1kx 리서치 파트너 인터뷰: FHE, 대규모 적용에 '매우 가까워', 관련 분야 동향 주목
인터뷰 및 집필: Wendy, Foresight News
인터뷰이: Wei Dai, 1kx 리서치 파트너
「오랫동안 전구형 동형 암호화(Fully Homomorphic Encryption, FHE)는 암호학의 왕관 중 하나로 여겨져 왔다.」라고 비탈릭은 2020년 7월 20일 게시한 블로그 글 서두에서 이렇게 언급했다. 올해 5월 5일, 비탈릭은 다시 X(트위터)를 통해 「전구형 동형 암호화 탐색」이라는 제목의 이 글을 공유했으며, 많은 사람들이 FHE에 관심을 갖고 있다고 밝혔다.
이러한 "관심"은 암호화 벤처 투자계에서도 이미 반영되고 있다. 올해 3월, 전구형 동형 암호화 기업 Zama는 Multicoin과 Protocol Labs가 주도한 7300만 달러 규모의 A라운드 투자를 유치하며 시장의 주목을 받았다.
Foresight News가 최근 정리한 바에 따르면, 암호화 분야 내 FHE 생태계가 이미 형성되고 있다. 민감한 감각을 가진 일부 암호화 펀드들은 이미 오래전부터 FHE 분야에 진출했으며, 여기에는 1kx도 포함된다. 올해 초 1kx는 Zama 기반의 전구형 동형 암호화 프로젝트 Inco의 라운드를 주도 투자했다. 해당 펀드의 연구 파트너인 Wei Dai는 Foresight News에 이 분야의 발전을 면밀히 주시하고 있으며, 전구형 동형 암호화 기술이 이미 대규모 채택에 매우 "가까워졌다"고 밝혔다.
Wei Dai는 미국 캘리포니아대학교 샌디에이고 캠퍼스에서 암호학 박사 학위를 취득했다. 그의 견해로는 전구형 동형 암호화의 전체적인 발전 수준이 제로지식 증명(ZKP)보다 약 3~4년 정도 뒤처져 있지만, 특히 블록체인 상의 개인정보 보호 문제 해결 측면에서 엄청난 잠재력을 지니고 있다. 이 기술이 다자간 계산(MPC) 및 제로지식 증명(ZKP) 등의 연관 기술과 결합될 경우, 더 큰 가능성을 열어줄 것으로 기대된다.
Foresight News: 부분 동형 암호화 등 기존 암호화 기술과 비교했을 때, 전구형 동형 암호화(FHE)의 주요 장점과 혁신점은 무엇입니까?
Wei Dai: 전구형 동형 암호화(FHE)는 1970년대부터 논의되어 왔으며, 이미 30~40년 가까이 되었지만 실현하기는 매우 어려웠습니다.
기본 개념은 간단합니다. 데이터를 암호화한 후 해독하는 것이 표준 암호화입니다. 곧 사람들은 이러한 암호화된 데이터에 대해 덧셈(또는 곱셈, 단 동시에 두 가지 연산은 불가능함)과 같은 간단한 연산을 수행할 수 있다는 것을 깨달았고, 이를 부분 동형 암호화라고 부릅니다. 이후 사람들은 이 데이터에 대해 임의 형태의 계산이 가능한지를 고민하게 되었고, 덧셈과 곱셈 모두 가능하다면 거의 모든 일반적인 컴퓨팅 형태를 구현할 수 있게 됩니다. 이 개념은 2009년 Craig Gentry의 논문을 통해 실현되었으며, 이후 Craig Gentry의 FHE 방식을 기반으로 한 새로운 연구 분야가 활발히 진행되었습니다. 지금까지 많은 진전이 있었습니다.
따라서 전구형 동형 암호화의 주요 장점은 암호화 상태에서 어떤 종류의 계산이라도 수행할 수 있다는 점입니다.
