양자 노출 BTC 700만 개 중 230만 개만 복구 불가

~690만 BTC의 공개키가 온체인에 노출돼 있습니다. 약 230만 BTC는 양자 안전 주소로 이전할 수 없고, 나머지는

By Nestree 33 min read
Of 7M Quantum-Exposed BTC, Only 2.3M Are Past Saving

숫자만 보면 종말론처럼 들립니다. 대략 700만 비트코인, 앞으로 존재할 전체 물량의 약 3분의 1이 아직 만들어지지도 않은 기계 앞에 노출돼 있다는 뜻이니까요. 하지만 실제 상황은 더 정밀하며, 그렇게 단순한 흑백 문제가 아닙니다.

'690만 BTC 양자 노출'은 실제로 무엇을 뜻할까?

양자 노출은 막연한 공포가 아니라, 온체인에서 구체적으로 측정할 수 있는 상태입니다. 어떤 코인이 "노출"됐다는 말은, 해당 코인의 공개키가 이미 미사용 출력에 드러나 있다는 뜻입니다. 미래에 암호학적으로 의미 있는 양자컴퓨터(CRQC)가 쇼어 알고리즘을 실행할 수 있게 되면, 그 공개키에서 개인키를 도출해 유효한 지출 서명을 위조할 수 있기 때문입니다. 지갑이 해킹되는 것도 아니고, 시드 문구가 탈취되는 것도 아닙니다. 깨지는 것은 서명 체계 자체, 즉 secp256k1의 타원곡선 이산로그 문제입니다. 현재 세 가지 독립 측정치가 같은 범위에 모이고 있으며, 가장 많이 인용되는 종합 분석은 실제로 훔칠 수 있는 규모를 700만이라는 헤드라인보다 훨씬 낮게 봅니다.

빠른 답변: "양자 노출"은 비트코인 출력의 공개키가 이미 온체인에 올라와 있어, 미래의 양자컴퓨터가 이를 개인키로 역산할 수 있는 상태를 뜻합니다. Glassnode는 2026년 5월 20일 기준 604만 BTC, 즉 공급량의 30.2%가 노출돼 있다고 측정했습니다. 다만 Quantum Horizon 논문은 이를 약 230만 BTC의 되돌릴 수 없는 위험 물량과, 아직 이전 가능한 약 370만 BTC로 나눕니다.

추정치는 상당히 촘촘하게 수렴합니다. Glassnode는 2026년 5월 20일 기준 604만 BTC, 즉 발행 공급량의 30.2%가 보관 상태에서 양자 노출돼 있다고 측정했습니다. Coinbase 독립 자문위원회 보고서는 대략 690만 BTC를 언급했고, CoinDesk 보도는 700만 BTC에 가까운 수치를 제시했습니다. Quantum Horizon 논문(arXiv 2606.14484, 2026년 6월)이 지적하듯, 세 수치는 모두 전체 공급량 대비 약 5%포인트 범위 안에 들어옵니다. 이처럼 논쟁적인 지표에서 보기 드문 합의입니다.

이 논문의 더 중요한 기여는 물량을 나눠 본 점입니다. 논문은 약 600만 BTC를 종합 수치로 채택한 뒤, 살아 있는 개인키로도 이전을 승인할 수 없는 약 230만 BTC의 "줄일 수 없는 위험" 물량과, 아직 조치 가능한 약 370만 BTC로 구분합니다. 다시 말해, 현재 소유자가 여전히 보호할 수 있는 코인의 수가 이미 구제 불가능한 코인보다 더 많습니다.

대부분의 과장된 경고를 걷어내는 핵심 설명은 이것입니다. 비트코인의 채굴과 작업증명 계층은 공격 표면이 아닙니다. SHA-256에 대한 그로버 알고리즘의 이론적 위협은 제한적이며, 널리 비문제로 취급됩니다. 따라서 합의와 해싱은 본질적으로 견고합니다. 노출은 전부 지갑과 서명 계층에 있습니다. Coinbase 보고서를 다룬 보도가 강조하듯, 이는 네트워크 무결성 문제가 아니라 키 관리 문제입니다.

"광범위한 합의를 요구하는 탈중앙화 네트워크는 은행만큼 빠르게 업그레이드할 수 없습니다. 현실적으로 비트코인의 전면 전환은 5년에서 10년이 걸리는 작업입니다." Jameson Lopp은 이렇게 말하며, 이 이전 과정을 암호학적 막다른 길이 아니라 조율의 문제로 설명합니다 (source: The Currency Analytics).

