합의 변경 불필요: 스타크웨어 CPO, 기존 규칙을 기반으로 양자 안전 비트코인 거래 구축

• 스타크웨어(Starkware)의 최고제품책임자(CPO) 아비후 레비(Avihu Levy)는 2026년 4월 9일 QSB를 발표했으며, 이를 통해 프로토콜을 전혀 변경하지 않고도 양자 공격에 안전한 비트코인 거래를 가능하게 했습니다.
• 레비의 방안에 따르면 거래당 GPU 연산 비용이 75~150달러가 소요되며, 양자 공격에 대해 약 118비트의 프리이미지 저항성을 확보합니다.
• QSB는 비트코인의 기존 스크립트 규칙만을 사용하여 쇼어의 알고리즘으로부터 실제 비트코인 거래를 보호하는 것으로 알려진 최초의 방식입니다.

Starkware 임원이 프로토콜을 건드리지 않고 비트코인에 양자 저항성을 구축한 방법

Starkware의 최고 제품 책임자이자 BIP-360의 공동 저자인 아비후 레비(Avihu Levy)는 2026년 4월 9일, 전체 연구 논문과 오픈소스 구현본을 공개했다. 이 방식은 퀀텀 세이프 비트코인(Quantum Safe Bitcoin, QSB)이라 불립니다. 소프트포크나 커뮤니티의 협의, 새로운 오프코드가 필요하지 않습니다. 이 방식은 201개의 오프코드와 10,000바이트라는 비트코인의 기존 레거시 스크립트 제약 조건 내에서 완전히 실행됩니다.

QSB가 해결하려는 위협은 구체적이다. 비트코인의 주요 서명 방식인 secp256k1 타원 곡선 기반 ECDSA는 충분히 강력한 양자 컴퓨터에서 쇼어(Shor) 알고리즘을 통해 완전히 해독될 수 있습니다. 이러한 능력을 가진 공격자는 노출된 공개 키로부터 개인 키를 복구하고, 서명을 위조하며, 자금을 가로챌 수 있습니다. P2PK 출력, 레거시 주소, 탭루트(Taproot) 키스펜드 경로는 모두 공개 키가 온체인에 노출되는 순간 위험에 처하게 됩니다.

Levy의 방식은 거래 수준에서 이러한 의존성을 끊어냅니다. QSB는 타원 곡선의 난이도에 의존하는 대신, 양자 컴퓨터가 Grover의 알고리즘으로만 공격할 수 있는 해시 함수인 RIPEMD-160의 프리이미지 저항성에 보안을 구축합니다. Grover의 알고리즘은 완전한 해독이 아닌 2차적인 속도 향상을 제공할 뿐입니다. 160비트 해시는 양자 공격자에 대해 약 80비트의 프리이미지 저항성을 유지하므로, 충분한 안전 마진을 확보할 수 있습니다. 이 구조는 로빈 리누스(Robin Linus)가 개발한 '비노해시(Binohash)'라는 기존 방식을 수정하여, 비노해시를 양자 공격에 취약하게 만들었던 두 가지 문제를 해결했습니다. 첫 번째 문제는 작은 타원곡선 r값을 찾는 데 의존하는 서명 크기 작업 증명(PoW) 퍼즐이었는데, 이는 쇼어의 알고리즘으로 쉽게 해독될 수 있는 취약점이었다. 두 번째 문제는 공격자가 서로 다른 거래에서 유효한 퍼즐 서명을 재사용할 수 있게 하는, 해결되지 않은 사이하시(sighash) 플래그 취약점이었다.

서명 크기 퍼즐 대체

QSB는 서명 크기 퍼즐을 레비(Levy)가 '해시-투-시그(hash-to-sig)' 퍼즐이라고 부르는 방식으로 대체합니다. 지출자는 거래 파생 공개 키의 RIPEMD-160 해시가 유효한 DER 인코딩 ECDSA 서명을 생성할 때까지 거래 매개변수를 반복합니다. 이 사건은 대략 70조 분의 1의 확률로 발생합니다. 이 퍼즐은 하드코딩된 SIGHASH_ALL 플래그를 사용하므로, 부수적인 효과로 사이하시(sighash) 취약점이 제거됩니다.

그런 다음 지출자는 HORS 방식의 램포트(Lamport) 서명 구조를 사용하여 두 번의 다이제스트 라운드를 실행하며, FindAndDelete라는 레거시 스크립트 메커니즘을 통해 거래의 사이하시(sighash)를 변경하는 더미 서명들의 부분 집합을 선택합니다. 각 부분 집합은 서로 다른 해시 출력을 생성합니다. 유효한 DER 인코딩 서명을 산출하는 부분 집합이 해당 라운드의 다이제스트가 됩니다. 위트니스(witness)에서 해당 프리이미지를 공개하면 양자 안전 지출이 완료됩니다.

