비트코인 주소의 34%가 위험하다 — 양자컴퓨터가 깨뜨릴 구조적 약점

-

핵심 요약 3가지

  • 비트코인 주소는 사용 순간 공개키가 노출되며, 이는 양자컴퓨터 등장 시 개인키 역산 공격에 취약해지는 구조적 문제를 만든다.
  • BIP‑361은 PQ 주소 포맷을 정의하는 제안이 아니라, 양자 취약 주소를 단계적으로 폐기하고 PQ 전환을 준비하는 절차적 로드맵이다.
  • ZK 기반 방식은 이론적으로 양자 저항성을 제공할 수 있지만, Script 구조·블록 크기·검증 비용 제약으로 인해 비트코인에 현실적으로 도입하기 어렵다.
비트코인 양자 보안 이미지

양자컴퓨팅이 가속화되면서, 비트코인의 보안 모델은 가장 중요한 전환점을 맞이하고 있다.

비트코인의 양자 취약성, BIP‑361, 그리고 ZK 기반 대안까지

※ 이 글은 현재 버전으로 우선 게시되며, 1일 후 Daily Crypto Times(DCT) 포맷에 맞춘 최종 버전으로 업데이트될 예정입니다.

양자컴퓨터 시대가 예상보다 빠르게 다가오면서, 비트코인의 근본적 보안 구조가 다시 핵심 이슈로 떠오르고 있습니다. 최근 비트코인 개발자들이 제안한 BIP‑361은 단순한 기술 개선이 아니라, 비트코인의 34% 이상이 양자 공격에 노출될 수 있다는 구조적 문제를 해결하기 위한 첫 번째 대응 시도입니다.

그러나 이 제안의 의미를 제대로 이해하려면 다음 질문들에 대한 명확한 이해가 필요합니다.

  • 왜 “한 번이라도 사용된 주소”는 모두 양자 취약한가?
  • 비트코인의 트랜잭션 구조는 어떤 방식으로 공개키를 노출시키는가?
  • BIP‑361은 실제로 무엇을 바꾸려 하는가?
  • PQ 서명 외에 ZK 방식 같은 대안은 가능한가?

이 글은 바로 그 지점을 다룹니다. 비트코인의 현재 보안 모델이 양자 시대에 어떤 한계를 드러내는지, BIP‑361이 제시하는 양자 저항성(PQ) 전환의 방향성이 무엇인지, 그리고 ZK 기반 인증 방식이 왜 “이론적으로는 가능하지만 현실적으로 어려운 대안”인지까지 전체 맥락을 하나의 흐름으로 정리합니다.

1. 한 번이라도 사용된 비트코인 주소는 왜 양자 취약한가?

UTXO와 Script 구조가 만든 근본적인 취약성

비트코인은 계정(Account) 방식이 아니라 UTXO(미사용 트랜잭션 출력) 방식을 사용합니다. 이 구조에서 중요한 포인트는 “비트코인을 받을 때”와 “쓸 때” 각각 어떤 정보가 블록체인에 기록되는가입니다.

① 받을 때(UTXO 생성) — 공개키는 숨겨져 있다

대표적인 P2PKH(1로 시작하는 주소)의 ScriptPubKey는 다음과 같은 형태입니다. 

OP_DUP OP_HASH160 <공개키 해시> OP_EQUALVERIFY OP_CHECKSIG

여기에는 공개키 자체가 아니라 공개키의 해시만 기록됩니다. 즉, 이 단계에서는 공격자가 공개키를 볼 수 없기 때문에, 양자컴퓨터가 있더라도 공개키 → 개인키 역산 공격을 수행할 수 없습니다. 이 상태의 UTXO는 상대적으로 안전한 편입니다.

② 쓸 때(UTXO 소비) — 공개키가 완전히 노출된다

이제 이 코인을 사용하려면, 트랜잭션 입력(Input)의 ScriptSig에 다음을 넣어야 합니다. 