헤드라인 수치를 만드는 두 갈래: 구조적 노출과 운영상 노출

양자 위험에 노출된 공급량은 두 개의 뚜렷한 묶음으로 나뉘며, 이 차이가 아직 누가 조치를 취할 수 있는지를 가른다. Glassnode의 온체인 측정은 약 604만 BTC의 노출 물량을 구조적 노출 192만 BTC(공급량의 9.6%)운영상 노출 412만 BTC(20.6%)로 구분한다 . 구조적 노출은 스크립트 자체에 박혀 있는 반면, 운영상 노출은 주소 재사용이라는 행동에서 생긴 결과다. 두 번째 묶음만 일반적인 지갑 관리 습관으로 폭넓게 바로잡을 수 있다.

구조적 노출은 해당 주소가 재사용된 적이 있는지와 관계없이 출력 자체에 공개키가 본질적으로 드러나는 주소 유형을 포함한다. 여기에는 레거시 Pay-to-Public-Key(P2PK) 출력, 베어 멀티시그(P2MS), Taproot(P2TR) 키 경로 출력이 포함되며, 이들은 설계상 출력 키가 온체인에 공개된다. P2PK만 해도 약 2만 개 주소에 걸쳐 170만 BTC를 차지하며, 대부분 사토시 시대와 초기 채굴자 코인으로 전체 공개키가 말 그대로 scriptPubKey 안에 쓰여 있다 . 키가 스크립트의 일부이기 때문에 코인을 현대식 주소로 옮기는 것 외에는 소유자가 이를 숨길 방법이 없으며, 이 중 상당수는 연락 가능한 소유자조차 없다.

운영상 노출은 더 크고 더 뜻밖의 묶음이다. P2PKH, P2SH, P2WPKH, P2WSH 주소에서 지출하면 그 주소의 공개키가 체인에 브로드캐스트된다. 지출 이후에도 잔액이 남아 있는 이런 주소는, 사용되지 않았을 때는 양자 안전한 유형이더라도 이제 노출된 상태가 된다. 보도에서 잃어버린 코인보다 실제로 보관·운용 중인 코인을 강조한 이유가 여기에 있다. 운영상 노출은 “대체로 활성 사용자에게 속하며,” 주소를 절대 재사용하지 않는 것만으로도 바로잡을 수 있다 .

그 운영상 묶음 안에 예상 밖의 핵심이 있다. 바로 거래소 콜드월렛이다. Glassnode는 거래소 관련 운영상 노출을 약 166만 BTC(공급량의 8.3%)로 추산하며, 이는 같은 커스터디 주소를 상대로 입출금이 반복된 데서 비롯됐다고 본다 . 재사용률은 거래소별로 크게 갈린다. Binance와 Bitfinex는 Coinbase보다 훨씬 높은 노출을 보이며, Glassnode 방법론에서 Coinbase의 라벨링된 온체인 잔액은 약 5% 노출로 집계된다 .

묶음규모(공급량 비중)주소 유형원인관리 습관으로 해결 가능?
구조적192만 BTC(9.6%)P2PK, P2MS, P2TR 키 경로공개키가 출력 스크립트에 내장됨아니오 — 코인 이동 필요
운영상412만 BTC(20.6%)재사용된 P2PKH, P2SH, P2WPKH, P2WSH지출 시 공개키가 공개됨예 — 주소 재사용 중단
— 그중 거래소약 166만 BTC(8.3%)커스터디 콜드월렛반복적인 입금/출금 재사용예 — 입금 주소 순환

이 구분이 말해주는 방향은 분명하다. 구조적 노출 192만 BTC는 대체로 움직이지 않고 구제하기 어렵지만, 훨씬 더 큰 운영상 노출 412만 BTC, 그중 거래소 커스터디에 있는 166만 BTC는 충분한 성능의 양자컴퓨터가 등장하기 전 주소 관리와 이전 작업으로 아직 위험을 줄일 수 있는 영역이다.

왜 230만 BTC는 구제할 수 없나: 되돌릴 수 없는 손실 구간

약 230만 BTC는 이미 구제할 수 없는 상태다. 코인을 양자 안전 주소로 옮기려면 해당 코인의 기존 개인키로 트랜잭션에 서명해야 하는데, 이 구간의 코인에는 그 키를 가진 사람이 없기 때문이다. Quantum Horizon 논문은 노출된 공급량 약 600만 BTC를 약 230만 BTC의 "줄일 수 없는 위험" 물량과 아직 이전 가능한 약 370만 BTC로 나눈다 . 어떤 프로토콜 업그레이드도 이 계산을 바꾸지는 못한다. 네트워크는 소유자의 서명 없이 소유자를 대신해 이동을 승인할 수 없으므로, 사라진 키는 계속 사라진 상태로 남는다.

