원문 저자: @Cointelegraph

원문 번역: AididiaoJP, Foresight News

본문은 BIP-360이 어떻게 비트코인의 양자 방어 전략을 재구성하는지 설명하고, 그 개선점을 분석하며, 왜 아직 포괄적인 포스트-퀀텀 보안을 달성하지 못했는지 논의합니다.

핵심 요점

• BIP-360은 처음으로 양자 저항성을 비트코인의 발전 로드맵에 공식적으로 포함시켰으며, 이는 급격한 암호학 체계 변화가 아닌 신중하고 점진적인 기술 진화를 의미합니다.
• 양자 위험은 주로 노출된 공개 키를 위협하며, 비트코인이 채택한 SHA-256 해시 알고리즘을 위협하지 않습니다. 따라서 공개 키 노출 감소는 개발자가 집중하는 핵심 보안 문제가 되었습니다.
• BIP-360은 지불-투-머클 루트(P2MR) 스크립트를 도입하여 Taproot 업그레이드의 키 경로 지출 옵션을 제거함으로써 모든 UTXO의 지출이 스크립트 경로를 통해서만 이루어지도록 강제하여 타원 곡선 공개 키의 노출 위험을 최대한 낮춥니다.
• P2MR는 스마트 계약의 유연성을 유지하며, Tapscript 머클 트리를 통해 여전히 멀티시그, 타임락, 복잡한 관리 구조를 지원합니다.

비트코인의 설계 철학은 심각한 경제적, 정치적, 기술적 도전에 저항할 수 있게 합니다. 2026년 3월 10일 기준, 개발자 팀은 새로운 기술적 위협인 양자 컴퓨팅에 대응하기 시작하고 있습니다.

최근 발표된 비트코인 개선 제안 360(BIP-360)은 처음으로 공식적으로 양자 저항성을 비트코인의 장기 기술 로드맵에 포함시켰습니다. 일부 미디어 보도는 이를 중대한 변화로 묘사하는 경향이 있지만, 실제 상황은 더 신중하고 점진적입니다.

이 글은 BIP-360이 어떻게 지불-투-머클 루트(P2MR) 스크립트를 도입하고 Taproot의 키 경로 지출 기능을 제거함으로써 비트코인의 양자 위험 노출을 낮추는지 깊이 있게 탐구합니다. 이 글은 해당 제안의 개선점, 도입된 절충 요소, 그리고 왜 아직 비트코인이 완전한 포스트-퀀텀 보안을 달성할 수 없게 하는지 설명하는 것을 목표로 합니다.

양자 컴퓨팅이 비트코인에 위협이 되는 원천

비트코인의 보안은 암호학적 기초 위에 구축되어 있으며, 주로 타원 곡선 디지털 서명 알고리즘(ECDSA)과 Taproot 업그레이드를 통해 도입된 Schnorr 서명을 포함합니다. 전통적인 컴퓨터는 공개 키에서 개인 키를 역으로 유도하는 데 실현 가능한 시간 내에 이를 수행할 수 없습니다. 그러나 충분한 능력을 가진 양자 컴퓨터가 쇼어 알고리즘을 실행한다면 타원 곡선 이산 로그 문제를 해결하여 개인 키 보안을 위협할 가능성이 있습니다.

핵심 차이점은 다음과 같습니다:

• 양자 공격은 주로 공개 키 암호 체계를 위협하며, 해시 함수를 위협하지 않습니다. 비트코인이 채택한 SHA-256 알고리즘은 양자 컴퓨팅 앞에서 상대적으로 견고합니다. 그로버 알고리즘은 지수적 가속이 아닌 2차 가속 효과만 제공할 수 있습니다.
• 진정한 위험은 공개 키가 블록체인에 공개되는 순간에 있습니다.

이를 바탕으로 커뮤니티는 공개 키 노출을 가장 주요한 양자 위험 원천으로 보편적으로 간주합니다.

2026년 비트코인의 잠재적 취약점

비트코인 네트워크의 다양한 주소 유형은 미래의 양자 위협 정도가 다릅니다:

• 재사용된 주소: 자금이 해당 주소에서 지출될 때, 그 공개 키는 체인에 공개되며, 미래에 암호학 관련 양자 컴퓨터(CRQC)가 등장하면 해당 공개 키는 위험에 처할 것입니다.
• 잔여 지불-투-공개 키(P2PK) 출력: 초기 비트코인 거래는 공개 키를 직접 거래 출력에 기록했습니다.
• Taproot 키 경로 지출: Taproot 업그레이드(2021년)는 두 가지 지출 경로를 제공했습니다: 하나는 간결한 키 경로(지출 시 조정된 공개 키가 노출됨), 다른 하나는 스크립트 경로(머클 증명을 통해 구체적인 스크립트가 노출됨)입니다. 이 중 키 경로는 양자 공격 하에서 가장 주요한 이론적 약점입니다.

