16년 전인 2010년, 사토시 나카모토는 한 포럼에서 회의적인 의견을 제기한 사람에게 답변을 남겼는데, 그 답변은 오늘날까지도 네트워크가 자산을 보호하는 방식을 이끌고 있습니다.
사토시 나카모토는 양자 컴퓨팅에 대한 우려가 제기되기 16년 전에 이미 비트코인의 해시 방어 체계를 예견했다

주요 내용
- 사토시 나카모토는 2010년 7월 16일 비트코인톡(Bitcointalk) 포럼 게시물을 통해 SHA-256을 옹호했습니다.
- 구글 퀀텀 AI는 비트코인의 암호화 곡선을 해독하는 데 필요한 퀀텀 비트 수를 2026년 예상치에서 50만 큐비트로 하향 조정했다.
- 개발자들은 양자 공격에 견디는 주소를 준비하기 위해 2026년에 BIP-360 및 기타 방안을 제안했습니다.
규칙을 정립한 포럼 게시물
2010년 7월 16일, bdonlan이라는 사용자가 비트코인토크 포럼에서 비트코인의 이중 SHA-256 해싱 방식에 의문을 제기했습니다. 그는 이러한 설계가 보안을 약화시키지는 않는지 물었습니다.
사토시는 직접 답변했다. 비트코인의 창시자인 그는 SHA-256을 비트 길이의 사소한 증가가 아닌, 32비트에서 64비트 컴퓨팅으로의 도약에 비유했다. 그는 컴퓨터가 4기가바이트에서 32비트 주소 공간을 모두 소진했지만, 당분간 64비트 공간이 고갈될 것이라고 예상하는 사람은 아무도 없다고 말했습니다. SHA-256도 같은 원리로 작동하며, 수학적 계산상 비트코인에는 여유가 충분합니다.
사토시는 또한 네트워크를 위한 퇴출 계획도 제시했다. 만약 SHA-256의 보안성이 약화될 경우, 개발자들은 정해진 블록 높이에서 새로운 해시 함수로 소프트 포크를 진행할 수 있다. 모든 노드가 업그레이드될 때까지 기존 해시와 새로운 해시가 병행하여 운영될 것이다.
그 이후 비트코인의 시가총액은 1조 달러를 넘어섰으며, 네트워크는 매일 수천억 달러 규모의 거래를 처리하고 있다. 이러한 활동의 1달러마다 여전히 16년 전 사토시가 단 한 번의 포럼 답변에서 옹호했던 해시 함수에 의존하고 있다.
비트코인이 해시 함수를 하나 대신 두 개를 사용하는 이유
비트코인 코드는 데이터를 두 번 해시합니다: SHA256(SHA256(데이터)), 개발자들은 이를 SHA256d라고 부릅니다. 암호학자 닐스 퍼거슨(Niels Ferguson)과 브루스 슈나이어(Bruce Schneier)는 SHA-2가 사용하는 머클-담가드(Merkle-Damgard) 구조의 결함인 블록 길이 확장 공격에 대비해 이 방식을 권장했습니다.
채굴자들은 네트워크의 난이도 목표를 달성하기 위해 블록 헤더를 두 번 해시하고, 노드들은 머클 트리를 구축하기 위해 트랜잭션을 두 번 해시합니다. 지갑은 공개 키를 주소로 축약하기 위해 SHA-256 위에 세 번째 계층인 RIPEMD-160을 추가합니다.
사토시는 분명한 이유로 SHA-256을 선택했습니다. 미국 국립표준기술연구소(NIST)는 2001년 이 알고리즘을 SHA-2 계열의 일부로 발표했는데, 이는 2009년 1월 비트코인이 출시될 당시 이미 취약점이 드러나기 시작한 SHA-1에 비해 보안성이 크게 향상된 것이었습니다. SHA-256에서 충돌을 유발하려면 약 2^128회의 연산이 필요하며, 원상을 찾아내려면 약 2^256회의 연산이 필요합니다. 16년이 지난 지금도 아무도 이 설계를 해독하지 못했습니다. 어떤 연구자도 완전한 SHA-256에 대해 작동하는 충돌 공격, 원상 공격, 또는 제2원상 공격을 발견하지 못했습니다. 라운드 수가 축소된 버전은 암호 해독에 성공한 바 있지만, 이러한 공격은 실제 64라운드 알고리즘에 도달하기 전에 확장성이 한계에 부딪힙니다. NIST와 ECRYPT-CSA와 같은 독립 연구 그룹들은 여전히 전체 함수를 안전한 것으로 평가하고 있습니다. 채굴 하드웨어도 같은 사실을 보여줍니다. 특정 용도용 집적회로(ASIC) 제조사들은 SHA-256d를 중심으로 전체 제품 라인을 구축했으며, 현재 네트워크 해시레이트는 엑사해시(exahash) 수준에 달합니다. 사토시는 무어의 법칙만으로는 이 함수를 결코 위협할 수 없을 것이라고 예측했으며, 채굴 성능이 기하급수적으로 향상되었음에도 난이도 조정을 통해 블록 생성 시간은 10분 근처를 유지하고 있습니다.
양자 컴퓨팅이 논의를 바꾸다
사토시는 고전적인 무차별 대입 공격에 대해 전혀 우려하지 않았으며, 이는 여전히 비트코인에 위협이 되지 않습니다. 양자 컴퓨팅은 이 위험을 두 가지 별개의 문제로 나눕니다.
