주요 내용 요약: 웹3의 어두운 숲을 지나가며 어떻게 자산 보안을 확보할 수 있을까?
지난 금요일, TechFlow와 Bitizen Wallet은 Twitter Space에서 “Web3의 어두운 숲을 지나며 자산 보안을 어떻게 확보할 수 있을까?”라는 주제로 공동 행사를 개최했습니다. TechFlow는 이번 행사 내용을 정리하여 독자들이 참고할 수 있도록 제공합니다.
행사 게스트:
- James, PlatON CTO
- SlowMist, 보안 팀
- moon, Cobo 블록체인 보안 책임자
- 황박, Safeheron 제품 솔루션 책임자
- Seaborn, AlphaWallet 코어 개발자
- Winson Liu, Bitizen 창립자
진행자: FTX 사건으로 인한 중앙화된 위탁 관리 신뢰 위기가 거래소 및 보안 산업 등에 어떤 영향을 미칠까요?
PlatON: PlatON의 경우, 하나는 블록체인 기술을 개발하며 비교적 진보된 합의 알고리즘을 갖추고 있습니다. 또 다른 하나는 프라이버시 알고리즘 네트워크를 구축하는 것으로, 암호학 알고리즘들을 활용해 사용 가능한 라이브러리와 공개 프로토콜을 만들고, 이를 통해 프라이버시 컴퓨팅을 블록체인에 통합하고자 합니다.
왜 이런 일을 하는 것일까요? 우리 삶은 이미 데이터화되고 있으며, 이는 돌이킬 수 없는 추세입니다. 데이터화된 이후 이 데이터들은 재산이 되었고, 현재 이러한 재산은 거대 기업들에 의해 독점되고 있습니다. 그들의 AI는 여러분의 취향에 맞춰 메시지를 추천하며, 결과적으로 우리는 모두 중심화된 AI 알고리즘에 의해 제공되는 정보만을 받게 되고, 인간 사이의 단절 현상이 발생하고 있습니다.
즉 매일 받는 정보가 완전히 다를 수 있고, 특정 주제를 논할 때 서로 심하게 다툴 수도 있습니다. 사람들은 중심화된 인공지능에 이끌려 다니고 있으며, 위기감이 커지고 있습니다. 그래서데이터 소유자가 누구인지에 따라 결정되며, 프라이버시 알고리즘이 포함된 민주화된 AI를 만들고자 하는 것입니다.
FTX는 크립토의 명분을 내세웠지만, 사실상 전통적인 방식으로 붕괴되었습니다. 즉 자금 유용, 감사 없이 돈을 여기저기 가져다 쓰는 등의 행위였으며, 해커가 붕괴 직후 자금을 탈취하기도 했습니다. 매우 무질서한 운영으로, 월스트리트의 화려함을 띠고 있으면서도 실제 금융 규제나 체크 시스템은 전혀 갖추지 못해 많은 사람들을 속였고, 많은 이들이 큰 피해를 입었습니다. 이 신뢰 위기는 마치 국가 권력에게 "투자자를 보호해야 한다"는 명분을 제공하는 계기가 되었습니다.
실제로 자신의 데이터에 대한 자율권을 가지고 자신의 자산을 통제하는 사람들은 아무 문제가 없었고, 반면 CEX 내부 관리 시스템은 엉망진창이었습니다. FTX의 붕괴는 전통적인 방식으로 일어났으며, 블록체인이나 탈중앙화와는 거의 관련이 없습니다.
더 우려되는 것은 최근 싱가포르 금융청(MAS)이 디지털 화폐는 매우 위험하다며 강력한 규제를 요구하고 나선 점입니다.
SlowMist: SlowMist는 블록체인 생태계 보안에 특화된 회사입니다. 주최측의 초청에 감사드리며, 함께 의견을 나눌 수 있어 영광입니다.
FTX 사태는 여러 산업 분야에 특히 보안 산업과 거래소 산업에 큰 영향을 미쳤습니다.
- 첫째, 사용자들은 이제 중앙화된 거래소나 기관에 대해 새로운 신뢰 위기를 겪고 있습니다.