Foresight News: 비탈릭은 몇 년 전 글에서 전구형 동형 암호화(FHE)가 블록체인 확장성과 개인정보 보호의 핵심 기술이 될 수 있다고 언급했습니다. 이 두 분야에서의 응용 전망은 어떻게 보십니까? 구체적으로 어떤 개선을 가져올 수 있을까요?
Wei Dai: 현재 대부분의 블록체인은 기본적으로 투명하며, 모든 거래와 스마트 계약의 변수들이 공개되어 누구나 조회할 수 있습니다. 이것은 변화해야 합니다.
그렇기 때문에 우리는 많은 프로젝트들이 완전히 투명한 블록체인을 부분적으로 암호화된 형태로 전환하려는 노력을 보고 있습니다. 그러나 여전히 스마트 계약이 이를 제어할 수 있어야 하죠. 예를 들어 Zama가 개발한 FHE 가상머신(FHEVM)이 있습니다. Zama는 박사 학위 소지자 40명을 보유한 회사로, 심층적인 FHE 원시 기술과 이를 기반으로 한 제품을 개발하고 있습니다. 개발자는 기본적으로 Solidity 코드만 작성하면 FHE 원시 기능을 조작할 수 있습니다. 이것은 매우 강력합니다. 저는 이것이 오늘날 블록체인의 개인정보 보호 문제를 해결하는 데 도움이 될 것이라고 생각합니다. 예를 들어 슬롯 머신, 카지노 운영, 암호화 결제 등을 할 수 있습니다. Tornado Cash와는 다릅니다. Tornado Cash는 전체 거래 경로를 모호하게 하지만, FHE 기반 암호화 결제는 거래 경로 자체는 유지하면서 금액만 숨깁니다. 따라서 일정 부분 추적이 더 쉬우며, 규제 당국 입장에서도 더 친화적일 수 있습니다.
비탈릭이 지적한 또 다른 개인정보 보호 측면은 Zcash, Aztec, Tornado Cash 같은 프라이버시 프로젝트들이 사용상 큰 문제가 있다는 점입니다. 즉, 모바일 기기나 브라우저에서 사용할 경우 잔액 정보를 확인하는 데 오랜 시간이 걸리며, 누군가로부터 송금을 받아도 체인상 상태와 동기화하는 데 오랜 시간이 필요합니다. 그런데 FHE는 바로 이 문제를 해결합니다. 사실 Aztec이 현재 연구 중인 OMR(oblivious message retrieval, 무의미 메시지 검색)이 바로 이것입니다. 자신의 접근 대상을 노출하지 않은 채 지갑 클라이언트 상태를 동기화하고자 할 때, FHE는 그러한 형태의 해결책을 제공할 수 있습니다.
확장성 측면에서는, 제가 보기엔 FHE가 실제로 확장성 문제를 해결한다고 보긴 어렵습니다. 비탈릭이 글에서 명확히 언급했는지는 모르겠지만, 현재 ZK 기반의 프라이버시 코인이 직면한 문제는 클라이언트 측에서의 확장성 문제, 즉 클라이언트가 체인상 상태와 동기화해야 한다는 점인데, FHE는 이 문제를 해결합니다.
하지만 롤업(Rollup) 유형의 확장성 문제 해결 측면에서 보면, FHE는 실제로 이를 해결하지 못합니다. 오히려 비탈릭이 언급했듯이, FHE가 ZK와 보완적으로 작용할 경우 이런 문제들을 해결하는 데 도움이 될 수 있습니다. '검증 가능한 FHE(Verifiable FHE)'라는 개념이 있는데, 만약 롤업 환경에서 체인과 연결된 FHE를 실행하려면, FHE 계산 결과가 검증 가능해야 합니다. ZK 롤업처럼, 특정 입력에서 실행된 계산이 어떤 출력을 낸다는 것을 보장할 수 있어야 하는데, FHE는 기본적으로 이를 제공하지 않습니다. 이는 여전히 신뢰 가능한 컴퓨팅이며, 특별히 설계된 검증 가능한 FHE 방식을 통해 계산이 정확히 수행되었음을 보장해야 합니다. 예를 들어 RISC Zero와 기타 ZK 프로젝트들은 ZKVM을 활용하여 Zama의 코드를 삽입하고 이를 일반화하려 하고 있습니다. 하지만 실제로는 FHE 연산의 수학적 구조를 분석하여 더 효율적이고 맞춤화된 방식으로 직접 검증 가능한 컴퓨팅을 수행할 수도 있습니다.