이 되돌릴 수 없는 물량의 대부분은 개인키에 영구적으로 접근할 수 없다고 추정되는 코인이다. 가장 큰 부분은 사토시 시대의 Pay-to-Public-Key 출력이다. 약 2만 개 주소에 걸쳐 대략 170만 BTC 규모이며, 대부분 오래전에 분실됐거나 휴면 상태로 남아 있다 . 여기에 시드 문구를 잃어버린 지갑, 검증 가능한 활성 소유자가 없는 장기 휴면 출력이 더해진다. 이 코인들은 재사용된 거래소 주소처럼 단지 노출된 상태인 것이 아니다. 암호학적으로 의미 있는 양자컴퓨터가 이론적으로 아무 구제 수단 없이 빼낼 수 있는 출력이다. 보호를 위한 이전 트랜잭션에 서명할 정당한 주체가 더는 남아 있지 않기 때문이다.

노출됐지만 방어 가능한 것과, 노출된 채 고아가 된 것을 가르는 이 차이가 기술 문제를 거버넌스 문제로 바꾼다. Coinbase와 연결된 자문 프레이밍은 어느 하나를 지지하지 않은 채 세 가지 접근법을 제시한다 :

  • 동결 / 소각 — 프로토콜상 기한을 정해 그 이후에는 취약한 출력을 동결한다. 미래 공격자가 훔칠 수 있는 공급량은 제한되지만, 어차피 누구도 옮길 수 없는 코인에 대해 "키가 없으면 내 코인도 아니다"라는 원칙을 뒤집게 된다.
  • 보존 — 포스트 양자 주소는 지원하되 위험은 재산권 논리에 따라 소유자에게 남긴다. 아무것도 몰수되지 않지만, 230만 BTC는 계속 상시 표적으로 남는다.
  • 중간 조치 — 레거시 주소에서 블록당 이동량을 제한하는 "Hourglass" 설계, 영지식 도구, 그리고 소유자가 안전한 이전 경로를 사전에 승인할 수 있게 하는 사전 서명 보호 이전 약정(PACTs) 등이 포함된다 .

의견 차이는 실제로 크다. Tim Draper는 이런 우려가 과장됐다고 보는 반면, Jameson Lopp는 폭넓은 합의를 필요로 하는 탈중앙 네트워크가 은행 속도로 업그레이드될 수 없다고 주장한다.

"폭넓은 합의를 필요로 하는 탈중앙 네트워크는 은행만큼 빠르게 업그레이드될 수 없다"고 Jameson Lopp는 경고한다. 그는 비트코인의 전체 전환에 5년에서 10년이 걸릴 것으로 추정한다 (source: Quantum Horizon / Lopp).

독자 입장에서 실질적인 의미는 명확하다. 230만이라는 숫자는 개인이 직접 대응할 수 있는 경고가 아니라, 피할 수 없는 손실의 상한선이다. 아직 자신의 코인에 서명할 수 있다면, 당신은 이 그룹이 아니라 이전 가능한 370만 BTC 그룹에 속한다. 다음 섹션의 양자 공격 작동 방식에서 이 경계가 더 구체적으로 드러난다.

양자 공격은 실제로 어떻게 작동하며, 하드웨어는 얼마나 멀리 와 있나

비트코인에 대한 양자 공격은 네트워크를 채굴 경쟁으로 앞서는 방식이 아니라, 서명을 위조해 코인을 훔치는 방식이다. 구체적인 방법은 Shor 알고리즘이 secp256k1 곡선에서 타원곡선 이산로그 문제(ECDLP)를 푸는 것이다. 즉, 온체인에 이미 보이는 공개키로부터 개인키를 직접 도출한다 . 네트워크 접근 권한, 노드 제어, 51% 해시파워는 필요 없다. 공격자에게 필요한 것은 노출된 공개키와 충분히 큰 결함 허용 양자컴퓨터뿐이다. 그래서 합의와 작업증명 계층은 근본적으로 견고하다고 보면서도, 노출이 존재하는 지점은 지갑과 서명 계층으로 본다 .