- 둘째, 주요 중앙화 거래소/기관들이 준비금 증명(PoR, Proof of Reserves)을 도입하기 시작했습니다. PoR을 통해 사용자들에게 다시 신뢰를 얻고자 노력하고 있으며, 사용자와 암호화폐 생태계 전체에도 좋은 일입니다.
- 셋째, 중앙화 거래소/기관들이 처음에는 불투명했지만 점차 부분적으로 투명성을 갖추며 일부 정보를 공개하고 사용자들이 알 수 있도록 하고 있으며, 커뮤니티의 감시를 받아들이는 방향으로 나아가고 있습니다. 이는 매우 긍정적인 발전 방향이라고 생각합니다.
FTX 사건 이후 사용자들은 앞으로 PoR 검증을 거친 거래소를 우선적으로 선택하게 될 것이며, 이는 일부 사기성 거래소나 기관에 예금을 맡겨 자산을 잃는 상황을 어느 정도 피할 수 있게 해줍니다.
PoR 자체는 매우 긍정적인 시도지만, 일부 거래소가 사용하는 PoR 방식은 제3의 감사 기관이 특정 시점의 스냅샷을 기준으로 준비금 상태를 감사하는 데 그칩니다. 이는 충분하지 않으며, 사용자들은 유명한 감사 기관의 검토뿐 아니라 커뮤니티에 실시간으로 공개되는 PoR을 기대하고 있습니다.
Cobo: Cobo는 디지털 자산 위탁 관리 및 블록체인 기술 서비스를 제공하는 회사이며, 저는 클라이언트 측에서 블록체인 보안을 담당하고 있습니다.
FTX 사건은 당연히 거래소에 대한 신뢰 위기를 초래하며, 인출 대란(junior run)을 유발했고, 관련 소규모 거래소들도 문을 닫았으며, 대형 거래소들은纷纷 PoR(예치금 증명)을 시행하게 되었습니다. 장기적으로 보면 자산 위탁 관리의 투명성이 높아지는 좋은 일이지만, FTX 사건은 블록체인 산업 전체에 큰 타격이었습니다.
최근 많은 KOL들이 FTX 사건 때문에 산업이 몇 년 후퇴했다고 말합니다. 실제로 가격 흐름에서도 확인할 수 있는데, 얼마 전까지만 해도 회복 국면에 접어드는 듯했으나 지금은 장기간의 약세장(bear market)을 경험해야 할 가능성이 큽니다. 블록체인 보안에 직접적인 영향은 크지 않지만, 본질적으로 보안 문제라기보다는 인재(人禍), 경제 문제 혹은 인간 본성의 문제라고 볼 수 있습니다.
다만 보안 산업에 한 가지 긍정적인 면도 있습니다. 즉,중앙화에 대한 신뢰 위기가 사용자들을 탈중앙화 지갑 사용으로 유도할 수 있다는 점입니다. 그러면 많은 팀들이 자체 관리(self-custody) 보안 솔루션을 개발하게 되고, 이러한 보안 팀들은 비밀번호 보호나 To C 보안에 집중해 지갑 플러그인이나 리스크 경고 도구 같은 새로운 제품을 출시하게 됩니다.
Safeheron: 저는 Safeheron의 제품 솔루션 책임자 황박입니다. Safeheron은 MPC와 TEE 기술을 기반으로 하는 디지털 자산 자체 관리 플랫폼으로, 주로 기관 및 멀티시그 자산 관리가 필요한 고자산 고객을 대상으로 서비스합니다.
FTX 사건은 사실상 3AC(Three Arrows Capital)부터 시작되어 업계 전체에 연쇄 폭발을 일으키며, 결국 FTX까지 이어져 업계 종사자, 사용자, 1차 기관 모두에게 금융 위기를 초래했습니다.
이 사건이 가장 큰 영향을 미친 곳은 바로 거래소입니다. 사용자와 기관들은 이제 놀라기 쉬운 상태이며, 3AC와 FTX 사건으로 인해 모두 자금을 탈중앙화 지갑으로 옮기고 있습니다. 또 다른 블랙스완 사건이 발생할까 걱정되기 때문입니다.