Foresight News: 말씀하신 제로지식 증명(ZKP) 역시 암호학 분야에서 각광받는 기술입니다. 그렇다면 전구형 동형 암호화(FHE)와 제로지식 증명(ZKP) 사이에는 어떤 관계와 차이점이 있으며, 서로 보완이 가능한가요? 개인정보 보호 분야에서 이 두 기술을 어떻게 선택하고 균형을 맞춰야 할까요?
Wei Dai: 매우 복잡한 주제이지만, 간략히 설명해보겠습니다.
제로지식 증명(ZKP)은 기본적으로 두 가지 일을 할 수 있게 해줍니다. 하나는 검증 가능한 컴퓨팅, 다른 하나는 데이터 자체를 노출하지 않으면서도 데이터에 관한 진술을 증명할 수 있는 '제로지식(Zero Knowledge)' 속성입니다. 현재 모든 ZK L2는 주로 검증 가능한 컴퓨팅을 수행합니다. 즉, 계산을 수행하고 그것을 검증할 수 있으며, 계산을 다시 수행할 필요가 없습니다. ZKP의 제로지식 속성은 실제 데이터를 구성하지 않으면서도 데이터에 대한 진술을 증명할 수 있게 해주며, 이를 통해 일정 수준의 개인정보 보호를 달성할 수 있습니다. 이것은 믹스넷(mixnets), 개인정보 보고(Zcash), Tornado Cash 등에 사용되었으며, Aleo나 Mina처럼 더 복잡한 컴퓨팅까지 확장할 수 있습니다. 이는 체인 상이 아닌 체인 외부에서 수행할 수 있습니다.
하지만 개인정보 보호 측면에서 ZKP는 공유 상태(shared state) 상의 개인정보 보호를 허용하지 않습니다. 오직 개인 상태(private state)에 대해서만 개인정보를 보호할 수 있습니다. 즉, 정보가 한쪽 또는 여러 쪽에게 사적인 경우에만 유효합니다.
하지만 이는 스마트 계약에는 적용되지 않습니다. 예를 들어 Uniswap의 유동성은 누구와든 허가 없이 상호작용할 수 있는데, 이러한 유형의 개인정보 보호를 저는 공유 상태 상의 기밀성(confidentiality on shared state)이라고 부릅니다. ZKP로는 이것이 불가능하며, 이때 MPC(다자간 계산)과 FHE가 필요합니다.
FHE가 정말로 가능하게 하는 것은 계산과 데이터의 분리입니다. 데이터를 암호화한 후, 그 상태에서 계산을 수행할 수 있으며, 계산 과정에서 데이터를 볼 수 없습니다. 또한 암호화가 수행되는 위치는 그 위에서 어떤 계산이 실행되는지 알 필요가 없습니다. 블록체인 환경에서는 이것이 매우 유리합니다. 암호화된 스마트 계약이나 암호화된 값을 저장하는 스마트 계약을 만들고, 여전히 그 값들에 대해 계산을 수행할 수 있기 때문입니다. 마치 Uniswap에 FHE 계층을 추가하여 일종의 암호화된 계산 트레이스(trace)를 얻는 것과 같습니다.
결론적으로, FHE와 ZK의 차이는 매우 미묘하지만, 스마트 계약을 프라이빗하게 만들고자 한다면 MPC 또는 FHE가 필요합니다. 반면 결제와 같은 단순한 작업의 경우 ZK를 사용할 수 있습니다.
Foresight News: 최근 일부 프로젝트에서 ZK+FHE 결합 이야기를 하고 있는데, 이에 대해 어떻게 생각하십니까?