하드웨어 기준은 높지만 점점 더 구체적으로 정량화되고 있다. Google, Ethereum Foundation, Stanford가 2026년 3월 발표한 논문(arXiv 2603.28846)은 256비트 ECDLP를 깨는 데 1,200개 미만의 논리 큐비트와 9,000만 개 미만의 Toffoli 게이트, 또는 1,450개 미만의 논리 큐비트와 7,000만 개 미만의 Toffoli 게이트가 필요하다고 추정한다 . 물리 오류율 10⁻³에서 작동하는 빠른 초전도 아키텍처를 기준으로, 저자들은 50만 개 미만의 물리 큐비트가 "몇 분" 안에 계산을 끝낼 수 있다고 대응시킨다 . Quantum Horizon 모델은 더 넓은 범위로 약 1,200~2,330개의 논리 큐비트와 약 50만~3억 2,000만 개의 물리 큐비트를 제시한다 .

2026년 현실과 비교하면, 그 문턱은 아직 가깝지 않다. 현재 가장 뛰어난 장치들도 대략 1,000~1,200개의 물리 큐비트 수준에서 작동하며, 안정적인 논리 큐비트는 많아야 약 100개 정도다. 오류 보정된 논리 큐비트 요구량에는 몇 자릿수나 못 미친다 . 오늘날 암호학적으로 의미 있는 양자컴퓨터(CRQC)는 존재하지 않는다 . 격차는 단순한 원시 큐비트 수만의 문제가 아니라, 지속적인 결맞음 붕괴와 Shor 회로를 실행할 만큼 오래 안정적인 논리 큐비트를 유지하는 데 필요한 오류 보정 오버헤드다. 바로 이것이 그 문턱을 막고 있는 현실적 장벽이다.

과소평가되는 부분은 타이밍이다. 공개키는 원장에 영구적으로 보이기 때문에, 어떤 행위자든 오늘의 블록체인에서 노출된 키를 복사해 보관한 뒤, CRQC가 등장하면 저장해 둔 키를 사후적으로 깰 수 있다. 이른바 "지금 수확하고 나중에 해독하는" 동학이다 . 결과는 분명하다. 실질적인 이전 마감 시점은 양자 기계가 마침내 작동하는 때가 아니라, 당신의 키가 수집되는 때에 의해 정해진다. 오늘 키가 포착된 코인은 실제 파훼가 2045년에 일어나더라도 이미 시계가 움직이기 시작한 것이다.

양자 타임라인 확률: 언제 실제 마감 시한이 되는가?

실제 마감 시한은 고정된 날짜가 아니라 확률 곡선에 가깝고, 신뢰할 만한 전망은 향후 몇 년이 아니라 중기 구간에 모인다. Quantum Horizon 논문(arXiv 2606.14484)은 암호학적으로 유의미한 양자컴퓨터(CRQC)의 등장을 이봉분포로 모델링한다. 2035년까지는 대략 6분의 1, 즉 약 17%, 2040년까지는 약 30%, 2050년까지는 약 60%의 가능성이 있으며, 80% 신뢰 구간은 대략 2032~2060년에 걸쳐 있다 . 이 폭이 실무적 계획 구간이다. 공포에 휩쓸리기에는 충분히 넓지만, 아무것도 하지 않기에는 충분히 좁다.

전문가 패널은 위험을 더 긴급하게 본다. 26명의 전문가 의견을 바탕으로 한 Global Risk Institute의 Quantum Threat Timeline Report 2025는 10년 안, 즉 대략 2035년까지 CRQC가 등장할 가능성을 28~49%로 “quite possible”하다고 평가하고, 15년 안, 즉 대략 2040년까지는 51~70%로 “likely”하다고 본다 . 이 수치는 같은 기간에 대한 Quantum Horizon의 중간 시나리오보다 의미 있게 높다. 그래서 이 보도는 타임라인을 확정된 사실이 아니라 논쟁 중인 전망으로 다룬다.

기간Quantum Horizon (arXiv 2606.14484)Global Risk Institute 2025 (26명 전문가 패널)
~2035년까지 (10년)~17% (6분의 1)28–49% ("quite possible")
~2040년까지 (15년)~30%51–70% ("likely")
~2050년까지~60%
80% 신뢰 구간≈2032–2060

표준화 기관들은 이미 확증을 기다리는 단계를 지나갔다. NIST는 2024년 8월 13일 첫 세 가지 포스트 양자 암호 표준인 FIPS 203(ML-KEM), FIPS 204(ML-DSA), FIPS 205(SLH-DSA)를 최종 확정했고, 관리자들에게 즉시 마이그레이션 계획을 시작하라고 권고했다 . 그 밑에 깔린 메시지는 대비 수준을 좌우하는 것이 하드웨어 시계가 아니라 마이그레이션 시계라는 점이다.

