ZK 기술사: 그 위에 자리 잡은 다음 천억 달러 규모 애플리케이션을 발견하다
암호화 세계의 관심사는 비트코인, 이더리움, DeFi, NFT, 메타버스 및 Web3를 거치며 수차례 변화해 왔지만, 정작 암호 기술 자체에 대한 관심은 부족했다. 비트코인의 타원곡선 암호 알고리즘(ECC)이 어느 정도 대중 인지도를 갖추고 있는 것 외에는 다른 암호 알고리즘들은 주로 연구자와 개발자들 사이에서만 논의되고 있다.
R3PO는 이를 탈중앙화 측면에서 부족하다고 보며, Web3의 추가적인 확장을 심각하게 저해할 수 있다고 판단한다. 암호학은 블록체인의 기반 요소로서 소수에게만 장악되어서는 안 되며, 더욱 광범위한 영역으로 확장되어야 한다.
R3PO는 새로운 서술 방식을 통해 전문성과 가독성을 동시에 고려하여 용어들을 설명하고자 하며, 기관 투자자와 프로젝트팀이 발전 과정 속에 숨겨진 투자 기회, 창업 방향 및 진입점, 발굴되지 않은 α 수익을 찾아낼 수 있도록 지원하는 것을 목표로 한다.
최근 각광받는 제로지식 증명(Zero-Knowledge Proof, ZK) 기술은 여전히 지속적으로 발전하고 혁신 중인 세부 분야이지만, 그 기술 자체가 매우 광범위한 응용 가능성을 지니고 있기 때문에 전체 상황을 체계적으로 정리하는 것이 중요하다.
제로지식 증명 기술은 새로운 개념이 아니다. 자세히 살펴보면 이미 40년의 발전 역사를 거쳤으며 다양한 모델과 응용 사례들이 등장했다.
Web3 시대에 들어 2017년 베질릭(Vitalik)은 ZK 기술이 이더리움에 적용될 가능성을 일찍부터 주목했으며, 최근 스타크웨어(Starkware)가 1억 달러의 투자를 유치해 누적 투자금액이 2.25억 달러에 이르렀다. 이는 기관들이 ZK 기술을 공개 블록체인 수준의 가치와 잠재력으로 평가하고 있음을 의미한다. 이 분야는 장기적인 경쟁이 예상되며, 더 많은 투자 기회를 드러낼 것이다.
앞으로 20년을 내다봤을 때, R3PO는 ZK의 발전이 최소한 60년 이상의 생명주기를 가질 것으로 본다. 따라서 ZK의 전체 발전 과정을 묘사하기 위해서는 근본 원류를 따라가며 그 발전 논리를 명확히 하고 다음 단계의 잠재적 기회를 찾아야 한다.
본 시리즈의 첫 번째 글에서는 제로지식 증명의 시작점에서 출발해 ZK가 L2 분야에만 국한된다는 고정관념을 넘어서, 독자들에게 새로운 체계적인 이해를 제공하고자 한다.
제로에서 시작: ZK의 조립 과정
1982: 재산을 드러내지 않고도 우열을 가늠하다
재산에 대한 추구는 오래전부터 존재해 왔다. 항우는 “부귀영화를 고향에 돌아오지 않으면 마치 비단 옷을 입고 밤에 다니는 것과 같다”고 말했다. 그러나 과도한 부는 탐욕을 부를 수 있다. 재산의 양을 노출하지 않으면서도 그 많고 적음을 비교할 수 있는 방법이 있을까?
1982년, 이후 튜링상을 수상한 요기정(Yao Qizhi)은 바로 이러한 문제를 고민했다. 이것이 유명한 ‘백만장자 문제’이며, 수학적 절차를 생략하면 대략 다음과 같은 방식으로 작동한다:
앨리스와 밥은 각자의 재산을 나타내는 숫자 i와 j를 선택하며, 값의 범위는 1~10이다;
앨리스는 i를 단방향 암호화하고, 암호화된 결과 k를 밥에게 전송한다. 밥은 i와 관련된 새로운 값을 얻게 된다;
밥은 k를 연산한 후 새 값 m을 생성하고 이를 다시 앨리스에게 전달한다. 이때 앨리스는 m과 i의 관계를 판단할 수 있다.
이 과정은 계속 확장되어, 양측이 정보를 노출하지 않으면서도 결국 비교를 완료할 수 있다.
물론 위의 과정은 포괄적이진 않지만 중요한 한 가지를 보여준다. 즉, 양측이 정보를 노출하지 않더라도 계산을 수행할 수 있다는 점이다. 이 개념을 다자간으로 확장하고, 범위를 더욱 넓히면 전형적인 다자간 안전 계산(MPC: Secure Multi-party Computation) 문제가 된다.
