
프라이버시 거래 기술 발전의 변천사를 말하다
글: 0x1, IOBC Capital
당신의 지갑 주소를 공개하고 누구나 당신이 얼마를 가지고 있는지 알게 되는 것을 원합니까? 당신의 투자 성향이나 모든 지출 내역을 모두가 아는 것을 원하십니까? 아마도 많은 사람은 그렇지 않을 것입니다. 이러한 데이터의 프라이버시를 보호하기 위해서는 프라이버시 프로토콜이 필요합니다.
시장에는 DASH, XMR, Zcash, Grin, Rose(Oasis Network), FRA(Findora), PHA(Phala Network), SCRT(Secret Network) 등 프라이버시를 강점으로 내세우는 암호화폐들이 오랫동안 존재해 왔으며, 암호화 산업이 발전한 수십 년 동안 프라이버시 분야는 항상 중요한 자리를 차지해 왔습니다.
프라이버시 분야를 더욱 세분화하면, 프라이버시 컴퓨팅 네트워크, 프라이버시 거래 프로토콜, 프라이버시 애플리케이션, 프라이버시 코인 등 네 가지로 나눌 수 있습니다. 이 중에서 프라이버시 코인이 가장 먼저 발전했고, 프라이버시 애플리케이션 중에서는 현재 Tornado가 가장 널리 사용되고 있으며, 프라이버시 거래 프로토콜과 프라이버시 컴퓨팅 네트워크가 현재 가장 큰 관심을 받고 있습니다.

본문은 길이 제약상 기술 발전 및 진화 관점에서 프라이버시 거래 관련 기술 구현 방안의 발전 상황만 다룹니다.
암호화폐가 지금까지 발전하면서 주로 다음과 같은 네 가지 프라이버시 거래 기술 방안이 존재했습니다:
1. CoinJoin
CoinJoin: CoinJoin은 여러 송신자로부터 코인을 받아 하나의 거래로 결합하는 믹싱 메커니즘입니다. 제3자가 코인을 묶어 수취인에게 전송합니다. 사용자 입장에서는 각 수취인이 사용되지 않은 새 주소에서 코인을 받게 됩니다. 이를 통해 특정 거래의 추적이 어려워집니다.
DASH는 CoinJoin 기술을 이용해 프라이버시 거래를 구현한 대표적인 사례입니다. DASH는 2014년 출시되었으며, 프라이버시를 유일한 목적으로 하진 않지만 사용자에게 선택적으로 PrivateSend 기능을 통해 익명 거래를 할 수 있도록 제공하며, 일반 거래도 가능합니다.
메커니즘 측면에서 DASH 네트워크는 마스터노드가 되도록 하는 광부들에게 더 높은 보상을 제공하며, 각 마스터노드 광부는 버퍼 자금으로 1,000 DASH를 보유합니다. 거래를 시작하는 사용자는 이 버퍼 자금을 활용하여 "코인 믹싱" 효과를 얻습니다. 믹싱이 존재함으로써 거래 정보가 혼란스러워져 추적이 어려워지고, 결과적으로 프라이버시 보호 효과를 얻습니다.
2. 익명 주소 + 링 서명
익명 주소: 익명 주소 생성은 암호화폐를 수령할 때마다 새로운 주소를 생성한다는 의미입니다. 이를 통해 외부 당사자가 결제 주소와 영구 지갑 주소를 연결하지 못하게 합니다.
링 서명: 블록체인 거래는 서명자가 송신자임을 검증하기 위한 디지털 서명을 필요로 하며, 각 사용자의 서명은 고유하므로 서명 시 해당 서명자와 연관된 거래를 추적하기 어렵지 않습니다. 링 서명 전략은 서명자를 다른 링 구성원들의 서명과 함께 결합하는 것으로, 링 구성원의 서명 수가 많을수록 서명자와 그 거래를 직접 연결하기가 더 어려워집니다.
모네로(XMR)는 익명 주소와 링 서명 조합을 사용하여 프라이버시를 보호합니다. 모네로는 선택적 익명성이 아니라 완전한 익명성을 제공합니다. 모든 지갑 소유자에게 새로운 개인 조회 키, 수취 주소, 개인 소비 키를 제공합니다. 또한 XMR 채굴은 일반 컴퓨터 CPU로도 가능하여 전문 채굴 장비가 필요 없어, 이는 XMR의 탈중앙화 정도를 높이는 데 기여합니다.
