SPHINCS-: 하드포크 없이 이더리움에서 오늘 당장 가능한 양자 저항 서명

[SPHINCS-: 하드포크 없이 이더리움에서 오늘 당장 가능한 양자 저항 서명] 이더리움 재단(EF) 연구자 Nicolas Consigny가 최근 SPHINCS-라는 양자 저항 서명을 공개했습니다. 이 서명은 그간 제안되던 다른 양자 저항 서명들과 달리, 프로토콜 변경 없이도 바로 EVM에서 쓸 수 있을 만큼 실용적인 서명 메커니즘입니다. SPHINCS-의 EVM 검증 비용은 약 15만 가스이며, 유니스왑에서 거래하는 비용보다도 저렴합니다. 오딧이 완료되면 즉시 여러 스마트 계정에서 사용 가능한 수준이라고 볼 수 있겠습니다. 이게 가능한 건, SPHINCS-가 처음부터 끝까지 해시 함수 하나로만 돌아가는 서명이기 때문입니다. 검증도 결국 해시를 잔뜩 돌리는 일이라 그 비용은 해시 연산의 개수에 비례하는데, 마침 EVM엔 그 해시(keccak)가 이미 네이티브 opcode로 존재합니다. 그래서 표준이 쓰는 해시만 keccak으로 바꾸면, 새 프리컴파일을 추가할 것도 없이 컨트랙트만으로 검증이 됩니다. 양자 저항 서명의 다른 한 갈래인 격자(lattice) 기반(ML-DSA, Falcon)은, 이만큼 싸게 온체인에서 돌리려면 그 무거운 연산을 위한 별도의 프로토콜 차원 지원이 더 필요하다는 점에서, 해시 기반 서명은 당장의 요구에 비교적 쉽게 대응할 수 있습니다. 그렇다면 이 '해시 기반 서명'은 어떻게 동작할까요? 원리는 다음과 같습니다. 한쪽으로만 잠기는 자물쇠(해시값)를 잔뜩 공개해 공개키로 삼고, 서명할 땐 메시지가 가리키는 열쇠(비밀)만 까서 보여줍니다. 누구나 그 값을 해시해 자물쇠와 맞춰볼 수 있지만, 해시는 거꾸로 못 푸니 그 비밀을 깔 수 있는 건 오직 주인 뿐입니다. 업계에서 가장 깊이 신뢰해온, 해시 함수 하나의 안전성에만 기댄다는 것을 강점으로 볼 수 있겠습니다. 다만, 이 열쇠들은 한 번 까면 공개돼버리는 '일회용'이라는 것이 단점입니다. SPHINCS는 그런 키를 매우 많이 만들어 하나의 트리로 묶고 단일 공개키로 압축합니다. 그러면 어떤 키를 이미 썼는지 기억할 필요 없이 한 공개키로 여러 번 안전하게 서명할 수 있죠. SPHINCS-는 바로 이 계열을 이더리움에 맞게 깎아낸 변형입니다. 이는 NIST가 표준화한 해시 기반 서명(SLH-DSA)을 EVM 친화적으로 다듬은 형태이니, 표준을 이더리움에 맞게 옮겨온 것이라고 볼 수 있겠습니다. 그동안 이더리움의 양자 대비 논의는 사실상 격자(lattice) 기반을 위주로 되고 있는 느낌이 있었는데요. SPHINCS-는, 해시 기반이라는 또 하나의 갈래가 더 보수적인 안전성 가정 위에서 프로토콜 변경 없이 지금의 이더리움에서 동작할 수 있음을 보여줍니다. 물론 서명을 만드는 쪽(특히 하드웨어 지갑)의 부담이 크고, 검증 한 번에 수천 가스 수준인 '더 저렴한 미래'는 ZK 증명 집계 기술이 이뤄져야 한다는 한계도 존재하기는 하나, 이번 연구는 양자 대비의 선택지를 격자 하나에서 둘로 넓혔다는 점에서 충분히 주목할 만합니다. 출처