성되었을 때 복호화하는 공격 방식이다. 데이터의 기밀성이 미래까지 유지되어야 하는 경우 — 예를 들어 의료 기록, 금융 거래 내역, 국가 기밀 통신 등 — 이 위협은 이론이 아니라 현실이다.

블록체인의 특성상 이더리움과 비트코인의 모든 거래 내역은 영구적으로 공개된다. 한 번 체인에 기록된 공개키는 영원히 접근 가능하다. CRQC가 10년 후에 등장하더라도, 10년 전에 기록된 거래의 키를 그때 공격할 수 있다.

지금 당장 위험한 이유

  • 블록체인에 기록된 모든 공개키는 영구적으로 접근 가능
  • HIPAA·GDPR·SOX 등 수십 년 보관 의무 데이터의 장기 기밀성 위협
  • 정부·군·금융 기관의 암호화 통신은 이미 수집 대상이 될 수 있음

HNDL 대응 — 지금 할 수 있는 것

  • NIST PQC 표준(ML-KEM, ML-DSA) 기반 하이브리드 암호화 전환
  • 장기 보관 데이터의 암호화 알고리즘 갱신 계획 수립
  • 블록체인 지갑: 주소 재사용 중단, 새 주소로의 점진적 이동

NIST는 2024년 8월 PQC(포스트퀀텀 암호화) 표준을 최종 확정했다. FIPS 203(ML-KEM, CRYSTALS-Kyber 기반), FIPS 204(ML-DSA, CRYSTALS-Dilithium 기반), FIPS 205(SLH-DSA, Sphincs+ 기반)의 세 표준이 확정됐다. 미국 연방 정부는 NSM-10 지시에 따라 2035년까지 전체 시스템을 PQC로 전환하는 것을 목표로 하고 있다.

SEC-CFTC는 2026년 3월 17일 양자 위협에 관한 공동 해석을 발표하며 금융 기관의 PQC 전환 준비를 촉구했다. 규제 기관도 HNDL 위협을 현실로 인식하고 있다는 신호다.

6. 비트코인·이더리움의 대응 현황

두 대형 블록체인 생태계는 각각의 특성에 맞는 방식으로 양자 위협에 대응하고 있다. 비트코인은 커뮤니티 합의의 어려움 속에서 새로운 주소 형식을 논의 중이고, 이더리움은 더 유연한 업그레이드 경로를 바탕으로 구체적인 로드맵을 제시하고 있다.

비트코인: BIP360과 Hourglass

비트코인 생태계에서 가장 주목받는 제안은 BIP360(Pay-to-Merkle-Root)이다. 2026년 2월 11일 공식 BIP 저장소에 병합됐으며, 개발자 Hunter Beast(MARA), Ethan Hellman, Foxen Duke가 StarkWare 팀원들과 공동으로 작성했다. 양자 내성 서명 방식을 지원하는 새로운 주소 형식을 도입하는 내용이다.

BIP360 — Pay-to-Merkle-Root
  • 양자 내성 주소 형식 도입 제안
  • Bitcoin Quantum Testnet v0.3.0 (BTQ Technologies, 2026.3)
  • 현재 개발 및 커뮤니티 논의 단계
Hourglass 제안
  • 취약한 고전 암호화 주소의 사용을 점진적으로 제한
  • 사용자가 먼저 양자 내성 주소로 이동할 시간 제공
  • 비트코인 불변성 원칙과의 충돌 논란

비트코인의 핵심 도전

비트코인의 가장 큰 강점 중 하나인 '변경 불가성'이 양자 대응의 최대 장애물이기도 하다. 사토시의 초기 코인은 법적으로도, 기술적으로도 명확한 소유자가 없는 상태에서 P2PK 주소에 잠겨 있다. 이들을 강제로 잠그거나 이동시키는 것은 비트코인의 철학적 원칙에 반한다. 커뮤니티 합의 없이는 어떤 프로토콜 변경도 불가능하고, 그 합의에는 수년이 걸릴 수 있다.

이더리움: 비탈릭의 4단계 로드맵

비탈릭 부테린은 2026년 2월 26일 공개 블로그를 통해 이더리움의 양자 내성 전환을 위한 4단계 로드맵을 제시했다. 2029년 완료를 목표로 한다.

