시큐리티팩트

[시큐리티팩트=김상규 기자] 비트코인을 비롯한 가상자산 시장이 활황을 맞이하고 있는 가운데 ‘양자컴퓨팅’이라는 거대한 파도가 블록체인의 보안 근간을 뒤흔들고 있다는 경고음이 커지고 있다. 최근 금융권과 학계에서는 슈퍼컴퓨터의 성능을 아득히 초월하는 양자컴퓨터의 등장이 현재 가상화폐 암호 체계를 무력화할 수 있다는 ‘Q-데이(Q-Day)’ 시나리오가 구체화되는 모습이다.

실제 미 최대 은행인 JP모건은 최근 보고서를 통해 양자컴퓨터가 가상자산 시장의 신뢰를 무너뜨릴 수 있는 '시스템적 리스크'임을 지목했다. 이더리움 창시자 비탈릭 부테린 역시 최근 컨퍼런스에서 “2030년 이전에 양자컴퓨터가 현재의 암호 알고리즘을 깨뜨릴 가능성이 20%에 달한다”며 선제적인 업그레이드를 촉구하고 나섰다.

가장 충격적인 분석은 딜로이트(Deloitte)와 체인코드 랩스 등 주요 연구기관에서 나왔다. 이들의 시뮬레이션에 따르면 충분한 성능의 양자컴퓨터가 등장할 경우 현재 비트코인 유통량의 약 25%에 달하는 400만 개 이상의 비트코인이 즉각적인 탈취 위험에 노출될 수 있다. 이는 초기 비트코인 전송 방식인 P2PK(Pay-to-Public-Key) 주소와 공개키가 이미 노출된 노후 지갑들에 집중되어 있으며, 현재 가치로 환산할 경우 수백조 원 규모의 자산이 한순간에 증발할 수 있다는 계산이 나온다.

특히 전문가들이 우려하는 것은 ‘HNDL(Harvest Now, Decrypt Later)’ 공격이다. 해커들이 당장 해독은 못 하더라도 가치가 높은 암호화 데이터를 지금 미리 수집해둔 뒤, 향후 성능이 강화된 양자컴퓨터가 나오는 시점에 한꺼번에 복호화해 자산을 탈취하겠다는 전략이다. 이는 미래의 위협이 아닌 현재 진행 중인 ‘잠재적 약탈’이라는 점에서 가상자산 시장에 큰 하방 압력으로 작용하고 있다.

가상화폐 보안의 핵심은 ‘비대칭 암호화’라 불리는 타원곡선암호(ECC) 체계에 있다. 현재의 컴퓨터 기술로는 공개키를 보고 개인키(비밀번호)를 찾아내는 것이 수학적으로 거의 불가능하다. 비트코인 개인키를 무차별 대입법으로 알아내려면 전 우주적 시간만큼의 연산이 필요하다는 것이 지금까지의 상식이었다.

하지만 양자컴퓨터는 ‘쇼어 알고리즘(Shor’s Algorithm)’이라는 특수 연산 방식을 통해 이 판도를 완전히 뒤엎는다. 기존 컴퓨터가 0과 1을 순차적으로 계산한다면, 양자컴퓨터는 양자 중첩 현상을 이용해 방대한 숫자의 소인수 분해를 순식간에 처리한다. 논리적으로 보면 약 2300개 이상의 논리 큐비트를 갖춘 양자컴퓨터가 등장할 경우 비트코인의 공개키로부터 개인키를 추출해 내는 연산은 수십 년에서 ‘단 몇 분’으로 단축된다. 즉 소유자의 허락 없이 지갑의 문을 열 수 있는 ‘마스터키’가 탄생하는 셈이다.

또한 비트코인의 채굴 방식인 SHA-256 해시 함수 역시 ‘그로버 알고리즘(Grover’s Algorithm)’에 의해 연산 속도가 비약적으로 빨라질 수 있어 특정 세력이 양자컴퓨터로 채굴권을 독점하며 네트워크의 민주성을 파괴할 위험도 제기된다.