비트코인에 한정하면, 전망과 준비 사이의 간극이 핵심이다. Jameson Lopp은 전체 네트워크 차원의 양자 안전 서명 전환에 5~10년이 걸릴 것으로 추정한다. 탈중앙화 합의 업그레이드는 은행의 내부 마이그레이션보다 훨씬 느리게 움직이기 때문이다.

"A decentralized network that needs broad consensus cannot upgrade as fast as banks can,"라고 Jameson Lopp은 주장한다. 그는 전체 전환에 대략 5~10년이 걸릴 것으로 본다 (source: The Currency Analytics).

숫자를 겹쳐 보면 마감 시한의 논리는 분명해진다. CRQC가 그럴듯하게 10~15년 밖에 있고 전체 프로토콜 마이그레이션에 5~10년이 걸린다면, 먼저 끝내기 위해서는 지금 마이그레이션을 시작해야 한다 . 여기에 지금 수집해 나중에 복호화하는 공격까지 더하면, 생태계의 실질적 시간 창은 편안한 중간값이 아니라 이 범위들의 앞쪽 끝에 놓인다.

BIP-360, BIP-361, 그리고 포스트 양자 프로토콜 로드맵

비트코인의 방어 로드맵은 현재 노출 문제의 서로 다른 부분을 다루는 두 개의 초안 제안에 기대고 있다. BIP-360(Pay-to-Merkle-Root)은 둘 중 더 좁게 겨냥한 제안이다. 2024-12-18에 번호가 부여되고 v0.12.0 버전으로 추적되는 이 제안은 Taproot 키 경로 지출을 제거해 P2TR 출력이 직접 지출 가능한 공개키를 더 이상 공개하지 않도록 하며, 해당 주소의 “장기 노출” 창을 닫는다 . 의도적으로 범위를 좁힌 제안이다. 이 제안은 짧은 노출 시간의 멤풀 타이밍 공격을 완화하지 않으며, 전체 포스트 양자 서명 마이그레이션을 대체하지도 않는다. 전체 공격 표면이 아니라 특정 구조적 틈 하나를 봉합하는 것이다 .

Jameson Lopp이 공동 저자로 참여한 BIP-361은 더 넓은 폐기 경로다. 이 제안은 레거시 서명을 시간이 지나며 단계적으로 퇴출하고, 양자에 취약한 주소 유형으로 새 자금이 전송되는 것을 막자고 제안한다. 단일 출력 클래스가 아니라 구조적 묶음(P2PK, bare multisig, Taproot)과 운영상 묶음(재사용된 P2PKH/P2WPKH 주소)을 함께 다루는 접근이다 . 실제로 두 제안은 상호 보완적이다. BIP-360은 기존 구조를 더 단단하게 만들고, BIP-361은 노출된 공급량을 계속 크게 유지하는 취약한 형식들의 종료 일정을 설정한다.

더 어려운 엔지니어링 제약은 서명 자체에 있다. NIST가 2024-08-13에 표준화해 최종 확정한 포스트 양자 방식인 ML-DSA(FIPS 204)와 SLH-DSA(FIPS 205)는 오늘날의 ECDSA 서명보다 대략 10~100배 더 큰 서명을 만든다 . 이 팽창은 곧바로 블록 크기 수요와 수수료 시장으로 이어진다. 블록당 거래 수는 줄고, 결제 비용은 올라가며, 넓은 활성화가 현실화되기 전에 네트워크가 처리량의 trade-off를 해결해야 한다 . 그래서 이 마이그레이션은 단일한 플래그 데이 패치가 아니라 인프라 작업으로 설명된다.

Coinbase Independent Advisory Board의 Yehuda Lindell(Bar-Ilan), Dan Boneh(Stanford), Scott Aaronson(UT Austin), Justin Drake(Ethereum Foundation), Sreeram Kannan(Eigen Labs/UW), Dahlia Malkhi(UCSB)는 포스트 양자 마이그레이션을 투기적 우려가 아니라 중기 인프라 우선순위로 다뤄야 한다고 권고한다 . 그 논평에서 반복되는 경고는 비트코인의 합의 역학을 고려하면 2035년 마이그레이션 목표조차 낙관적일 수 있다는 점이다.

