비트코인 개선 제안 BIP-360 초안이 공식 저장소에 병합되며 양자(퀀텀) 보안 논의가 실제 합의 변경 규격 단계로 진입했다고 전했다.

탭루트의 ‘키 경로 스펜드’를 제거한 새 출력 타입 P2MR(주소 bc1z)은 소프트포크 방식으로 추가되며, 최소 증인이 기존 대비 37바이트 커지는 트레이드오프가 제시됐다고 밝혔다.

37바이트 ‘증인’ 더 커진다… 비트코인(BTC) 양자보안 BIP-360, P2MR ‘bc1z’로 공식 병합 / TokenPost.ai

비트코인(Bitcoin)의 ‘양자(퀀텀) 보안’ 논의가 말뿐인 걱정을 넘어 실제 코드와 규격 단계로 진입했다. 양자 컴퓨터에 의해 향후 개인키가 탈취될 수 있다는 우려에 대응하기 위해, 새로운 출력 타입을 정의한 비트코인 개선 제안서(BIP-360) 최신 초안이 공식 저장소에 병합된 것이다. 이번 제안은 탭루트(Taproot)의 장점을 최대한 유지하면서, 양자 위협 모델에서 가장 취약하다고 지목돼온 ‘키 경로(key-path) 스펜드’를 제거하는 방향으로 설계됐다.

연구 중심 플랫폼 안두로(Anduro)는 마라톤 디지털($MARA) 산하에서 인큐베이팅되고 있는 프로젝트다. 안두로는 X(옛 트위터)를 통해 “이번 업데이트는 ‘페이 투 머클 루트(Pay-to-Merkle-Root, P2MR)’라는 새로운 출력 타입을 도입한다”며 “탭루트의 양자 취약 지점으로 꼽히는 키 경로 스펜드를 없애는 대신, 탭스크립트(Tapscript)와 스크립트 트리와의 호환성은 그대로 유지한다”고 설명했다. 요약하면 P2MR은 탭루트와 비슷한 기능을 제공하지만, 양자 공격에 취약한 경로 하나를 과감히 잘라낸 형태다.

BIP-360은 비트코인 개선 제안 체계에서 ‘합의(소프트포크)’ 범주에 속하는 제안으로 분류됐다. 제안서에 따르면 P2MR은 새로운 세그윗(SegWit) v2 출력 타입으로 정의된다. 기존 페이 투 탭루트(Pay-to-Taproot, P2TR)가 ‘조정(tweak)된 공개키’에 커밋하는 방식이라면, P2MR은 공개키 대신 스크립트 트리의 머클 루트에 직접 커밋한다. 실무적인 차이는 분명하다. P2MR 출력은 오직 스크립트 경로를 통해서만 소비(스펜드)할 수 있고, 탭루트에서 제공되던 ‘키 경로 스펜드’는 아예 제거된다.

제안서 초록(abstract)은 목표를 “변경 범위는 최소화하면서, 추가적인 보호를 원하는 사용자를 위한 선택지를 제공하는 것”으로 정리한다. 문서는 “본 문서는 소프트포크를 통해 새로운 출력 타입 P2MR(Pay-to-Merkle-Root)을 제안한다. P2MR 출력은 키 경로 스펜드를 제거했다는 점을 제외하면, P2TR(페이 투 탭루트) 출력과 거의 동일한 기능을 제공한다”고 설명한다. 즉, 기존 탭루트의 스크립트 트리 유연성은 유지하면서도, 장기 노출에 취약한 키 기반 경로를 없애 양자 공격면을 줄이겠다는 접근이다.