결과적으로 중소형 거래소들의 생존 공간은 더욱 줄어들었고, 현재 바이낸스(Binance)가 독점적인 위치를 차지하고 있습니다. 시장 침체는 단기간 내 회복되기 어렵습니다. 왜냐하면 현재 시장 구조와 종사자 수가 늘지 않고, 새로운 스토리텔링도 나오지 않고 있기 때문입니다.
이전에는 기관 주도의 강세장이라 여겼지만, 기관들이 이미 대부분 탈탈 털렸습니다. 따라서 시장 신뢰 회복을 위해서는 더 방대한 스토리텔링이 필요하며, 이때 중앙화 플랫폼은 어떤 형태로 존재하게 될까요? 규제 기관을 도입하거나, 더 엄격한 규제를 받는 제3의 기관이 자금을 위탁 관리하는 방식이 될 수 있지만 아직 불확실합니다.
오늘 참석하신 분들은 대부분 지갑 또는 보안 분야에 종사하고 계신데, 이 사건은 전반적으로 보안 산업에 긍정적인 영향을 미칩니다.
왜냐하면 업계 전체가 중앙화 플랫폼에 투명성을 요구하며 내부 통제, 리스크 관리, 자금 운용 방식 등을 공개하도록 압박하고 있기 때문입니다. 이는 보안 팀들이 역량을 발휘할 수 있는 기회를 제공합니다.
하지만많은 사용자와 기관이 탈중앙화 지갑을 사용하기 시작하면서 새로운 보안 문제도 발생합니다: 개인이 프라이빗 키를 직접 관리한다는 것은 개인이나 기관 모두에게 큰 도전입니다. 특히 최근에는 피싱, 소셜 엔지니어링 등 다양한 공격이 난무하고 있으며, 며칠 전에는 분산형 캐피털(Distributed Capital)의 대표가 FTX에서 자금을 인출한 직후 해킹을 당하기도 했습니다.
AlphaWallet: 저는 Seaborn이며, AlphaWallet 개발자입니다. 다른 전문가들과 다르게 팀에 합류한 지 몇 개월밖에 안 되어 깊은 통찰은 부족할 수 있습니다.
저희 팀 Smart Token Labs의 비전은 현실 세계의 비즈니스가 토큰화(tokenization)하기 쉽게 만드는 것입니다. 인터넷 시대의 타오바오처럼, 제조업체나 공장들이 소비자와 쉽게 연결될 수 있도록 하는 플랫폼을 지향합니다.
저희 제품은 두 가지로 나뉩니다:
- 하나는 TokenScript 미들웨어로 백엔드 중심이며, 스마트 컨트랙트에 가깝고 사용자가 직접 접촉하지 않는 부분입니다;
- 다른 하나는 슈퍼 터미널로서 제가 속한 AlphaWallet 팀인데, 알리페이와 유사한 도구입니다. 알리페이는 단순한 결제 수단이 아니라 다양한 서비스를 제공하는 슈퍼앱(super app)입니다.
제가 속한 지갑 팀은 앞서 언급된 긍정적인 수혜를 입는 입장입니다. 저희는 자체 관리 지갑으로, 사용자의 프라이빗 키를 절대 접근하지 않으며 사용자가 직접 백업을 책임집니다.
FTX 사건에 대한 제 견해는 다음과 같습니다. FTX에 자산을 맡긴 채 출금하지 못하는 채권자들에게는 나쁜 일이지만, 직접적인 피해를 입지 않은 사람들에게는 오히려 긍정적인 일입니다.
앞선 게스트들이 언급했듯이, 사용자들의 보안 의식이 크게 향상되었습니다.사용자들이 자산을 중앙화 거래소에서 MPC 지갑이나 자체 관리 지갑으로 옮기고 있는데, 이는 탈중앙화 지갑 개발자들에게 더 큰 도전이자 기술 성숙의 기회입니다.
산업 전체를 파멸시키지 않는 한, 모든 사건은 우리가 반성하고 개선하며 더 나은 방향으로 나아가는 계기가 됩니다.