모네로는 프라이버시 보호의 효과를 더욱 높이기 위해 발전 과정에서 여러 번의 기술 업그레이드를 수행했습니다. 거래 금액을 숨기기 위해 RING-CT(링 컨피덴셜 트랜잭션)가 도입되었고, RING-CT 적용 후 모네로 블록체인의 프라이버시 성능은 향상되었으나 확장성 면에서 일부 손실이 발생했습니다. 이후 Bulletproofs라는 제로 나이즈 증명 프로토콜을 도입하여 XMR의 거래 규모를 늘리고 검증 시간을 80% 줄였습니다.
3. Mimblewimble
Mimblewimble는 '해리포터' 시리즈의 주문어인 '혼란 주문'에서 유래한 이름으로, Grin과 Beam 두 프로젝트에서 이 프라이버시 프로토콜을 사용합니다. Mimblewimble는 Confidential Transaction, CoinJoin 및 Cut-through 기술을 포함합니다.
Mimblewimble 프로토콜은 익명성과 확장성 사이의 균형을 찾는 방안이며, output 모델 기반의 공개 원장에 암호화폐의 프라이버시를 제공하는 설계 개념으로, 합의 계층과는 무관하여 거의 모든 합의 규칙에 적용 가능합니다.
초기 Mimblewimble는 비트코인에 프라이버시를 제공하기 위해 제안되었습니다. 이 기술을 사용하면 계좌 소유자, 거래 관계, 거래 금액을 숨길 수 있으며, '돈세탁'도 가능합니다. 비트코인에서 일부 코인은 '더러운 돈'으로 표시되어 많은 기관들이 이를 거부하는데, Mimblewimble 기술을 통해 이러한 문제를 해결할 수 있습니다.
4. 제로 나이즈 증명 계열
제로 나이즈 증명(Zero-Knowledge Proof)이란 검증자에게 진술 자체의 유효성 이상의 정보를 제공하지 않으면서도 검증자로 하여금 어떤 주장이 정확하거나 참임을 확신시키는 것을 말합니다.
제로 나이즈 증명은 1989년 Goldwasser, Micali, Rackoff에 의해 이론화되었으며, 현재 블록체인 산업에서는 주로 프라이버시 보호와 확장성에 활용됩니다. 본문에서는 프라이버시 보호 분야에서의 제로 나이즈 증명 활용을 중심으로 설명합니다.
프라이버시 보호를 위한 제로 나이즈 증명은 최초로 Zcash에서 실용화되었으며, 이후 Aztec, Manta Network, StarkWare 등 다양한 프로젝트에서 채택되어 여러 신기술로 발전하였습니다.
"알리바바와 40인의 도둑" 이야기를 통해 제로 나이즈 증명 메커니즘을 설명하겠습니다:
알리바바가 증명자이고, 도둑이 검증자입니다. 도둑은 알리바바를 붙잡고 보물을 가린 동굴 문을 여는 주문을 말하라며, 그렇지 않으면 죽이겠다고 합니다. 만약 알리바바가 주문을 바로 말하면, 가치를 잃어 죽임을 당할 수 있고, 말하지 않으면 도둑은 주문을 모른다고 판단해 역시 죽일 것입니다. 알리바바는 한 가지 방법을 생각해냅니다. 도둑이 자신과 화살 한 발 거리에 있도록 하고, 자신이 주문을 외어 문을 열지 못하거나 도망치면 도둑이 활로 쏴 죽일 수 있도록 합니다.
이 방식을 통해 알리바바는 도둑이 주문 내용을 들을 수 없는 충분한 거리에서 실제로 주문을 알고 있음을 증명할 수 있습니다. 이 과정에서 알리바바(증명자)는 주문 내용을 직접 밝히지 않으면서도 도둑(검증자)로 하여금 "알리바바가 주문을 알고 있다"는 진술이 사실임을 믿게 만듭니다.
zk-SNARK
zk-SNARK는 "Zero-Knowledge Succinct Non-Interactive Argument of Knowledge"의 약자로, 한국어로는 "제로 나이즈 간결한 비대화형 지식 증명"입니다. zk-SNARK는 이스라엘 공과대학의 Ben-Sasson 등이 2014년 Zerocash 논문에서 제안한 것으로, 현재 가장 널리 사용되는 제로 나이즈 증명 기반의 프라이버시 기술이며, Zcash, Loopring 등 유명 프로젝트에서 직접 채택하고 있습니다. 이 기술은 정보의 내용을 공개하지 않고도 특정 정보를 소유하고 있음을 입증할 수 있게 해줍니다.
