700만 BTC의 키가 온체인에 노출돼 있다. 아직 해킹은 없었다.

오늘날 어떤 양자 컴퓨터도 비트코인의 암호화를 깰 수 없습니다 — 그러나 이미 약 700만 BTC의 공개 키가 온체인에 노출된 채 대기하고 있습니다. 이제 문제는 키가 노출되었느냐가 아니라, 노출된 코인을 누가 보유하고 있으며 이전할 수 있는 시간이 얼마나 남았느냐입니다.

코인베이스 양자 위원회의 실제 발견: 700만 BTC 분석

코인베이스 양자 컴퓨팅·블록체인 독립 자문 위원회는 약 700만 BTC가 미래의 양자 공격에 노출되어 있다고 추정합니다 — 수학이 깨졌기 때문이 아니라, 기저 공개 키가 이미 원장에 영구적으로 기록되어 있기 때문입니다 . 2026년 1월에 출범한 이 위원회는 2026년 4월 21일에 기초 보고서를 발표하고, 2026년 6월 8~11일경 더 상세한 후속 보고서를 발표했습니다 . 명단에 포함된 위원으로는 스탠퍼드대 암호학자 댄 보네(Dan Boneh), 이더리움 재단의 저스틴 드레이크(Justin Drake), 아이겐랩스의 스리람 칸난(Sreeram Kannan) 등이 있습니다 .

한줄 요약: 코인베이스 양자 자문 위원회는 약 700만 BTC가 미래 양자 공격에 노출되어 있다고 추정합니다 — 공개 키 자체가 주소인 레거시 P2PK 주소의 약 170만 BTC와, 거래소 콜드 월렛 보유분을 포함해 주소 재사용으로 노출된 약 500만 BTC가 포함됩니다.

위원회는 이 700만 BTC를 두 가지 범주로 나눕니다. 첫 번째는 약 2만 개의 레거시 Pay-to-Public-Key(P2PK) 주소에 분산된 약 170만 BTC로, 원시 공개 키 자체가 주소이며 생성 당시부터 공개 원장에 노출되어 있습니다 — 초기 채굴 코인, 사토시 시대의 코인, 그리고 영영 이동하지 않을 가능성이 높은 분실 지갑이 여기에 포함됩니다 . 두 번째는 활발히 거래하는 트레이더에게 더 중요한 부분으로, 주소 재사용으로 노출된 약 500만 BTC입니다. 일반적으로 공개 키는 코인을 사용할 때만 드러나지만, 수신 주소를 재사용하면 그 키가 원장에 영구히 남게 됩니다. 결정적으로, 위원회는 거래소 콜드 월렛도 이 노출된 잔액에 포함된다고 밝혔습니다 — 즉, 이것은 단순한 휴면 코인 이야기가 아닙니다 .

독립적인 연구도 같은 범위에 수렴합니다. 2026년 6월자 arXiv 논문 'Quantum Horizon'(2606.14484)은 약 600만 BTC — 전체 공급량의 약 30% — 가 미사용 상태로 노출되어 있다고 추정합니다 . 딜로이트의 자체 블록체인 스캔에서는 취약한 잔액이 400만 BTC를 초과하며, P2PK와 재사용된 P2PKH 출력으로 나뉜다고 분석했습니다 . 2026년 2월 6일자 코인셰어스(CoinShares)의 좁은 범위 노트는 P2PK 부분만 다루며 약 160만~170만 BTC로 추정합니다 .

추정치가 다른 이유는 각자 기준을 달리 정하기 때문입니다 — P2PK만 집계하는 곳도 있고, 재사용된 모든 주소를 더하는 곳도 있습니다 — 그러나 네 가지 독립 분석 모두 같은 방향을 가리킵니다: 비트코인 공급량의 상당 부분이 이미 노출되어 있으며, 그 규모는 소액 먼지가 아닌 수백만 코인 단위입니다.