"A decentralized network that needs broad consensus to change cannot upgrade as fast as banks can,"라고 Jameson Lopp은 주장한다. 그는 비트코인의 전체 전환에 5~10년이 걸릴 것으로 추정한다 (source: The Currency Analytics).

따라서 로드맵은 실제로 존재하지만 아직 완성되지는 않았다. BIP-360과 BIP-361은 실행 메커니즘을 제공하고, NIST는 알고리즘을 제공하며, 자문위원회는 긴급성을 제공한다. 그러나 허가 없는 네트워크 전반에 더 큰 서명을 활성화하는 조정 비용이 이 작업을 수년에 걸친 프로그램으로 묶어 두는 핵심 제약이다.

주소와 보관 방식별 위험 노출: 판단 기준

개인의 양자 위험은 하나의 숫자로 정해지지 않습니다. 코인을 보관한 주소 유형과 그 주소가 어떻게 사용됐는지에 따라 달라집니다. 실무적으로는 규칙이 단순합니다. 설계상 공개키가 드러나는 경우(P2PK)이든, 재사용한 주소에서 지출해 공개키가 드러나는 경우(운영상 노출)이든, 공개키가 온체인에 보이는 순간 위험은 올라갑니다. Glassnode의 2026년 5월 20일 측정치는 노출된 BTC 604만 개를 구조적으로 노출된 192만 개와 운영상 노출된 412만 개로 나눕니다 . 모든 보유자는 이 스펙트럼 어딘가에 있습니다. 아래 범주를 기준으로 자신의 위치를 확인하고 그에 맞게 대응하세요.

P2PK(레거시, 사토시 시대 출력)

구조적 위험이 가장 높은 단계입니다. Pay-to-Public-Key 출력은 원시 공개키를 scriptPubKey에 직접 넣기 때문에, 지출 여부와 관계없이 키가 영구적으로 노출됩니다. P2PK는 약 2만 개 주소에 걸쳐 대략 170만 BTC를 차지하며, 대부분 사토시 시대 코인이거나 오래전에 분실된 코인으로 추정됩니다 . 실제로 P2PK 코인을 관리하고 있다면, 지금 재사용 이력이 없는 새 네이티브 SegWit(P2WPKH) 또는 Taproot 주소로 옮기세요. 미루면 안 됩니다. 수집된 키는 나중에 깨질 수 있으므로, 마감 시점은 작동하는 기계가 등장하는 때가 아니라 키가 처음 노출된 때를 기준으로 정해집니다.

이전에 지출 이력이 있는 P2PKH / P2SH

재사용된 주소는 운영상 노출된 상태입니다. 지출 트랜잭션에서 공개키가 브로드캐스트됐고, 이제 그 기록은 체인 히스토리에 영구히 남아 있습니다 . 어떤 주소에서든 한 번이라도 지출한 적이 있고 여전히 그 주소에 잔액이 남아 있다면, 그 잔액을 새로 생성한 주소로 옮기는 일을 나중에 정리할 잡무가 아니라 단기 우선순위로 다루세요. 이 운영상 노출 범주는 더 크고 더 빠르게 늘어나는 범주이며, 바로 그 점 때문에 관련 보도가 주목을 받았습니다.

재사용 이력이 없는 P2WPKH / P2WSH 또는 P2TR

현대적 주소 유형의 단일 지출 출력 또는 아직 쓰이지 않은 출력은 현재 위험이 더 낮습니다. 공개키가 아직 온체인에 게시되지 않았기 때문입니다. 주소 재사용 금지 원칙을 엄격히 지키세요. 받을 때마다 새 주소를 생성하고, 이미 지출한 적 있는 주소로 코인을 통합하지 말고, 양자 안전 경로가 출시될 때 이동할 수 있도록 BIP-360과 BIP-361 배포 일정을 확인하세요. 단, Taproot 출력 키는 설계상 보입니다. BIP-360이 key-path를 겨냥하는 이유 중 하나가 이것입니다. 따라서 이 경우에도 사용 원칙과 프로토콜 업그레이드가 모두 중요합니다.

거래소와 커스터디 보유분

코인을 커스터디 업체에 맡겨 두었다면, 이는 지갑 위생 문제가 아니라 실사 문제가 됩니다. 해당 제공업체가 콜드월렛 주소 재사용 감사를 완료했는지 확인하세요. Glassnode의 온체인 방법론은 약 166만 BTC, 즉 공급량의 8.3%를 거래소 관련 운영상 노출로 분류하지만, 분포는 고르지 않습니다. Coinbase로 라벨링된 잔액은 노출 비율이 약 5%에 그치는 반면, Binance와 Bitfinex는 훨씬 높은 재사용률을 보입니다 . 커스터디 업체에 현재 위치를 직접 확인하세요.