BIP-360은 바로 이 키 경로 노출 문제를 직접적으로 대상으로 설계되었습니다.

BIP-360의 핵심 내용: P2MR 도입

BIP-360 제안은 지불-투-머클 루트(P2MR)라는 새로운 출력 유형을 추가합니다. 이 유형은 구조적으로 Taproot를 참조하지만 한 가지 핵심적인 변경을 가합니다: 키 경로 지출 옵션을 완전히 제거합니다.

Taproot가 내부 공개 키를 약속하는 것과 달리, P2MR은 스크립트 트리의 머클 루트만 약속합니다. P2MR 출력을 지출하는 절차는 다음과 같습니다:

스크립트 트리 중 하나의 리프 스크립트를 공개합니다.

해당 리프 스크립트가 약속된 머클 루트에 속한다는 것을 증명하기 위해 머클 증명을 제공합니다.

전체 과정에서 공개 키 기반의 지출 경로는 존재하지 않습니다.

키 경로 지출 제거로 인한 직접적인 영향은 다음과 같습니다:

• 직접적인 서명 검증으로 인한 공개 키 노출을 피합니다.
• 모든 지출 경로는 양자 저항성이 더 강한 해시 기반 약속에 의존합니다.
• 체인에 장기간 존재하는 타원 곡선 공개 키의 수가 현저히 감소합니다.
• 타원 곡선 가정에 의존하는 방안에 비해 해시 기반 방법은 양자 공격에 대한 방어 측면에서 현저한 우위를 가지며, 이는 잠재적 공격 표면을 크게 축소시킵니다.

BIP-360이 유지하는 기능

일반적인 오해는 키 경로 지출을 포기하면 비트코인의 스마트 계약 또는 스크립트 기능이 약화된다는 것입니다. 사실, P2MR은 다음 기능을 완전히 지원합니다:

• 멀티시그 구성
• 타임락
• 조건부 지불
• 자산 상속 방안
• 고급 관리 계약

BIP-360은 Tapscript 머클 트리를 통해 위의 모든 기능을 구현합니다. 이 방안은 완전한 스크립트 능력을 유지하면서 편리하지만 잠재적 위험이 있는 직접 서명 경로를 포기합니다.

배경 지식: 사토시 나카모토는 초기 포럼 논의에서 양자 컴퓨팅을 간략히 언급했으며, 그것이 현실화되면 비트코인은 더 강력한 서명 방안으로 이전할 수 있다고 생각했습니다. 이는 미래의 업그레이드를 위한 유연성을 남겨두는 것이 그의 초기 설계 사상의 일부였음을 보여줍니다.

BIP-360의 실천적 영향

BIP-360은 순수 기술적 개선으로 보일 수 있지만, 그 영향은 지갑, 거래소, 관리 서비스 등 광범위한 계층에 미칠 것입니다. 제안이 채택되면, 새로운 비트코인 출력의 생성, 지출, 보관 방식을 점진적으로 재구성할 것이며, 특히 장기적 양자 저항성을 중시하는 사용자에게 깊은 영향을 미칠 것입니다.

• 지갑 지원: 지갑 애플리케이션은 새로운 코인을 받거나 장기 보유 자산을 저장하기 위한 '양자 강화' 옵션으로 선택적 P2MR 주소(아마도 "bc1z"로 시작)를 제공할 수 있습니다.
• 거래 수수료: 스크립트 경로 채택은 더 많은 증인 데이터를 도입하기 때문에, P2MR 거래는 Taproot 키 경로 지출에 비해 약간 더 커질 수 있으며, 이로 인해 거래 수수료가 약간 증가할 수 있습니다. 이는 보안성과 거래 간결성 사이의 절충을 보여줍니다.
• 생태계 협력: P2MR의 포괄적 배포는 지갑, 거래소, 관리 기관, 하드웨어 지갑 등 모든 당사자의 해당 업데이트가 필요합니다. 관련 계획 및 조정 작업은 수년 전에 시작해야 합니다.

배경 지식: 각국 정부는 이미 '먼저 수집, 나중에 해독'의 위험에 관심을 기울이기 시작했는데, 이는 현재 대량의 암호화 데이터를 수집 저장하여 미래 양자 컴퓨터가 등장한 후 해독하는 전략입니다. 이러한 전략은 비트코인의 노출된 공개 키에 대한 잠재적 우려와 본질적으로 같습니다.

