프라이버시 거래 분야의 기술 발전 변천사

저자：IOBC Capital

당신은 자신의 지갑 주소를 공개하고 모든 사람이 당신의 자산을 알게 되는 것을 원하나요? 당신은 모든 사람이 당신의 투자 선호도와 각 지출을 알게 되는 것을 원하나요? 많은 사람들이 원하지 않을 것이라고 생각합니다. 이러한 데이터의 프라이버시 보호를 실현하기 위해서는 프라이버시 프로토콜이 필요합니다.

시장에서 프라이버시를 판매 포인트로 하는 디지털 화폐가 계속 존재해 왔습니다. 여기에는 DASH, XMR, Zcash, Grin, Rose(오아시스 네트워크), FRA(Findora), PHA(Phala 네트워크), SCRT(Secret Network) 등이 포함됩니다. 암호화폐 산업이 발전한 10여 년 동안 프라이버시 분야는 항상 한 자리를 차지해 왔습니다. https://mp.weixin.qq.com/s/c2rYO5SdlZJ5HXk2ufsFig

프라이버시 트랙을 더 세분화하면 프라이버시 컴퓨팅 네트워크, 프라이버시 거래 프로토콜, 프라이버시 애플리케이션, 프라이버시 코인 등 네 가지 범주로 나눌 수 있습니다. 그 중 프라이버시 코인이 가장 먼저 발전하였고, 프라이버시 애플리케이션 중 Tornado가 현재 널리 채택되고 있으며, 프라이버시 거래 프로토콜과 프라이버시 컴퓨팅 네트워크가 현재 가장 주목받고 있습니다.

이 글은 분량이 제한되어 있으므로 기술 발전과 진화의 관점에서 프라이버시 거래 관련 기술 구현 방안의 발전 상황에 대해 간단히 이야기하겠습니다.
암호화폐가 발전해 온 지금까지, 주로 다음 네 가지 프라이버시 거래 구현 기술 방안이 있습니다:

1. CoinJoin

CoinJoin: CoinJoin은 혼합 코인 메커니즘으로, 서로 다른 발신자로부터 토큰을 수집하고 이를 하나의 거래로 결합합니다. 제3자가 토큰을 포장하여 수신자에게 전송합니다. 사용자 측에서는 각 수신자가 사용되지 않은 주소에서 자신의 토큰을 받게 됩니다. 이를 통해 특정 거래가 추적될 가능성을 줄입니다.

DASH 코인은 CoinJoin 기술을 사용하여 프라이버시 거래를 구현한 전형적인 사례입니다. DASH 코인은 2014년에 탄생하였으며, 프라이버시를 유일한 목적으로 하지 않고, 프라이버시 거래를 사용자에게 제공하는 선택지로 삼고 있습니다. 사용자는 PrivateSend 기능을 사용하여 프라이버시 거래를 할 수도 있고, 일반 거래를 선택할 수도 있습니다.

메커니즘 측면에서 DASH 네트워크는 더 높은 보상 수익을 통해 채굴자가 마스터 노드 역할을 하도록 장려합니다. 각 마스터 노드 채굴자는 1000 DASH 코인을 완충 자금으로 보유합니다. 거래를 시작하는 모든 사용자는 이러한 완충 자금을 사용하여 "혼합 코인" 효과를 얻을 수 있습니다. 혼합 코인의 존재로 인해 거래 정보가 혼란스러워져 추적하기 어려워지며, 이를 통해 프라이버시 보호 효과를 얻습니다.

2. 은닉 주소 + 링 서명

은닉 주소: 은닉 주소를 생성하는 것은 암호화폐를 받을 때마다 새로운 주소를 생성하는 것을 의미합니다. 이는 외부 당사자가 지불 주소와 영구 지갑 주소를 연결할 수 없도록 보장합니다.

