Circle의 포스트 양자 로드맵: ‘양자 해킹’에 대비해 미리 자물쇠를 교체하는 방법

저자: KarenZ, Foresight News

언젠가 양자 컴퓨터가 충분히 강력해진다면, 블록체인이 가장 먼저 직면하게 될 문제는 두 가지 근본적인 보안 가정이 될 것입니다. 바로 서명이 여전히 ‘내가 나임을’ 증명할 수 있는지, 그리고 오늘날 암호화된 데이터가 미래에 해독될 수 있는지 여부입니다.

Circle이 최근 발표한 이 양자 이후 보안 로드맵 논문 《Circle’s Post-Quantum Security Roadmap》은 바로 이 문제를 다룹니다. 이 논문의 핵심 판단은 매우 명확합니다. 오늘날 블록체인이 광범위하게 의존하고 있는 타원 곡선 암호학(ECDSA, Ed25519, BLS 포함)은 충분히 강력한 양자 컴퓨터가 등장하면 무용지물이 될 것이라는 점입니다. 더 큰 문제는 EVM 체인에서 계정이 처음 거래를 브로드캐스트할 때 일반적으로 공개 키가 노출된다는 점이며, 비트코인 등 다른 체인에서는 이미 지출되었거나 재사용되었거나 특정 스크립트 형태로 공개 키가 노출된 주소 역시 유사한 위험 구간에 포함된다는 것이다.

논문의 저자진만 봐도 이것이 평범한 대중 과학 기사가 아님을 알 수 있다. 저자에는 Circle의 수석 소프트웨어 엔지니어 Mira Belenkiy, Circle 연구 엔지니어 Duc V. Le, Circle 수석 경제학자 Gordon Liao, Circle 제품 보안 수석 보안 엔지니어 Vipin Singh Sehrawat, 연구 엔지니어 Dragos Rotaru, 그리고 Axelar 네트워크의 초기 개발사인 Interop Labs의 공동 창립자이자 현재 Circle 소속인 Sergey Gorbunov 등 다수의 Circle 엔지니어가 포함되어 있습니다; 동시에 스탠퍼드 대학교 응용 암호학 분야의 대표 학자인 댄 보네(Dan Boneh)도 공동 저자로 참여했다.

이 논문의 가장 중요한 점은 '양자 컴퓨팅이 암호화폐를 파괴할 것인가'와 같은 공포 조장식 서사가 아니라, 문제를 현실적인 엔지니어링 마이그레이션 문제로 분해했다는 데 있다. Circle은 포스트 양자 전환이 단순히 업그레이드 버튼을 누르는 것이 아니라, 지갑, 스마트 계약, 수탁, 클라우드 서비스, 검증자, 규제 규칙을 아우르는 '장기적인 이전 작업'이라고 보고 있다.

논문은 블록체인이 양자 공격에 직면했을 때 발생할 수 있는 몇 가지 위험 유형을 열거했다.

첫 번째 유형은 계정 위조다. 주소 공개 키가 이미 노출된 경우, 미래의 양자 공격자는 개인 키를 복원하여 직접 거래를 위조할 수 있습니다. 논문은 Project Eleven의 Bitcoin RisQ Metrics를 인용하여, 이미 수백만 개의 잔액이 있는 주소가 양자 위험에 노출되어 있으며, 그중 약 1,400만 개의 비트코인 주소가 포함된 것으로 추정된다고 밝혔습니다.

두 번째 유형은 '먼저 수집, 나중에 복호화' 위험입니다: 공격자가 오늘 먼저 암호화된 데이터를 저장해 두었다가, 미래에 양자 컴퓨팅이 성숙해지면 이를 해독하는 방식입니다.

세 번째 유형은 합의 계층의 위험으로, 검증자의 서명 키가 복원될 경우 이중 서명, 검열, 심지어 역사 재작성까지 초래할 수 있습니다. 네 번째 유형은 네트워크 계층의 위험으로, P2P 통신, RPC over TLS 등 전통적인 키 교환에 의존하는 부분도 업그레이드가 필요합니다.

Circle의 3단계 마이그레이션 로드맵

Circle이 제시한 로드맵은 단순히 하나의 서명 알고리즘을 다른 알고리즘으로 교체하는 것이 아니라, 「현재 준비, 혼합 전환, 최종 전환」의 3단계로 나뉘어 있습니다. 각 단계에 해당하는 위험 우선순위는 다릅니다. 개인정보는 가장 먼저 보호해야 하며, 계정과 스마트 계약은 점진적으로 마이그레이션하고, 합의 및 인프라는 생태계, 하드웨어, 표준이 더 성숙해진 후에 전환을 완료해야 합니다.

