EIP-7885, 양자 전환을 위한 한 걸음

[EIP-7885, 양자 전환을 위한 한 걸음] 이더리움의 양자 저항 로드맵에 대한 논의가 지속적으로 이뤄지고 있는 가운데, 흥미로운 EIP인 EIP-7885에 대해 소개드립니다. EIP-7885의 공동 저자 중 한 분이 한국인 이윤형님이며, 본 글은 이윤형님이 작성해주신 내용을 바탕으로 정리한 것입니다. [PQC 전환의 비용] 이더리움에 양자내성 서명 전환은 단순히 "어떤 서명을 쓸 것인가"가 아니라 "EVM이 어떤 방식으로 그 비용을 낮출 것인가"의 문제입니다. 이 서명을 온체인에서 검증할 수 있는지, 그리고 그 비용을 감당할 수 있는지가 핵심입니다. 기존 ECDSA 서명의 크기는 65B 수준이지만, Falcon-512는 약 666B, ML-DSA-44는 약 2,420B입니다. 이렇게 큰 서명 크기는 곧 높은 콜데이터 비용으로 이어집니다. 또한, 서명 검증에서의 복잡한 연산 역시 실행 비용을 크게 늘린다는 문제가 있죠. [비용에 대한 네 가지 접근법과 NTT 프리컴파일] 이더리움에서 PQC 서명의 비용 문제를 다루는 방식은 대략 네 가지로 나눌 수 있습니다. 1. 알고리즘 검증 로직 전체를 프리컴파일으로 넣는 방식 2. 여러 PQC가 공유하는 공통 연산만 프리컴파일으로 넣는 방식 3. 계정 추상화 기반 키 로테이션을 활용하는 방식 4. 공개키를 숨기고 ZK 증명으로 검증하는 방식 EIP-7885은 여기서 2번 접근법입니다. 핵심은 "알고리즘별 검증 로직을 EVM 안에 넣는 것"이 아니라, 여러 격자 기반 PQC 알고리즘이 공유하는 저수준 연산을 EVM 프리컴파일로 노출하는 것입니다. 구체적으로, EIP-7885는 NTT(Number Theoretic Transform)라는 연산을 프리컴파일로 제공합니다. 이는 Falcon, ML-DSA, ML-KEM 등에서 반복적으로 필요한 다항식 곱셈 연산이기에, 어떤 서명 알고리즘을 쓰던 비용을 줄일 수 있고, 어떤 알고리즘이 채택되던 효율을 높일 수 있습니다. [결과와 의미] OP Stack 환경에서 이를 구현한 결과는 다음과 같습니다. • Falcon-512 NTT: 1.8M → 500 790 gas • Falcon-512 전체 검증 로직: 1.8M → 479k gas (73.4% 절감) • ML-DSA/Dilithium 계열: 7.9M → 5.7M gas로 절감 EIP-7885의 핵심은 특정 알고리즘 하나를 고정하기보다, 여러 PQC 알고리즘들이 공통으로 쓰는 연산 병목을 낮춰, 이더리움이 특정 서명 방식에 묶이지 않고 양자내성 전환을 준비할 수 있게 하는 것입니다. 쉽게 말하면 단계적이고 범용적인 PQC 전환을 가능하게 한다고 볼 수도 있겠네요. 양자 저항 관련된 가장 많은 연구가 이뤄지고 있는 이더리움에서, 핵심이 될 만한 EIP에 한국인 분이 기여하셨다는 사실도 매우 자랑스럽습니다! 출처