<서명> <공개키>

즉, 비트코인을 사용하는 순간, 해당 주소의 공개키가 블록체인에 그대로 기록됩니다. 이때부터 상황이 달라집니다. 비트코인은 ECDSA(타원곡선 서명)를 사용하고 있고, 양자컴퓨터에서 실행되는 Shor’s Algorithm은 공개키만 있으면 타원곡선 이산로그 문제(ECDLP)를 빠르게 풀어 개인키를 역산할 수 있습니다.

결론적으로, “한 번이라도 송금에 사용된 주소”는 모두 공개키가 노출된 상태이며, 양자컴퓨터가 실용화되면 개인키 탈취 위험이 있는 양자 취약 주소가 됩니다. 초기 P2PK 주소, 오래된 거래소 지갑, 개인들이 과거에 사용한 주소들을 모두 합치면, 현재 비트코인 공급량의 상당 비율이 이런 양자 취약 주소에 묶여 있다는 것이 개발자들의 문제의식입니다.

2. BIP‑361이 제안하는 양자 저항성 비트코인(PQ Bitcoin)의 핵심 구조

BIP‑361은 “PQ 주소 포맷 정의”가 아니라 “취약 주소 폐기 절차” 제안이다

많이 오해되는 지점이 하나 있습니다. BIP‑361은 “이런 구조의 PQ 주소를 쓰자”는 기술 스펙을 정의하는 제안이 아닙니다. 대신 목표는 다음 두 가지에 가깝습니다.

  • 양자 취약 주소(P2PK, 이미 사용된 P2PKH 등)를 단계적으로 폐기하고,
  • 미래에 양자 저항성(PQ) 주소로 이동할 수 있는 환경을 미리 만들어 두는 것

BIP‑361이 제안하는 3단계 로드맵

  1. 3년 후: 양자 취약 주소로는 더 이상 비트코인을 보낼 수 없도록 차단
  2. 5년 후: 취약 주소에서 나오는 기존 ECDSA 서명을 네트워크가 거부
  3. 미래: PQ 주소로 이동하지 않은 잔고를 회수할 수 있는 “복구 옵션”을 두는 방안 논의

즉, BIP‑361은 “양자 취약 주소를 정리하는 절차적 제안”이고, 그 전제 위에서 PQ 주소를 도입할 수 있는 공간을 확보하는 것입니다. 그렇다면 PQ 주소는 어떤 방향성을 가져야 할까요?

PQ 주소가 가져야 할 구조적 원칙

BIP‑361은 구체적인 알고리즘 이름을 적지는 않지만, 다음과 같은 구조적 요구사항을 암시합니다.

  • 공개키를 블록체인에 절대 노출하지 않을 것
  • 공개키 없이도 검증 가능한 양자 저항성 서명 알고리즘을 사용할 것
  • 공개키 해시 기반 주소 구조는 유지하되, 필요하다면 더 강한 해시 함수로 전환할 수 있을 것
  • NIST PQC 표준(Dilithium, Falcon, SPHINCS+ 등)을 수용할 수 있도록 Script와 서명 크기 제약을 조정할 것

요약하면, PQ Bitcoin 주소는 “공개키를 끝까지 숨긴 채로, 양자 저항성 서명만으로 검증이 가능한 구조”를 지향합니다. 현재의 “주소 → 사용 시 공개키 노출” 패턴을 끊어내는 것이 핵심입니다.

3. ZK 방식으로 비트코인의 양자 저항성을 만들 수 있는가?

이론적으로는 가능하다. 하지만 비트코인에는 너무 큰 변화다

여기서 자연스럽게 떠오르는 질문이 하나 있습니다. “PQ 서명 대신, ZK(영지식 증명) 방식으로 양자 저항성을 만들 수는 없을까?”