Bitizen: 저는 Bitizen Wallet의 창립자 Winson입니다. Bitizen Wallet은 MPC 기술 기반의 프라이빗 키 없이, 복구 문구 없이도 작동하는 차세대 Web3 지갑입니다. Bitizen Wallet의 차별점은 극도의 보안성, 완전한 탈중앙화 및 개인정보 보호를 유지하면서도 Web2 제품처럼 사용자 친화적이며 간편하다는 점입니다. 간단히 말해, Web3의 핵심과 Web2의 외형을 갖춘 혁신적인 지갑으로, Web2 사용자가 Web3 세계에 들어오는 필수 입문 도구입니다.
제가 보기에 FTX 사건의 영향은 두 가지입니다:
- 첫째, 이번 사건 이후 중앙화 거래소가 신뢰를 얻는 것이 훨씬 어려워졌습니다. 심각한 양극화가 발생해 바이낸스 같은 거래소는 더욱 커지고, 저 자신도 만약 중앙화 거래소를 사용한다면 거의 바이낸스만 이용하게 될 것입니다. 다른 거래소들은 점점 더 어려운 상황에 처하게 됩니다.
- 둘째, 산업 전체적으로 보면, 이는 중앙화에서 탈중앙화로 이동하는 전환점입니다. 지갑 개발사나 보안 종사자로서 책임이 더 커졌습니다. 왜냐하면 자체 관리 및 비위탁 모델은 사용자가 자신의 보안에 책임을 져야 하기 때문이며, 지갑 개발사는 사용자 경험과 보안을 동시에 고려해야 하기 때문입니다.
FTX 사건 이전에는 낮은 진입 장벽의 지갑이 트렌드였으며, 주로 Web2/Web3 사용자가 지갑을 쉽게 사용할 수 있도록 하는 데 초점을 맞췄습니다. 아쉽게도,대부분 제품의 편의성은 보안을 희생해서 얻어진 것입니다.
진행자: 현재 논의되고 있는 Proof of Reserves(PoR)나 Merkle Tree에는 어떤 결함이 있으며, 더 나은 해결책은 무엇인가요?
PlatON: PoR은 전통 금융기관에서 흔히 사용하는 규제 방식입니다. 예를 들어 은행이 자금을 중앙은행에 예치해야만 특정 업무를 수행할 수 있습니다.
기술적으로 어떻게 구현할 수 있을까요? V神(Vitalik Buterin)도 커뮤니티가 분산적으로 계좌를 검증하고 최종적으로 총합이 맞는지를 증명하는 방법을 제안했습니다. 이 문제의 핵심은 '클라이언트 프로파일링(client profiling)'입니다. 즉, 당신의 계좌에 얼마가 있으며 어떤 활동을 했는가 하는 정보입니다.
금융기관 입장에서는 이러한 정보는 비밀이어야 하지만, 분산된 신뢰 가능한 원장에서는 가능한 투명해야 합니다. 사용자 친화성과 보안을 유지하면서 개인정보를 보호할 수 있는 방법은 무엇일까요? 이는 오늘 자리하신 전문가들이 역량을 발휘할 좋은 기회라고 생각합니다.
대부분의 사람들은 크립토 자체를 잘 모르며, PoR이나 Merkle Tree와 같은 기술에 대해서는 더 이해하기 어렵습니다. 관련 지식을 교육하고 장벽을 허물 필요가 있습니다.
SlowMist: 현재 중앙화 거래소/기관들은 제3자로부터 PoR 서비스를 도입하고 있습니다.그러나 일부 제3자가 제공하는 PoR 솔루션은 특정 시점의 스냅샷만을 반영할 뿐(실시간 유효성 확보가 아직 부족)이며, 거래소의 코인이 많을 경우 모든 코인에 대해 PoR을 제공하지 못할 수도 있습니다(사용자들이 원하는 것은 가능한 100% 커버리지입니다).
또 다른 문제는: 중앙화 거래소나 기관이 모든 코인의 준비금 지갑 주소를 공개할 경우 개인정보 침해 문제가 발생할 수 있습니다. 해커들이 이 준비금 지갑을 집중적으로 노릴 수 있기 때문입니다.
따라서 현재 상황은 중앙화 거래소/기관이 PoR을 통해 사용자 신뢰를 재건하려는 시도이지만, PoR 자체가 데이터의 실시간성, 유효성, 코인 커버리지 등의 문제를 가지고 있어 시장, 커뮤니티, 사용자, 생태계가 함께 조정하고 균형을 찾으며 더 나은 해결책을 모색해야 한다고 생각합니다.