Wei Dai: ZK와 FHE의 결합 아이디어는 분명 보완적인 기술이라고 생각하지만, 현재 단계에서 이 둘을 실제로 중첩하면 계산량이 배수로 증가합니다. 두 기술의 계산 오버헤드는 곱셈 관계이기 때문입니다. 예를 들어 ZK 사용 시 계산량이 1,000배 증가하고, FHE 사용 시에도 1,000배 증가한다면, 함께 사용하면 1,000,000배가 됩니다. 실제로는 100만 배에 100만 배, 즉 1조 배 증가할 수도 있습니다.
따라서 현재로서는 거의 불가능하다고 생각합니다. 정말로 필요한 특수한 사용 사례가 아니라면 말이죠.
Foresight News: 전구형 동형 암호화 기술은 현재 어느 정도의 발전 단계에 있다고 보시며, 대규모 실용화까지 얼마나 남았다고 생각하십니까?
Wei Dai: 이 기술이 절대적으로 어느 단계에 있는지를 말하기는 어렵습니다. 아마도 FHE를 다른 기술과의 상대적 위치로 설명하는 것이 더 나을 수 있겠습니다.
Zama나 Duality와 같은 FHE 기업에서 일하는 사람들과 대화해보면, FHE 전체가 ZK보다 몇 년 뒤처져 있다고 말합니다. 정확히 몇 년인지에 대해서는 의견이 갈립니다. 2~3년, 5~6년, 심지어 10년까지도 주장하는 이들이 있습니다. 이유는 평가 지표가 다르기 때문입니다. 개발자 수, 기술 논문 수, 기반 신규 애플리케이션 수 등 다양한 기준이 존재하기 때문이죠.
저는 포괄적인 조사를 하진 않았지만, 커뮤니티와의 개인적 경험을 바탕으로 이러한 지표들을 평균내보면, FHE는 ZK보다 대략 3~4년 정도 뒤처져 있다고 판단합니다.
ZK는 계속해서 빨라지고 있고, FHE도 마찬가지입니다. 그렇다면 FHE의 대규모 실용화까지 얼마나 남았을까요? 저는 이미 매우 가까이 왔다고 생각합니다. FHE 기반의 1세대 프로젝트들이 이제 막 테스트넷을 출시했고, 올해 말 본격적으로 메인넷을 출시할 예정입니다. 따라서 곧 그 시기가 올 것입니다. 현재 실제 시스템에서의 계산 오버헤드를 측정하면 여전히 ZKP보다 크지만, 일단 실용화되면 채택이 시작되고 확장 가능성이 입증되면 상당히 빠르게 성장할 수 있습니다. 보통 지수 함수적으로 성장하죠. ZK 롤업을 살펴보면, 짧은 시간 안에 이론적 개념에서 실제 사용으로 넘어가 수십억 달러의 가치를 보호하는 수준까지 도달했습니다.
Foresight News: 실용화 측면에서 현재 전구형 동형 암호화(FHE) 기술은 어떤 병목 현상에 직면해 있다고 보십니까? 예를 들어 계산 효율성, 키 관리 등에서 어떤 문제가 있으며, 알고리즘 최적화, 하드웨어 가속화 등 기술적 측면에서 극복해야 할 과제는 무엇이 있을까요?
Wei Dai: 우선 해결해야 할 어려운 문제들이 많습니다. FHE의 경우 주로 부트스트래핑(bootstrapping)에 문제가 있습니다. 부트스트래핑은 사실 매우 복잡한 작업이며, 계산량도 큽니다. 하지만 알고리즘 개선과 일반적인 엔지니어링 최적화를 통해 이 문제는 점차 줄어들고 있습니다.
사실 부트스트래핑 없이도 작동하는 다른 유형의 방식들도 존재하며, 특히 머신러닝(ML)에는 더 효율적일 수 있습니다. 특정 고전적 컴퓨팅 작업에 대해 최적화를 시도할 수 있습니다. 특히 오랜 시간 동안 실행되지 않고 일회성에 가까운 계산, 예를 들어 AI 추론(inference)에 적합합니다. 아직 특정 고전적 컴퓨팅 작업에 집중하여 최적화하고, 특정 방향에 집중적으로 자원을 투입하는 상업적 노력은 많지 않습니다. Zama가 현재 체인 상 컴퓨팅을 위해 하는 일은 매우 범용적이어서, 모든 단계에서 부트스트래핑을 수행해야 하므로 효율성이 떨어집니다.