이론적으로는 가능합니다. ZK‑Proof를 사용하면,

“나는 이 주소의 개인키를 알고 있다”는 사실을
개인키나 공개키를 노출하지 않고 증명할 수 있습니다.

이 경우, 블록체인에는 공개키가 기록되지 않으므로, 양자컴퓨터가 공격할 수 있는 “공개키 표적” 자체가 사라집니다. 즉, ZK 방식은 양자 공격에 매우 강한 구조를 만들 수 있습니다.

그럼에도 비트코인에서 ZK가 현실적으로 어려운 이유

① Script 언어 한계

비트코인의 Script는 의도적으로 단순하게 설계되어 있습니다. 루프도 없고, 복잡한 연산도 지원하지 않으며, SNARK/STARK 같은 ZK‑Proof를 검증할 수 있는 연산이 없습니다. ZK 검증을 넣으려면 새로운 opcode 추가 + 하드포크 수준의 대규모 변경이 필요합니다.

② 증명 크기와 블록 크기

ZK‑SNARK는 수백 바이트, ZK‑STARK는 수 KB~수십 KB에 이르는 증명 크기를 가집니다. 현재 비트코인 블록 크기(1MB)를 고려하면, 대량의 ZK‑Proof를 담는 것은 블록 용량과 네트워크 부담 측면에서 매우 비효율적입니다.

③ 검증 비용

ZK‑Proof 검증은 CPU·메모리 비용이 큽니다. 전 세계 모든 노드가 모든 트랜잭션을 검증해야 하는 비트코인 특성상, 검증 비용이 크게 늘어나는 것은 네트워크 탈중앙성과 검증 가능성을 해칠 수 있습니다.

이런 이유들 때문에, ZK 방식은 이론적으로는 매력적이지만, 현재 비트코인의 구조와 철학을 고려하면 현실적인 선택지로 보기 어렵다는 것이 개발자들의 공감대에 가깝습니다.

오늘의 정리

  • 비트코인 주소는 ‘사용되는 순간’ 공개키가 노출되고, 양자컴퓨터가 등장하면 개인키 역산 공격에 취약해진다.
  • BIP‑361은 PQ 주소 포맷을 정의하는 제안이 아니라, 양자 취약 주소를 단계적으로 폐기하고 PQ 전환을 준비하는 절차적 제안이다.
  • ZK 방식은 이론적으로 양자 저항성을 제공할 수 있지만, 비트코인의 Script 구조·블록 크기·검증 비용을 고려하면 현실적으로 도입하기 어렵다.

결국 비트코인의 양자 시대 대응 전략은 “공개키 노출을 최소화하고, 양자 저항성 서명(PQ 서명)으로 전환하는 방향”으로 수렴하고 있습니다. 양자컴퓨터가 아직 현실의 위협으로 다가오지 않았다고 해서, 이 논의를 미루기만 할 수는 없습니다. 어떤 구조를 선택하느냐가, 비트코인의 다음 10년을 결정할 가능성이 큽니다.

정윤찬 (Younchan Jung)
AI, 블록체인, 온체인 경제의 구조적 변화를 탐구하는 리서처.

This article is also available in English.

댓글

댓글 쓰기

이 블로그의 인기 게시물

Ethereum’s Quiet Takeover: How Stablecoins and Tokenized Assets Are Rewriting Global Finance

-
이미지
Ethereum’s Quiet Takeover: How Stablecoins and Tokenized Assets Are Rewriting Global Finance In 2026, the global financial system is undergoing a profound transformation—quiet on the surface, but seismic underneath. At the center of this shift is Ethereum . Once viewed simply as a smart‑contract platform, Ethereum has now become the settlement and liquidity backbone of global finance, reshaping the very structure of how money and assets move. How Ethereum Became the Foundation of Global Finance Stablecoin payments and real‑world asset tokenization (RWA) are expanding faster than ever. What’s striking is that this movement is no longer led by crypto startups. Instead, Visa, Stripe, PayPal, JPMorgan, BlackRock, and Fidelity —the world’s largest financial institutions—are building new financial infrastructure directly on Ethereum. Recent on‑chain data highlights the scale of this shift: Tokenized funds: 31,300 holders Tokenized equities: 21,000 holders Tokenized commodities: 116,...
자세한 내용 보기