zk-SNARK는 제로 나이즈 증명 메커니즘을 컴퓨터 프로그램 언어로 변환하는 기술입니다. 기본 로직은 아래 그림과 같습니다:

zk-SNARK는 구체적으로 어떤 프라이버시를 구현할까요? zk-SNARK는 거래 당사자의 주소와 거래 금액뿐 아니라 노드조차 거래 내용을 알 수 없도록 완전한 익명성을 제공합니다. 그러나 단점은 신뢰 가능한 초기 설정(trusted setup)이 필요하다는 점이며, 어떤 방식으로 설정하더라도 잠재적인 보안 위험이 존재합니다.
zk-SNARK 기반에서 프라이버시를 향상시키면서 동시에 거래 용량과 비용을 최적화하기 위해 후속해서 Bulletproofs, zk-STARK, Sonic, PLONK, Supersonic 등의 새로운 제로 나이즈 증명 기술이 파생되었습니다.
Bulletproofs
zk-SNARK에 비해 Bulletproofs는 신뢰 가능한 초기 설정이 필요하지 않지만, Bulletproofs 검증은 zk-SNARK 증명 검증보다 시간이 더 오래 걸립니다. Bulletproofs는 XMR 프로젝트에 적용되어 XMR의 거래 규모를 확대하고 검증 시간을 80% 줄였습니다.
zk-STARK
zk-STARK는 Zero-Knowledge Scalable Transparent Argument of Knowledge의 약자로, "제로 나이즈 확장 가능한 투명 지식 증명"입니다. zk-STARK는 StarkWare에서 개발하였으며, 새로운 암호학적 증명과 현대 대수학을 활용해 블록체인 상의 연산의 무결성과 프라이버시를 보장합니다. StarkEx는 zk-STARK 기술을 채택했습니다. zk-STARK는 연산을 체외(off-chain) STARK 증명자로 이전하고, 체내(on-chain) STARK 검증기를 통해 그 연산의 무결성을 검증합니다.
zk-SNARK에 비해 zk-STARK는 더 빠르고 비용이 낮은 기술로 평가되며, 연산량이 증가하더라도 증명자와 검증자 간의 통신량은 일정하게 유지되어 전체 데이터량이 zk-SNARK 증명보다 훨씬 적습니다. 또한 zk-STARK는 초기 신뢰 설정이 필요 없으며, 충돌 저항성 해시 함수를 통해 더 간단한 암호 기술에 의존합니다. 전반적으로 zk-SNARK는 실용화와 채택에서 큰 진전을 이루었으나, zk-STARK는 zk-SNARK의 많은 결함(빠름, 낮은 비용, 신뢰 설정 불필요)을 보완하여 개선된 프로토콜로 여겨지지만, 체외 연산 후 체내 검증 방식으로 인해 보안 측면에서 zk-SNARK보다 다소 열위라는 평가도 있습니다.
Sonic
런던 대학교의 Sarah Meiklejohn, 에딘버러 대학교의 Markulf Kohlweiss, Zcash의 Sean Bowe는 Sonic이라는 제로 나이즈 증명 프로토콜을 제안했습니다. Sonic은 범용 SNARK로, 단 한 번의 설정만으로 모든 종류의 증명을 검증할 수 있습니다.
Sonic의 등장은 제로 나이즈 증명의 발전에 큰 진전을 가져왔습니다. 하지만 Sonic은 비범용 SNARK에 비해 증명 생성 시간이 약 2개 수준 정도 증가하여 속도가 느려졌기 때문에, 현재까지 유명한 프라이버시 프로젝트에서 Sonic 기술을 채택한 사례는 없습니다.
PLONK
PLONK는 Aztec 프로토콜의 CTO인 Zachary Williamson과 최고 과학자 Ariel Gabizon(Protocol Labs 및 전 Zcash)이 공동 개발한 효율적인 범용 zk-SNARK입니다. Ariel Gabizon과 Zac Williamson은 런던 Binary District 세미나에서 우연히 만나 PLONK를 개발했습니다.