Cobo: PoR의 본질은 결국 대조 작업(account reconciliation)입니다. 사용자가 예치한 금액과 기관이 체인 상에 보관한 금액이 일치하는지 확인하는 것입니다. Merkle Tree는 사용자의 자금이 해당 원장에 속하는지를 검증하는 데 사용되지만, 해결되지 않는 문제가 많습니다.
제가 생각하는 문제점은 다음과 같습니다:
- 첫째, 가짜 사용자 문제. Merkle Tree는 특정 사용자가 트리에 속하는지 확인할 수 있지만, 모든 노드가 실제 사용자임을 보장하지는 못합니다. 거래소가 가짜 사용자와 가짜 자금을 만들어낼 수 있으며, 이 가짜 사용자들은 Merkle Tree의 진위를 검증하지 않기 때문에, 다른 사용자들은 이를 확인할 방법이 없습니다. 결과적으로 전체 자금 규모는 커 보이지만, 실제 사용자 자산이 아닐 수 있습니다. 완전한 장부를 공개하는 방법이 있지만, 금융 산업에서는 민감한 정보이므로 공개가 어렵습니다.
- 둘째, 가짜 자금 문제. 현재 PoR은 일반적으로 실시간이 아니며, 몇 개월마다 제3의 감사 기관을 통해 실시됩니다. 따라서 중앙화된 위탁 기관은 일시적으로 자금을 빌려 증명을 위조할 시간이 충분합니다. 예를 들어 감사 전 며칠 전에 자금을 모아 특정 주소에 입금한 후 감사를 통과하고, 감사 후 다시 다른 용도로 사용하는 것입니다. 해결책으로는 감사 기관이 무작위로 검사를 실시하는 방식이 있으나, 이 역시 시간상 어려움이 따릅니다.
- 셋째, 가짜 주소 문제. 많은 중앙화 기관이 지갑 주소를 공개하지만, 이 주소가 정말로 그들의 소유인지 증명할 수 없습니다. 누군가는 이 주소를 통해 기관이 서명을 제공하라고 요구할 수 있지만, 단일 서명만으로는 충분하지 않습니다. 왜냐하면 중앙화 기관이 다른 자금 기관과 공모해 서명을 받을 수 있기 때문입니다. 해결책으로는 MPC와 TSS를 활용하는 것입니다. 프라이빗 키를 조각화하고 제3의 감사 기관이 일부 조각을 보유하게 하면, 자금 이체는 불가능하지만 중앙화 기관의 모든 주소 집합을 파악하고 특정 블록 높이에서 자산 규모를 실시간으로 확인할 수 있어 감사가 용이해집니다. MPC-TSS 위탁 기술은 Cobo가 최근 출시한 제품이기도 합니다.
Safeheron: 저희 팀은이미 2019년에 Merkle Tree 알고리즘을 오픈소스로 공개하고, 당시 창업 기업의 100% 준비금 증명에 적용했습니다. 당시 고객 신뢰를 얻기 위해 Merkle Tree 기반 100% 준비금을 도입했으며 오픈소스로 공개했고, 시장 전체가 투명성을 갖추길 촉구했지만 따르는 곳은 거의 없었습니다. 지금 CZ가 다시 이를 촉구하며 모두가 도입하고 있으며, 하지 않는 기관은 의심받는 상황이 되었습니다.
당시 저희는 모든 지갑 주소를 공개하고 모든 사용자를 커버하며, 하루에 한 번 스냅샷을 찍는 방식을 취했습니다. 기술적으로 플랫폼의 악용 가능성을 차단해 사용자와 시장에 신뢰를 제공했습니다.
이 방식의 장점은 사업 성장이 빠르다는 것이었지만, 단점도 있었습니다. 지갑 주소를 공개함으로써 타인들이 체인 데이터 분석을 통해 플랫폼의 포지션, 담보 비율, 강제 청산 비율 등을 파악하고 집중 공격할 수 있었으며, 질투심을 가진 자들(해커 등)의 공격도 유도했습니다. 따라서 플랫폼에 매우 높은 보안 수준이 요구되었습니다.