BIP-360의 명확한 한계

BIP-360이 비트코인의 미래 양자 위협에 대한 방어 능력을 강화했음에도 불구하고, 이는 근본적인 암호학 체계 재구성이 아닙니다. 그 한계를 이해하는 것 또한 매우 중요합니다:

• 기존 자산은 자동으로 업그레이드되지 않음: 모든 오래된 미지출 거래 출력(UTXO)은 사용자가 자금을 P2MR 출력으로 적극적으로 이전하기 전까지 그 취약성이 여전히 존재합니다. 따라서 이전 과정은 완전히 사용자의 개별 행동에 달려 있습니다.
• 새로운 유형의 포스트-퀀텀 서명을 도입하지 않음: BIP-360은 격자 기반 서명 방안(예: Dilithium 또는 ML-DSA)이나 해시 기반 서명 방안(예: SPHINCS+)을 기존 ECDSA 또는 Schnorr 서명을 대체하기 위해 채택하지 않았습니다. 이는 단지 Taproot 키 경로가 가져온 공개 키 노출 패턴만 제거합니다. 기본 계층에서 포스트-퀀텀 서명으로의 포괄적 전환은 훨씬 더 큰 규모의 프로토콜 변경이 필요할 것입니다.
• 절대적인 양자 면역을 제공할 수 없음: 미래에 갑자기 실제로 실행 가능한 CRQC가 등장하더라도, 그 충격을 견디기 위해서는 채굴자, 노드, 거래소, 관리 기관 간의 대규모, 고강도의 협력 대응이 필요할 것입니다. 오랫동안 움직이지 않은 '휴면 코인'은 복잡한 거버넌스 문제를 일으킬 수 있으며 네트워크에 큰 압력을 가할 수 있습니다.

개발자의 선제적 배치 동인

양자 컴퓨팅의 기술 발전 경로는 불확실성으로 가득 차 있습니다. 일부 관점은 그 실용화가 수십 년이 더 필요하다고 보는 반면, 다른 관점들은 IBM이 2020년대 말의 내결함성 양자 컴퓨터 목표, 구글이 양자 칩에서의 돌파구, 마이크로소프트가 위상 양자 컴퓨팅에서의 연구, 그리고 미국 정부가 설정한 2030-2035년 암호 시스템 전환 기한이 모두 관련 진전이 가속화되고 있음을 시사한다고 지적합니다.

핵심 인프라의 이전은 긴 시간 주기가 필요합니다. 비트코인 개발자들은 BIP 설계, 소프트웨어 구현, 인프라 적응, 사용자 채택 등 모든 단계에서 체계적인 계획이 반드시 필요하다고 강조합니다. 양자 위협이 코앞에 닥친 후에 행동한다면 시간 부족으로 인해 수동적 위치에 빠질 수 있습니다.

커뮤니티가 광범위한 합의에 도달한다면, BIP-360은 단계별 소프트 포크 방식으로 추진될 수 있습니다:

• P2MR 새로운 출력 유형 활성화.
• 지갑, 거래소, 관리 기관이 점진적으로 그 지원을 증가.
• 사용자가 수년에 걸쳐 점진적으로 자산을 새로운 주소로 이전.

이 과정은 과거 세그윗(SegWit)과 Taproot 업그레이드가 경험한 선택적에서 광범위한 적용까지의 경로와 유사합니다.

BIP-360을 둘러싼 광범위한 논의

BIP-360 시행의 긴급성과 그 잠재적 비용에 대해 커뮤니티 내에서는 지속적인 논의가 있습니다. 핵심 의제는 다음과 같습니다:

• 장기 보유자에게 가져오는 약간의 수수료 증가가 수용될 수 있는가?
• 기관 사용자가 먼저 자산 이전을 해서 모범 효과를 발휘해야 하는가?
• 절대 움직이지 않을 '잠든' 비트코인에 대해서는 어떻게 적절히 처리해야 하는가?
• 지갑 애플리케이션은 어떻게 사용자에게 '양자 안전' 개념을 정확히 전달하여 불필요한 공포를 유발하지 않으면서도 효과적인 정보를 제공할 수 있는가?

이러한 논의는 여전히 진행 중입니다. BIP-360의 제안은 관련 의제의 심층 논의를 크게 촉진했지만, 모든 문제에 마침표를 찍기에는 아직 멀었습니다.

배경 지식: 양자 컴퓨터가 현재 암호학을 해결할 수 있다는 이론적 구상은 1994년 수학자 피터 쇼어가 쇼어 알고리즘을 제안한 시점으로 거슬러 올라가며, 이는 비트코인의 출현보다 훨씬 이전입니다. 따라서 비트코인의 미래 양자 위협에 대한 계획은 본질적으로 30년 이상 된 이론적 돌파구에 대한 대응입니다.

사용자가 현재 취할 수 있는 대응 조치

현재, 양자 위협은 임박하지 않았으며, 사용자가 지나치게 걱정할 필요는 없습니다. 그러나 몇 가지 신중한 조치를 취하는 것은 유익합니다:

• 주소 재사용 금지 원칙을 고수합니다.
• 항상 최신 버전의 지갑 소프트웨어를 사용합니다.
• 비트코인 프로토콜 업그레이드 관련 동향을 주시합니다.
• 지갑 애플리케이션이 언제 P2MR 주소 유형 지원을 시작하는지 주의합니다.
• 대량의 비트코인을 보유한 사용자는 조용히 자신의 위