링 서명: 블록체인 거래는 서명자가 발신자임을 검증하기 위해 디지털 서명이 필요합니다. 각 사용자의 서명이 고유하기 때문에 사용자가 서명할 때 서명자와의 거래를 추적하는 것이 어렵지 않습니다. 링 서명 전략은 서명을 다른 링 구성원의 서명과 결합하는 것입니다: 링 구성원 서명의 수가 많을수록 서명자와의 거래를 직접 연결하기가 더 어려워집니다.

모네로 코인 XMR은 은닉 주소 + 링 서명 조합 방식을 사용하여 프라이버시 보호를 구현합니다. 모네로 코인은 선택적 프라이버시가 아니라 완전한 프라이버시를 제공합니다. 모네로 코인은 각 지갑 소유자에게 새로운 개인 뷰 키, 수신자 주소 및 개인 소비 키를 제공합니다. 또한 XMR 채굴은 일반 컴퓨터 CPU로도 가능하여 전문 채굴기가 필요 없으므로 어느 정도 XMR이 더 탈중앙화됩니다.

모네로 코인은 프라이버시 보호의 유효성을 더욱 높이기 위해 발전 과정에서 여러 차례 기술 업그레이드를 진행했습니다. 거래 금액을 숨기기 위해 RING-CT(링 기밀 거래 도구)가 등장하였고, RING-CT를 사용한 후 모네로 블록체인의 프라이버시 성능이 향상되었지만 확장성 측면에서 희생이 있었기 때문에 이후 Bulletproofs라는 제로 지식 증명 프로토콜이 도입되어 XMR의 거래 규모를 향상시키고 80%의 검증 시간을 줄였습니다.

3. Mimblewimble

Mimblewimble이라는 용어는 《해리포터》의 주문 "혼란 주문"에서 유래하였으며, 주로 Grin과 Beam 두 프로젝트가 이 프라이버시 프로토콜을 사용합니다. Mimblewimble에서 사용되는 기술에는 기밀 거래, CoinJoin 및 컷스루가 포함됩니다.

Mimblewimble 프로토콜은 익명성과 확장성 사이의 트레이드오프를 찾는 방안으로, 출력 모델 기반의 공공 원장에 암호화폐 프라이버시를 제공하기 위한 설계 방안이며, 합의 계층과는 관련이 없으므로 거의 모든 합의 규칙에서 사용할 수 있습니다.

Mimblewimble이 처음 제안된 목적은 비트코인에 프라이버시를 제공하기 위함이었습니다. 이 기술을 사용하면 계좌 소유권, 거래 연관 및 거래 금액을 숨길 수 있으며, "세탁"을 할 수 있습니다. 비트코인 중 일부 코인은 "불법 자금"으로 표시되며, 많은 기관이 이러한 코인을 수락하지 않기 때문에 MimbleWimble 기술을 통해 세탁 효과를 실현할 수 있습니다.

4. 제로 지식 증명

제로 지식 증명(Zero-Knowledge Proof)은 증명자가 검증자에게 진술의 유효성 이상의 정보를 제공하지 않고도 특정 주장이 올바르거나 진실임을 믿게 만드는 것을 의미합니다.

제로 지식 증명은 1989년 Goldwasser, Micali 및 Rackoff에 의해 이론화되었습니다. 현재 제로 지식 증명은 블록체인 산업에서 주로 두 가지 측면에서 사용됩니다: 프라이버시 보호 및 확장성. 이 글에서는 주로 프라이버시 보호 측면에서 제로 지식 증명의 응용을 소개합니다.

제로 지식 증명은 프라이버시 보호를 위해 처음 Zcash에서 실험되었으며, 이후 Aztec, Manta Network, StarkWare 등 여러 프로젝트가 제로 지식 증명 메커니즘을 채택하고 많은 새로운 기술로 발전하였습니다.