그로버(Grover) 알고리즘은 무차별 대입 검색 속도를 높입니다. SHA-256에 적용할 경우, 유효 보안 수준을 256비트에서 약 128비트로 낮추지만, 이 수치는 여전히 달성하기 어려운 수준입니다. 연구자들은 공격자가 아직 세계 어디에도 구축되지 않은 규모의 양자 하드웨어를 필요로 할 것이라고 말하므로, 당분간은 안전할 것으로 보입니다. 쇼어의 알고리즘은 더 큰 문제를 제기하며, 해시 값이 아닌 서명을 표적으로 삼습니다. 이 알고리즘을 실행하는 양자 컴퓨터는 비트코인이 사용하는 타원 곡선에서 노출된 공개 키를 통해 개인 키를 추출할 수 있습니다. 추정 약 700만 비트코인(전체 공급량의 35%에 가까운 양)이 공개된 공개 키를 가진 주소에 보관되어 있으며, 해당 하드웨어가 존재한다면 위험에 노출될 수 있습니다. 구글 퀀텀 AI(Google Quantum AI)는 2026년에 비트코인의 곡선을 해독하는 데 필요한 큐비트 수를 약 50만 개의 물리적 큐비트로 낮춘 연구 결과를 발표했습니다. 현재 양자 컴퓨터는 1,000~1,500 큐비트 범위에서 작동합니다. 연구자들은 오류 정정 기술의 발전 속도에 따라 2029년에서 2035년 사이 어딘가에서 실질적인 위협이 발생할 것으로 여전히 전망하고 있습니다.
개발자들이 16년 넘게 이 문제를 재검토하다
사토시는 2010년 한 해 동안 해시 관련 우려 사항, 특히 SHA-256에 부분 충돌이 발생할 경우 어떤 일이 벌어질지에 대해 한 번 이상 다시 언급했습니다. 그의 답변은 일관되었습니다. 문제가 확산되기 전에 정직한 체인을 고정한 다음, 새로운 함수로 전환해야 한다는 것이었습니다.
이후 비트코인 업그레이드에서는 핵심 해싱 기능은 변경되지 않았습니다. 2017년에 활성화된 세그위트(Segregated Witness)와 2021년에 활성화된 탭루트(Taproot)는 모두 해싱보다는 효율성과 프라이버시를 목표로 했습니다. 2020년대에 들어 그로버(Grover)와 쇼어(Shor)의 알고리즘에 대한 인식이 암호학계에 널리 퍼지기 전까지는 양자 저항성이 개발자들에게 최우선 과제로 떠오르지 않았다.
개발자들이 사토시가 약속한 ‘이탈 경로’를 제안하다
비트코인 개발자들은 이미 2010년 사토시가 설명한 전환 경로를 제안한 바 있으며, 이는 해시 대신 서명을 대상으로 한 것이었습니다. 여러 아이디어가 논의되었습니다.
BIP-360은 양자 저항성 서명 체계를 기반으로 한, bc1z로 시작하는 새로운 주소 형식인 ‘pay-to-Merkle-root’ 주소를 도입합니다. 개발자들은 2026년에 이 제안을 병합했습니다. 이와 연계된 제안인 BIP-361은 네트워크가 결국 오래되고 취약한 주소 유형을 단계적으로 폐지할 수 있는 방법을 제시합니다. 후자의 방법은 다소 더 논란의 여지가 있습니다. 지갑 제공업체들은 이제 양자 위협 시한이 도래하기 전에 주소 재사용을 중단하고 사용자를 새로운 출력 유형으로 유도해야 한다는 압박에 직면해 있습니다. 이전 과정에는 그 자체의 장애물이 따릅니다. 개발자들은 소유자가 비활성 상태이거나 연락이 닿지 않는 구형 주소에 잠겨 있는 코인에 대한 계획이 여전히 필요합니다. 여기에는 사토시의 초기 지갑에 묶여 있는 비트코인도 포함됩니다. 또한 양자 저항형 서명은 현재 비트코인이 사용하는 서명보다 더 많은 블록 공간을 차지하므로, 연구자들은 이 마이그레이션을 관리 가능한 수준으로 유지하기 위해 해시 기반 서명 체계를 테스트하고 있습니다.
이것이 비트코인 보유자에게 의미하는 바
SHA-256과 관련해 당장 조치를 취해야 할 사항은 없습니다. 채굴 및 거래 내역을 보호하는 이 해시 함수는 현재 알려진 어떤 공격(고전적 또는 양자)에도 영향을 받지 않고 있습니다.
주목해야 할 부분은 서명 노출 문제입니다. 구식 주소에 코인을 보유한 보유자나 비트코인 주소를 재사용한 사람은, 지출 시까지 공개 키가 숨겨지는 최신 출력 유형을 사용하는 사람보다 더 큰 위험에 노출되어 있습니다. 사토시는 2010년 게시글을 현재 정책으로도 여전히 유효한 경고와 함께 마무리했습니다. SHA-256을 뚫을 만큼 강력한 공격은 SHA-512와 같은 더 강력한 변형 알고리즘에도 피해를 줄 가능성이 높으므로, SHA-256만 단독으로 완전히 뚫리는 일은 있을 것 같지 않습니다. 비트코인의 방어 수단은 결코 영속성이 아니었습니다. 위협이 현실화되기 전에 선제적으로 대응할 수 있는 능력이었습니다.
이 기사는 AI를 사용하여 영어에서 번역되었습니다. 영어 원본이 권위 있는 출처이며, 자동 번역에는 특히 법률 및 규제 용어에서 부정확한 내용이 포함될 수 있습니다.