주소 재사용으로 활성 지갑이 영구 노출되는 원리

주소 재사용은 이론적 위험을 활성 지갑의 실질적 위협으로 바꿉니다. 표준 P2PKH(Pay-to-Public-Key-Hash) 형식에서 공개 키는 단방향 해시 뒤에 숨겨져 있으며, 해당 주소에서 처음 지출할 때만 공개됩니다. 한 번 수신 후 주소를 재사용하지 않으면 원시 키는 절대 원장에 기록되지 않습니다. 하지만 주소에서 지출한 뒤 다시 수신에 재사용하면, 해당 공개 키는 블록체인에 영구 기록되어 누구나 확인할 수 있게 됩니다. 딜로이트의 자체 체인 분석에 따르면, 약 250만 BTC가 이 노출 상태로 재사용된 P2PKH 출력에 묶여 있습니다 .

이 노출이 중요한 이유는 연구자들이 '지금 수집, 나중에 복호화(harvest now, decrypt later)'라고 부르는 전략 때문입니다. 공격자는 실시간으로 무언가를 해독할 필요가 없습니다. 오늘 모든 노출된 공개 키를 보관해 두었다가, 암호학적으로 유의미한 양자 컴퓨터(CRQC)가 등장하면 그때 대응하는 개인 키를 해독할 수 있습니다. 코인베이스 독립 자문위원회는 이것을 작업을 '늦추면 안 되는' 핵심 이유로 규정합니다 — 오늘 노출된 코인은 무기한 노출 상태로 남으며, 대부분은 알려진 거래소의 콜드 월렛에 있는 대규모 잔액을 포함한 활성 사용자들의 것으로 추정됩니다 .

문제가 되는 알고리즘은 쇼어(Shor) 알고리즘으로, ECDSA 지출의 기반이 되는 secp256k1 타원 곡선 서명에 적용됩니다. arXiv 논문 'Quantum Horizon'은 해당 공격을 약 1,200~2,330개의 논리 큐비트로 모델링하는 반면, 2026년 하드웨어는 약 100개의 논리 큐비트에 불과합니다 . 코인베이스 이사회에 참여한 스탠퍼드 암호학자 댄 보네(Dan Boneh)와 동료들의 말에 따르면, 위원회는 '대규모 내결함성 양자 컴퓨터가 결국 구축될 것이라는 높은 확신'을 가지고 있습니다 — 오늘날 그 간극은 실재하지만, 그것은 간극일 뿐 벽이 아닙니다 .

채굴은 별개의, 더 작은 우려 사항입니다. Quantum Horizon은 서명을 위협하는 쇼어 알고리즘과, 해시 함수에 대해 이차 속도 향상만 제공하며 높은 내결함성 오버헤드를 수반하는 그로버(Grover) 알고리즘을 구분합니다. 비트코인의 난이도 조정은 채굴 이점을 대부분 흡수합니다 — 이는 Aggarwal과 동료들의 이전 연구에서도 확인된 사항입니다 . 노출된 키가 꼬리 위험을 만드는 곳은 작업증명 레이어가 아니라 서명 레이어입니다.

기본 시나리오: 10~20년의 시간 — 그래도 지금 움직여야 하는 이유

기본 시나리오는 CRQC가 secp256k1 서명을 해독하기까지 10~20년의 여유가 있다는 것입니다 — 노출된 키가 즉각적인 위험에 처할 만큼 짧지는 않지만, 지금 당장 마이그레이션 작업을 시작해야 할 만큼은 짧습니다. 26명의 전문가를 바탕으로 한 글로벌 리스크 연구소(Global Risk Institute)의 2025년 타임라인 보고서는 10년 내 CRQC 확률을 28~49%, 15년 내 확률을 51~70%로 제시합니다 . 방향은 정해졌습니다. 불확실한 것은 날짜뿐입니다.

독립적인 학술 모델링도 비슷한 범위에 수렴합니다. arXiv 논문 Quantum Horizon(2606.14484)은 2035년까지 CRQC 확률을 약 6분의 1, 2040년까지 약 30%, 2050년까지 약 60%로 추산하며, 80% 신뢰 구간은 대략 2032~2060년에 걸쳐 있습니다 . 이는 일정표가 아닌 예측이지만, 단일 비트코인 보유 주기 안에 의미 있는 확률이 일관되게 포함됩니다.