"알리바바와 40인의 도둑"의 예를 통해 제로 지식 증명 메커니즘을 소개합니다:

알리바바는 증명자이고, 도둑은 검증자입니다. 도둑은 알리바바를 붙잡고 보물 동굴을 여는 주문을 말하라고 요구합니다. 그렇지 않으면 그를 죽일 것입니다. 만약 알리바바가 직접 주문을 말하면, 그는 유용성을 잃어 죽임을 당할 수 있습니다. 알리바바는 도둑과의 거리를 두고 주문을 말할 수 있도록 요구합니다. 만약 알리바바가 주문을 외워 동굴의 돌문을 열지 못하거나 도망가면, 도둑은 그를 화살로 쏠 수 있습니다.

이런 방식으로 알리바바는 도둑이 듣지 못하는 거리에서 주문을 알고 있음을 증명할 수 있습니다. 이 과정에서 알리바바(증명자)는 주문이 무엇인지 직접적으로 드러내지 않지만, 도둑(검증자)은 알리바바가 주문을 알고 있다는 주장이 진실임을 믿게 됩니다.

zk-SNARK

zk-SNARK의 전체 이름은 "Zero-Knowledge Succinct Non-Interactive Argument of Knowledge"이며, 한국어로는 "제로 지식 간결 비대화형 지식 증명"이라고 합니다. zk-SNARK는 이스라엘 공과대학교의 Ben-Sasson 등이 2014년 Zerocash 논문에서 제안한 것으로, 현재 가장 널리 사용되는 제로 지식 증명 기반 프라이버시 기술입니다. zk-SNARK 알고리즘을 직접 배포하는 유명 프로젝트로는 Zcash, Loopring 등이 있습니다. 이 기술은 사람들이 특정 정보를 소유하고 있음을 증명할 수 있게 하며, 정보의 내용을 공개할 필요가 없습니다.

zk-SNARK는 제로 지식 증명 메커니즘을 컴퓨터 프로그래밍 언어로 변환하는 기술입니다. 기본 논리는 다음과 같습니다:

zk-SNARK는 어떤 프라이버시를 구현하나요? zk-SNARK는 거래 쌍방의 주소와 거래 금액을 숨길 뿐만 아니라, 노드조차 거래의 내용을 알 수 없도록 완전한 프라이버시를 구현합니다. 그러나 zk-SNARK의 단점은 신뢰할 수 있는 초기 설정(trusted setup)이 필요하다는 점입니다. 이 설정은 어떤 방식으로 설정하더라도 잠재적인 보안 위험이 존재합니다.

zk-SNARK를 기반으로 프라이버시를 높이면서 거래 용량과 거래 비용을 최적화하기 위해, 이후 Bulletproofs, zk-STARK, Sonic, PLONK, SuperSonic 등의 새로운 제로 지식 증명이 파생되었습니다.

Bulletproofs

zk-SNARK와 비교할 때, Bulletproofs는 신뢰할 수 있는 초기 설정이 필요하지 않지만, Bulletproofs를 검증하는 것은 zk-SNARK 증명을 검증하는 것보다 더 많은 시간이 소요됩니다. Bulletproofs는 XMR 프로젝트에 적용되어 XMR의 거래 규모를 늘리고 80%의 검증 시간을 줄이는 데 기여했습니다.

zk-STARK

zk-STARK의 영어 전체 이름은 "Zero-Knowledge Scalable Transparent Argument of Knowledge"이며, "제로 지식 확장 가능한 투명 지식 증명"이라고 합니다. zk-STARK는 StarkWare에서 개발하였으며, 새로운 암호학적 증명과 현대적인 해시를 사용하여 블록체인에서 계산의 완전성과 프라이버시를 강제합니다. StarkEx는 zk-STARK 기술을 채택하였습니다. zk-STARK는 블록체인이 계산을 단일 체인 외부 STARK 증명자로 이전하고, 체인 내 STARK 검증자가 이러한 계산의 완전성을 검증할 수 있도록 허용합니다.

zk-SNARK와 비교할 때, zk-STARK는 더 빠르고 비용이 낮은 기술 구현으로 여겨지며, 계산량이 증가하지만 증명자와 검증자 간의 통신량은 변하지 않기 때문에 zk-STARK의 전체 데이터량은 zk-SNARK 증명에서의 데이터량보다 훨씬 적습니다. 또한 zk-STARK는 초기 신뢰 설정이 필요하지 않으며, 충돌 저항 해시 함수를 통해 더 간단한 암호 기술에 의존합니다.