키 관리 측면에서도 몇 가지 도전 과제가 있습니다. Zama의 fhEVM, Inco, Phoenix 등은 모두 임계값 기반 키 관리(threshold key management)를 필요로 합니다. 즉, 복수의 검증자들이 공동으로 복호화 능력을 갖는 구조입니다. 이것은 로드맵 상에 있지만, Zama는 아직 이를 완전히 구현하지 못했습니다. 그렇지 않으면 단일 검증자가 복호화 능력을 가지는 단일 실패 지점(single point of failure)이 발생합니다.
Foresight News: 1kx의 리서치 파트너로서, 투자 관점에서 전구형 동형 암호화 분야에서 주목해야 할 기술 방향과 응용 사례는 무엇이며, 시장 전망과 주요 기회 및 도전 과제는 무엇이라고 보십니까?
Wei Dai: 제가 특히 주목하는 것은 전구형 동형 암호화(FHE) 자체뿐만 아니라, 임계값 동형 암호화(threshold FHE 또는 TFHE), 즉 FHE + MPC + 블록체인의 조합입니다. 이 특별한 조합은 일련의 새로운 사용 사례를 열어줄 것입니다. 저는 이 점에 매우 기대하고 있습니다.
사실 Zama가 fhEVM을 만들기 전부터 저는 블록체인 상에서 TFHE의 응용 가능성을 논의해왔습니다. 최근 우리는 Inco에 라운드 주도 투자를 했으며, 이 프로젝트는 Zama 위에서 구축되어 fhEVM의 사용 사례를 출시하려는 목표를 가지고 있습니다. 그들은 슬롯머신, 카지노, 기업 결제, 게임 등 소규모 사용 사례 개발을 위해 일부 파트너들과 협력하고 있습니다. 저는 처음으로 애플리케이션이 시장에 등장하는 것을 보게 될 것이라 기대하고 있습니다.
또한 개발자 친화성 측면에서도 매우 좋습니다. Solidity만으로 쉽게 프로그래밍할 수 있기 때문입니다. 만약 개발자들이 특수한 프로그래밍 언어를 사용하도록 요구된다면, 애플리케이션 등장이 훨씬 더 어려울 것입니다. ZK의 사례를 보면 알 수 있죠. 하지만 FHE가 체인과 잘 결합된 형태로 제공되면, 개발자들은 FHE 자체를 고려할 필요가 없습니다. 매우 간단한 암호화 데이터 타입이며, Solidity 내에서 프로그래밍 방식으로 모든 내용을 복호화할 수 있습니다. 따라서 저는 앞으로 1~2년 내 가장 기대되는 분야라고 생각합니다.
또한, 이러한 체인 상 FHE의 또 다른 장점은 스마트 계약 내에서 수행되는 계산이 일반적으로 매우 짧고 간결하다는 점입니다. 스마트 계약 애플리케이션은 이더리움과 같은 제한된 컴퓨팅 환경을 중심으로 설계되었기 때문이며, Uniswap조차도 실제로 매우 가볍습니다. 따라서 현재 효율성이 낮은 FHE와 매우 잘 맞습니다.
또한, 저는 FHE의 다른 형태들도 더 많은 응용 가능성을 가질 수 있다고 봅니다. FHE가 처음 논의되었을 때 암호학계를 흥분시킨 것은 계산의 아웃소싱이었습니다. 사용자나 조직이 보유한 데이터를 타인에게 아웃소싱하여 계산을 수행하는 것입니다. 예를 들어 ML 사용 사례에서, 모든 개인의 데이터가 실제로 암호화되어 있지만, 여전히 훈련 데이터로 사용할 수 있습니다.