The Real Reason the CLARITY Act Stalled: A USDC Yield War Between Coinbase and the Banks

-
이미지
3-Point Summary The CLARITY Act stalled not because of regulators, but due to internal industry conflict. The core battle centers on whether stablecoins like USDC should be allowed to generate yield. Coinbase’s opposition to a yield ban significantly weakened political momentum for the bill. The CLARITY Act stalled because the industry itself couldn’t agree on who controls the economics of digital dollars. 50-Second Shorts Video '" style="cursor: pointer; position: relative; width: 100%; aspect-ratio: 1/1; border-radius: 8px; overflow: hidden;"> Watch the 50-second video to understand why the CLARITY Act stalled before diving into the full analysis below. Why the CLARITY Act Stalled: Not Regulation, but an Internal War 1) What the CLARITY Act Was Trying to Do The CLARITY Act is ...
자세한 내용 보기

비트코인은 자산, 이더리움은 인프라: 기관이 다시 짜는 글로벌 금융의 판도

-
이미지
비트코인과 이더리움—같은 기관 채택, 완전히 다른 두 개의 트랙 기관들의 암호자산 채택 속도가 눈에 띄게 빨라지고 있다. 하지만 이 흐름 속에서 비트코인과 이더리움이 맡고 있는 역할은 근본적으로 다르다. 비트코인은 기관의 포트폴리오에 편입되는 ‘보유 자산’ 으로 자리 잡고 있고, 이더리움은 글로벌 금융 시스템이 다시 구축되는 ‘운영 인프라’ 로 기능하고 있다. 이 둘은 경쟁 관계가 아니라, 새로운 금융 아키텍처를 구성하는 두 개의 기둥이다. 1. 비트코인: 기관이 ‘보유하는 자산’ 최근 블랙록이 단 10거래일 만에 17,645 BTC(약 11억 6천만 달러) 를 매수한 사실은 시장의 시선을 사로잡았다. 이는 채굴자들이 생산하는 속도보다 더 빠르게 비트코인을 흡수하는 수준이다. 기관들이 비트코인을 반드시 보유해야 하는 자산 으로 인식하고 있다는 강력한 신호다. 비트코인이 기관 포트폴리오에서 차지하는 의미는 명확하다. ETF 운영을 위한 재고 확보 블랙록의 IBIT 현물 ETF는 투자자 수요를 충족하기 위해 대량의 BTC를 보유해야 한다. 기관 고객에게 제공하는 규제된 비트코인 접근성 연기금, 보험사, 국부펀드 등은 직접 보관 리스크 없이 비트코인에 노출되기를 원한다. 디지털 금으로서의 포지셔닝 래리 핑크는 비트코인을 글로벌 거시 자산, 가치 저장 수단, 인플레이션 헤지로 규정해 왔다. 장기적 희소성에 대한 선제적 대응 블랙록의 공격적 매수는 희소 자산을 조기에 확보하려는 전형적인 기관 전략이다. 결국 비트코인은 금고에 보관되는 자산 , 즉 디지털 금이다. 기관은 비트코인을 ‘운영’하지 않는다. 보유한다. 2. 이더리움: 금융 자산이 실제로 ‘움직이는 인프라’ 이더리움은 완전히 다른 질문에 답한다. “금융 자산은 어디에서 발행되고, 이동하고, 결제되고, 운영될 것인가?” 기관들은 ETH를 단순히 사들이는 것이 아니라, 이더리움 위에 금융 시스템을 구축하고 있다. 대표적인 사례는 다음과 같다. JP Morgan — Onyx, JPM Co...
자세한 내용 보기