전반적으로 zk-SNARK는 개선 및 채택 측면에서 중요한 발전을 이루었고, zk-STARK는 zk-SNARK 증명의 많은 결함(더 빠르고, 비용이 낮으며, 초기 신뢰 설정이 필요하지 않음)을 보완하여 프로토콜의 개선판으로 여겨지지만, zk-STARK는 체인 외부에서 계산하고 체인 내에서 검증하는 방식을 취하기 때문에 보안성 측면에서는 zk-SNARK보다 떨어지는 것으로 보입니다.

Sonic

런던 대학교의 Sarah Meiklejohn, 에든버러 대학교의 Markulf Kohlweiss 및 Zcash의 Sean Bowe는 Sonic이라는 제로 지식 증명 프로토콜을 제안하였습니다. Sonic은 범용 SNARK로, 하나의 설정만으로도 모든 것을 검증할 수 있습니다.

Sonic의 출현은 제로 지식 증명의 진화를 한 단계 끌어올렸습니다. 그러나 Sonic의 속도는 비범용 SNARK와 비교하여 약 2배 느려졌기 때문에 현재 유명한 프라이버시 프로젝트 중 Sonic 기술을 채택한 것은 없습니다.

PLONK

PLONK는 Aztec 프로토콜의 CTO Zachary Williamson과 수석 과학자 Ariel Gabizon(Protocol Labs 및 전 Zcash)이 협력하여 개발한 효율적인 범용 zk-SNARK입니다. Ariel Gabizon과 Zac Williamson은 런던 Binary District 세미나에서 우연히 만나 PLONK을 개발하였습니다.

이것은 새로운 효율적인 범용 zk-SNARK로, PLONK은 하나의 신뢰할 수 있는 설정만 필요하며, 모든 프로그램이 이 설정을 재사용할 수 있습니다. 이 기술은 Vitalik의 전파를 받았습니다. PLONK은 얼마나 빠를까요? 완전한 표준 하드웨어에서 PLONK은 100만 개의 게이트를 초과하는 회로를 23초 이내에 통과할 수 있습니다. 여기에는 서버 팜이나 HPC 클러스터가 필요하지 않으며, 이 데이터는 Microsoft Surface 태블릿에서 나옵니다.

Aztec를 예로 들어 PLONK 기반의 프라이버시 프로토콜 Aztec의 작동 원리를 간단히 설명하겠습니다:

먼저, Aztec는 신뢰할 수 있는 초기 설정인 Ignition CRS가 필요합니다. 처음에는 Aztec가 전 세계에서 무작위로 200명의 참여자를 모집하여 Ignition CRS를 받았습니다. 이 200명의 참여자는 무작위성을 생성하며, 이는 Aztec의 증명 안전성의 기초가 됩니다. (이는 200명이 카드를 섞는 것과 같으며, 200명이 모두 공모하지 않는 한, 그 중 한 명이라도 정직한 참여자라면 카드의 무작위성을 보장할 수 있습니다. 즉, 시스템의 안전성을 보장합니다.)

그런 다음 Aztec의 일반적인 프라이버시 거래는 하나의 UTXO로 이해할 수 있습니다(아래 그림 참조). 비트코인의 작동 방식과 유사하지만, Aztec의 차이점은 거래가 암호화되어야 한다는 것입니다. 따라서 이더리움은 이 UTXO가 올바른지 확인합니다. 즉, 60 + 40 = 75 + 25를 확인합니다.

