암호화 개발 가이드: Web3 보안 기술 및 보안 메커니즘
2022년에는 스마트 계약 취약점, 브리지 해킹, 피싱 등의 보안 문제로 인해 Web3 산업의 손실이 사상 최고치를 기록했다. SAFEIS 보안 연구소의 통계에 따르면, 작년 한 해 동안 블록체인 보안 사건으로 인한 총 피해 금액은 753억 달러를 초과했으며, Web3가 직면한 보안 과제는 그 어느 때보다도 더욱 엄중하다.
한편으로는 놀라운 보안 손실 때문에 많은 사람들이 Web3 진입을 주저하게 되고 있다. 다른 한편으로는 보안이 우수한 블록체인 프로젝트에게 있어 가장 먼저 고려해야 할 필수 요소이다. 더 많은 사람들이 Web3의 구축과 발전에 참여할 수 있도록 하기 위해 암호화 보안 문제가 시급히 개선되어야 한다.
쉽게 예상할 수 있듯이, 2023년은 암호화 보안 기술이 중요한 성과를 거두는 해가 될 것이다. 이러한 새로운 보안 기술들은 Web3 사용자의 안전한 경험을 직접적으로 보장하고 프로젝트의 발전 가치를 높일 것이다. 아래에서는 암호화 보안 기술의 진전과 보안 메커니즘 제정 두 가지 측면에서 분석을 전개하며, 독자 여러분의 댓글 참여를 환영한다. 함께 보안 문제를 논의해보자!
Web3 보안 기술
众所周히, Web3의 보안성은 중앙집중식 메커니즘에 의해 보장되어서는 안 된다. 그러나 암호화 기술이 아직 초기 단계에 머물러 있는 탓에 많은 Web3 프로젝트들이 중앙화된 오프체인 보안 메커니즘을 채택하거나 기술적 결함을 가지고 있어, Web3 참여자가 늘어날수록 보안 문제가 점점 더 부각되고 있다. 암호화 보안은 Web3의 장기적인 발전을 보장하는 중요한 기반 중 하나이며, 아래에서는 올해 주목받을 암호화 보안 기술들을 소개하고자 한다.
계정 추상화(Account Abstraction)
계정 추상화(Account Abstraction)는 암호 자산을 보호하고 Web3를 보급하기 위한 핵심 기술로 평가받고 있다. 구체적으로, 계정 추상화는 서명자와 계정을 분리시키며, 계정 자체가 유효한 트랜잭션을 정의하는 로직을 갖추게 하고, ECDSA 개인키 서명 알고리즘에 의존하지 않고도 유효한 트랜잭션을 정의할 수 있게 한다. 이를 통해 현재 지갑 사용의 복잡성을 최대한 간소화하여 일반 사용자들이 암호 지갑을 보다 쉽게, 보다 안전하게 사용할 수 있게 된다. 현재 Avatar는 시장에서 계정 추상화 기술을 실제 적용한 최초의 암호화 지갑이다. OAuth 프로토콜과 결합하여, 사용자는 구글 계정으로 클릭 한 번에 로그인할 수 있으며, 웹 확장 프로그램 설치, Dapp 다운로드, 지갑 재등록 등의 번거로운 작업을 생략할 수 있다.
또한, 계정 추상화 기술을 기반으로 Social Recovery(소셜 리커버리) 기능을 내장할 수도 있는데, 이는 지갑 소유자가 선택한 일정 인원들이 특정 상황에서 지갑 자산을 이동시킬 수 있도록 허용하여, 원래 소유자가 키를 분실하는 것을 방지한다. 예를 들어 Argent 지갑은 Social Recovery 기능을 활용한 탈중앙화 지갑으로, 해당 기술의 보안성을 바탕으로 가장 인기 있는 '스마트 계약 지갑'이 되었다. 그 외에도 더 많은 기술적 발전이 Web3 개발자들에 의해 탐구되고 있으며, 해당 기술의 원리에 대해서는 《이더리움 계정 추상화의 미래——EIP 4337》 기사에서 더 자세히 확인할 수 있다.
