
L2BEAT 리스크 등급 지표를 통해 다시 보는 레이어2와 롤업
저자: Faust
"L2BEAT"라는 이름을 들으면 대부분의 사람들이 들어본 적은 있지만 정확히 무엇을 하는지는 잘 모를 것이다. 2023년 이전 상당한 기간 동안 사람들은 L2BEAT를 주로 "이더리움 레이어2(Layer2) 데이터 시각화 플랫폼" 정도로 인식했으며, L2 트랙의 TVL(총 예치 가치) 데이터와 기술 방안 분류 외에는 L2BEAT의 기능에 대해 별다른 관심을 두지 않았다. 그러나 올해 6월 출시된 레이어2 리스크 평가 지표가 점차 주목받기 시작하면서, 마치 "이더리움 L2 등급 기관"과 같은 소수 전문 단체인 L2BEAT가 점점 더 많은 사람들에게 알려지고 있다.

"등급 기관(rating agency)"이라는 네 글자를 언급할 때, 『세계는 평평하다』라는 책에서 매우 생생한 비유를 한 바 있다. "우리는 두 개의 초강대국이 존재하는 세상에 살고 있는데, 하나는 미국이고 다른 하나는 등급 기관이다. 미국은 폭탄으로 한 국가를 파괴할 수 있으며, 등급 기관은 채권 등급 강등으로 한 국가를 무너뜨릴 수 있다. 때때로 두 세력 중 어느 쪽이 더 강한지는 말하기 어렵다."
1997년 아시아 금융 위기에서부터 2007년 서브프라임 모기지 위기에 이르기까지 월스트리트의 등급 기관들은 결정적인 역할을 했으며, 심지어 이러한 악성 사건들의 주요 추진 세력이 되기도 했다. Web3 세계는 겉으로는 "신뢰 제거(de-trust)"를 추구하지만 실상은 "사회적 합의(social consensus)"에 의존하고 있는데, 이런 맥락에서 "리스크 평가"는 피할 수 없는 중요한 요소다. 스마트 계약 코드 감사(audit)든 체인 상 이상 거래 분석이든 그 가치는 제로노울리지 프루프(ZKP)나 합의 알고리즘보다 결코 뒤지지 않으며 오히려 더 중요할 수도 있다.
모듈러 블록체인이라는 새로운 분야에서 객관적이고 포괄적이며 서로 다른 레이어2 솔루션을 명확히 구분할 수 있는 리스크 평가 지표는 특히 중요하다. 현재 L2 생태계가 수백억 달러 규모의 자산을 보유하고 있는 현실을 고려하면, L2의 잠재적 리스크를 보다 효과적으로 탐지하고 대중에게 경고하는 것은 회피할 수 없는 현실 과제가 되었다.

2022년 한 포럼 블로그 글에서 Vitalik은 당시 거의 모든 롤업(Rollup)이 성숙하지 못하며, 대부분 '보조바퀴(training wheels)'라 불리는 보조 수단에 의존하여 정상 작동을 유지하고 있다고 언급했다. 이 '보조바퀴'는 롤업 프로젝트가 얼마나 "인위적 개입(manual intervention)"과 "사회적 합의"에 의존하는지를 나타내며, 보조바퀴에 덜 의존할수록 롤업은 더 "신뢰 제거(de-trust)"된 상태가 되고 리스크는 낮아진다. 반대로 의존도가 높을수록 리스크는 증가한다.

예를 들어 Optimism을 포함한 대부분의 낙관적 롤업(optimistic rollup)은 여전히 사기 증명(fraud proof) 시스템을 도입하지 않았으며, 이는 리스크 수준을 크게 높이는 요인이다. 또한 Immutable X처럼 데이터 가용성(DA)을 이더리움 체인 외부에서 처리하거나 Starknet처럼 사용자가 언제든지 호출 가능한 강제 인출(forced withdrawal) 또는 강제 거래 기능이 부족한 경우도 많다. 레이어2 입장에서 위 조건들은 "이더리움 수준의 보안성"을 보장하기 위한 필수 요건이다. 물론 이 외에도 현재 거의 모든 L2 프로젝트는 자체적으로 관리할 수 있는 '뒷문(backdoor)'을 마련해두고 있으며, 다중 서명(multisig)을 통해 이더리움 상의 L2 컨트랙트 코드를 관리하고 상태 해시(state hash)를 즉시 변경할 수 있도록 하고 있어 이 역시 큰 위험 요소다.

