이더리움 L1 zkEVM 보안 로드맵 왜 2026년 128비트에 꽂혔을까

“더 빠르게”가 아니라 “더 안전하게”로 방향타가 확 꺾였더라고요. 이더리움 생태계가 지난 1년 동안 zkEVM(제로지식증명 기반 EVM) ‘속도전’을 꽤 성공적으로 치러냈는데, 이제는 그 성과에 취해 달리기만 하면 안 된다는 메시지가 선명하게 나왔습니다. 목표는 2026년 말 ‘128-bit provable security’(128비트 수준의 증명 가능한 보안). 말 그대로 “이 정도 안전하지 않으면 L1에 올리기 어렵다”는 기준선을 못 박은 셈이죠.

1. 핵심 내용만 먼저 정리해볼게요

이더리움 재단이 제시한 흐름은 이렇습니다.

✅ 우선순위를 성능에서 보안으로 옮긴다. 실시간(12초 슬롯) 근처의 증명 속도는 빠르게 좋아졌지만, “정말 안전한가”는 아직 불확실성이 크다고 봤습니다.
✅ 세 단계 로드맵을 걸어 두었습니다.

1. 2026년 2월 말까지 공통 측정 도구 soundcalc에 통합
2. 2026년 5월 말까지 100-bit 보안 + 증명 크기 600KiB 이하
3. 2026년 말까지 128-bit 보안 + 증명 크기 300KiB 이하 + 재귀(recursion) 구조에 대한 정식 보안 논증
✅ “각자 방식으로 잘한다”를 넘어서, 같은 자로 재고 같은 언어로 설명해야 다음 단계(검증/표준화/감사)가 가능해진다고 본 것 같습니다.

2. 128비트라는 숫자에 집착하는 이유가 뭘까요

암호에서 “128비트 보안”은 유행어가 아니라 사실상 표준 목표치로 취급되는 경우가 많습니다. 예를 들어 NIST 문서에서는 보안 강도(security strength) 128비트에 대응하는 대칭키 알고리즘으로 AES-128을 표에 명시합니다. “이 정도 급의 안전”을 얘기할 때 자주 꺼내는 기준선이 128비트라는 뜻이에요.

여기서 중요한 포인트가 하나 더 있습니다. zkEVM이 쓰는 증명 시스템(특히 STARK 계열 포함)은 “이론상 안전할 것” 같은 가정 위에 설계되는 경우가 있고, 그 가정이 흔들리면 홍보하던 보안 비트 수가 실제로는 내려갈 수 있다는 경고가 재단 글에 들어가 있습니다. “100비트라고 말했는데, 연구 진전 때문에 실제는 80비트일 수도 있다”는 식이죠.

Shipping an L1 zkEVM #2: The Security Foundations

그래서 재단이 강조하는 건 ‘그럴듯함’이 아니라 provable security(증명 가능한 보안)입니다. 말장난 같지만, 실무에서는 차이가 큽니다.

• 추정 기반 보안은 “지금까지 깨진 적 없으니 대충 괜찮겠지”에 가까워지고,
• 증명 가능한 보안은 “가정이 무엇이고, 그 가정 아래에서 어느 정도 안전이 보장되는지”를 문서화하고 공유하는 쪽으로 갑니다.

L1 수준에서라면, 이 차이가 더 크게 느껴지겠네요.

3. 3단계 로드맵이 은근히 까다로운 이유

1단계 2026년 2월 말 soundcalc 통합

첫 단추가 “보안을 올리자”가 아니라 “보안을 같은 방식으로 재자”입니다. 재단은 최신 연구와 알려진 공격을 반영해 보안 수준을 추정하는 도구로 soundcalc를 제시했고, 참여 zkEVM 팀들이 회로(circuit)와 증명 구성요소를 여기에 연결하길 요구했습니다.

2단계 2026년 5월 말 100비트 + 600KiB

여기서부터는 “보안만”이 아니라 네트워크 현실(증명 크기)을 같이 묶습니다. 보안이 올라가면 증명(proof) 크기가 커지기 쉬운데, L1에서는 증명이 너무 크면 전파/검증/운영 측면에서 부담이 됩니다. 그래서 100비트 수준(도구 기준)과 함께 최종 증명 크기를 600KiB 이하로 걸어 둔 구성이 눈에 띄더라고요.

3단계 2026년 말 128비트 + 300KiB + 정식 보안 논증

마지막 단계는 사실상 “메인넷급(mainnet-grade) 기준” 선언에 가깝습니다.