하드웨어 격차가 이 여유 기간을 설명합니다. 구글 퀀텀 AI, 이더리움 재단, 스탠퍼드가 공동으로 2026년 3~4월에 발표한 논문은 256비트 타원 곡선 공격을 1,200개 미만의 논리 큐비트와 9,000만 개 미만의 토폴리 게이트로 모델링했으며, 특정 초전도 가정(물리적 오류율 1e-3, 평면 연결성) 하에서는 50만 개 미만의 물리 큐비트로 수 분 내에 실행될 수 있다고 제안합니다 . 약 1,000~1,200개의 물리 큐비트를 보유한 2026년 기기 대비, 임계값은 수 자릿수 차이가 납니다 .

그 거리가 바로 함정입니다. 코인베이스 독립 자문위원회는 '대규모 내결함성 양자 컴퓨터가 결국 구축될 것이라는 높은 확신'을 가지고 있으며, 추정치는 수년에서 10년 이상에 걸쳐 있습니다 — 일부 연구자들은 2030년 이전에 50% 초과 확률을 제시한다고도 언급합니다 . 노출된 키는 오늘 수집하고 나중에 복호화할 수 있기 때문에, 코인을 이전해야 하는 시점은 최종적인 해독 시점이 아니라 수집 시점에 의해 결정됩니다.

낙관론: 위협이 현실화되기 전에 비트코인이 업그레이드된다

낙관적 시나리오는 명확합니다. 암호화 로드맵은 이미 존재하고, 위협 창은 수년 단위로 측정되며, 지금 당장 정치적 의지가 모인다면 10~20년의 여유는 조율된 업그레이드에 충분합니다. NIST는 2024년 8월 13일 첫 번째 양자 내성 암호화 표준 세 가지를 확정했습니다 — FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA) . 이는 비트코인 합의 업그레이드가 아닌 범용 표준이지만, 문제의 가장 어려운 부분을 해소합니다. 목적지 알고리즘이 더 이상 가상의 것이 아니게 된 것입니다.

다른 네트워크들은 이미 움직이고 있으며, 이를 통해 재사용 가능한 엔지니어링 자산과 마이그레이션 선례가 쌓이고 있습니다. 이더리움 재단은 2026년 1월 전담 양자 내성 팀을 출범시켰고, Stellar는 마이그레이션 로드맵을 공개했습니다 . 비트코인의 경우, Coinbase 이사회는 타원 곡선 서명과 양자 내성 서명을 결합하는 하이브리드 방식을 권고합니다. 이 방식은 하위 호환성을 유지해 네트워크가 파괴적인 일괄 전환 없이 점진적으로 이행할 수 있도록 합니다 .

즉각적인 시장 충격 범위도 700만 BTC라는 헤드라인보다 좁습니다. 2026년 2월 6일자 CoinShares 투자자 노트에 따르면, P2PK 지갑이 공격받을 경우 실질적으로 급격한 시장 충격을 일으킬 수 있는 물량은 약 1만 200 BTC에 불과합니다. 나머지 대부분은 32,607개의 약 50 BTC 단위 UTXO에 분산되어 있어, 공격적인 가정 하에서도 소진 속도가 느릴 것으로 분석됩니다 . 이 느린 소진 특성은 공격이 시작된 후 방어자가 대응할 시간을 벌어줍니다.

낙관론의 기술적 근거는 『Quantum Horizon』 저자들이 간결하게 요약합니다:

"마이그레이션을 조기에 시작한다면, 기술이 아니라 거버넌스가 핵심 제약입니다." — Iosif M. Gershteyn · Jacob A. Alber, Quantum Horizon (source: arXiv 2606.14484).

다시 말해, 낙관론이 실현되려면 새로운 과학이 필요하지 않습니다. 수확된 키의 시계에 아직 여유가 있는 동안, 비트코인 이해관계자들이 하위 호환 전환을 시작하기만 하면 됩니다. 이미 풀린 암호화 문제를 조율 문제로 전환하는 것이 과제입니다.

