카르다노, 양자 컴퓨터 시대에서도 안전할까?

암호화폐를 보유하고 있다면 한 번쯤 이런 질문을 해봤을 것입니다. “내 지갑은 정말 안전한가?” 해킹, 피싱, 스캠 같은 현실적인 위협은 이미 익숙합니다. 그런데 최근 전혀 다른 차원의 질문이 블록체인 업계 깊숙이 파고들기 시작했습니다. 바로 양자 컴퓨터입니다.

2026년 3월 말에, Google Quantum AI는 "Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities"라는 제목의 백서(whitepaper)를 발표했습니다. 이 논문은 Google Quantum AI의 수석 연구원 Ryan Babbush, Craig Gidney, Hartmut Neven을 포함한 팀이 이더리움 재단 연구원 Justin Drake, 스탠포드대학교 암호학자 Dan Boneh와 공동으로 집필한 것입니다. 타원곡선 암호화(Elliptic Curve Cryptography, ECC)는 비트코인, 이더리움, 카르다노를 포함한 사실상 모든 주요 블록체인이 지갑 보안의 기반으로 삼고 있는 암호화 방식입니다. 구글의 양자 컴퓨팅 연구팀이 바로 그 기반을 정조준한 논문을 내놓은 것입니다.

논문이 촉발한 파장은 단순한 학술적 논쟁을 넘어섰습니다. 블록체인 생태계 전반에 걸쳐 "그래서 어떤 체인이 살아남을 것인가"라는 질문이 퍼져나갔습니다. 그리고 그 답을 구성하는 랭킹에서 예상치 못한 이름이 상위권에 자리했습니다. 카르다노(Cardano)였습니다. 이 이야기를 제대로 이해하려면, 먼저 양자 컴퓨터가 암호화폐를 어떻게 위협하는지부터 살펴봐야 합니다.

양자 컴퓨터가 암호화폐를 위협하는 원리
열쇠가 잠금장치보다 먼저 보인다면

오늘날 암호화폐 지갑의 보안은 수학적으로 근본적인 비대칭성에 기대고 있습니다. 개인키(private key)로부터 공개키(public key)를 만들어내는 것은 쉽지만, 그 역방향—공개키에서 개인키를 역산하는 것—은 현존하는 컴퓨터로는 사실상 불가능에 가깝습니다. 비트코인과 이더리움이 채택하고 있는 secp256k1 타원곡선의 경우, 이 역산 문제를 고전 컴퓨터로 푸는 데 우주의 나이보다 훨씬 긴 시간이 필요합니다. 이 비대칭성이 우리 지갑을 지키는 핵심입니다.

그런데 양자 컴퓨터는 이 비대칭성을 깨뜨릴 수 있습니다. 1994년 수학자 피터 쇼어(Peter Shor)가 고안한 쇼어 알고리즘(Shor’s Algorithm)은 양자 컴퓨터를 이용해 타원곡선 암호화의 수학적 기반인 이산로그 문제(Elliptic Curve Discrete Logarithm Problem, ECDLP)를 고전 컴퓨터와는 비교할 수 없는 속도로 풀 수 있음을 증명했습니다. 이론적으로 충분히 강력한 양자 컴퓨터가 등장하면, 공개키를 보고 개인키를 역산하는 것이 현실적으로 가능해진다는 의미입니다.

구글 논문이 특히 주목을 받은 것은 이 '충분히 강력한 양자 컴퓨터’에 필요한 자원 추정치를 이전보다 약 20배 낮췄기 때문입니다. 논문에 따르면 secp256k1 기반의 256비트 타원곡선 이산로그 문제를 쇼어 알고리즘으로 풀기 위해서는 1,200개 미만의 논리 큐비트(logical qubit)와 9천만 개 미만의 토폴리 게이트(Toffoli gate)면 충분하며, 초전도체 기반의 양자 컴퓨터 아키텍처에서 물리 큐비트 50만 개 미만으로 단 몇 분 안에 실행될 수 있다고 추산했습니다. 이 수치는 이전 추정치에 비해 훨씬 낮아진 것으로, 양자 위협이 생각보다 가까이 와 있을 수 있다는 경고입니다.