가역 거래(Reversible Transactions)
블록체인 거래의 비가역성은 양날의 검과 같다. 암호화 자산 도난 사건이 빈번하게 발생하지만, 거래를 취소할 수 있는 '취소 버튼'이 없어 다수의 참가자들이 막대한 자금 손실을 입고도 이의 제기를 할 곳이 없다. 반면, 가역 거래를 지원하는 암호 자산은 이러한 도난 행위를 되돌릴 수 있을지도 모른다. 작년 하반기, 2018년 V신(Vitalik Buterin)이 제안한 DAO 거버넌스 기반의 가역 ERC-20 표준 아이디어를 참고하여 스탠포드 대학 연구진이 ERC-20R / ERC-721R이라는 두 가지 가역 거래 표준을 제안했다.
이 기술은 블록체인에서 트랜잭션을 삭제하지 않으면서도, 나중에 분산형 사법 투표 절차를 통해 자금을 합법적 소유자에게 돌려줄 수 있도록 한다. 여기서 '분산형 법정(Decentralized Court)' 메커니즘이 도입되는데, 자산이 도난당한 피해자는 자산 동결을 신청할 수 있으며, '분산형 법정'은 투표를 통해 동결 여부를 결정하고, 동결 후에는 양측의 증거를 바탕으로 자산 귀속을 판단하여 분쟁을 해결한다.
그러나 거래를 비가역에서 가역으로 바꾸는 것은 많은 신뢰 게임 문제가 따르게 된다. 예를 들어 누구나 거래 이슈에 대한 제안을 낼 수 있는가? 악의적인 허위 고소로 인해 자금이 차단되는 경우는 어떻게 대응할 것인가? 누가 중재 법정 구성원이 될 자격이 있는가? 악의적인 판사 또는 뇌물 판사 문제가 발생하면 어떻게 할 것인가? 또한, 분쟁 자금이 여러 번 교환된 후에 역거래가 발생하면 비교적 긴 분쟁 기간을 겪게 된다. 탈중앙화 거래소의 경우, 자금 대기 과정이 유동성에 영향을 미쳐 플랫폼 내 애플리케이션의 발전을 저해할 수밖에 없다. 따라서 가역 거래에 관한 많은 기술적 문제가 여전히 해결되지 않았다.
크로스체인 기술(Cross-chain Technology)
크로스체인 보안은 블록체인 데이터의 고립 문제를 해결하는 핵심 요소다. 현재 크로스체인 보안 분야에서 일부 프로젝트들이 진전을 이루고 있다. 예를 들어 Stargate Finance는 LayerZero 프로토콜 기반으로 구축된 최초의 Dapp으로, 자체 개발한 'Delta (Δ) 알고리즘'을 활용해 '불가능 삼각형' 문제를 '완벽하게' 해결했으며, Layer 0의 상호 운용성 특성을 이용해 각 공개 체인의 유동성 고립을 연결하였다. 이를 통해 보안을 유지하면서 시스템의 자본 효율성을 높이고, 처음으로 완전히 조합 가능한 네이티브 자산 브리지를 구축하여 크로스체인 유동성 이전을 원활하고 단일적이며 안전한 과정으로 만들었다.
또한 Dex 플랫폼 Chainge Finance는 DCRM 기술을 활용해 사용자의 크로스체인 자산 보안을 보호한다. DCRM 기술은 전체 키를 여러 부분으로 나누어 생성부터 저장, 사용까지 재조합 없이 수행할 수 있게 하며, 분할된 키 조각들을 서로 다른 노드에 분산 저장한다. Chainge는 이 기술을 적용하여 자동으로 여러 DEX의 데이터를 수집하고, 사용자에게 최적의 거래 수수료를 찾아주며, 자동으로 거래 주문을 여러 체인에 분할하여 사용자가 최대한의 이익을 얻을 수 있도록 한다.
요컨대, 공인자 모델, 해시 타임락, 리레이 모드 등 기존의 주류 크로스체인 기술과 달리, 많은 프로젝트들이 이제 기술 혁신을 통해 보안의 벽을 쌓아가고 있다. 그러나 이러한 보안 기술이 진정으로 Web3의 크로스체인 보안 요구를 충족하는지 여부는 좀 더 오랜 시간을 두고 검증해야 할 문제다.
