인터넷에서 블록체인까지: 신뢰와 검증의 발전사 정리

2023.10.07

인터넷에서 블록체인까지: 신뢰와 검증의 발전사 정리

블록체인 애플리케이션에서 사용하는 신원 형태가 진화할 수 있을 때 어떤 일이 벌어질까?

2023.10.07 - 04:25:30

Web3 심층 보도에 집중하고 흐름을 통찰

블록체인 애플리케이션에서 사용하는 신원 형태가 진화할 수 있을 때 어떤 일이 벌어질까?

작성: JOEL JOHN, SIDDHARTH

번역: TechFlow

1993년 7월에 대해 기억하고 계십니까? 저는 그때 태어나지도 않았습니다. 아마존, 구글, 페이스북, 트위터도 존재하지 않았죠. 오늘날의 블록체인처럼 인터넷은 서서히 형성되는 현상이었습니다. 사용자를 유치하고 유지할 수 있는 애플리케이션은 아직 없었고, 인터넷 서비스 구독 비용이 매우 높아 사용자들이 큰 부담을 지고 있었습니다. 인터넷 사용료는 시간당 5달러였습니다. 이 기술은 초기 단계였기에 쉽게 무시될 수 있었습니다.

위 만화는 당시 한 기술과 무관한 예술가가 제작한 것입니다. 그는 곧 만료될 비싼 인터넷 구독을 보유하고 있었으며, 이것이 그가 인터넷에 대해 가진 전부였습니다. 하지만 이 만화는 신원 확인이나 악의적 행동을 줄이기 위한 장치가 존재하지 않던 당시 기술 상태를 잘 묘사하고 있습니다.

대부분의 신생 네트워크는 이러한 공통적인 경향을 보입니다. 초기 참여자가 누구인지 파악하기 어렵습니다. 조브스의 초기 모험 중 하나는 전화망에서 개인의 신원을 사칭할 수 있게 해주는 장치를 개발하는 것이었습니다.

인터넷의 발전에는 개인 신원을 검증할 수 있어야 했습니다. 정보 고속도로는 상업 활동을 촉진할 때만 가치를 가지기 때문입니다. 의미 있는 비즈니스를 수행하려면 고객의 세부 정보를 알아야 합니다.

아마존에서 쇼핑하려면 주소가 필요합니다. 페이팔(PayPal)이 이베이(eBay)에 인수된 이유 중 하나는 해당 결제 제품의 사기 리스크가 증가했기 때문입니다. 인터넷이 발전하려면 신뢰가 필수적이게 되었고, 신뢰를 구축하려면 누군지 알고 있어야 했습니다.

인터넷 애플리케이션은 사용자의 행동이 초래할 수 있는 결과의 정도에 따라 신원 정보를 수집합니다. 이것은 일종의 스펙트럼입니다. 간단한 Google 검색은 IP 주소만 수집하면 됩니다. 100명에게 이메일을 보내려면 이메일 제공업체가 전화번호를 알아야 하고, PayPal로 결제하려면 국가에서 발급한 신분증을 제출해야 합니다. 개인정보 보호 문제에 어떤 입장을 취하든, 사용자 집단의 신원이 확립되면 애플리케이션이 확장될 수 있다는 점은 분명합니다.

시스템에 대한 신뢰가 생기면 인터넷 같은 대규모 네트워크가 성장하게 됩니다. 다양한 형태의 신원이 등장하면서 신뢰가 강화되었고, 이는 지난 10년간 더 안전하고 유용한 인터넷의 기반이 되었습니다.

이러한 관점에서 보면, 인터넷과의 상호작용마다 수집되는 정보량이 개인 행동이 초래할 수 있는 결과와 비례한다는 것을 이해하기 쉬워집니다.

소셜 네트워크에 접속하려면 전화번호만 제출하면 됩니다. 그러나 검증되고 영향력이 큰 계정의 경우, 트위터나 메타(Meta) 같은 소셜 네트워크는 정부가 발급한 신분증과 같은 추가적인 검증을 요구할 수 있습니다. 마찬가지로 온라인 계정이 불법 거래를 할 수 있기 때문에 은행도 개인의 직업과 자금 출처에 대한 정보를 요구합니다.