휴면 또는 키 분실 보유분

서명할 수 없다면, 즉 키를 잃어버렸거나 시드에 접근할 수 없다면, 정의상 약 230만 BTC 규모의 되돌릴 수 없는 범주 안에 들어갑니다 . 개인이 할 수 있는 조치로 이 결과를 바꿀 수는 없습니다. 이 노출은 네트워크 차원의 거버넌스 문제가 됩니다. CRQC가 존재하기 전에 프로토콜이 이런 출력을 동결할지, 보존할지, 또는 속도를 제한할지에 관한 문제입니다. 당신이 가진 유일한 수단은 더 이상 건드릴 수 없는 코인을 옮기는 것이 아니라, 그 합의 논의에 참여하는 것입니다.

2.3M 대 4.6M 구분이 비트코인의 다음 10년에 의미하는 것

2.3M 대 4.6M이라는 구분은 비트코인의 양자 노출을 서로 다른 시계 위에서 움직이는 두 개의 별도 문제로 다시 보게 합니다. 되돌릴 수 없는 묶음에 있는 약 230만 BTC는 기술 문제가 아니라 거버넌스와 재산권의 문제입니다. 이미 온체인에 공개된 공개키는 어떤 주소 관리 방식으로도 사후에 다시 숨길 수 없습니다 . 이동 가능한 약 460만 BTC, 즉 줄일 수 없는 블록을 제외한 뒤 ~690만 BTC라는 headline 수치의 나머지는 닫혀 가는 창에 해당합니다. 오늘 아무것도 하지 않는 것이 회복 가능한 위험을 영구 손실로 바꾸는 지점입니다 .

그 창의 크기 때문에 이 논쟁은 단순한 공포 조장이 아니라 실질적인 문제가 됩니다. 전문가 모델은 암호학적으로 의미 있는 양자컴퓨터가 중기 범위 안에 등장할 수 있다고 봅니다. Global Risk Institute의 2025년 설문에서는 26명의 전문가를 기준으로 15년 안에 깨질 가능성을 “likely” 51~70%로 제시했습니다 . 키는 지금 수집해 두었다가 나중에 해독할 수 있기 때문에, 실제 마감 시점은 하드웨어가 도착하는 때가 아니라 당신의 공개키가 기록되는 때로 정해집니다 .

업계 반응은 실제로 갈려 있으며, 양쪽 모두 현실적인 구조 차이에 근거를 두고 있습니다. 팀 드레이퍼는 이런 우려가 과장됐다고 보고, 제임슨 롭은 폭넓은 합의가 필요한 탈중앙 네트워크가 중앙화된 은행만큼 빠르게 업그레이드될 수 없다고 반박합니다.

제임슨 롭은 “폭넓은 합의가 필요한 탈중앙 네트워크는 은행만큼 빠르게 업그레이드할 수 없다”고 주장하며, 비트코인의 전체 전환에는 5~10년이 걸릴 것으로 추정합니다 (source: The Currency Analytics).

트레이더, 커스터디 업체, 빌더에게 5~15년의 위협 범위와 5~10년의 업그레이드 주기 사이의 간극은 명확한 우선순위를 제시합니다.

  • 지금 주소 관리부터 — 주소를 재사용하지 말고, 받을 때마다 새 출력을 만들어 공개키가 노출되지 않게 하세요.
  • 프로토콜 경로 추적 — BIP-360의 머클 루트 설계 와 취약한 주소 유형으로 보내는 것을 막는 BIP-361 제안을 모니터링하고 테스트넷에서 검증하세요.
  • 커스터디 감사 — 거래소와 커스터디 업체는 거래소 관련 운영 노출이 약 166만 BTC에 이르는 점을 고려해 콜드월렛 재사용률을 측정해야 합니다 .
  • 수수료 대비 — 포스트 양자 서명은 10~100배 더 커질 수 있어, PQC 표준이 활성화될 때 블록 공간에 압박을 줄 수 있습니다 .

핵심은 극적 대응이 아니라 절제된 대응입니다. 230만 개의 잃어버린 코인은 네트워크가 논의해야 할 문제이지만, 이동 가능한 460만 개의 코인은 당신이 보호해야 할 자산입니다. 그리고 가장 저렴한 방어책인 주소 재사용 중단은 비용이 들지 않으며 지금 바로 효과가 있습니다.