백만장자 문제는 ZK 논의의 출발점이다:
재산 정보를 노출하지 않는다는 점에서 제로지식의 정의를 충족한다;
제3자의 평가 없이도 참여자 간 직접 상호작용을 통해 검증을 수행한다.
1985: 제로지식 증명의 등장
1985년 골드와서(Goldwasser), 미칼리(Micali), 랙오프(Rackoff)는 '제로지식 증명(Zero-Knowledge Proof)' 모델을 처음 제안했는데, 정확히 말하면 '상호작용형 제로지식 증명' 모델이다. 간단히 말해 여러 차례의 상호작용을 통해 ZK 기술로 진위 여부나 크기를 검증하는 방식이다.
여기서 '제로지식'이라는 표현은 완전히 정확하지 않다. 앨리스와 밥의 상호작용 예시를 들면, 두 사람은 서로 검증자와 증명자가 될 수 있지만, 전달되는 정보는 재산 수치 자체와 관련이 없어야 한다. 즉, 정보의 전달은 이루어지지만 그 관련성이 제로라는 의미이다.
'상호작용형'은 여러 차례의 상호작용이 가능함을 의미하며, 이 과정은 반복되어 올바른 결과를 도출할 때까지 지속된다.
이렇게 해서 우리가 현재 잘 아는 ZK 기술은 첫걸음을 내디뎠으며, 이후 모든 발전은 이 기반 위에서의 추가·변경·삭제라고 볼 수 있다.
1991: 비상호작용형 제로지식 증명
시간이 1991년으로 넘어오면서 마누엘 블룸(Manuel Blum), 알프레도 산티스(Alfredo Santis), 실비오 미칼리(Silvio Micali), 주세페 페르시아노(Giuseppe Persiano)는 비상호작용형 제로지식 증명을 제안했다. 이름에서 알 수 있듯이 이번 업그레이드의 핵심은 상호작용 없이도 정리나 가설의 진위를 검증하는 것이다. 직관에 어긋나는 듯 보이지만, 아래의 훌륭한 예시를 통해 설명할 수 있다:
앨리스와 밥이 부를 이루고 웹2를 떠나 웹3를 여행하며 수학자로 변신한다. 앨리스는 웹3 여행 중에도 계속해서 ZK 연구를 진행한다.
앨리스가 새로운 정리를 증명했을 때 밥에게 엽서를 보내 연구의 진전을 알린다고 가정하자.
이는 비상호작용형 과정이며, 정확히 말하면 앨리스에서 밥으로의 일방향 상호작용이다. 밥이 답장을 보내고 싶어도 불가능하다. 앨리스는 안정적이거나 예측 가능한 주소가 없기 때문이다.
우리는 약속하기로 한다. 밥이 메일을 받는 순간, 내용을 확인하지 않아도 "앨리스가 연구에서 새로운 진전을 이루었다"는 명제가 참임을 알 수 있다.
비상호작용형 제로지식 증명은 상호작용 횟수를 최대 한 번으로 줄였으며, 오프라인 검증과 공개 검증이 가능하다. 전자는 롤업(Rollups)의 유효성 기반을 마련했고, 후자는 블록체인의 브로드캐스트 메커니즘과 결합되어 반복 계산으로 인한 자원 낭비를 피할 수 있다.
이 시점에서 우리가 현재 보는 ZK는 이미 성숙한 이론 모델이 되었으나, 당시 ZK는 여전히 수학과 암호학 분야의 연구 대상일 뿐 블록체인과는 큰 관련이 없었다. 비트코인이 등장한 후에야 암호 기술 + 블록체인이 연구 방향이 되었으며, ZK는 그 가운데 두각을 나타냈다.
주목할 점은 중본사토시 자신이 비트코인 네트워크에 ZK 기술 사용을 배척하지 않았다는 것이다. 다만 당시 ZK 기술이 미성숙 상태였기 때문에 보다 안정적인 ECC 알고리즘을 선택했을 뿐이다. 실제로 ZK는 Layer1 블록체인에 직접 적용 가능하며, Zcash, Mina, 그리고 이더리움의 이스탄불 업그레이드 모두 제로지식 증명 관련 영역을 포함하고 있다.
첫 만남: SNARK의 블록체인 접목
2010-2014 Zcash: SNARKs (제로지식 간결 비상호작용 지식 증명) 실용화 시나리오
비트코인 네트워크 등장 이후, 보안과 프라이버시는 블록체인에 대한 초기 인식이 되었다. 시장에는 Zerocash/Zcash가 사용하는 SNARKs, Monero에서 사용하는 불릿프루프(Bulletproofs, BP) 등 프라이버시 중심의 공개 블록체인과 애플리케이션이 등장했다.