그렇다면 당장 지갑을 비워야 할까요? 아직은 그렇지 않습니다. 논문은 명확히 밝히고 있습니다. 현재 최첨단 양자 컴퓨터도 수백에서 수천 개 물리 큐비트 수준이며, 논문이 묘사하는 대규모 내결함성 연산을 수행하기에는 오류율이 훨씬 높습니다. 양자 하드웨어 품질, 오류 수정 기술, 열관리, 확장성 모두에서 지속적인 공학적 돌파구가 필요합니다. Google 자체도 자사 인증 및 디지털 서명 서비스의 포스트-양자 전환 목표를 2029년으로 설정했다고 전해집니다. 하지만 이 "아직"이라는 단어 뒤에 중요한 질문이 숨어 있습니다. 그 시간이 다가오기 전에 블록체인 생태계가 준비를 마칠 수 있을까요?

논문이 실질적으로 제기하는 핵심 질문이 바로 이것입니다. 단순히 "지금 안전한가"가 아니라, "양자 위협이 현실화될 때 얼마나 빠르고 안전하게 전환할 수 있는가"입니다. 그리고 그 답은 각 블록체인이 공개키를 어떻게, 얼마나 오래 노출시키는가에 달려 있습니다.

공개키 노출이라는 핵심 변수와 이더리움의 구조적 취약성
보이는 열쇠는 이미 반쯤 열린 것이다

여기서 블록체인 설계의 근본적인 차이가 드러납니다. 이더리움(Ethereum)과 솔라나(Solana) 같은 계정 기반(Account-based) 모델에서는 한 번 트랜잭션을 실행하면 그 주소와 연결된 공개키가 블록체인에 영구적으로 기록됩니다. 당신이 이더리움으로 누군가에게 송금한 순간, 당신의 지갑 공개키는 네트워크 상에 영원히 남습니다. 계정을 완전히 폐기하지 않는 한 이 공개키를 교체할 방법도 없습니다. 이 말은 곧 미래의 양자 컴퓨터가 그 공개키를 언제든 꺼내어 개인키를 역산하려 시도할 수 있다는 뜻이기도 합니다.

구글 논문은 이 구조적 문제를 구체적인 수치로 보여줬습니다. 이더리움 네트워크에서 잔액 기준 상위 1,000개 지갑이 보유한 ETH는 약 2,050만 개에 달하며, 이 지갑들의 공개키는 이미 블록체인에 영구 노출되어 있습니다. 논문의 추산에 따르면 9분마다 하나의 키를 해독할 수 있는 양자 컴퓨터라면 이 상위 1,000개 지갑을 9일 이내에 모두 공격할 수 있습니다. 여기에 스테이블코인 발행 권한을 가진 스마트 컨트랙트 관리자 키, Layer 2 네트워크, 이더리움의 지분증명(PoS) 검증자 서명 시스템까지 더하면 노출된 자산 규모는 1,000억 달러를 넘는다고 논문은 경고합니다.

이더리움의 문제는 단순히 '현재 노출된 자산이 얼마나 되느냐’에 그치지 않습니다. 이더리움 기반 레이어 위에 구축된 수천 개의 스마트 컨트랙트, 브리지, 레이어2 네트워크 각각이 독립적으로 코드를 업그레이드하고 암호키를 교체해야 하는데, 이 과정을 통합 조율할 수 있는 단일 주체가 존재하지 않는다는 점입니다. 이더리움 재단은 이를 인식하고 2029년을 목표로 양자 안전 전환 로드맵을 추진하고 있지만, 이미 배포된 수천 개의 컨트랙트가 이 로드맵의 적용을 받을 수 없다는 사실은 구조적 한계로 남습니다.

그렇다면 처음부터 다른 방식을 선택한 블록체인은 없을까요? 있습니다. 그리고 구글 논문은 그 이름을 명확히 언급하고 있습니다. 이 이야기는 다음 편에서 이어집니다.