롤업을 더 잘 구분하고 정의하기 위해 Vitalik 등은 롤업 프로젝트가 보조바퀴/인위적 개입에 얼마나 의존하는지를 기준으로 롤업을 세 단계—Stage 0, Stage 1, Stage 2—로 나누었다. 이후 L2beat은 커뮤니티 의견 수렴을 통해 이 분류 체계를 수정하였으며, 대략 다음과 같이 요약할 수 있다:
Stage 0 — 보조바퀴에 완전히 의존하는 최소한의 롤업 기준:
· 해당 프로젝트가 스스로를 롤업이라고 주장해야 한다.
· 롤업이 처리하는 거래는 "on-chain"이어야 한다 (즉, L2 상태 전환 과정의 데이터는 L1에 공개되어야 하며, L2 상태 해시(StateRoot)도 공개되어야 함).
· 권한이 공개되고 코드가 오픈소스인 롤업 전체 노드(Full node)들이 존재하여 사용자가 L2 상의 모든 계정 상태(잔액, 거래 횟수 등)를 확인할 수 있어야 한다.


위 조건을 모두 충족하는 L2 프로젝트만이 L2beat에서 Stage 0으로 표시되며, 이는 롤업으로서 최소한의 기준을 만족한다는 의미다. 그렇지 않은 경우 롤업으로 간주되지 않는다 (예: Arbitrum Nova).

Stage 1 — 부분적으로 보조바퀴에 의존하는 롤업은 다음 특징을 가진다:
· 사기 증명(fraud proof) 또는 유효성 증명(validity proof) 시스템을 반드시 도입하여 L2 상태 전환이 유효함을 보장해야 한다.
· 낙관적 롤업이라면, 최소한 5개의 비공식(비운영진) 실체가 운영하는 L2 노드가 사기 증명을 발행할 수 있어야 한다 (즉, 도전자 백리스트에 롤업 공식 운영팀 외부의 실체가 최소 5개 포함되어야 함).
예를 들어, 2022년 11월 기준 Arbitrum One의 도전자 백리스트에는 Consensys, 이더리움 재단, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC, Unit410 등 9개의 실체가 포함되어 있다.

· 언제든지 사용자는 정렬기(Sequencer, Operator)를 우회하여 L2 자산을 L1로 강제 인출할 수 있어야 하며, 자산이 동결되지 않도록 보장되어야 한다. 만약 정렬기가 검열 공격을 수행하여 특정 거래를 거부한다면, 사용자는 해당 거래를 직접 L1의 롤업 거래 순서에 제출할 수 있어야 한다. 오직 잘못된 StateRoot를 게시하는 것 외에는 정렬기가 악용할 수 있는 방법이 없어야 한다.
·롤업은 안전 위원회(Security Council)를 설치할 수 있으며, 이는 다중 서명으로 구성되어 비상시 롤업 컨트랙트를 강제 업그레이드하거나 컨트랙트에 기록된 L2 상태 해시를 개입할 수 있는 권한을 갖는다. 그러나 다중 서명의 개인키는 충분히 분산되어야 하며, 승인 임계값(threshold)도 충분히 높아야 한다. Vitalik 본인은 이를 최소한 6/8, 즉 8명 이상이 관리하고 승인 임계값이 75% 이상이어야 한다고 생각한다.

· 안전 위원회가 승인하지 않은 롤업 컨트랙트 업그레이드는 최소 7일 이상의 시간 잠금(time lock) 지연 제한을 받아야 한다. 이렇게 하면 Tornado Cash의 거버넌스 공격 사례처럼 악의적인 업데이트 제안이 있을 경우, 사용자가 최소 7일 동안 안전하게 인출할 수 있는 시간을 확보할 수 있다.