BIP-360은 보호 대상 위협을 보다 구체적으로 정의한다. 문서는 P2MR이 방어하고자 하는 주된 목표로 ‘암호학적으로 유의미한 양자 컴퓨터(CRQC)’에 의한 ‘장기 노출(long exposure) 공격’을 꼽는다. 이는 공개키가 온체인에 오래 노출되는 상황을 노리는 공격이다. 동시에, 향후 등장할 수 있는 새로운 암호 분석 기법이 비트코인에 사용되는 타원곡선 암호(ECC)를 무력화할 가능성도 염두에 두고 있다. 양자 컴퓨팅이 완전히 상용화되지 않았더라도, 미리 리스크를 구조적으로 줄이는 ‘준비된(opt-in) 선택지’를 제공하겠다는 취지다.

이 과정에서 문서는 ‘장기 노출(long exposure)’과 ‘단기 노출(short exposure)’을 구분하는 개념적 정리를 시도한다. 장기 노출 공격은 주소처럼 공개키가 블록체인 상에 장기간 드러나 있는 상태를 노린다. 반면 단기 노출 공격은 미확인 거래가 블록에 포함되기 전, 메모리풀(mempool)에 잠깐 공개되는 공개키를 겨냥하는 시나리오다. BIP-360은 스스로 “P2MR 제안은 장기 노출 공격에만 저항력을 제공한다”고 못 박는다. 다시 말해, P2MR이 도입돼도 모든 양자 위협이 해결되는 것은 아니라는 점을 명확히 한 것이다.

문서는 “제안하는 P2MR 출력은, 거래가 블록에 포함되는 데 필요한 시간보다 더 긴 기간 동안 노출되는 키를 겨냥한 장기 노출 공격에 대해서만 저항성을 갖는다”고 기술한다. 이어 “메모리풀에 잠시 노출된 공개키에서 개인키를 복구하는, 보다 정교한 양자 공격(단기 노출 공격)을 막기 위해서는 비트코인에 ‘포스트 양자(post-quantum) 서명’을 도입해야 할 수도 있다”고 지적한다. BIP-360 저자들은 이 부분에 대해서는 “추가 연구를 거쳐 별도의 제안을 내놓을 계획”이라고 덧붙였다. 이번 제안이 양자 리스크 대응의 ‘첫 단계’에 가깝다는 점을 강조한 대목이다.

이처럼 ‘양자 안전’ 대응을 두 단계로 나눠 바라보는 시각 때문에, P2MR은 탭스크립트와의 호환성을 특히 중시한다. 제안서는 P2MR을 미래 확장을 위한 ‘스크립트 트리 출력 타입’으로 자리매김한다. 만약 비트코인이 언젠가 포스트 양자 서명 관련 오피코드(opcode)를 도입한다면, 탭스크립트를 기반으로 하는 P2MR이 구형 스크립트보다 훨씬 매끄러운 업그레이드 경로를 제공할 수 있다는 설명이다. 즉, P2MR은 그 자체로 완벽한 방패가 아니라, 향후 보안 업그레이드를 위한 발판 역할까지 염두에 두고 설계된 셈이다.

안두로는 이번 변경이 ‘소프트포크’ 방식으로 설계돼 기존 탭루트 출력에는 영향을 주지 않는다는 점도 재차 강조했다. P2MR은 기존 bc1p로 시작하는 탭루트 UTXO를 수정하는 방식이 아니라, 아예 새로운 출력 타입으로 추가된다. 제안서에 따르면 P2MR 주소는 베치32m(bech32m) 인코딩 기준으로 ‘bc1z’로 시작하게 된다. 사용자 입장에서는 탭루트 자산과 P2MR 자산을 명시적으로 구분할 수 있고, 지갑·서비스 사업자는 선택적으로 이를 지원하는 형태로 단계적 도입이 가능해진다.