이 새로운 효율적인 범용 zk-SNARK는 단 한 번의 신뢰 설정만 필요로 하며, 모든 프로그램이 이 설정을 재사용할 수 있습니다. 이 기술은 비탈릭(Vitalik)의 리트윗도 받았습니다. PLONK는 얼마나 빠를까요? 일반적인 하드웨어에서 PLONK는 100만 개 이상의 게이트를 갖는 회로를 23초 안에 처리할 수 있습니다. 여기에는 서버 팜이나 HPC 클러스터가 필요 없으며, 이 데이터는 Microsoft Surface 태블릿에서 나온 것입니다.
Aztec를 예로 들어, PLONK 기반의 프라이버시 프로토콜 Aztec 작동 원리를 간단히 설명하겠습니다:
먼저 Aztec는 신뢰 가능한 초기 설정(Ignition CRS)을 필요로 합니다. 초기에 Aztec는 전 세계에서 무작위로 200명의 참여자를 모집하여 각각 Ignition CRS를 부여받습니다. 이 200명의 참여자는 각각 무작위성을 생성하며, 이것이 Aztec 증명의 보안 기반이 됩니다. (마치 200명이 카드를 섞는 것처럼, 200명 모두가 공모하지 않는 한, 단 한 명이라도 정직한 참여자가 있다면 카드의 무작위성, 즉 시스템의 보안이 보장됩니다.)
그 다음, Aztec의 일반적인 프라이버시 거래는 UTXO로 이해할 수 있습니다(아래 그림 참고). 비트코인과 유사한 방식이지만, Aztec는 거래를 암호화해야 한다는 점이 다릅니다. 따라서 이더리움은 이 UTXO가 올바른지를 검증합니다—즉, 60+40 = 75+25인지 확인합니다.

구체적으로 어떻게 검증할까요? 먼저 input note = output note인지 확인합니다. 순환 공격(예: 10 = 11 + -1)을 방지하기 위해 Range Proof(범위 증명)를 설정하였고, 따라서 Aztec는 Codex에서 출력된 주석이 형성되었음을 증명하도록 사용자에게 요구하는 집합 구성원 증명으로 변경하였습니다. 이러한 일련의 절차를 거쳐야 비로소 UTXO의 정확성이 검증됩니다.
Aztec가 달성하고자 하는 프라이버시는 세 가지입니다. 첫째, 데이터 프라이버시로, 거래 금액을 암호화하여 숨길 수 있습니다. 둘째, 사용자 프라이버시로, 네트워크를 관찰하는 사람이 송신자와 수신자의 ID를 파악할 수 없게 합니다. 셋째, 코드 프라이버시로, Aztec SDK를 사용한 dApp의 스마트 계약 코드도 익명화할 수 있습니다. 이 중 첫 번째는 이미 구현되었고, 나머지 두 가지는 아직 구현되지 않았습니다.
SuperSonic
SuperSonic 기술은 Sonic과 DARK 증명을 결합한 것으로, 신뢰 가능한 설정이 필요 없고 짧은 증명을 제공하며, 100만 개의 논리 게이트 기준으로 증명 크기를 10~20KB로 압축할 수 있으며 추가 최적화 여지도 있습니다. 이 기술은 처음으로 금융 퍼블릭 블록체인 Findora에 적용되었습니다.
제로 나이즈 증명 계열 기술들은 증명 크기, 검증 속도, 신뢰 가능한 설정 필요 여부, 실제 적용 사례 측면에서 아래 표와 같이 비교할 수 있습니다:

전반적으로 이러한 효율적인 범용 SNARK의 등장은 최대 하나의 MPC 설정을 통해 Web3의 프라이버시와 확장을 가능하게 하며, 모든 사용자 장치(휴대폰, 태블릿 등)에서 프라이버시 거래를 생성하고 공공 네트워크에서 효율적으로 실행할 수 있게 하여 프라이버시 분야의 발전 속도를 크게 앞당겼습니다.
현재 프라이버시 거래 분야의 발전 상황을 바탕으로, 가까운 미래에 다음과 같은 두 가지 추세가 나타날 가능성이 있습니다:
1. 현재 단계에서 프라이버시 거래 사용률은 여전히 낮지만, 기술 발전에 따라 향상될 전망입니다.