이 범위의 극단에는 개인 차원에서는 결혼, 사회 차원에서는 민주주의가 있습니다. 행동 주체가 이성적이라고 가정하면(실제로 종종 그렇지 않지만), 사람들은 결혼 전 배우자에 대해 가능한 모든 정보를 파악하려 합니다. 선거에서는 수천 장의 위조 투표 용지가 선거 결과를 인기 없는 후보에게 기울게 할 수 있으므로 유권자의 신원은 여러 차례 검토됩니다.

오늘의 글은 단순한 질문을 다룹니다. 블록체인 애플리케이션에서 사용하는 신원 형태가 진화할 때 무엇이 발생할까요? 이 업계 대부분은 비교적 익명성과 자유로운 접근을 중시하는 정신 위에 세워졌습니다. 그러나 인터넷과 마찬가지로, 더 많은 사용자 정보를 확보하는 것은 차세대 애플리케이션을 창출하는 데 중요합니다.

체인상 신원이 필요한 이유는 두 가지입니다:

첫째, 시장 인센티브는 개인이 시빌 공격(Sybil attack)을 통해 프로토콜을 악용하도록 계속 유도합니다. 애플리케이션과 관련된 사용자의 접근을 제한하면 업계 내 기업들의 전체 단위 경제성을 높이는 데 도움이 됩니다.
둘째, 애플리케이션이 대중을 향할수록 규제는 서비스 제공자에게 사용자에 관한 추가 정보를 제공하도록 요구할 것입니다.

여기서 사용되는 간단한 원칙은 블록체인이 본질적으로 장부라는 점입니다. 이들은 세계 규모의 Excel 시트이며, 그 위에 구축된 신원 제품은 특정 지갑을 시간에 따라 필터링할 수 있는 vlookup과 같습니다.

네트워크 신원

모든 새로운 네트워크의 도래는 새로운 식별 체계를 필요로 합니다. 여권의 등장은 제1차 세계대전 이후 유럽 여러 국가를 연결하는 철도망이 건설된 것과 부분적으로 관련이 있습니다. 우리가 인식하지 못하더라도 우리는 주변의 기본적인 식별 단위를 통해 상호작용합니다.

휴대폰 네트워크에 연결된 모바일 기기는 모두 IMEI 번호를 가지고 있습니다. 따라서 장난 전화를 걸기로 결정하면 기기 소유자는 판매 영수증을 찾아 기기를 추적할 수 있습니다. 또한 대부분의 지역에서 SIM 카드를 확보하려면 어느 정도의 신분 증명이 필요합니다.

인터넷에서는 정적 IP 주소를 사용하면 이름과 주소 등의 세부 정보가 온라인 활동과 연관되어 있습니다. 이것이 인터넷상의 주요 신원 식별 요소입니다.

싱글 사인온(Single Sign-On) 버튼은 애플리케이션이 매번 입력하지 않고도 개인 신원에 대한 세부 정보를 얻을 수 있는 방법을 제공함으로써 웹상 가장 큰 장애물 중 하나를 해결했습니다. 개발자는 동의를 얻은 후 클릭 한 번으로 나이, 이메일, 위치, 과거 트윗, 심지어 X 플랫폼에서의 미래 활동 등의 세부 정보를 수집할 수 있습니다. 이는 등록 과정의 마찰을 크게 줄였습니다.

몇 년 후, 애플사는 운영체제와 깊이 통합된 싱글 사인온 버튼을 발표했습니다. 사용자는 등록하는 제품에 자신의 세부 정보를 드러내지 않고 익명 이메일 주소를 공유할 수 있게 되었습니다. 이것들이 공통적으로 지닌 점은 무엇입니까? 바로 최소한의 노력으로 사용자에 대해 더 많은 정보를 얻고자 하는 열망입니다.

애플리케이션(또는 소셜 네트워크)이 사용자의 배경을 더 많이 알수록, 맞춤형 광고로 제품을 홍보하기가 더 쉬워집니다. 우리가 현재 감시 자본주의라고 부르는 개념의 기반은 바로 오늘날 네트워크 회사가 사용자 개인정보를 쉽게 수집할 수 있다는 편리함에 있습니다. 애플이나 구글과 달리, 블록체인 기반의 신원 플랫폼은 아직 규모를 이루지 못했는데, 이는 그들이 거대 기업들이 현재 보유한 유통망을 갖추지 못했기 때문입니다.