현재 주요 롤업 중 Arbitrum One, dYdX, zkSync Lite만이 Stage 1 기준을 충족하고 있으며, 기타 주요 롤업은 모두 Stage 0 단계에 머물러 있다.
Stage 2 — 보조바퀴를 완전히 버린 진정한 롤업:
· 낙관적 롤업 네트워크에서 사기 증명을 발행할 수 있는 L2 노드는 퍼미션리스(permissionless)여야 하며, 백리스트 제도를 폐지해야 한다 (이에 대해 Arbitrum One은 최근 BOLD 프로토콜을 도입함).
· 모든 롤업 컨트랙트 업그레이드는 최소 30일 이상의 시간 잠금 지연 제한을 받아야 하거나, 아예 업그레이드가 불가능해야 한다. 이는 악의적인 업그레이드 발생 시 L2 사용자가 최소 30일 동안 안전하게 인출할 수 있는 시간을 보장한다는 의미다.
L2BEAT가 제시한 리스크 평가 지표를 더 잘 이해하기 위해, 세 가지 보안 수준이 다른 롤업 사례를 선별하여 분석해볼 수 있다.
Stage 0 - Base, Stage 1 - Arbitrum One, Stage 2 - Fuel:
Base는 낙관적 롤업 분야의 선두 프로젝트 중 하나로, L1 상의 컨트랙트를 통해 L2 상태 해시(StateRoot)를 기록하고 L2 입출금을 처리하며, 이더리움을 통해 데이터 가용성(DA)을 실현하고 L1과 브릿지 연결을 유지한다.

Base의 정렬기는 L2 거래 데이터를 L1에 공개해야 한다. 구체적으로 정렬기는 몇 분마다 이더리움 상의 지정된 주소로 트랜잭션을 보내며, 이 트랜잭션의 사용자 정의 추가 데이터(Calldata)에 압축된 거래 데이터를 기록한다. L2 전체 노드는 자동으로 L1 블록을 동기화하므로 정렬기가 보낸 트랜잭션을 감지하고 Calldata에서 L2 거래 데이터를 추출하여 정렬기의 최신 상태를 파악하고 올바른 상태 해시(StateRoot)를 계산한 후, L1에 제출된 StateRoot와 비교할 수 있다.

현재 Base는 사기 증명 시스템을 도입하지 않았으며, L1 컨트랙트에 기록된 L2 StateRoot가 정확한지를 보장할 수 없다. 다만 L2 전체 노드를 운영할 수 있는 사용자는 오류를 신속히 발견할 수 있다. 또한 Base는 검열 공격에 대응하는 강제 인출 등의 방안이 없어 정렬기가 장시간 다운되거나 사용자 요청을 고의로 거부할 경우, L2 사용자는 L1로 안전하게 인출할 수 없으므로 큰 보안 취약점이 존재한다.
분명히 이러한 롤업은 메커니즘 설계 차원에서 안전하지 않지만, 필요시 사용자 및 L2 커뮤니티 구성원이 소셜 미디어를 통해 경고를 발령하고 이더리움 재단이나 SEC 같은 규제 기관에 위험을 알릴 수 있다. 이를 '사회적 합의(social consensus)'라고 하는데, 고도의 데이터 투명성과 커뮤니티 구성원의 자발적 감시를 통해 '논란 확산', '인위적 개입', 그리고 후속 '법적 책임'을 통해 L2 프로젝트 운영자의 악행을 억제하는 것으로, 가장 낮은 수준의 보안 장치다. 왜냐하면 사전에 악행을 막을 수 없고, 사후에 책임을 묻는 데에만 의존하기 때문이다.
사실상 '사회적 합의'는 블록체인 보안을 유지하는 기초 조건이기도 하다 (누군가 이더리움을 악의적으로 포크하려 할 경우, 이더리움 커뮤니티는 사회적 합의를 통해 어떤 포크 체인이 따를 대상인지 결정한다). 또한 악의적 행위자는 자신의 행동이 드러날 경우의 결과를 우려하여 대부분 감히 위험을 무릅쓰지 못한다 (물론 FTX, ZT, Mt. Gox 등의 거래소는 예외다).

