IBM 양자 하드웨어가 15비트 ECC 키를 해독했으나, 비트코인 개발자들은 무작위 비트들이 그 결과와 일치한다고 밝혔다

• 프로젝트 일레븐은 4월 24일, IBM 양자 하드웨어에서 15비트 ECC 키를 해독한 연구원 지안카를로 렐리에게 1 BTC(78,000달러)를 수여했다.
• 비트코인 개발자들은 렐리의 결과가 무작위 노이즈를 적용했을 때도 재현된다는 점을 보여주며, 이는 고전적 방법에 비해 양자 우위가 전혀 없음을 시사한다.
• 15비트와 비트코인의 256비트 secp256k1 사이의 격차는 여전히 2^241에 달하는 공학적 장벽으로 남아 있어, 당분간 BTC의 보안은 유지될 전망이다.

프로젝트 일레븐, 15비트 ECC 양자 해킹에 대해 잔카를로 렐리에게 1 BTC 수여했으나 소프트웨어 개발자들은 이를 노이즈라고 일축

프로젝트 일레븐은 이 성과를 2025년 9월 엔지니어 스티브 티페코닉이 IBM 하드웨어에서 달성한 기존 6비트 ECC 해독에 비해 탐색 공간 복잡성이 512배 증가한 것으로 설명했다. CEO 알렉스 프루덴은 이 성과를 ECC에 대한 양자 공격이 더 이상 국가 연구소나 전용 하드웨어를 필요로 하지 않는다는 증거로 제시했다.

수상 당시 약 78,000달러 상당이었던 이 상은 1~25비트 키 크기의 ECC에 대한 양자 공격에 대한 재현 가능한 공개 측정 결과를 제공하기 위해 마련되었다. 전체 코드와 실행 로그를 포함한 렐리의 제출 자료는 GitHub에서 공개되어 있다.

레리는 IBM 퀀텀 클라우드 하드웨어에서 쇼어 알고리즘의 2레지스터 변형을 구현했으며, 비트코인의 secp256k1 표준에서 사용되는 형태의 타원 곡선을 대상으로 삼았다. 이 회로는 ibm_torino와 ibm_fez를 포함한 여러 IBM Heron r2 프로세서에서 실행되었으며, 노이즈가 있는 중간 규모 양자 장치를 위해 설계된 기술에 의존했다.

비트코인 개발자들과 암호학자들은 이 결과를 즉각 일축하며, 양자 하드웨어가 결과에 의미 있는 가치를 더하지 않았다고 주장했습니다. 이 성과를 알리는 프로젝트 일레븐의 X 게시물에는 현재 '커뮤니티 노트' 사실 확인이 첨부되어 있는데, 15비트 ECC 키를 복구하는 데 사용된 접근 방식은 무작위 노이즈와 구별할 수 없는 출력에 대한 고전적 검증에 의존하며, 사실상 고전적 추측에 불과하다고 명시하고 있습니다.

전직 비트코인 코어(Bitcoin Core) 유지보수자 요나스 슈넬리(Jonas Schnelli)는 렐리의 제출물을 분석한 결과, 게이트당 약 99.5%의 정확도로 약 98,000개의 게이트를 실행한 IBM 회로가 통계적으로 동전 던지기와 구별할 수 없는 출력을 생성했다는 사실을 발견했다.

슈넬리는 양자 하드웨어를 전혀 사용하지 않고 순수한 무작위 비트를 이용해 약 20줄의 파이썬 코드로 전체 키 복원을 재현했습니다. 그의 결론은 명확했습니다. 양자 컴퓨터는 고전적 무작위성에 비해 감지 가능한 신호를 전혀 추가하지 못했다는 것입니다. 코인카이트(Coinkite)의 창립자 로돌포 노박은 프로젝트 일레븐(Project Eleven)이 대중을 오도하고 있다고 주장하며, 그들의 양자 관련 주장을 “쇼”라고 일축했습니다. 그는 X(구 트위터)에서 “양자 회로가 실행되기도 전에 개인 키가 고전적으로 해결된다”고 주장했으며, 이 시스템은 “아무것도 찾아내는 것이 아니라 정답을 알려주는 것”이라며 결과가 “고전적 검증 필터”에 의존한다고 덧붙였다. 노박은 “비트코인에 대한 양자 위협은 실재하지만 아직 먼 미래의 일”이라고 전제하면서도, 오늘날의 시연은 “양자 의상을 입은 고전적 계산”에 불과하다고 결론지었다.