블록체인에서 익명성은 기능의 일부이지만, 우리는 외곽에서 신원 확인을 해왔습니다. 역사적으로 체인상 암호화폐를 법정화폐로 교환하는(거래소) 과정은 사용자 정보를 수집하는 것을 필요로 했습니다.

블록체인은 본질적인 신원 원시(primitive)이며 독특합니다. 왜냐하면 누구나 사용자 행동의 세부 정보에 접근할 수 있기 때문입니다. 그러나 사용자의 과거 행동을 기반으로 사용자를 식별, 추적 또는 보상하기 위한 도구는 몇 분기 전까지는 등장하지 않았습니다. 더욱 중요한 것은, 체인상 신원을 여권이나 전화번호 같은 현실 세계 문서와 연결하는 제품이 아직 확장되지 않았다는 점입니다.

지난 몇 년 동안 우리 생태계에서 사용자를 식별하기 위해 사용된 원시는 지갑 주소, NFT, 그리고 최근의 소울바운드 토큰(Soulbound Token)입니다. 이들은 인터넷상의 IMEI 번호나 IP 주소와 기능적으로 유사합니다. 동일한 사람은 버튼 한 번으로 지갑을 애플리케이션에 연결할 수 있습니다. 이는 인터넷 초기 단계의 이메일 주소와 비슷합니다. 어찌 보면 2014년에는 약 90%의 이메일이 스팸이었고, 200통의 이메일 중 1통은 피싱 링크를 포함하고 있었습니다.

우리는 지갑 주소의 체인상 행동을 활용해 신원 요소를 만들었습니다. Degenscore와 Nansen의 지갑 태깅 분류는 실생활에서의 초기 사례입니다. 두 제품 모두 지갑의 과거 활동을 조사하여 태그를 붙입니다.

Nansen에서는 토큰 보유자를 스캔하여 해당 토큰을 보유한 '영리한 지갑'의 수를 확인할 수 있습니다. 제품이 보유한 '영리한' 보유자가 많을수록 그 가치가 상승할 가능성이 높다고 가정합니다.

NFT는 희소성 때문에 신원 도구로 사용됩니다. 2021년에 일부 '블루칩' NFT는 수천 개로 발행량이 제한되었습니다. Bored Ape NFT는 총 10,000개로 제한되어 있습니다. 이러한 NFT는 다음 두 가지 중 하나를 검증할 수 있는 능력 때문에 신원의 상징이 되었습니다:

충분히 일찍 민팅하여 '알파(Alpha)' 정보를 얻을 수 있을 정도로 운이 좋았다는 것.
민팅 후 시장에서 NFT를 구매할 만큼의 자본을 갖고 있다는 것.

NFT는 누가 그것을 소유하는지에 따라 가치의 상징이 됩니다. Bored Apes는 Steve Aoki, Stephen Curry, Post Malone, Neymar, French Montana 등의 소유였습니다. NFT의 문제는 본질적으로 정적이며 커뮤니티가 소유한다는 점입니다. Bored Ape가 2021년에 민팅된 이후 개인이 상당한 성취를 이뤘더라도 NFT는 이를 검증할 수 있는 내용을 표시할 수 없습니다.

마찬가지로 커뮤니티의 평판이 나쁘다면 NFT 보유자도 영향을 받습니다. 대학 학위는 NFT와 유사하며, 두 경우 모두 신원 도구를 소유한 다른 당사자들의 행동에 따라 가치가 오르내립니다.

비탈릭 부테린(Vitalik Buterin)은 소울바운드 토큰(SBT)에 관한 논문에서 이 난제를 해결할 대안을 제시했습니다. NFT와 달리 소울바운드 토큰(SBT)은 양도할 수 없습니다. 이 개념의 핵심은 대학과 같은 발급기관이 양도할 수 없는 지갑에 인증을 나타내는 토큰을 발행할 수 있다는 점입니다. 유사한 인증 기관의 다른 토큰 보유자가 SBT의 유효성을 증명할 수 있습니다.