마지막 업데이트: 2026-07-05. Glassnode, Quantum Horizon(arXiv 2606.14484), Global Risk Institute 2025 데이터를 기준으로 검토했습니다.

자주 묻는 질문

지금 내 비트코인이 양자컴퓨터 때문에 위험한가요?

아니요. 2026년 현재 암호학적으로 의미 있는 양자컴퓨터(CRQC)는 존재하지 않으며, 현재 하드웨어는 물리 큐비트가 약 1,000~1,200개, 논리 큐비트는 많아야 약 100개 수준으로, 비트코인 서명을 위조하는 데 필요한 기준보다 여러 자릿수 낮습니다 . 추정치는 대략 논리 큐비트 1,200~2,330개와 물리 큐비트 약 50만~3억 2,000만 개가 필요하다고 봅니다 . 이 위협은 즉각적인 것이 아니라 10~25년의 시간 범위에서 확률적으로 봐야 합니다. 오늘 가장 실질적으로 할 수 있는 일은 주소 위생을 지키는 것이며, 패닉셀을 할 필요는 없습니다.

양자 공격에 가장 안전한 비트코인 주소 유형은 무엇인가요?

새로 생성했고 아직 한 번도 사용하지 않은 P2WPKH 또는 P2TR 출력이 현재로서는 위험이 가장 낮습니다. 공개키가 아직 체인에 브로드캐스트되지 않아 수집될 수 없기 때문입니다. 위험이 가장 큰 범주는 레거시 Pay-to-Public-Key(P2PK) 출력입니다. 대략 20,000개 주소에 걸쳐 약 170만 BTC 규모이며, 이전에 지출한 적이 있지만 여전히 잔액을 보유한 주소도 포함됩니다. 지출 시 공개키가 공개되기 때문입니다 . 현재 이용할 수 있는 가장 효과적인 방어는 주소를 절대 재사용하지 않는 엄격한 원칙입니다 .

'지금 수집하고 나중에 해독한다'는 무엇이며, 왜 마이그레이션의 긴급성을 바꾸나요?

"지금 수집하고 나중에 해독한다"는 공개 블록체인에 이미 노출된 공개키를 지금 누구나 비용 없이 복사해 저장해 둘 수 있고, 훗날 CRQC가 등장하면 그때 소급해서 깨뜨릴 수 있다는 뜻입니다. 설령 그 시점이 몇 년 뒤라 해도 마찬가지입니다 . 실질적인 결과는 유효한 마이그레이션 마감 시점이 양자 공격이 실제로 가능해지는 때가 아니라 키가 수집되는 때에 의해 정해진다는 점입니다. 그래서 하드웨어 관련 헤드라인이 나오기를 기다리는 것보다, 코인을 공개키가 노출되지 않은 주소로 더 일찍 옮기는 것이 훨씬 안전합니다.

위험에 노출된 230만 BTC를 양자 안전 주소로 그냥 옮기면 안 되나요?

마이그레이션에는 원래 개인키로 거래에 서명하는 과정이 필요합니다. "되돌릴 수 없을 정도로 위험에 노출된" 것으로 분류되는 약 230만 BTC는 대부분 사토시 시대의 P2PK 코인과 장기간 휴면 상태인 지갑으로, 해당 키가 분실된 것으로 간주됩니다. 따라서 어떤 프로토콜 업그레이드가 도입되더라도 권한 있는 주체가 자금을 옮길 수 없습니다 . 이 코인들은 암호학적으로 고립된 상태입니다. 나머지 약 370만 BTC의 노출 코인은 소유자가 이동 거래에 서명할 수 있으므로 여전히 마이그레이션이 가능합니다 . 고립된 코인에 대해 남은 유일한 쟁점은 프로토콜 차원의 거버넌스 대응입니다.

BIP-360이 비트코인의 양자 위험을 해결하나요?

일부만 해결합니다. BIP-360(Pay-to-Merkle-Root, 2024-12-18 초안 배정, v0.12.0)은 Taproot의 키 경로 지출을 제거해 P2TR 구조의 "장기 노출" 취약점을 닫습니다 . 하지만 주소 재사용에서 발생하는 운영상 노출, 짧은 노출 시간의 멤풀 타이밍 공격, 또는 완전한 포스트 양자 서명 표준까지 해결하지는 않습니다 . 이는 독립적인 해결책이라기보다 BIP-361 같은 제안과 향후 NIST 표준 포스트 양자 서명을 포함하는 다단계 마이그레이션의 한 층에 가깝습니다.