공격 유형 및 Arc 로드맵의 대응 단계, 출처: Circle의 포스트 양자 보안 로드맵 논문

첫 번째 단계는 「현재 준비 단계」입니다. 이 단계의 목표는 ECDSA를 즉시 폐기하는 것이 아니라, 개발자와 사용자에게 먼저 마이그레이션 경로를 마련해 주는 것입니다. Arc는 메인넷에서 SLH-DSA-SHA2-128s 포스트 양자 서명 검증을 지원하여, 스마트 계약이 온체인에서 포스트 양자 서명을 검증할 수 있도록 할 것입니다. 쉽게 말해, Arc는 먼저 스마트 계약에 새로운 서명을 식별할 수 있는 '출입 통제 시스템'을 설치하지만, 네이티브 거래 서명은 당분간 ECDSA를 유지할 것입니다. 포스트 양자 서명은 크기가 더 크고 검증 속도가 더 느려 처리량과 사용자 경험에 영향을 미치기 때문입니다.

동시에 Arc는 X-Wing HPKE를 사용하여 거래 메모를 암호화하고, 프라이버시 실행을 통해 거래 내용, 계약 상태 및 실행 흔적을 보호할 것입니다. Circle이 이 부분을 우선시한 이유는 '오늘 기록되고 미래에 해독되는' 프라이버시 위험은 되돌릴 수 없기 때문입니다. 서명은 나중에 업그레이드할 수 있지만, 이미 유출된 데이터는 다시 비공개로 되돌릴 수 없습니다.

계정 계층에서 Circle은 몇 가지 과도기적 도구도 제안했습니다. 예를 들어 EIP-4337 계정 추상화를 통해 스마트 계정이 포스트-양자 서명을 검증하도록 하고; hash-and-rotate 방식을 통해 체인 상에 공개 키 해시만 저장함으로써, 공개 키의 평문 노출 기간을 최대한 단축하고; 포스트-양자 공개 키 레지스트리를 통해 사용자가 미리 주소와 포스트-양자 공개 키를 연동할 수 있도록 합니다. 이러한 설계의 공통된 목표는 사용자가 기반 프로토콜의 완전한 개편이 완료될 때까지 기다리지 않고도, 미리 계정 이전 준비를 시작할 수 있도록 하는 것입니다.

두 번째 단계는 「혼합 전환 단계」입니다. 이 단계는 가장 현실적이면서도 가장 복잡합니다. USDC 스마트 계약은 일정 기간 동안 기존 서명과 양자 내성 서명을 동시에 지원하며, 생태계가 준비되면 예약된 메커니즘을 통해 기존 서명을 비활성화합니다. Circle은 또한 콜드 스토리지 자금을 다중 서명 스마트 계약으로 이전하여, 서로 다른 체인과 서로 다른 포스트-양자 서명 알고리즘의 마이그레이션 속도를 동시에 수용할 계획입니다. USDC 스마트 계약이 30개 이상의 체인에 배포되어 있기 때문에, 이는 단일 체인의 업그레이드 문제가 아니라, 다중 체인 생태계에서 각기 다른 알고리즘을 선택하고 각기 다른 일정을 설정함으로써 발생하는 파편화 문제입니다.

이 논문은 특히 ecrecover의 난제를 강조합니다. 많은 EVM 계약이 ecrecover를 사용하여 ECDSA 서명을 검증하지만, 이러한 계약 중 상당수는 이미 업그레이드할 수 없는 상태입니다. ecrecover를 단순히 비활성화하면 수많은 기존 애플리케이션이 손상될 것이며, 계속 실행하도록 방치하면 양자 위조 위험이 남게 됩니다. Circle은 유망한 대안으로, 하드 포크를 통해 프로토콜 레이어에서 ecrecover의 동작을 수정하여 기존 ABI를 유지하면서도 포스트-양자 서명을 지원하도록 하는 방안을 제안했습니다. 이 방안은 새로운 계약에만 국한되지 않고, 이미 배포되어 수정이 어려운 기존 계약에 대한 마이그레이션 경로를 마련하려 한다는 점에서 현실적 의미가 큽니다.

과도기에는 더 저수준의 인프라 업데이트도 포함됩니다. Circle은 내부 암호화 스택을 점검하고, 클라우드 서비스 제공업체, HSM, KMS, TEE, libp2p, TLS 등의 종속 요소가 양자 보안 준비가 되어 있는지 평가한 후, 올바른 순서에 따라 키를 교체해야 합니다. 논문은 특히, 키 A가 키 B를 보호하고, 키 B가 다시 키 C를 보호하는 경우, 반드시 먼저 A를 교체한 다음 B를 교체하고, 마지막으로 C를 교체해야 한다고 강조합니다. 순서가 틀리면, 비록 양자 저항 알고리즘으로 교체했다 하더라도 과거에 가로채진 암호 자료가 미래에 노출될 수 있습니다.