예를 들어 제가 맥도날드에서 일한다고 말하고, 이를 뒷받침하는 SBT가 발급되었다면, 미래의 고용주는 LinkedIn이나 이력서를 확인하는 것보다 훨씬 빠르게 이를 검증할 수 있습니다. 만약 동료들이 자신의 SBT로 체인상에서 이 주장을 증명한다면, 저의 주장은 더욱 강화될 수 있습니다. 이런 모델에서 저의 주장은 발급기관(맥도날드)과 자신의 체인상 신원을 이용해 이 주장을 지지하려는 증명자(동료들)의 네트워크에 의해 검증됩니다.

토큰과 NFT의 유사점은 둘 다 획득 가능한 상태 증명이라는 점입니다. SBT는 양도할 수 없으므로, 이를 소유한 지갑은 일반적으로 얻을 수 있는 인증을 소유하게 됩니다. 위의 예에서 맥도날드 인증은 OpenSea에서 쉽게 얻을 수 없습니다.

하지만 돈이 있다면 Bored Ape NFT는 구입할 수 있습니다. SBT의 흥미로운 점은 이것들을 혼합하여 소셜 그래프를 만들 수 있다는 것입니다. 여기서 제가 말하는 바를 이해하려면 LinkedIn의 핵심 가치 제안을 이해해야 합니다.

LinkedIn은 다른 소셜 네트워크들과 마찬가지로 '지위 서비스(Status-as-a-Service)'를 제공합니다. 사람들은 이상적인 기업 인물이 되기 위해 정보를 경쟁적으로 게시합니다. LinkedIn의 천재성은 기관의 소셜 그래프를 일찍부터 구축했다는 점입니다. 저는 몇 번의 클릭만으로 이 플랫폼에서 해리포터와 덤블도어 교수와 함께 호그와트에서 공부했다고 주장할 수 있습니다.

사람이 소셜 네트워크에서 가지는 지위는 그 사람이 속한 조직의 평판과 그 조직 내에서의 상대적 순위에 달려 있습니다.

제 가정적 예에서, 저는 새로운 조직에 신원을 연결할 때마다 그 '강도'가 높아집니다. 이러한 기관 내 구성원들이 위대한 일을 할수록 제 평판도 함께 성장합니다.

왜 이것이 중요할까요? 오늘날 LinkedIn에서 허위 주장을 하는 것을 막을 수 있는 장치가 없기 때문입니다. 이 소셜 그래프는 검증하거나 증명할 수 없어 제재를 받는 국가의 첩보원들이 연구원들을 겨냥하는 데 이용하고 있습니다.

SBT를 보유한 지갑들의 네트워크는 더 탈중앙화되고 검증 가능한 소셜 그래프가 될 수 있습니다. 위 예에서 호그와트나 맥도날드는 직접 제 자격을 발급할 수 있습니다. SBT는 플랫폼 중개자와의 관계를 요구하지 않습니다. 제3자는 이러한 그래프를 조회하여 맞춤형 애플리케이션을 구축할 수 있으며, 이는 이러한 자격의 가치를 높입니다.

Web3가 약속하는 위대함은 오픈된 소셜 그래프가 발급기관이 인증 소유자와 직접 관계를 맺을 수 있도록 한다는 점입니다. 아크햄(Arkham)의 위 그래프는 모든 Bored Ape NFT 소유자의 직관적인 표현입니다. 하지만 당신이 그들에게 모두 연락해야 한다면, 최선의 선택은 지갑 주소를 내보내고 Blockscan.2 같은 도구를 통해 문자를 보내는 것입니다.

더 쉬운 대안은 Bored Apes나 디스코드(Discord)의 소셜 프로필을 탐색하는 것이겠지만, 이는 우리가 신원 네트워크에서 처음 마주한 문제를 반복하는 것입니다. 확장하려면 이러한 네트워크를 통해 무엇이든 배포하려면 중앙화되고 Bored Apes 관리팀의 허가를 받아야 합니다.

이 모든 것이 체인상 신원 네트워크의 핵심 문제를 가져옵니다. 현재까지는 어느 것도 네트워크 효과를 실현할 만큼 충분히 확장되지 않았습니다. 따라서 토큰, 지갑, SBT를 통해 사용자를 검증하고 오픈되고 조합 가능한 소셜 그래프를 만들 수 있는 이론적 메커니즘을 가지고 있지만, Web3 기반의 소셜 네트워크 중 사용자를 유치하고 성장시킨 것은 아직 없습니다.

