Quantum 위협 깊이 분석 — Lattice 전환 시나리오

---

slug: bitcoin-quantum-deep-dive title: "Quantum 위협 깊이 분석 — Lattice 전환 시나리오" subtitle: RSA 2048 / ECDSA 256 vs 양자 진척도 coin: BTC issue: 1 publishedAt: "2026-07-27" category: L1-PoW tags: [bitcoin, quantum, post-quantum, lattice, ecdsa, taproot] estimatedReadTime: 10 draft: true sources:

• name: "a16z crypto — Quantum threat assessment (2025)" url: https://a16zcrypto.com/
• name: "NIST — Post-Quantum Cryptography Standardization" url: https://csrc.nist.gov/projects/post-quantum-cryptography
• name: "IBM Quantum Roadmap" url: https://www.ibm.com/quantum/roadmap
• name: "Google Quantum AI — Willow chip (2024.12)" url: https://quantumai.google/
• name: "Project Eleven — Q-Day countdown estimates" url: https://www.projecteleven.com/

---

도입 — 5-10년 buffer 가설

비트코인 시리즈에서 가장 long-tail 한 위험이 양자 컴퓨팅 입니다. 이론적으로 양자가 충분히 강해지면 BTC 의 디지털 서명을 깨고 모든 자산을 탈취 가능. 그러나 "충분히 강해지는 데 얼마나 걸리는가" 가 핵심 질문이고, 답이 5년이면 위기, 30년이면 충분한 대응 시간.

a16z crypto 의 2025년 리포트는 "5-10년 buffer" 가 합리적 추정이라 결론. 본 편은 그 추정의 근거와 시나리오를 정량 분석합니다.

1. ECDSA 256 / RSA 2048 — 무엇이 깨지는가

Bitcoin 의 암호 의존

BTC 의 보안은 두 암호 메커니즘 위에 있습니다:

1. SHA-256 해시: PoW 합의 + 거래 ID 생성
2. ECDSA secp256k1: 디지털 서명 (소유권 증명)

양자 위협은 주로 ECDSA 에 있습니다. SHA-256 도 양자에 약화되지만 (Grover's algorithm 으로 √n 속도 향상) 키 길이 2배만 늘리면 회복. 반면 ECDSA 는 Shor's algorithm 으로 polynomial time 공격 가능 — 사실상 완전 무력화.

Shor's Algorithm

1994년 Peter Shor 가 발표. 양자 컴퓨터에서 정수 인수분해 + discrete log 를 polynomial time 에 해결.

• RSA 2048 (현 표준): ~4,099 logical qubit 필요
• ECDSA 256 (BTC 사용): ~2,330 logical qubit 필요

Logical vs Physical Qubit 차이 — 1,000:1

여기가 핵심입니다. Physical qubit (실제 양자 비트) 와 Logical qubit (오류 보정된 안정 비트) 는 다릅니다.

• 현재 양자 노이즈 수준: 1 logical qubit 만들려면 약 1,000 physical qubit 필요 (오류 보정 회로)
• 미래 향상 시: 1:100 또는 1:50 까지 가능 (10년+ 후)

따라서 ECDSA 256 깨려면:

• 현재 기술: ~2.3M physical qubit
• 5년 후 기술: ~230K physical qubit
• 10년 후 기술: ~50K physical qubit

2. 양자 진척도 — 2026년 5월 현재

주요 양자 시스템

IBM Quantum Roadmap

IBM 의 공식 로드맵 (2026.5 기준):

• 2026 Kookaburra: 4,158 qubit
• 2029 Blue Jay: 100,000 qubit
• 2033 (목표): 1M+ qubit

Project Eleven 의 Q-Day 추정

Project Eleven (Bitcoin 양자 위협 추적 비영리) 의 추정:

• Q-Day (RSA 2048 깨지는 날): 2030-2035 (50% confidence)
• 2035-2040 (90% confidence)

Google Willow 의 의미

2024년 12월 Google 의 Willow 칩이 "양자 오류 보정 임계점 (below threshold)" 을 처음 달성. 이는 큐비트 수가 늘어날수록 오류율이 기하급수적으로 감소하는 영역 진입. logical qubit 양산이 가능해진 첫 시그널.

이게 5년 buffer 가설의 약화 신호일 수 있습니다 — Willow 의 발견이 정량적으로 어떤 의미인지 학계 평가 진행 중.

3. NIST Post-Quantum 표준 — Lattice · Hash-based

NIST 표준화 (2024년 8월 완료)

NIST 는 2016년 Post-Quantum Cryptography 공모를 시작, 2024년 8월 첫 표준 3개 발표:

이 중 BTC 에 가장 적합한 후보는 Dilithium (서명 사이즈 작음) 또는 SPHINCS+ (보안 증명 강함). 둘 다 lattice / hash-based — 양자 공격에 내성.

단점 — 서명 사이즈 증가

이 사이즈 증가가 Bitcoin 블록 사이즈 (1MB) 와 충돌. 같은 트랜잭션 처리량을 유지하려면 블록 사이즈 확대 또는 별도 layer 필요.

4. Bitcoin 전환 시나리오 — Soft fork vs Hard fork

전환 옵션

Option A — Soft fork (P2QRH)

• BIP 신설 — Pay-to-Quantum-Resistant-Hash
• 새 주소 형식 추가, 기존 주소도 유효 (사용자가 선택)
• Backward compatible
• 합의 도달 시간: ~2-3년 (Taproot 사례 참고)

Option B — Hard fork

• 모든 주소가 양자 내성 알고리즘으로 강제 마이그레이션
• 마이그레이션 못한 BTC 는 양자 공격 vulnerable
• 합의 도달 매우 어려움

Option C — Quantum-safe sidechain

• 별도 chain 으로 BTC pegging
• 양자 위협 발현 시 사이드체인으로 자산 이동
• 인프라 부담 ↑

가장 현실적 시나리오

Option A (Soft fork) + 점진적 마이그레이션 이 가장 가능성 높습니다. Taproot (2021.11 활성화) 처럼 BIP 합의 → 검증자 신호 → 메인넷 활성화 절차.

5. 결론 — 양자 위협의 합리적 평가

종합:

1. 위협 자체는 진짜 — Shor's algorithm + 양자 진척으로 ECDSA 위협 실재
2. 시간 buffer 5-10년 합리적 — Project Eleven, a16z 모두 같은 추정
3. NIST 표준 준비 완료 — CRYSTALS-Dilithium / SPHINCS+ 사용 가능
4. Bitcoin 전환 메커니즘이능 — Soft fork 로 점진 마이그레이션
5. 단점: 서명 사이즈 증가 — 블록 사이즈 또는 layer 분리 필요

현재 권장 행동 (BTC 보유자):

• 단기 (1-3년): 우려 없음. 일반 보유 + ETF 모두 OK.
• 중기 (3-7년): BIP 합의 진행도 모니터링. 양자 내성 주소 등장 시 마이그레이션 준비.
• 장기 (7년+): 마이그레이션 완료 후 양자 내성 주소 사용.

이게 양자 위험의 진짜 그림입니다 — 걱정할 만하지만 panic 할 필요 없음. 5-10년 buffer 안에 시스템적 대응 가능. 다음 편 (#1-J, 시리즈 종합 결론) 에서는 10편을 관통하는 결론과 함께 5차 반감기 (2028.4.17) 카운트다운까지 정리합니다.