이러한 가능성들은 좀 더 먼 미래에 있지만, 이미 훌륭한 팀들이 이러한 방향을 연구하고 있습니다. 향후 머신러닝 추론, 머신러닝, 심지어 머신러닝 훈련까지 FHE 내에서 완료되는 것을 볼 수 있을지도 모릅니다.
Foresight News: 규제 측면에서 국가 및 지역마다 암호 기술에 대한 입장이 다릅니다. 특히 AI의 발전과 함께 데이터 개인정보 보호가 점점 중요해지고 있습니다. 앞으로 규제 환경은 어떻게 변화할 것으로 보시며, 이는 전구형 동형 암호화 기술의 연구 개발 및 실용화에 어떤 영향을 미칠까요?
Wei Dai: 저는 개인정보 보호 관련 규제에 대해 깊이 알지는 못합니다. 다만 개인정보에는 크게 두 가지 유형이 있다는 것을 알고 있습니다. 하나는 데이터 개인정보 보호, 다른 하나는 금융 자산 개인정보 보호입니다. 이 둘은 매우 다르지만, 사람들이 개인정보를 언급할 때 혼동하는 경우가 많습니다. 현실에서는 이 두 가지 다른 유형의 개인정보 보호를 구분해야 하며, 이에 대한 사회적 합의가 더 필요합니다.
현재 사람들은 규제를 논할 때 데이터 개인정보 보호를 많이 해야 한다고 말하지만, 금융 개인정보는 그레이존에 있습니다. 저는 FHE가 두 영역 모두에서 역할을 할 수 있다고 보며, 특히 데이터 개인정보 보호 분야에 더 직접적으로 적용될 수 있습니다. 현재 대형 기술 기업들은 사용자 데이터로부터 이익을 얻고 있지만, FHE를 통해 사용자는 데이터 소유권을 잠재적으로 유지하면서 대형 기술 기업에 데이터를 판매할 수 있습니다. 이를 통해 데이터 기반 모델 훈련, 광고주가 통제된 방식으로 사용자 데이터에 접근하는 등의 사회적 긍정적 효과는 유지되면서도, 사용자는 데이터에 대한 자율성을 가질 수 있게 됩니다.
Foresight News: 미래 3~5년을 전망할 때, 전구형 동형 암호화 기술의 발전에 대해 어떤 기대를 하십니까? 어떤 잠재적 기술적 돌파구가 판도를 바꿀 수 있을까요?
Wei Dai: 획기적인 변화를 기대하기보다는 점진적인 개선을 기대합니다. 이론, 소프트웨어, 하드웨어, 알고리즘 등 관련 요소들이 서로 중첩되며, 각 수준에서 개선이 이루어질 것입니다. 시간이 지남에 따라 계산량과 개발자 경험의 안정적인 개선을 볼 수 있으며, 이에 따라 기술은 점점 더 실용화될 것입니다.
FHE는 현재 0에서 1로 가는 단계이지만, 동시에 1에서 10으로 가는 궤도 위에 있습니다. 재차 강조하고 싶은 것은 FHE의 발전은 하드웨어, 소프트웨어, 이론, 개발자 경험 전반에 걸쳐 진전이 필요하며, 저는 이러한 각 분야에서 흥미로운 회사들이 활발히 활동하고 있다고 생각합니다.
Foresight News: 1kx는 ZK 분야에 이미 많은 투자를 했습니다. FHE 분야에 대해서는 어떠한가요? 방금 언급하신 Inco 외에 다른 프로젝트들도 살펴보고 계십니까? 향후 FHE 분야에 추가로 투자할 가능성은 있습니까?
Wei Dai: 네, 저희는 네트워크 회사 Inco에 투자했으며, 하드웨어 분야에도 투자했습니다. 아직 자세한 내용은 공개할 수 없지만, 기술 스택 전반을 주시하고 있습니다. 이는 매우 흥미로운 시기이며, 앞으로 3~5년 후 이 분야가 어디까지 도달할지 기대됩니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Foresight News