2010년 그로스(Groth)는 ECC 알고리즘 기반의 O(1) 상수 시간 제로지식 증명을 최초로 구현했다. 이는 ZK-SNARKs 또는 ZK-SNARGs라 불린다.
SNARGs: 간결 비상호작용 주장(Succinct Non-Interactive Arguments)
SNARKs: 간결 비상호작용 지식 증명(Succinct Non-Interactive Arguments of Knowledge)
응용 측면에서 보면 이번 개선의 핵심은 '간결성(Succinct)'이다. 구체적으로 SNARK는 정보 자체의 크기를 압축하는 데 집중한다. ZCash에서는 회로가 고정되어 있으므로 다항식 검증도 고정되어 설정은 한 번만 수행하면 되고, 이후 거래는 입력값만 변경하면 재사용이 가능하다.
2013년 핀노키오(Pinocchio) 프로토콜은 증명 시간을 분 단위, 검증 시간을 밀리초 단위로 향상시켰으며, 오버헤드를 300바이트 이내로 유지했다. 이는 ZK-SNARKs 기술이 블록체인 분야에 실제로 처음 적용된 사례였다.
이는 ZK 기술이 프라이버시 시나리오에서 효과를 발휘할 수 있음을 입증했다. R3PO는 향후 프라이버시 라인이 L2에서 독립적으로 존재할 가능성이 있으며, Aztec는 프라이버시 DeFi 경로의 실현 가능성을 증명했다. Tornado가 제재를 받은 이후에도 체인 상 금융 프라이버시는 여전히 강력한 필수 수요이며, 이 분야의 투자 기회는 아직 널리 발굴되지 않았으며 향후 기대해볼 만하다.
또한 프라이버시 코인 프로젝트 Zerocash는 관련 알고리즘을 추가로 개선했으며, SCIPR Lab이 최적화한 zk-SNARKs 알고리즘을 사용한다. 이론적으로 송금자, 수취인, 금액을 모두 숨기면서도 거래 데이터를 1KB 이하로 유지하고, 검증 시간을 6ms 이내로 단축할 수 있다.
Mina: 재귀적 ZK로 데이터 압축
Mina는 이더리움 L2와 다르게 L1 수준의 고성능 공개 블록체인이다. 노드 크기는 고작 22KB인데, 이렇게 작게 할 수 있었던 이유는 재귀적 구조를 통해 ZK 검증의 유효성을 증명했기 때문이다. 즉 모든 정보는 이전의 검증 결과를 포함하고 있다.
Step1: zk-SNARKs로 노드 유효성을 증명하고, 그 증명 결과만 저장한다;
Step2: 재귀 호출을 통해 노드 유효성의 정확한 전달과 조회를 보장하며, 모든 역사적 데이터를 보존할 필요 없이 극한의 데이터 압축을 실현한다;
전체 노드 데이터를 보존하는 대신 검증 결과의 유효성을 전달하는 것은 Mina의 효과적인 방법이다. 이더리움 L2에서는 ZK-Rollup이 여러 거래 데이터를 패키징해 한 번만 결제함으로써 유효성 증명을 완료할 수 있다. 더 나아가 L2 위에 L3 또는 Dapp 애플리케이션을 중첩할 수도 있는데, 이 모두 ZK가 발전할 수 있는 세부 분야이다. 예를 들어 dYdX는 현재 Starkex 위에서 실행 중이며, 스타크웨어 기반의 L2인 ImmutableX도 ZK의 활용 가능성을 입증하고 있다. 이 분야의 가치는 아직 완전히 발굴되지 않았으며 장기적인 투자 가치를 지닌다.
이 시점에서 ZK-Rollup에 필요한 모든 기술 요소는 거의 완비되었다. 우리는 충분한 ZK 기초 지식을 갖추었으며, ZK의 특징을 다음과 같이 요약할 수 있다:
비상호작용형: 반복 검증이 필요 없고, 한 번의 검증으로 전 네트워크에 브로드캐스트 가능;
제로지식: 정보 자체의 특성을 공개하지 않으면서 전 네트워크에 공개 전파 가능;
지식: 공개적이고 쉽게 얻을 수 있는 정보가 아닌, 경제적 가치나 프라이버시 가치 등 독특한 가치를 지닌 정보;
증명: 수학적 방법으로 확인되며, 보안성은 수년간의 연구와 실천을 통해 검증됨;
이러한 기술적 특징들을 결합하면, ZK는 L2 확장에 자연스럽게 적합할 뿐 아니라 L2에 국한되지 않음을 알 수 있다. ZK 기술의 다른 응용 사례는 향후 계속 발표될 예정이니, 많은 관심 부탁드린다.