현재 체인상에서 가장 큰 '검증된' 소셜 그래프는 WLD입니다. 이 네트워크는 200만 명 이상의 사용자를 보유하고 있다고 주장하지만, 이는 페이스북과 같은 기존 Web2 소셜 네트워크 사용자의 0.1%에 불과합니다. 신원 네트워크의 강도는 검증 가능한 신원을 가진 참가자의 수에 달려 있습니다.

여기서 미묘한 점을 추가해야 합니다. 온라인에서 '신원'에 대해 이야기할 때 그것은 복합체입니다. 이를 분해하면 다음과 같습니다:

식별(ID) — 당신을 고유하게 식별하는 핵심 원시. 여권, 운전면허증, 대학 학위 등이 될 수 있습니다. 일반적으로 나이, 기술, 위치 관련 매개변수를 검증합니다.
평판(Reputation) — X의 알고리즘에서 개인의 기술이나 능력을 정량화한 것입니다. 이는 소셜 네트워크에서 개인이 게시하는 콘텐츠의 질과 청중이 얼마나 자주 반응하는지와 관련이 있습니다. 업무 환경에서는 일정 기간 동안 개인(또는 실체)에게 비용을 지불한 실체의 그래프입니다. 신원은 주어진 시점에 고정되는 반면, 평판은 시간이 지남에 따라 변화합니다.
소셜 그래프(Social Graph) — 개인의 신원과 평판 사이의 상호 연결로 간주할 수 있습니다. 한 사람의 소셜 그래프는 누구와 얼마나 자주 상호작용하는지에 달려 있습니다. 높은 평판(또는 사회적 순위)을 가진 개인이 누군가와 자주 상호작용하면 소셜 그래프에서 더 높은 순위를 갖게 됩니다.

다른 모든 것과 마찬가지로, 인터넷 신원 영역 내에서도 다양한 애플리케이션의 스펙트럼이 존재합니다.

핵심 원시 (primitive)

익명성이 암호화폐 기능의 일부이긴 하지만, 우리는 암호화폐 외곽에서 KYC를 시행합니다. 체인상 암호화폐를 법정화폐로 전환(교환)하는 것은 전통적으로 사용자 정보 수집을 요구했습니다.

거래소는 지금까지 개인 신원 증명서와 관련된 가장 큰 체인상 신원 그래프입니다. 그러나 코인베이스(Coinbase)와 같은 거래소가 신원 관련 제품을 출시할 가능성은 낮습니다. 그러한 행위는 이해 상충을 일으킬 수 있기 때문입니다.

체인상 신원 실험의 초기 사례 중 하나는 바이낸스의 BABT입니다. 구체적으로 바이낸스 계정 바인딩 토큰(BABT)은 바이낸스 스마트 체인(BSC)에 발행된 소울바운드 토큰(SBT)과 동일합니다. 이는 거래소에서 AML/KYC를 완료한 사용자에게 제공됩니다. 지난 1년 동안 85만 개 이상의 지갑이 BABT를 신청하여, 지갑과 실제 신원 간의 관계를 대규모로 구축하려는 초기 시도가 되었습니다.

하지만 굳이 이렇게 번거로울 필요가 있을까요? 이는 애플리케이션이 사용자가 '진짜'임을 알 수 있도록 도와줍니다. 여권이나 기타 지역 문서 형태의 검증된 파일을 제출한 사용자의 접근을 제한함으로써 제품은 차익거래 공격을 줄이고 실제 사용자 수를 늘리는 데 최적화할 수 있습니다.

이 경우 dApp은 사용자의 검증 문서에 접근하지 않습니다. 이 기능은 바이낸스와 같은 거래소가 수행하며, Refinitiv와 같은 중앙화된 서비스 제공업체의 API를 사용할 수 있습니다. dApp의 이점은 이미 인간임을 입증한 검증된 사용자 하위 집합을 확보하는 것입니다.

배경과 보유 자원에 따라 사용자 정보를 수집하고 애플리케이션에 전달하는 방법은 다릅니다. 이러한 모델을 깊이 있게 살펴보기 전에 기본 용어를 이해하는 것이 도움이 됩니다.