상황이 이렇다 보니 글로벌 빅테크 기업들은 이미 양자내성암호(PQC)를 실전에 배치하고 있다. 애플(Apple)은 2024년 초, 자사의 메시지 보안 시스템인 iMessage에 양자내성암호 프로토콜인 'PQ3'를 전격 도입했다. 이는 기존 종단간 암호화 기술에 양자 공격 방어막을 추가한 것이다. 메시지 서비스 중 가장 높은 수준인 '레벨 3' 보안을 달성했다는 평가를 받는다.

구글(Google) 역시 2023년 하반기부터 크롬(Chrome) 브라우저(버전 116)에 양자내성 키 교환 알고리즘인 'Kyber768'을 적용하기 시작했다. 이는 사용자가 웹사이트를 서핑할 때 발생하는 데이터 패킷을 보호해 사후 해독(HNDL) 공격을 원천 봉쇄하기 위함이다. 금융 플랫폼 중에서는 마스터카드와 비자가 양자 보안 결제 시스템 구축을 위한 글로벌 컨소시엄에 참여하며 결제 보안의 세대교체를 준비 중이다.

국내에서도 대기업들을 중심으로 양자 보안 생태계가 빠르게 구축되고 있다. SK텔레콤은 세계 최초로 양자난수생성기(QRNG) 칩을 스마트폰에 탑재한 데 이어, 자회사 SK브로드밴드를 통해 한국전력기술에 PQC 전용회선을 구축하는 등 가시적인 성과를 내고 있다. KT는 독자적인 양자암호통신(QKD) 기술을 통해 공공 인프라 보안을 강화하고 있으며, 이를 가상자산 거래소 전용 보안 회선 사업으로 확장 중이다. LG유플러스 또한 PQC 전용회선 서비스를 상용화하며 금융사 및 가상자산 운용사에 '양자 보안 패키지'를 공급하고 있다.

특히 삼성전자는 최근 공개된 갤럭시 S25 시리즈에 양자내성암호(PQC) 알고리즘을 지원하는 보안 프로세서를 탑재하며 하드웨어 보안의 정점을 찍었다. 보안 플랫폼 '삼성 녹스(Knox)'에 양자내성 기술을 융합해 스마트폰 단계에서부터 가상자산 개인키를 양자 공격으로부터 원천 보호하는 설계를 강화했다.

국내 클라우드 및 IT 서비스 분야를 선도하는 삼성SDS의 행보도 주목된다. 삼성SDS는 기업용 클라우드 플랫폼(SCP) 및 솔루션에 양자내성암호 기술을 적용하기 위해 '한국형 양자내성암호(KpqC)' 표준화를 이끌고 있다. 특히 하이브리드 암호 체계를 통해 기존 암호와 양자내성암호를 병용함으로써 클라우드 기반 가상자산 운용 시스템의 안정적인 전환을 돕는 기술적 토대를 마련하고 있다.

실질적인 산업 적용 사례도 늘고 있다. 국내 보안 기업인 한컴위드는 최근 국내 최초로 NIST 표준 알고리즘이 포함된 암호모듈에 대해 국가정보원 검증(KCMVP)을 획득하며 시장 공략에 나섰다. 한국전력공사는 2,250만 호의 전력 데이터를 보호하기 위해 지능형 전력망에 PQC를 적용하며 실질적인 전환 사례를 확보했다.

글로벌 보안 업계에서는 이제 가상자산이 수익성을 넘어 ‘양자 내성’ 여부로 그 가치가 재평가될 것이라고 입을 모은다. 양자컴퓨팅은 더 이상 미래의 이야기가 아닌, 블록체인 생태계가 생존을 위해 넘어야 할 가장 시급한 현실의 과제가 되었기 때문이다.