128비트 보안(도구 기준)
최종 증명 크기 300KiB 이하
재귀 아키텍처의 soundness에 대한 formal security argument(정식 보안 논증)

이 조합이 빡센 이유는 간단합니다. 보안은 크게, 증명은 작게, 설명은 더 엄밀하게를 동시에 요구하니까요.

4. 속도전이 끝났다는 말이 그냥 수사가 아니었네요

재단 글에는 “속도 스프린트는 성공했다”는 요지가 꽤 구체적인 숫자와 함께 등장합니다. 예를 들어 증명 지연이 16분에서 16초로 줄었고, 비용이 45배 감소했으며, 일부 지표에서는 전체 블록의 99%를 목표 하드웨어에서 10초 이내로 증명하는 수준까지 왔다고 적혀 있습니다.

그리고 Ethproofs 쪽에서도 2025년 한 해 동안 관측/조정 플랫폼을 운영하면서, 실측 기반으로 “이제 실시간 증명이 이론이 아니라 실제”라는 결론을 강조합니다. 다만 2026년부터는 중심축이 성능에서 보안, 크기, 다양성, 복원력으로 이동한다고 선을 그어두었습니다.

저는 이 부분이 특히 현실적이라고 느꼈습니다. 성능은 눈에 보이는 경쟁이어서 달리기 쉬운데, 보안은 느리고 지루하고 문서 작업이 많아 보이기 십상이잖아요. 그런데 L1은 “대충 괜찮을 듯”으로 버틸 수 있는 층이 아니라, 결국 기준을 강제할 수밖에 없습니다.

5. zkEVM에서 “소리 없는 결함”이 왜 더 위험할까

재단 글에서 가장 강하게 못 박은 문장이 하나 있습니다. 증명 위조가 가능해지면, 다른 취약점과 비교가 안 될 정도로 치명적이라는 점입니다. 일반 소프트웨어 버그는 범위를 제한해 막을 수도 있지만, ZK 증명 시스템의 soundness가 깨지면 “증명만 통과하면 뭐든 정당화”될 수 있는 구조가 됩니다.

그래서 이번 로드맵이 “암호 연구 재밌다” 수준이 아니라, L1 설계의 전제 조건에 가까워 보입니다.

6. 제가 보기엔 이 로드맵의 진짜 목적은 ‘표준화 가능한 상태’로 가는 거예요

이더리움 재단이 말하는 “지금 아키텍처를 안정화시켜야 한다”는 표현은, 이렇게 들렸습니다.

지금은 팀마다 재귀 구성도 다르고, 회로 구성도 다르고, 최적화 방향도 다릅니다.
이 상태에선 정형 검증(formal verification)을 붙이기도 어렵고, 붙여도 계속 흔들립니다.
그래서 어느 시점부터는 “실험을 멈춰라”가 아니라 “핵심 부분은 안정화하자”로 가야 합니다.

실제로 재단은 zkEVM에 정형 검증을 적용하기 위한 별도 프로젝트를 운영하며, 2026년 말까지 높은 수준의 보증을 목표로 한다고 적고 있습니다.
결국 2026년의 128비트 목표는 “숫자 자체”라기보다, 감사/검증/표준화가 가능한 엔지니어링 상태로 들어가겠다는 선언처럼 보입니다.

7. 결론적으로, 2026년 말이 ‘분기점’이 될까요

정리하면 이더리움 재단이 던진 메시지는 꽤 직설적입니다.
“이제는 빠른 증명을 넘어, 증명 가능한 보안과 작은 증명 크기를 동시에 만족해야 L1로 갈 수 있다.”

개인적으로는 이 로드맵이 시장을 흥분시키는 종류의 뉴스라기보다는, 오히려 기대치를 조정하고 리스크를 정면으로 드러내는 쪽에 가깝다고 봅니다. 이런 태도가 길게 보면 더 건강하다고 느껴지네요.

“우리가 쓰는(혹은 주목하는) zkEVM/zkVM 팀이,
앞으로 보안 비트 수를 ‘어떻게 계산했고 무엇을 가정했는지’까지 설명하기 시작하는가?”

그 변화가 보이면, 진짜로 다음 단계로 넘어가는 중일 가능성이 큽니다.

이더리움, Ethereum, zkEVM, zkVM, 제로지식증명, ZKProof, 블록체인보안, 암호학, 프로버블시큐리티, 보안강도, 128비트보안, 사운드니스, soundcalc, 이더리움재단, 레이어1, 메인넷, 재귀증명, 정형검증, 증명크기, 프로토콜설계