자기주권 신원 (SSI)

자신의 신원 증명을 완전히 통제하는 설계 철학으로 간주할 수 있습니다. 전통적인 국가 인증 신원 형태에서는 정부나 기관이 신원 발급과 검증을 담당합니다.

사람이 면허증과 같은 신분증을 제출하여 검증을 요청할 때, 정부 시스템은 그 사람과의 연결을 끊어서는 안 됩니다. SSI의 핵심 주장은 개인이 (i) 관리, (ii) 프라이버시, (iii) 개인 신원 접근을 통제해야 한다는 것입니다.

SSI 기반 신원 제품은 대학에서 받은 증명서, 여권, 운전면허증 등 여러 형태의 신분을 포함할 수 있습니다. 이들 역시 중앙화된 기관이 발급할 수 있습니다. SSI의 핵심 주장은 사용자가 이러한 세부 정보에 어떻게 접근하는지를 제어해야 한다는 점입니다.

검증 가능한 자격증명 (Verifiable Credentials)

개인 신원을 암호학적으로 검증하는 모델입니다. 핵심은 세 부분으로 구성됩니다: 발급기관(Issuer), 검증기관(Verifier), 자격증명 소지자(Holder). 발급기관(예: 대학)은 해당 조직의 서명이 된 암호학적 증명을 자격증명 소지자에게 발급할 수 있습니다. 이러한 증명은所谓된 '주장(Claim)'을 뒷받침하는 데 사용됩니다.

이 경우 '주장'은 "X는 여기서 공부했다", "Y는 우리와 5년간 협력했다" 등 무엇이든 될 수 있습니다. 여러 주장은 결합되어 개인의 그래프가 될 수 있습니다. 검증 가능한 자격증명의 경우 여권이나 증명서와 같은 문서 자체는 전달되지 않으며, 신원을 검증하기 위해 발급기관의 암호학적 서명만 전달됩니다. 여기서 실시간으로 작동하는 모델을 볼 수 있습니다.

탈중앙화된 식별자 (DID)

전화번호나 이메일 주소의 구조적 등가물입니다. 신원 식별 지갑 주소로 간주할 수 있습니다. 연령이나 지리적 위치 검증이 필요한 플랫폼을 사용할 때 DID를 제공하면 애플리케이션이 제품 사용에 필요한 매개변수를 충족하는지 확인할 수 있습니다.

바이낸스에 여권을 수동으로 업로드하는 대신 DID를 제공할 수 있습니다. 바이낸스의 컴플라이언스 팀은 DID 소지자의 위치 증명을 검증하고 사용자로 등록할 수 있습니다.

여러 개의 DID를 가질 수 있으며, 각각 독립적인 신원 증명을 가질 수 있습니다. 지금 별도의 지갑 주소를 소유하는 것과 마찬가지입니다. Dock 같은 도구는 사용자가 신원 증명을 저장하고 모바일 앱에서 직접 접근 권한을 검증할 수 있게 합니다. 이 의미에서 블록체인 기반 애플리케이션 사용자는 트랜잭션에 서명하고 신원 요청의 진위를 검증하는 절차에 이미 익숙합니다. 또 다른 방법은 ERC-6551입니다.

제로노울리지 증명(ZKP)은 세부 정보를 공개하지 않고도 자격을 입증할 수 있게 해줍니다. 제가 영국 비자를 신청할 때마다 이전 분기의 모든 은행 거래 내역을 제출해야 했습니다. 외국 비자 담당자가 제 은행 거래 내역을 처리할 때 프라이버시 문제가 거의 논의되지 않았지만, 이것이 비자를 받는 유일한 방법 중 하나였습니다.

해외 여행 및 귀국에 충분한 자금이 있다는 것을 입증하는 것이 요구사항입니다. ZKP 모델에서는 비자 담당자가 특정 기간 동안 은행 잔액이 특정 임계값을 초과하는지 여부를 조회할 수 있으며, 이때 모든 은행 거래 내역을 볼 필요는 없습니다.

이것이 다소 비현실적으로 들릴 수 있지만, 이를 실행하는 원시는 현재 존재합니다. zkPass의 pre-alpha 버전은 올해 7월 출시되어 사용자가 크롬 확장 프로그램을 통해 제3자에게 익명의 개인정보(및 검증 문서)를 제공할 수 있게 했습니다.