쌍룡회: STARK가 궁극적으로 SNARK를 대체할 것이다
ZK-STARK: 개발 난이도가 10년 단위로 계산되는 유망주
두 기술의 차이점은 주로 STARK의 S가 Scalability(확장성)을 의미한다는 점에 있다. 이는 대규모 데이터를 처리하는 복잡한 사용 시나리오를 지향하지만, 전반적으로 여전히 발전 중인 기술 경로이다.
본문은 특정 L2 간 차이점에 대해 깊이 다루지 않겠지만, 한 가지 분명한 사실은 스타크웨어(StarkWare)를 제외한 다른 L2 프로젝트들—zkSync, Aztec, Loopring, Scroll 등—은 모두 SNARKs 기술 경로를 따르고 있다는 점이다.
그 이유는 STARK의 개발 난이도가 지나치게 높아 현재 스타크웨어만이 자체 개발 능력을 갖추고 있기 때문이다. 하지만 장점 또한 명확하다. SNARK에 비해 더 큰 연산량을 처리할 수 있으며, 대규모 데이터 처리 시 보안성이 더 높다. 예를 들어 게임, 소셜, NFT 등의 분야에 적합하다.
게다가 STARK 경로는 양자 공격에 저항하는 특성을 지녀, 미래 10년 동안 산업 구조를 뒤바꿀 가능성을 지닌다. 비트코인이 사용하는 ECC 알고리즘은 양자 해독에 완전히 저항하지 못하지만, zk-STARKs 기술을 도입하면 보안성이 크게 향상된다.
이더리움 L2의 구도를 요약하자면, 단기적으로는 Optimistic Rollup, 5년 후는 zk-SNARKs 경로, 10년 후에는 zk-STARK 경로가 결국 승리할 것이다.
ZK-Rollup: 데이터의 상향, 정보의 하향
zk-STARKs를 소개한 후, L2 확장의 모든 기술적 특징은 완비되었으며 이제 롤업(Rollup)에 대한 설명만 남았다. 실제로 롤업은 ZK의 검증 메커니즘을 활용하면서 데이터 용량 요구를 벗어난다. 즉 L1은 합의와 결제를 담당하고, L2는 애플리케이션의 일상 운영을 맡으며, 사용자는 L1과 직접 상호작용할 필요 없이 현재 앱과 거의 유사한 경험을 할 수 있다.
더 나아가, 롤업은 정보를 패키징한 후 검증된 정보를 암호화하여 '지식' 형태로 만들고 L1에 전달함으로써 보안성, 탈중앙화, 확장성이라는 불가능 삼각형을 해결한다.
요약
우리는 백만장자 문제에서 출발해 MPC 문제를 거쳐 제로지식 증명 영역으로 넘어갔다. 경제적 이유로 인해 상호작용형 제로지식 증명은 체인 상 활동에 완전히 적합하지 않으며, 비상호작용형 제로지식 증명이 점차 주류가 되었다.
Zcash의 발전과 함께 SNARKs 기술이 점차 적용되면서 ZK 기술은 순수한 암호학 연구 대상에서 블록체인 분야의 공학적 수단으로 전환되었으며, 프라이버시, 보안, 효율성 측면에서 역할을 발휘하고 있다.
이더리움 확장 시나리오에서는 ZK가 L2를 성공으로 이끌었으며, 롤업 기술 경로가 다른 경쟁자들을 제치고 승리했다. zk-STARKs 또한 점차 발전하며 마이닝, GameFi, NFT 등 보다 일반적인 응용 시나리오를 활성화할 가능성을 지녔다.
이더리움 외부에서도 점점 더 많은 새로운 모델이 등장하고 있다. 예를 들어 맞춤형 모듈화 롤업 경로, 1500만 달러 투자 유치를 마친 Eclipse는 Move 언어와 Solana 네트워크를 지원할 예정이며, 3000만 달러 투자 유치를 한 Scroll은 EVM과 호환되는 ZK-Rollup 구축을 목표로 한다.
새로운 이야기들의 배경에는 ZK 기술에 대한 인정이 있다. 광범위하게 보면 ZK는 '크고 포괄적이며, 장기적이고 먼' 분야이며, 대규모 투자 소식이 계속 나오는 것도 시장이 그 수용도를 점점 높이고 있음을 보여준다. 그러나 전반적으로 여전히 새로운 분야이며, 기술 경로 내에서도 '내부 경쟁'이 존재한다. 이에 따른 투자 기회는 장기적으로 존재하며, 기반 인프라에 내재되든 구체적 응용 시나리오에 구현되든 지속적인 발굴이 필요하다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