세 번째 단계는 「최종 전환」입니다. 생태계, 규제, 하드웨어 지갑, 클라우드 서비스 제공업체 및 블록체인 인프라가 모두 준비된 후에야 Circle은 본격적인 하드 전환을 실행할 것입니다. 그때가 되면 Arc와 USDC 스마트 계약은 ECDSA 서명을 거부할 수 있으며, 검증자 서명도 양자 저항성 솔루션으로 이전될 것입니다. 만약 USDC를 지원하는 특정 체인이 장기간 충분한 양자 저항성 보안 요건을 충족하지 못한다면, Circle은 사용자 자산이 양자 위조 위험에 노출되는 것을 방지하기 위해 일부 계약 기능을 일시 중지하거나 지원을 철회하는 것까지 고려할 수 있습니다.

기존 계정을 어떻게 처리할지가 가장 어려운 문제

하지만 최종 전환은 가장 까다로운 문제도 동반합니다. 바로 이전되지 않은 계정의 자산은 어떻게 처리할 것인가 하는 점입니다. Circle의 입장은, 보안이 취약한 계정을 동결하는 것은 도난을 방지하기 위한 조치일 뿐, 이를 자산 몰수와 자동적으로 동일시해서는 안 된다는 것입니다. 다시 말해, 「구 서명 권한의 중단」과 「자산 보유자의 경제적 권리 박탈」은 반드시 별도로 처리되어야 합니다. 따라서 이 논문은 계정 복원을 매우 중요한 위치에 두고 있으며, 여기에는 Arc로의 이전, 니밋 프레이즈 및 제로 지식 증명을 통한 복원, TEE 증명을 통한 복원, 그리고 제한된 상황에서 온체인 법률 문서, 수탁자 증명, 거래소 증명 또는 유산 문서를 통한 복원이 포함됩니다.

이는 백서에서 매우 중요한 정책적 문제인 ‘계정 복구’로 이어집니다. 양자 시대가 도래하면, 기존 서명 자체로는 더 이상 소유권을 증명할 수 없으며, KYC(고객 신원 확인)만으로는 익명 주소가 누구의 것인지 증명하기 어려울 수 있습니다. Circle은 규제 당국이 미리 명확히 해야 할 사항으로, 이전 마감일 전 사용자에게 어떻게 통지할지, 어떤 증거가 자산 소유권을 입증하기에 충분한지, 자산이 동결된 지 얼마나 지나야 무주 재산으로 간주되는지, 상속, 제재, 자금 세탁 방지, 법원 명령 등의 규칙이 어떻게 적용되는지 등을 꼽았습니다. 논문은 업계가 이러한 규칙을 마련할 수 있는 시간이 5~10년 정도 남았다고 판단합니다.

이 논문은 또 다른 냉철한 판단을 내립니다. 너무 빠른 전환은 더 큰 위험을 초래할 수도 있다는 것입니다. 예를 들어, 기업들이 현재 HSM을 사용하여 개인 키를 보호하고 있는데, 양자 이후 서명을 도입하기 위해 서둘러 키를 일반 CPU로 내보내 서명하게 되면, 오히려 기존 해커의 공격에 의해 도난당할 위험이 더 커질 수 있습니다. Circle의 입장은, 양자 컴퓨팅 시대로의 전환을 위해 일찍 준비해야 하지만, '겉으로 보기만 안전해 보이게' 하기 위해 현재의 보안 수준을 낮춰서는 안 된다는 것이다.

쉽게 말해, Circle은 "양자 컴퓨터가 내일 당장 블록체인을 해킹할 것"이라고 말하는 것이 아니라, 금융 인프라는 자물쇠가 무용지물이 된 것이 증명된 후에야 자물쇠를 교체하기 시작해서는 안 된다고 강조하는 것이다. 특히 USDC처럼 30개 이상의 체인에서 운영되는 스테이블코인의 경우, 진정한 난제는 단순히 새로운 알고리즘을 선택하는 것이 아니라 지갑, 스마트 계약, 수탁자, 검증자, 클라우드 서비스 제공업체, 규제 당국 및 사용자가 함께 마이그레이션을 완료하는 데 있습니다.

양자 공격은 아직 실제로 발생하지 않았지만, 마이그레이션 비용은 이미 눈앞에 놓여 있습니다.