물론 대가도 있다. 탭루트가 키 경로 스펜드를 통해 제공해온 ‘가장 컴팩트한 증인(witness)’ 경로를 포기해야 한다는 점이다. BIP-360은 최소한의 P2MR 스펜드 증인이 탭루트 키 경로 스펜드 대비 37바이트 더 크다고 추산한다. 다만 같은 조건의 스크립트 경로 스펜드와 비교하면, P2MR은 내부 공개키(internal public key)를 생략한 컨트롤 블록 덕분에 오히려 더 작게 만들 수 있는 여지가 있다. 요약하면, P2MR은 ‘키 경로’라는 가장 경제적인 선택지를 버리는 대신, 스크립트 경로 기반에서 효율을 다듬는 타협안에 가깝다.

프라이버시 측면의 변화도 무시할 수 없다. 탭루트의 장점 중 하나는 키 경로 스펜드를 사용할 경우, 사용자가 스크립트 트리를 활용하고 있는지 블록체인 상에서 드러나지 않는다는 점이다. 반면 P2MR은 모든 스펜드가 스크립트 경로를 통해 이루어지기 때문에, 해당 출력이 ‘스크립트 트리 기반’이라는 사실 자체는 온체인에 노출된다. 이는 특정 수준의 메타데이터를 줄이려는 사용자에게는 단점이 될 수 있다. 양자 보안과 프라이버시·효율성 간에 어떤 균형점을 택할지, 커뮤니티 차원의 논의가 불가피해 보이는 지점이다.

안두로 측은 이번 업데이트가 “비트코인 개발자들이 양자 위협을 진지하게 다루지 않는다”는 그간의 비판에도 응답하는 성격이 있다고 평가했다. 또 비개발자에게 난해하게 느껴질 수 있는 BIP 문서를 보다 쉽게 풀기 위해, 이번 버전부터 공동 저자로 이사벨 폭슨 듀크(Isabel Foxen Duke)가 합류했다고 밝혔다. 개발자 커뮤니티 내부 논의에 머물던 양자 리스크를, 일반 이용자와 투자자도 이해할 수 있는 언어로 끌어내리려는 시도다.

현재 BIP-360의 상태는 여전히 ‘초안(Draft)’에 머물러 있다. 그럼에도 불구하고, 이 제안이 비트코인 공식 BIP 저장소에 병합됐다는 사실은 절차상 의미 있는 이정표로 평가된다. 이제 양자 보안 논의는 메일링 리스트와 포럼에서의 추상적인 토론을 넘어, 실제 합의 변경 제안으로 구체화됐다. 지갑, 라이브러리, 검증 노드 소프트웨어 개발자들이 줄 단위로 코드를 검토하고, 리스크와 비용을 따질 수 있는 단계로 넘어간 것이다.

향후 논의의 초점은 ‘P2MR 같은 준비된(opt-in) 선택지면 충분한가’라는 질문에 모일 가능성이 크다. 단순히 양자 리스크에 대비할 수 있는 옵션 몇 가지를 추가하는 수준으로도 비트코인의 보안 설계를 미래 지향적으로 유지할 수 있는지, 아니면 결국 포스트 양자 서명 도입과 대규모 자산 이동이라는 훨씬 복잡한 현실과 정면으로 마주해야 하는지에 대한 논쟁이다. 특히 수백만 BTC 규모의 자산을 새로운 체계로 옮기는 과정에서 발생할 운영 리스크는, 기술적 난제를 넘어 거버넌스 이슈로 비화할 수 있다는 점에서 시장이 예의주시하고 있다.

보도 시점 기준 비트코인(BTC)은 6만6,558달러(약 9억 6,060만 원) 선에서 거래되고 있다. 단기 가격 흐름과 별개로, BIP-360과 같은 제안은 비트코인이 ‘디지털 금’이라는 내러티브를 유지하기 위해 필요한 장기적 기술 업그레이드 논의가 본격화되고 있음을 보여준다. 양자 컴퓨터 상용화 시점에 대한 전망은 엇갈리지만, 비트코인 네트워크 내부에서는 이미 “두려워하기보다는, 준비하자(Prepared, not scared)”는 방향으로 논의의 무게추가 이동하는 모습이다.