비관론: CRQC 등장 전에 거버넌스가 교착 상태에 빠진다

비관적 시나리오는 비트코인 이해관계자들이 제때 합의에 이르지 못해, 암호학적으로 유의미한 양자 컴퓨터가 실제로 등장했을 때 노출된 코인이 취약한 상태로 방치되는 것입니다. 마이그레이션 기술은 존재하지만, 이를 배포할 합의는 형성되지 않을 수 있습니다. 양자 내성 서명 체계를 도입하면 비트코인 블록 크기가 최대 38배까지 늘어날 수 있어 , 처리량, 노드 저장 공간, 그리고 풀 노드 운영 비용을 낮게 유지하는 탈중앙화 트레이드오프에 부담을 줍니다. 이 균형을 악화시키는 업그레이드는 반드시 논쟁을 낳고, 비트코인에서 논쟁적인 변경은 느리게 진행됩니다.

노출된 공급량의 일부는 어떤 기한 설정으로도 구제할 수 없습니다. 『Quantum Horizon』 논문은 약 230만 BTC — 전체 공급량의 약 12% — 가 구조적으로 위험에 노출되어 있다고 추산합니다. 분실 지갑, 사토시 시대 주소, 그리고 마이그레이션을 할 수 없거나 하지 않을 비활성 소유자들이 해당됩니다 . 하위 호환 전환은 소유자가 사라진 키에 닿을 수 없습니다. 결국 네트워크는 소유자 대신 옮길 수 없는 코인을 두고 정치적으로 민감한 선택에 직면하게 됩니다.

Coinbase 독립 자문 위원회는 논쟁적인 선택지들을 직접적으로 제시합니다. 방치되거나 취약한 코인에 대해 네트워크는 기한 후 동결 또는 소각, 아무것도 하지 않기, 또는 블록당 취약 코인 이동량 상한 설정이나 레거시 서명 대신 암호학적 증명 수락과 같은 중간 방안을 선택할 수 있습니다 . 위원회는 강제 소각이 "재산권을 침해하고 네트워크 수준의 개입에 선례를 남긴다"고 경고합니다 — CoinShares와 Deloitte도 중립성과 합의 리스크를 두고 같은 입장을 취합니다. 어느 쪽 경로도 비트코인이 역사적으로 수년이 걸려 도달해 온 수준의 합의를 필요로 합니다.

최악의 시나리오는 이 모든 것을 압축합니다. CRQC가 중앙값 예측보다 일찍 등장한다면 — 『Quantum Horizon』은 2035년까지 약 6분의 1의 확률로 전망합니다 — 거래소 콜드 월렛이 여전히 노출된 키를 보유한 상태라면, 수탁 고객 자산은 프로토콜 업그레이드가 발효되기 전 짧은 창에 고가치 표적이 됩니다. 비관론의 핵심은 암호화가 예상치 못하게 무너지는 것이 아닙니다. 거버넌스 교착과 조기 하드웨어 돌파가 겹치고, 낙관론이 전제하는 조율 문제가 결국 해결되지 못하는 것입니다.

개인 트레이더를 위한 포트폴리오 및 수탁 대응 방안

개인 트레이더에게 올바른 대응은 비트코인 매도가 아니라 수탁 보안 관리와 꼬리 위험 포지셔닝입니다. 비용 없이 당장 실천할 수 있는 가장 효과적인 조치는 주소 재사용 중단입니다. 입금 거래마다 새 수신 주소를 생성하면 되는데, 대부분의 최신 하드웨어·소프트웨어 지갑은 HD 지갑 파생을 통해 이를 자동으로 처리합니다. 이렇게 하면 실제로 코인을 사용하기 전까지 공개키가 해시 상태로 유지되어, Coinbase 이사회가 주소 재사용으로 노출됐다고 지적한 약 500만 BTC에서 내 잔액을 제외할 수 있습니다 .