Arbitrum One을 살펴보면 Base와의 차이점을 바로 알 수 있다. 예를 들어 Arbitrum One은 사용 가능한 사기 증명 시스템을 도입했으며, 도전자 백리스트에는 이더리움 재단과 L2beat를 포함한 9개의 다양한 실체가 운영하는 노드를 배치했다. 정렬기가 L1에 잘못된 상태 해시(StateRoot)를 게시하면, 도전자 노드가 사기 증명을 제출하여 롤업 컨트랙트에 기록된 L2 StateRoot가 정확하도록 보장한다.
또한, Arbitrum One은 정렬기의 검열 공격에 대응하는 강제 거래 메커니즘을 갖추고 있어, 사용자는 L1 상의 Sequencer Inbox 컨트랙트의 forceInclusion 함수를 호출하여 거래 명령을 직접 L1에 제출할 수 있다. 만약 24시간 내에 정렬기가 해당 "강제 포함" 거래/인출 요청을 처리하지 않으면, 해당 거래/인출 명령은 자동으로 롤업 거래 순서에 포함된다. 이를 통해 사용자에게 L2에서 강제로 인출할 수 있는 "안전한 탈출구"를 제공한다.
여기서 강조할 점은, Stage 1 수준의 롤업 프로젝트에서는 사용자가 L2 전체 계정 상태를 인지하고 자신의 계정 잔액에 대한 Merkle Proof를 구성할 수 있다면, 롤업 컨트랙트의 지정된 함수를 통해 강제 인출이 가능하다는 것이다 (이 기능은 일반적으로 '탈출선(Escape Hatch)'이라 불린다). L2 계정 상태를 어떻게 인지하느냐는 롤업 네트워크 내에 외부에 데이터를 공개하는 전체 노드가 존재하는지에 달려 있다 (거의 모든 L2가 이러한 노드를 보유하고 있음).
또한 Arbitrum One의 컨트랙트 업그레이드는 여러 요인에 의해 제한된다. 예를 들어 정상적인 컨트랙트 업그레이드 제안은 먼저 체인 상 거버넌스 투표를 통과해야 하며, 투표 임계값을 넘은 후에도 시간 잠금 제한(12일 지연)을 거쳐야 자동 실행된다. 만약 해당 업그레이드 제안에 악의적인 코드 논리가 포함되어 있다면, 안전 위원회가 다중 서명을 통해 이를 거부할 수 있다.

하지만 Arbitrum One의 안전 위원회는 시간 잠금 제한을 우회할 수 있다. 예를 들어 9/12 다중 서명이 통과되면, 안전 위원회는 즉시 컨트랙트 코드를 업그레이드하거나 롤업 컨트랙트에 기록된 L2 StateRoot를 강제로 변경할 수 있다.
안전 위원회가 어쩌다 이렇게 큰 권한을 갖게 되었는지에 대해 Vitalik은 다음과 같이 설명한 바 있다:
"일부 롤업은 독립적인 여러 상태 전환 함수를 채택할 수 있는데, 서로 다른 의견을 가진 두 개의 사기 증명 제출자나 서로 다른 유효성 증명을 제출한 여러 Prover 노드, 혹은 정렬기가 L1에서 L2 원장을 포크하려 시도하거나, 유효성 증명이 7일 내에 체인에 제출되지 않는 등의 상황은 L2 시스템의 완전한 붕괴를 초래할 수 있다. 안전 위원회는 이러한 위험한 상황에서 판단을 내리고 인위적 개입을 통해 시스템이 올바른 결과를 채택하도록 유도할 수 있다."
물론 Vitalik은 단지 몇 가지 간단한 "위험 상황"만을 열거한 것이며, 롤업 컨트랙트가 해킹될 가능성과 정렬기가 언제든 해킹되거나 내부자 침투될 가능성을 고려하면 긴급 대응 조치는 명백히 필요하다.
Vitalik의 견해에 따르면, 완벽한 롤업이라면 컨트랙트 업그레이드가 가능하더라도 반드시 30일 이상의 시간 잠금 지연을 두어 사용자와 커뮤니티 구성원이 충분한 반응 시간을 확보해야 한다.