프라이버시 거래 사용률이 낮은 이유는 세 가지입니다. 첫째, 기술 장벽이 높아 초기의 프라이버시 거래는 대부분의 일반 사용자에게 사용 경험이 좋지 않았습니다. Zcash, XMR 같은 프라이버시 코인이 오랫동안 존재했음에도 불구하고, 대부분의 일반 사용자는 실제로 사용해보지 못했습니다. 둘째, 프라이버시 거래에 대한 수요가 아직 보편화되지 않았습니다. 예전에 프라이버시 거래라고 하면 사람들은 어두운 거래만을 떠올렸고, 체인 상의 거래, 송금/결제 행위 및 금액을 숨기려는 인식이 여전히 약했습니다. 하지만 DeFi 등 체인 상 거래의 폭발적 증가와 함께 사람들이 체인 상 거래의 프라이버시 보호에 대한 인식이 깨어나고 있습니다. 셋째, 초기의 프라이버시 프로토콜은 ETH, USDC, DAI 같은 주류 체인 자산을 제공하지 않았으며, 일반 사용자가 프라이버시를 위해 굳이 프라이버시 코인을 선택할 가능성은 낮습니다.
2. 주류 블록체인에 프라이버시 기능을 배포하는 것이 프라이버시 분야 발전의 궁극적 추세일 수 있습니다.
프라이버시 코인은 독립적인 존재로서 앞으로 다시 각광받기는 어려울 수 있으며, 특히 지난 몇 년간 각국의 규제 압박을 겪은 이후 더욱 그렇습니다. 예를 들어 FATF 규정의 영향으로 2019년 Coinbase UK는 Zcash를 상장 폐지했고, OKEx 한국은 모네로, 대시, Zcash, ZCache, Horizon, 슈퍼비트코인 등 6종의 암호화폐를 상장 폐지했습니다.
하지만 프라이버시 거래에 대한 수요는 현실적으로 존재하며, 계속 존재할 것입니다. 수요가 있으면 시장도 생깁니다. 최근 업계에서 가장 주목받는 프라이버시 프로젝트 유형을 보면, 비트코인, 이더리움, 폴카닷 등 주류 블록체인에 프라이버시 보호 기능을 통합하는 방식이 하나의 추세가 될 수 있습니다.
비트코인 거래에서 CoinJoin 기술을 사용하는 것은 현재 거래 정보를 숨기기 위해 널리 사용되는 믹서(Mixers) 서비스입니다. 믹서는 제3자를 통해 송금자 주소와 수취자 주소 간의 연결을 끊어 거래 정보를 숨기는 서비스입니다.
이더리움에서 가장 주목받는 프라이버시 솔루션은 제로 나이즈 증명 계열(zk-SNARK, zk-STARK 등)입니다. 비탈릭은 "제로 나이즈 증명은 가장 강력한 프라이버시 솔루션이며, 기술 구현 난이도는 가장 높지만 이더리움 네트워크의 프라이버시와 보안 보호 효과는 최고"라고 말한 바 있습니다. 제로 나이즈 증명 기반 프라이버시 솔루션 중에서도 특히 Aztec의 PLONK 기술이 높은 평가를 받고 있습니다.
폴카닷 생태계에서도 주목받는 프라이버시 거래 프로젝트인 Manta Network가 있습니다. 이는 P0xeidon Labs가 개발한 zk-SNARK 기반(Plonk with Lookup)의 프라이버시 프로토콜로, 폴카닷에 배포되며, 테스트넷 Calamari는 Kusama에 배포됩니다. 이 프로젝트는 향후 다른 퍼블릭 블록체인에도 해당 프라이버시 프로토콜을 배포할 계획입니다. Manta Network는 다중 자산 탈중앙 익명 결제 프로토콜 MantaPay와 zk-SNARK 기반 AMM 메커니즘의 탈중앙 거래 프로토콜 MantaSwap을 출시할 계획입니다.
요약하면, 프라이버시 거래는 현실적인 시장 수요이며, 이 분야의 발전은 지속적인 관심을 요합니다. 체인 상 거래의 수량과 자금 규모가 증가함에 따라 이 시장 수요도 함께 성장할 것입니다.
참고 자료:
1. https://vitalik.ca/general/2022/06/15/using_snarks.html
2. https://developers.aztec.network/
3. https://emphasized-seed-161.notion.site/PVM-P0xeidon-VM-primer-5bf16a3ef16e4a8696e99ede6d71ea95
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