연구자 유발 아담(Yuval Adam)은 렐리의 IBM 양자 백엔드를 리눅스의 고전적 난수 생성기인 /dev/urandom으로 교체하고, 대상 키를 동일하게 복원함으로써 이 결과를 독립적으로 확인했다. 15비트 곡선은 가능한 개인 키가 32,767개에 불과한 검색 공간을 갖는데, 이는 공개 키와 대조하여 후보를 확인하는 고전적 검증기가 근사 난수 샘플링을 통해 높은 확률로 일치하는 키를 찾을 수 있을 만큼 충분히 작은 규모다.

비트코인 지지자인 지미 송(Jimmy Song)은 양자 컴퓨터가 /dev/urandom과 동일한 기능을 수행한다고 설명했다. X(구 트위터) 계정 TFTC는 널리 읽힌 게시물에서, 현재까지 공개된 모든 ECC(타원곡선 암호화)에 대한 쇼어(Shor) 알고리즘 시연은 양자 하드웨어가 실행되기 전에 회로에 답을 효과적으로 인코딩하는 고전적 사전 계산에 의존하고 있다고 지적했다.

비평가들은 또한 상금 구조에 이해 상충이 있다고 지적했다. 코인베이스 벤처스(Coinbase Ventures), 캐슬 아일랜드 벤처스(Castle Island Ventures), 바리언트(Variant), 발라지 스리니바산(Balaji Srinivasan)이 후원하는 프로젝트 일레븐(Project Eleven)은 이 상을 제정하고, 세 명의 독립적인 물리학자를 통해 제출물을 심사하여 상금을 수여한 뒤, 공개 키가 노출된 지갑에 보관된 약 690만 BTC가 잠재적인 장기적 위험에 처해 있다고 경고하는 보도 자료를 발표했다. 이 회사는 양자 컴퓨팅 시대 이후의 암호화 도구를 판매하고 있다.

프로젝트 일레븐 설립자, 비판에 대한 입장 표명

프루덴은 후속 게시글에서 이번 결과가 'Q-Day'가 아니며, NISQ(비양자) 시대의 실험은 일상적으로 고전적 지원에 의존한다고 인정했다. 그는 이번 시연이 여전히 접근 가능한 상용 하드웨어에서 이루어진 점진적이고 재현 가능한 진전을 보여주며, 양자 암호화로의 전환 계획은 여전히 합리적인 장기적 우선순위라고 주장했다. 프로젝트 일레븐의 한 임원은 다음과 같이 덧붙였다:

"결론적으로: 이는 소란스럽고 초기 단계인 분야에서 이루어진 점진적인 진전일 뿐, 'Q-Day'는 아닙니다. 이는 우리가 왜 자원 감소 추이를 추적하는지, 그리고 장기적인 보안을 위해 양자 이후로의 전환 계획이 왜 중요한지를 보여줍니다. 회의적인 시각은 건전하지만, 목표를 자의적으로 변경하는 것은 아닙니다. 기술적 세부 사항에 대해 논의하거나 리포지토리 및 심사위원들의 피드백을 공유할 용의가 있습니다."

렐리의 연구 결과와 비트코인에 대한 실질적인 위협 사이에는 상당한 격차가 존재한다. 비트코인의 secp256k1 곡선은 256비트 수준의 보안을 제공한다. 15비트와 256비트 사이의 거리는 계산 난이도 측면에서 2의 241제곱에 해당하는 차이를 의미합니다. 2026년 4월에 발표된 구글 논문을 포함한 최근의 낙관적인 연구조차도 256비트 ECC를 해독하는 데 50만 개 미만의 물리적 큐비트가 필요할 것으로 추정하는데, 이는 현재 양자 하드웨어가 훨씬 미치지 못하는 수준입니다.

이번 사건은 양자 컴퓨팅 관련 보도 전반에 걸쳐 지속되어 온 모순을 잘 보여줍니다. 하드웨어의 점진적인 발전은 헤드라인을 장식하지만, 실험용 규모의 시연과 실제 암호화 시스템 사이에는 여전히 단기적인 해결책이 없는 기술적 격차가 존재합니다. 비트코인의 보안 모델은 바로 그 격차에 의존하고 있으며, 개발자들은 이 모델이 여전히 견고하다고 말합니다.