당시 이미 SlowMist와 깊이 협력해 보안 수준이 매우 높았지만, 저희 내부에는 항상 불안 요소가 있었습니다. 즉, 중앙화된 지갑 아키텍처에서는 핫월렛(hot wallet)이 항상 인터넷에 연결되어 있으며, 프라이빗 키가 평문으로 노출된다는 점이었습니다. 그래서 프라이빗 키가 아예 생성되지 않으면서도 사용 시에는 마치 키가 있는 효과를 내는 방법이 없을지 고민했습니다.
사용자 입장에서 PoR과 Merkle Tree를 어떻게 바라봐야 할까요?
- 플랫폼 선택 시 역사적 문제(과거 해킹 이력)가 있는지 확인해야 합니다. 만약 과거에 자금을 유용한 적이 있다면, 100% 준비금 증명도 신뢰하기 어렵습니다. 왜냐하면 스냅샷 시점에 자금을 일시 조달해 감사를 통과했을 가능성 때문입니다.
- 둘째, 스냅샷의 빈도가 높은지 확인해야 합니다. 몇 개월 또는 일~이주일에 한 번씩 스냅샷을 찍는다면, 그 간격 동안 플랫폼이 자금을 유용할 여지가 생깁니다.
여러 거래소들이 PoR을 도입하고 있다는 것은 산업이 한 걸음 전진했다는 의미입니다. 가장 이상적인 해결책은 전통 금융을 참고하는 것입니다. 예를 들어 증권과 자금 위탁을 분리하듯, 규제를 받는 제3의 기관이 자금을 위탁 관리하고 거래소는 사용자 자산을 처리할 권한을 갖지 않도록 하는 것입니다. 은행이 이를 맡을 수 있지만, 은행은 사용자 입장에서 탈중앙화가 아니며 개인정보 침해 및 자산 동결 위험이 있습니다. 현재 중앙화 플랫폼은 이미 개인정보와 자산을 중앙 플랫폼에 맡기고 있는 상태입니다.
AlphaWallet: Web3 분야에서는 많은 사람들이 USDC와 USDT를 수입원으로 삼고 있지만,자산을 증명해야 하는 상황에서 마땅한 방법이 없습니다. 예를 들어 학교 입학을 위해 자산 증빙을 요청받는 경우입니다. 전통적으로는 은행 거래내역서나 예금 증명서를 사용합니다.
개인적으로 보건대, 모든 사용자가 이러한 기술을 이해할 필요는 없습니다. 일반 사용자에게는 너무 깊고 학습 비용이 큽니다. 전문 보안 기관의 인증을 받았는지 여부가 더 중요할 수 있습니다.
Bitizen: PoR과 Merkle Tree는 현재 중앙화 자산 위탁 관리에 좋은 패치(patches)입니다. 탈중앙화 거래소와 탈중앙화 위탁 관리가 미래라고 생각합니다. 이 방식은 업그레이드 가능하며, PoR 같은 패치 솔루션보다 훨씬 나은 방식일 수 있으며, 근본적으로 악용 문제를 해결할 수 있습니다.
진행자: 탈중앙화 지갑의 다양한 솔루션들(핫월렛, 콜드월렛, MPC 지갑, 스마트 컨트랙트 지갑)의 보안성 장단점 비교 및 미래의 주류 지갑 보안 솔루션은 무엇일까요?
PlatON: 다른 사용자는 각기 다른 요구사항을 가지고 있습니다. 기술 중심 사용자는 기술을 중시하고, 서비스 중심 사용자는 서비스를 중시하며, 일부는 중앙화를 선호합니다.
인프라 측면에서 보면, 사용자의 경험 수준에 따라 다양한 지갑과 서비스를 제공하는 다양성이 중요합니다.
SlowMist: 콜드월렛은 고급 사용자에게 적합하며, 진입 장벽이 높고 상호작용이 복잡하지만 보안성이 높습니다. MPC 지갑, 스마트 컨트랙트 지갑, 전통적인 탈중앙화 지갑은 모두 Web3 지갑을 더 쉽고 편리하게 만들고, Web3 진입 장벽을 낮추는 데 노력하고 있습니다.
