비트코인(Bitcoin)의 양자 보안 문제에 대한 논의가 이론적 측면을 넘어 실제 코드와 규격 제안(BIP-360)으로 진전된 상황이다. 이는 양자 컴퓨터 기술로 인해 개인 키가 탈취될 가능성에 대한 우려를 완화하고자 새롭게 정의된 출력 타입인 ‘페이 투 머클 루트(Pay-to-Merkle-Root, P2MR)’가 비트코인 개선 제안서(BIP-360) 초안에 통합된 것이다.

BIP-360은 비트코인의 기존 탭루트(Taproot) 장점을 유지하면서, 양자 위협에 취약한 '키 경로(key-path) 스펜드'를 제거하는 방식으로 설계되었다. 연구 플랫폼인 안두로(Anduro)는 이번 업데이트가 비트코인 생태계에 중요한 변화를 가져오고 있다고 강조하며, 탭스크립트(Tapscript)와의 호환성도 유지할 것이라고 밝혔다.

BIP-360은 소프트포크(합의 변경) 제안으로, P2MR은 새로운 세그윗(SegWit) v2 출력 타입으로 정의된다. 기존의 페이 투 탭루트(Pay-to-Taproot, P2TR)와는 달리, P2MR은 공개키가 아닌 스크립트 트리의 머클 루트에 직접 커밋된다. 이로 인해 P2MR 출력은 오직 스크립트 경로를 통해 소비될 수 있으며, 원래 탭루트의 키 경로 스펜드는 완전히 제거된다.

BIP-360의 목표는 '변경 범위는 최소화하면서 추가적인 보호를 원하는 사용자를 위한 선택지를 제공'하는 것이다. 이 문서에서는 양자 컴퓨터에 의해 발생할 수 있는 '장기 노출(long exposure) 공격'에 대비하여 방어를 강화하는 것이 주 목표로 설정되어 있다. 이는 공개키가 블록체인에 장기간 노출되는 상황을 염두에 둔 공격 모델을 의미한다.

이 제안서에서는 장기 노출 공격과 더불어 단기 공격(short exposure attack)의 개념을 명확히 구분하고 있다. 장기 노출 공격은 공개키가 오랫동안 드러나 있는 상태에서 발생하는 위험이고, 단기 노출 공격은 미확인 거래가 블록에 포함되기 전 메모리풀(mempool)에서 공개키가 잠시 노출되는 경우를 말한다. BIP-360은 장기 노출 공격만을 방어할 수 있도록 설계되었으며, 단기 노출 공격에 대한 대책으로는 포스트 양자 서명(post-quantum signature)의 도입이 필요할 수 있다.

안두로는 이번 제안이 기존 탭루트의 출력에 영향을 미치지 않도록 소프트포크 방식으로 설계되어 있음을 강조했다. 또한 P2MR 주소는 베치32m(bech32m) 형식으로 'bc1z'로 시작하도록 설정되어, 사용자들이 탭루트 자산과 P2MR 자산을 명확히 구분할 수 있도록 하고 있다.

물론 이러한 변화에는 대가도 따른다. 비트코인의 양자 방어력을 강화하기 위해 탭루트가 제공하던 가장 효율적인 증인(witness) 경로를 포기해야 한다는 점이 있다. P2MR은 최소한의 스펜드 증인이 탭루트의 키 경로 스펜드에 비해 37바이트 더 커질 것으로 예상된다.

프라이버시 측면에서도 주의가 필요하다. 탭루트에서의 키 경로 스펜드는 사용자가 스크립트 트리를 사용하고 있는지가 블록체인 상에서 노출되지 않도록 도왔으나, P2MR에서는 모든 지출이 스크립트 경로를 통해 이루어져 해당 출력이 스크립트 트리 기반이라는 사실이 드러나게 된다. 이는 특정 수준의 메타데이터를 감소시키고자 하는 사용자들에게 단점이 될 수 있다.

BIP-360의 초안이 비트코인 공식 BIP 저장소에 합쳐진다는 것은 이론적 논의에서 실제 논의로 발전했음을 의미하며, 비트코인 생태계가 양자 위협에 대해 구조적으로 준비하기 시작했음을 보여준다. 현재 비트코인은