Levy가 'Config A'라고 부르는 권장 구성은 201-opcode 제한 내에 맞으며, 약 118비트의 프리이미지 저항성과 78비트의 충돌 저항성을 달성합니다. 이 구성에 대해 Grover의 알고리즘을 실행하는 양자 공격자는 두 번째 프리이미지 공격에 대해 대략 2의 69제곱에 해당하는 연산량을 감당해야 합니다. 쇼어의 알고리즘은 깨야 할 타원 곡선 가정이 남아 있지 않기 때문에 전혀 이점을 제공하지 않습니다. 현재 현물 가격 기준으로 거래당 클라우드 GPU 사용 비용은 75달러에서 150달러 사이입니다. 초기 테스트에서 이 작업은 병렬 처리가 매우 용이하여 여러 GPU를 통해 몇 시간 내에 완료되었습니다. GPU 팜은 키 복구 및 해싱을 포함한 공개 연산만 처리합니다. 비공개 HORS 프리이미지는 지출자의 보안 장치 밖으로 절대 유출되지 않습니다. 실제적인 한계도 존재합니다. QSB 트랜잭션은 합의 유효성을 갖지만 비표준이며, 기본 중계 정책을 초과합니다. 따라서 Marathon의 Slipstream 서비스와 같이 비표준 트랜잭션을 수용하는 채굴 풀에 직접 제출해야 합니다. 이 방식은 아직 라이트닝 네트워크 채널을 지원하지 않습니다. 오픈소스 구현에서는 온체인 조립 및 브로드캐스트 기능이 아직 미완성 상태입니다. 레비는 이 방식을 표준 비트코인 사용의 일반적인 대체 수단이 아닌 최후의 수단으로 설명합니다. Starkware의 공동 창립자 엘리 벤-사손(Eli Ben-Sasson)은 이 작업을 공개적으로 지지하며, 비트코인이 즉시 양자 안전해질 수 있다고 밝혔습니다. 그는 다음과 같이 말했습니다:

"이건 엄청난 일입니다. 비트코인은 오늘 바로 양자 안전합니다. 기존 비트코인 서명을 해독하는 양자 컴퓨터가 등장하더라도, 비트코인 프로토콜을 변경하지 않고도 안전한 비트코인 거래를 생성할 수 있는 실용적인 방법을 보여줍니다!"

레비는 X(구 트위터)에 이 백서와 저장소를 공유하며, 비노해시(Binohash)의 기초 작업을 수행하고 최종 비용-보안 균형을 결정짓는 핵심 수정 사항을 제안한 로빈 리누스에게 공로를 돌렸습니다. 이 백서는 소셜 미디어를 통해 널리 공유되며 커뮤니티의 큰 호응을 얻었습니다. 탭루트 위저드 에릭 월은 X에 다음과 같이 적었습니다:

"Starkware에는 지구상에서 가장 뛰어난 해커들이 있습니다. 해커들이 자신의 능력을 선한 목적으로 사용할 때 보는 것은 정말 아름다운 일입니다."

전체 논문, GPU 가속 CUDA 코드, 파이썬 파이프라인, 그리고 완전한 비트코인 스크립트는 레비의 GitHub 저장소에서 확인할 수 있습니다. 이 소식은 최근 양자 위협으로부터 비트코인 지갑을 보호하기 위해 개발된 프로토타입에 이은 것입니다. 해당 프로토타입은 라이트닝 랩스(Lightning Labs)의 CTO 올라올루와 오순토쿤이 제작했습니다.

일반 비트코인 보유자에게 이는 무엇을 의미하는가

일반 비트코인(BTC) 보유자들에게 있어 실질적인 시사점은 명확합니다. 현재 비트코인의 암호화를 해독할 수 있는 양자 컴퓨터는 존재하지 않으며, 대부분의 연구자들은 그 위협이 최소 3년에서 10년 뒤에나 도래할 것으로 보고 있습니다. 하지만 공개 키가 온체인에 노출되는 순간부터 카운트다운은 시작되며, 이는 사용자가 주소에서 자금을 지출할 때마다 발생합니다.

한 번도 송금 거래가 이루어지지 않은 지갑에 보관된 비트코인은 노출 위험이 적습니다. 하지만 재사용되거나 이미 사용된 주소에 보관된 비트코인은 사정이 다릅니다. 양자 컴퓨팅이 임계점에 도달하면, 노출된 공개 키들은 공격 대상이 됩니다. 그 창구가 닫히기 전에 자금을 이동시키는 것이, 그 이후에 이동시키는 것보다 훨씬 중요합니다.

QSB는 아직 어떤 소비자용 지갑에도 탑재되지 않았습니다. 사용자는 현재 표준 지갑을 열고 양자 보안 설정을 켜거나 끌 수 없습니다. 레비(Levy)가 제시한 것은 그 경로가 존재한다는 암호학적 증명으로, 이는 비트코인 내부에 이미 존재하는 규칙을 바탕으로 구축되었으며, GPU 연산 비용은 대략 비행기 표 한 장 값 정도입니다.

남은 과제는 기술적 구현, 채택, 그리고 시간입니다. BTC를 보유한 사용자에게 필요한 조치는 간단합니다. 지갑 제공업체의 양자 보안 지원 여부를 주시하고, 주소 재사용을 피하며, 주류 소프트웨어에서 해당 옵션이 제공될 때 자금을 양자 보안 주소로 이동시키면 됩니다. 비트코인을 보호할 도구는 지금 이 순간에도 개발되고 있습니다.