기본 보안 관리 외에도 마이그레이션을 우선순위에 두어야 합니다. 레거시 P2PK(Pay-to-Public-Key) 출력이나 이미 재사용된 P2PKH 주소에 있는 잔액을, 사용 전까지 키를 숨겨두는 출력 유형인 네이티브 세그윗(P2WPKH) 또는 탭루트(P2TR)로 이전하십시오. 특히 구형 주소 형식의 자체 수탁 코인에 있어 이 조치가 가장 중요합니다. Quantum Horizon 논문에 따르면 약 370만 BTC는 아직 더 안전한 경로로 마이그레이션이 가능하지만, 약 230만 BTC는 비활성 또는 분실된 소유자로 인해 이동이 불가능한 것으로 분류됩니다 .

수탁 실사는 트레이더들이 가장 자주 간과하는 부분입니다. Coinbase 이사회는 노출된 잔액 중에 거래소 콜드 월렛을 명시적으로 언급했습니다. 즉, 잊혀진 초기 채굴 코인뿐 아니라 수탁된 자금도 위험 범주에 포함된다는 의미입니다 . 규제 요건이 되기 전에 지금 바로 거래소나 수탁 기관에 양자내성 마이그레이션 로드맵을 요청하십시오.

"업그레이드 작업은 미뤄선 안 됩니다"라고 Coinbase 양자컴퓨팅 및 블록체인 독립자문위원회는 결론 내리며, 암호학적으로 위협적인 양자 컴퓨터가 실현되기를 기다리기보다 지금부터 점진적이고 하위 호환성을 유지하는 전환을 시작하도록 네트워크에 촉구했습니다 (source: CoinDesk, 2026-04).

이를 매도 신호가 아닌 꼬리 위험의 재가격화로 바라봐야 합니다. CoinShares는 단기 혼란 위험을 원거리에 있고 기관 투자자가 관리할 수 있는 수준으로 평가하며, 실제로 갑작스러운 시장 혼란 위험을 야기할 수 있는 규모는 약 1만 200 BTC에 불과할 것으로 추산합니다 . 실행 가능한 전략은 CRQC 확률 이정표—예컨대 Global Risk Institute가 제시한 10년 내 28~49%—가 달성될 때 노출 주소 잔액에 양자 디스카운트가 반영되기 전에 미리 포지션을 잡는 것입니다.

실천 요약: 이번 주 한 시간을 내어 지갑이 주소를 자동 교체하는지 확인하고, 재사용된 주소나 P2PK 주소의 코인을 탭루트 또는 네이티브 세그윗으로 이전하고, 수탁 기관의 양자 로드맵을 실사 체크리스트에 추가하십시오. 하드웨어가 언제 등장할지 예측할 필요는 없습니다. 그저 시간이 흐르는 동안 키를 노출된 채로 두지 않으면 됩니다.

자주 묻는 질문

비트코인에 대한 '지금 수집, 나중에 해독' 양자 공격이란 무엇인가요?

오늘 시작해서 수년 후에 완료되는 공격입니다. 2026년 현재 어떤 양자 컴퓨터도 비트코인 암호화를 해독할 수 없으므로 실시간 공격 창은 존재하지 않습니다. 대신, 공격자는 블록체인에 이미 영구적으로 노출된 공개 키를 기록해 두었다가, 암호학적으로 유의미한 양자 컴퓨터(CRQC)가 등장하는 시점에 대응하는 개인 키를 해독하기를 기다립니다. 2026년 1월 출범한 Coinbase 양자컴퓨팅·블록체인 독립자문위원회는 이를 현재진행형 위협으로 규정하고, 이 방식으로 노출된 BTC가 약 700만 개에 달한다고 추정합니다 . 데이터를 지금 수집해 나중에 해독하는 구조이므로, CRQC가 등장하기 전에 노출된 코인을 이전하는 것이 유일한 실질적 방어 수단입니다.

주소 재사용이 비트코인을 양자 공격에 취약하게 만드는 이유는 무엇인가요?