영역 현재 양자 내성 전환 계획
검증자 서명 BLS 서명 해시 기반 서명으로 전환
데이터 저장 KZG 커밋 STARK (양자 내성) 기반으로 전환
계정 서명 ECDSA EIP-8141로 다중 방식 지원
마이그레이션 방식 계정 추상화 기반 점진적 이동 (flag day 없음)

이더리움의 강점은 '계정 추상화'다. 하나의 특정 전환일(flag day)을 지정하지 않고, 사용자들이 자신의 계정을 새로운 서명 방식으로 점진적으로 마이그레이션할 수 있도록 설계됐다. 가스 비용이 현재 약 3,000에서 약 200,000으로 늘어나는 문제는 집계 기술로 완화할 계획이다.

이 논문의 저자 중 Justin Drake가 Ethereum Foundation 연구원임을 주목할 필요가 있다. 이번 논문 발표 자체가 이더리움 생태계의 PQC 전환을 촉구하는 내부적 압력으로도 읽힌다.

7. 전문가 타임라인 합의 — Q-Day는 언제인가

'Q-Day' — CRQC가 현실화되는 날. 전문가들의 추정치를 정리하면, 낙관론과 비관론 사이에도 어느 정도의 합의가 있다. 단기적 공황보다는 중기적 준비가 필요하다는 것이다.

전문가/기관 Q-Day 추정 확률/근거
Craig Gidney (Google) 2030년 이전 10% 확률
Justin Drake (Ethereum Foundation) 2032년 이전 10%+ 확률
전문가 중앙값 합의 2031~2035년 가장 현실적 시나리오
Google (자사 전환 데드라인) 2029년 자사 인증서비스 마이그레이션 완료 목표
미 연방 정부 (NSM-10) 2035년 전체 PQC 마이그레이션 완료 목표
Galaxy Digital Alex Thorn "수십 년" 위협은 실재, 단기 공황은 부적절

마이그레이션 리드타임: 왜 지금 시작해야 하는가

낙관적 시나리오에서도 Q-Day까지 5~10년이 남아있다는 것은 좋은 소식처럼 보인다. 그러나 블록체인 프로토콜 업그레이드의 복잡성을 고려하면 그렇지 않다. 비트코인에서 Taproot 업그레이드가 논의 시작부터 활성화까지 4년 이상 걸렸다. PQC 전환은 훨씬 더 근본적인 변경이다.

2024.8 — NIST PQC 표준 최종 확정
FIPS 203/204/205 공식화. 전 세계 시스템 전환의 법적 기반 마련.
2026.2 — BIP360 저장소 병합
비트코인 양자 내성 주소 제안 공식화. 테스트넷 진행 중.
2026.2 — 이더리움 비탈릭 4단계 로드맵 발표
2029년 완료 목표. 계정 추상화 기반 점진적 전환.
2026.3 — Google 양자 논문 발표 + SEC-CFTC 공동 해석
50만 큐비트 추정치 공개. 금융 규제 기관의 준비 촉구.
2029년 (목표) — 이더리움 PQC 로드맵 완료 목표
Google 자사 시스템 마이그레이션 데드라인과 동기화.
2031~2035년 (추정) — Q-Day 가능성 창
전문가 중앙값 합의. 이 창 전에 마이그레이션 완료 필요.
2035년 — 미 연방 정부 전환 완료 목표
NSM-10 지시 기준. 금융 기관도 이에 준하는 일정 예상.

결론적으로: Q-Day는 당장 내일의 위협이 아니다. 그러나 5~10년의 마이그레이션 기간이 필요하고, HNDL 공격은 지금 당장 시작될 수 있으며, 알고리즘 개선 속도는 예상보다 빠르다. 지금 준비를 시작해야 하는 이유는 충분하다. 공황이 아니라 체계적인 준비다.

데이터 무결성이라는 또 다른 레이어

양자 내성 암호화로의 전환은 단순히 알고리즘 교체가 아니다. 그 과정에서 데이터의 무결성을 어떻게 검증하고 유지할 것인가의 문제도 함께 따라온다. 암호화 방식이 바뀌면 기존에 서명된 데이터의 진위를 어떻게 검증할 것인가? 전환 기간 중 두 가지 암호화 체계가 공존할 때 데이터 파이프라인은 어떻게 설계되어야 하는가?

페블러스의 DataClinic과 DataGreenhouse는 이런 전환기에 데이터 품질의 일관성을 유지하는 것이 AI 파이프라인 전체의 신뢰성을 결정한다는 점에 주목한다. 양자 내성 인프라가 구축되더라도, 그 위를 흐르는 데이터가 오염되거나 변조된다면 의미가 없다. 암호화 전환과 데이터 품질 관리는 별개의 문제가 아니라, 신뢰할 수 있는 디지털 인프라를 구축하는 하나의 여정이다.

FAQ

Google 양자 논문 발표 이후 가장 많이 받은 질문들을 정리했다.