Web3 보안 메커니즘
기술의 발전과 성숙에는 일정한 시간 비용이 필요하며, 위협적인 암호화 보안 문제에 직면하여 많은 Web3 참가자들은 외부 보안 메커니즘을 활용함으로써 리스크를 최대한 회피하고 있다.
탈중앙화 감사(Decentralized Audit)
보안 감사는 Web3 프로젝트가 리스크를 회피하는 중요한 요소이며, 올해 감사 서비스는 보편화와 탈중앙화라는 두 방향으로 발전할 전망이다. 한편으로는 점점 더 많은 프로젝트들이 보안 감사의 중요성을 인식하게 되어, 잠재적 리스크를 회피하기 위해 전문 감사를 요청하는 Web3 프로젝트들이 크게 늘어날 것이다. 올해 초 TinTin Meeting 코너에서는 업계 감사 전문가들을 초청해 Web3 감사 보안에 대해 논의한 바 있으며, 프로젝트 관계자와 사용자들에게 필요한 보안 지식을 제공했다. 관심 있는 독자들은 《스마트 계약 감사, 블록체인 보안을 지키는 가장 중요한 방어선》 기사에서 관련 내용을 확인할 수 있다.
다른 한편으로는 감사가 탈중앙화 방향으로 발전하며 점점 더 DAO의 특징을 띠게 될 것이다. Code 4 Rena 및 Immunefi.com 등의 보안 감사 서비스 제공업체들의 추세를 보면, 블록체인 보안 작업은 특정 프로젝트의 다양한 보안 요구에 대응하고 해결하기 위해 일시적으로 구성된 소규모 민첩 팀에 점점 더 의존하게 될 것이다.
예를 들어 Code 4 Rena는 감사 경연 대회 형식으로 서비스를 제공하는데, 경연 대회 내에서 수호자(Wardens), 스폰서(Sponsors), 심사위원(Judges)를 설정하여 프로젝트 감사를 수행한다. 현재 Code 4 Rena는 OpenSea, ENS, zkSync, Aave, Alchemix, Nouns 등과 협력하고 있다.
탈중앙화 보험(Decentralized Insurance)
작년 LUNA와 FTX 사건 이후, 많은 업계 참가자들이 보안 보장의 중요성을 인식하게 되었고, 탈중앙화된 보안 보험 수요가 자연스럽게 생겨났다. 통계에 따르면, 2022년 말까지 탈중앙화 보험 서비스는 이미 1150만 달러를 지급했다. 많은 투자자들이 자산 보호를 위해 리스크 손실을 최소화하고자 보험 서비스로 눈을 돌리고 있다.
탈중앙화 보험 서비스는 암호 자산이 본질적으로 갖고 있는 리스크에 대해 보호를 제공할 수 있다. 점점 더 많은 사용자들이 암호화 시장에 접속함에 따라 리스크 보험 제품에 대한 수요는 증가할 것으로 예상된다. 이러한 보험 제품의 보험료는 매월 0.2%에서 0.9%까지 다양하며, 현재 공급이 수요를 따라가지 못하는 상태로, 많은 보험 서비스가 매진된 상태이다. 현재 암호화 보험은 여전히 초기 단계이며 유동성, 자본 효율성, 제품 사용성, 비용 등 개선이 필요한 부분이 많지만, 이 모든 부분들이 2023년에 밝은 전망을 보일 것으로 기대된다.
전반적으로 볼 때, 올해 Web3 산업은 암호화 보안 기술과 암호화 보안 메커니즘 두 측면에서 꾸준히 역량을 집중할 것이다. 또한 Web3의 탈중앙화 특성에 영향을 받아 암호화 보안 혁신은 공개적이고 오픈소스 환경에서 이루어지므로, 우리는 그 진전과 성과를 실시간으로 확인할 수 있으며, 이를 통해 Web3 보안 문제를 효율적으로 해결할 수 있다. 어떤 의미에서 보면, Web3의 성공은 보안 차원에서의 혁신을 얼마나 잘 수행하느냐에 달려 있으며, 다양한 애플리케이션 아키텍처가 가져오는 새로운 보안 도전에 어떻게 대응하여 응용 계층에 더 높은 수준의 보안을 제공하고, 생태계 사용자들에게 더 큰 안정감을 부여할 수 있느냐에 달려 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@OurTinTinLand