주소를 재사용하면 숨겨져 있던 공개 키가 영구적으로 노출됩니다. 표준 P2PKH(Pay-to-Public-Key-Hash) 주소에서는 처음 지출이 발생하기 전까지 공개 키가 해시 뒤에 숨겨져 있으며, 주소를 재사용하지 않으면 키가 노출되는 시간도 극히 짧습니다. 하지만 수신 주소를 재사용하면 공개 키가 원장에 영구적으로 기록되고, 미래의 CRQC가 secp256k1 타원곡선 키에 쇼어 알고리즘을 적용해 개인 키를 도출할 수 있게 됩니다. 딜로이트의 블록체인 스캔 결과, 이 같은 이유로 취약한 BTC가 400만 개를 넘는 것으로 나타났습니다. 레거시 P2PK에 약 200만 BTC, 재사용된 P2PKH 주소에 약 250만 BTC가 해당됩니다 . Coinbase 자문위원회는 재사용 관련 500만 BTC 중 더 많은 부분이 활성 사용자 및 거래소 콜드월렛에서 비롯된 것으로 보고 있습니다 .

하드웨어 지갑(Ledger, Trezor)은 양자 위협으로부터 안전한가요?

하드웨어 지갑은 온체인 노출 여부를 바꾸지 않습니다. Ledger, Trezor 같은 기기는 개인 키를 온라인 해킹이나 멀웨어로부터 보호하지만, 양자 위험은 저장 장치가 아닌 공개 원장에 존재합니다. 실질적 안전성은 수신 주소가 재사용되었는지, 또는 레거시 P2PK(Pay-to-Public-Key) 유형인지에 전적으로 달려 있습니다. 약 2만 개의 P2PK 주소에 분산된 약 170만 BTC는 키가 어떻게 저장되든 공개 키가 영구 노출된 상태입니다 . 실질적인 대응책은 장치만 믿는 것이 아니라, 주소 재사용을 피하고 자금을 지출 전까지 키가 해시 상태로 유지되는 출력 유형으로 이전하는 것입니다.

양자 컴퓨터가 비트코인을 해독할 만큼 강력해지는 시점은 언제인가요?

신뢰할 수 있는 대부분의 전망은 최소 10년 이상의 여유가 있다고 보지만, 정확한 시점은 누구도 장담할 수 없습니다. 26명의 전문가를 대상으로 한 글로벌 리스크 연구소(Global Risk Institute)의 2025년 타임라인 보고서는 10년 내 CRQC 등장 가능성을 28~49%, 15년 내 가능성을 51~70%로 추정합니다 . 학술 논문 'Quantum Horizon'은 2035년까지 CRQC가 등장할 확률을 약 6분의 1, 2040년까지는 약 30%로 추정합니다 . 하드웨어 격차도 이 같은 타임라인을 뒷받침합니다. secp256k1을 해독하려면 수십만 개의 물리적 큐비트가 필요하고(특정 가정 하에 50만 개 미만이라는 분석도 있음), 2026년 현재 가용한 물리적 큐비트는 약 1,000~1,200개에 불과합니다 .

이전할 수 없는 비트코인을 처리하는 주요 방안에는 어떤 것이 있나요?

Coinbase 자문위원회는 이전 불가능한 코인에 대해 세 가지 경로를 제시합니다. 여기에는 휴면·분실 상태이거나 사토시 시대 것으로 이전이 불가능한 약 230만 BTC도 포함됩니다 . 첫째, 마이그레이션 기한 이후 취약한 코인을 동결하거나 소각하는 방안 — 자문위원회가 "재산권을 침해하고 네트워크 수준의 개입 선례를 만든다"고 경고한 논쟁적 선택지입니다. 둘째, 아무것도 하지 않고 지속적인 노출을 감수하는 방안. 셋째, 블록당 취약 코인의 이전량을 제한하거나 레거시 ECDSA 서명 대신 암호학적 증명을 수용하는 절충안. 자문위원회는 강제적 조치에 반대 의사를 표명하며, 핵심 제약 요인이 기술이 아닌 거버넌스에 있다고 규정합니다. 이는 CoinShares와 딜로이트도 동일하게 지적하는 트레이드오프입니다 .