분명히 Arbitrum의 안전 위원회는 다중 서명 승인 후 즉시 컨트랙트를 업그레이드할 수 있으므로, 새 버전 코드에 악의적인 로직이 포함되어 있다면 이론적으로 L2 사용자의 자산을 가져갈 수 있다. 따라서 Arbitrum One은 Vitalik이 말하는 완벽한 롤업의 정의를 충족하지 못하며, 다만 리스크 수준이 낮은 편에 속한다.

우리가 "완벽한 롤업"을 살펴볼 때, L2BEAT 상에서는 오직 두 프로젝트만이 조건을 충족한다: Fuel V1과 DeGate. 그중 Fuel V1은 사기 증명 시스템을 도입한 최초의 낙관적 롤업이며, 사기 증명 제출이 퍼미션리스(permissionless)이며 누구나 노드를 운영하고 필요시 사기 증명을 제출할 수 있다. 동시에 Fuel V1의 컨트랙트는 영구적으로 고정되어 있어 업그레이드가 불가능하며, 위원회도 롤업 컨트랙트에 기록된 L2 StateRoot를 개입할 수 없으므로所谓 안전 위원회의 리스크도 존재하지 않는다.
Fuel V1은 최저 수준의 리스크를 달성했지만, 매번 업데이트마다 컨트랙트를 다시 배포해야 하며 사용자가 수동으로 자산을 새 버전으로 이전해야 하므로 실질적으로 새로운 프로젝트를 다시 만드는 것과 같다. 이로 인해 유동성이 분열되고 유연성이 크게 저하된다. UTXO 기반의 프로그래밍 모델로 인해 EVM과 호환되지 않고 창립자가 이후 Celestia 팀으로 전향한 등의 여러 이유로 Fuel의 발전은 점차 정체되었으며, 생태계 구축도 기대에 못 미쳤다.
요컨대, 절대적인 보안을 추구하는 대가는 업데이트와 반복 개발의 불편함이며, 사기 증명과 유효성 증명 기술이 아직 완성되지 않은 현 상황에서 일정한 컨트랙트 업그레이드 가능성을 유지하는 것은 롤업이 반드시 가져야 할 기능일 수 있다.
앞으로 상당한 기간 동안 우리는 다음과 같은 상황을 예상할 수 있다: 대부분의 롤업은 안전 위원회의 다중 서명을 포기하지 않을 것이며, L2 컨트랙트는 장기간에 걸쳐 "즉시 업그레이드 가능"한 상태를 유지할 것이다 (어떤 ZK 롤업 프로젝트는 계속해서 안전 위원회 다중 서명을 유지하다가 결국 새 프로젝트로 전환했다). 사기 증명 시스템 개발의 난이도를 고려하면, 비선두 그룹의 대부분 낙관적 롤업은 단기간 내에 사기 증명을 도입하기 어려울 것이며 (대부분 2023년 말까지도 구현하지 못할 가능성이 높다), Arbitrum One은 롤업 분야에서 장기간 선두를 유지할 것으로 보인다. 비록 최고 수준의 보안은 아니지만 상대적으로 완성된 사기 증명 시스템을 갖추고 있으며, 안전 위원회 다중 서명이 합리적으로 분산되어 있고 (9/12 다중 서명, ARB 운영진 외 12명의 커뮤니티 구성원이 참여), 가장 방대한 DApp 생태계를 보유하고 있다—440개 이상의 앱을 보유하고 있다. 반면 보안성이 매우 낮고 마케팅에 의존하는 Base가 지난 몇 달간의 성장세를 유지할 수 있을지는 시간이 증명해줄 것이다. 만약 Base의 TVL이 Arbitrum One을 넘어선다면 이는 "신뢰 제거(de-trust)" 신념 자체의 붕괴를 초래할 수도 있다.
물론 가장 중요한 점은, 우리는 이 혼란스럽고 불안정한 시대 속에서 항상 L2BEAT와 같은 리스크 평가 기관을 필요로 한다는 것이다. 명확하고 종합적인 리스크 평가 지표는 이더리움 생태계는 물론 Web3 전체의 건강한 발전을 보장하는 핵심 요소다.

TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