보안 측면에서 보면, 지갑은 Web3 세계로 들어가는 열쇠이므로,사용자 상호작용은 '보이는 그대로 서명한다'(what you see is what you sign)가 되어야 합니다.
MPC 지갑과 스마트 컨트랙트 지갑은 기술적으로 키의 단일 실패 지점(single point of failure) 문제를 해결할 수 있습니다. 프라이빗 키나 복구 문구가 도난되거나 분실되어 자산을 잃는 문제를 방지할 수 있습니다. 예를 들어 MPC 지갑은 조각을 새로 고칠 수 있고, 스마트 컨트랙트 지갑은 소셜 복구 기능이나 사용자 측 자격 증명을 재설정할 수 있습니다. MPC 기술과 스마트 컨트랙트 지갑은 기술적으로 충돌하지 않으며, 스마트 컨트랙트 지갑도 MPC 기술로 키를 관리할 수 있습니다.
Cobo: 핫월렛과 콜드월렛은 엄밀히 말해 지갑의 실천 형태이며, 더 많은 것은 관리 방식입니다.
예를 들어 자주 사용하는 자금은 핫월렛에 두고 일상적인 상호작용을 하며, 사용하지 않는 자금은 콜드월렛에 두고 인터넷에서 분리하여 보관합니다. 이 방식은 거래소와 같은 기관에서 흔히 사용됩니다. 개인의 경우, 복구 문구를 잘 보관하고 가능하면 하드웨어 지갑을 사용하며 보안 의식을 높이면 비교적 안전합니다.
스마트 컨트랙트 지갑은 기관 사용자나 고자산 고객에게 적합합니다. 편의성을 일부 희생해 보안성을 높이는 방식으로, 본질적으로 멀티시그(multi-sig)입니다. 기존에는 단일 실패 지점이 있어 프라이빗 키를 잃으면 자산을 완전히 잃게 됩니다. 그러나 멀티시그를 통해 5개 중 3개 서명이 필요하도록 설정하면, 하나의 키를 잃어도 큰 영향이 없습니다.
하지만 매번 거래 시 일정 수의 서명을 수집해야 하므로 전체적인 편의성이 떨어집니다. 앞서 언급했듯이 지갑 개발 시 편의성과 보안성은 일정한 모순 관계에 있습니다. Cobo는 최근 Cobo Argus 제품(https://argus.Cobo.com/)을 출시했는데, Gnosis Safe 기반으로 권한 분산 및 리스크 관리 기능을 제공합니다. 스마트 컨트랙트 멀티시그 지갑이 저위험 작업을 단일 서명 주소에 위임할 수 있도록 해 멀티시그 작업을 간소화하며, 보안성을 유지하면서도 편의성을 향상시킵니다.
Safeheron: 다양한 시나리오에 따라 선택하는 솔루션이 다릅니다. 콜드월렛과 핫월렛은 프라이빗 키가 이미 생성된 상태에서 다른 보호 조치를 취하는 것이고, MPC는 프라이빗 키가 아예 생성되지 않도록 하는 것을 해결하는 기술입니다. 즉 수학과 암호학 메커니즘을 통해 프라이빗 키를 관리합니다.
프라이빗 키 생성 시나리오: MPC 프로토콜을 통해 프라이빗 키 자체가 아예 생성되지 않으며, 다자간의 다단계 계산을 통해 각자가 암호학적 조각(private key shards)을 생성합니다. 이 조각은 물리적으로 원본 프라이빗 키와 아무런 관련이 없으며, 수학적으로만 원본 키를 가리킵니다. 또한 중앙에서 생성 후 분배하는 방식이 아니라, 각자가 독립적으로 계산하여 자신의 조각을 얻습니다.
프라이빗 키 사용 시나리오: 예를 들어 송금이나 컨트랙트 상호작용 시, MPC를 통해 다자간 통신을 하며 각자의 조각이 동시에 온라인에서 계산을 진행한 후 최종적으로 서명 결과를 생성합니다. 이 서명 결과는 원본 프라이빗 키로 서명한 것과 동일하므로, 프라이빗 키는 사용 가능
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