구체적으로 어떻게 확인할까요? 먼저 input note = output note를 확인합니다. 링 공격(예: 10 = 11 + -1)을 방지하기 위해 Range Proof(범위 증명)를 설정하였으므로, Aztec는 집합 구성원 증명을 배포하도록 변경하였습니다. 거래가 Aztec 암호 엔진(ACE)의 승인을 받으려면 사용자가 Codex의 출력 주석에서 형성되었음을 증명해야 합니다. 이러한 일련의 과정을 거쳐야 UTXO의 올바름을 성공적으로 검증할 수 있습니다.

Aztec가 구현하고자 하는 프라이버시는 세 가지 측면을 포함합니다: 첫째, 데이터 프라이버시로, Aztec는 거래 금액을 암호화하여 숨길 수 있습니다; 둘째, 사용자 프라이버시로, 네트워크를 보는 사람은 발신자와 수신자 ID를 확인할 수 없습니다; 셋째, 코드 프라이버시로, Aztec SDK를 사용한 dApp의 스마트 계약 코드도 프라이버시화할 수 있습니다. 첫 번째 항목은 이미 구현되었고, 나머지 두 항목은 아직 구현되지 않았습니다.

SuperSonic

SuperSonic 기술은 Sonic과 DARK 증명을 결합한 것으로, 신뢰할 수 있는 설정이 필요 없는 짧은 증명입니다. 100만 개의 논리 게이트를 전제로 증명 크기를 10-20 KB로 압축할 수 있으며, 추가 최적화의 여지도 있습니다. 이 기술은 금융 공공 체인 Findora에서 처음으로 적용되었습니다.

제로 지식 증명 시리즈 기술 방안은 증명 크기, 검증 속도, 신뢰할 수 있는 설정 필요 여부 및 응용 사례 측면에서 다음 표와 같이 비교됩니다:

전반적으로 이러한 효율적인 범용 SNARK의 출현은 최대 하나의 MPC 설정을 통해 Web3의 프라이버시와 확장을 실현할 수 있게 하여, 모든 사용자 장치(휴대폰, 태블릿 등)에서 프라이버시 거래를 생성하고 공공 네트워크에서 이러한 프라이버시 거래를 효과적으로 실행할 수 있게 하였습니다. 이를 통해 프라이버시 분야의 발전 속도를 크게 촉진하였습니다.

프라이버시 거래 분야의 발전 현황에 따라, 가까운 미래에 다음 두 가지 경향이 나타날 가능성이 있습니다:

1. 현재 단계에서 프라이버시 거래 사용률이 여전히 낮으며, 기술 발전에 따라 증가할 것으로 기대됩니다.

프라이버시 거래 사용률이 낮은 주된 이유는 세 가지입니다: 첫째, 기술 장벽이 너무 높아 초기 프라이버시 거래는 대부분의 일반 사용자에게 사용 경험이 불친절했습니다. Zcash, XMR과 같은 프라이버시 코인이 수년간 존재했지만, 대다수의 일반인은 실제로 사용해 본 적이 없습니다; 둘째, 프라이버시 거래의 수요가 아직 보편화되지 않았습니다. 예전에는 프라이버시 거래에 대해 이야기할 때, 사람들은 무언가 숨겨야 할 거래만이 프라이버시 거래가 필요하다고 무의식적으로 생각했습니다. 사람들은 체인에서의 거래, 송금/지불 등의 행동 및 금액을 숨기는 것에 대한 인식이 아직 약합니다. 그러나 DeFi와 같은 체인 거래의 폭발로 인해 사람들은 체인 거래의 프라이버시 보호에 대한 인식이 깨어나고 있습니다; 셋째, 초기 프라이버시 프로토콜은 사용자가 실제로 사용하고자 하는 통화(예: ETH, USDC, DAI와 같은 주류 체인 자산)를 제공하지 않았습니다. 일반 사용자가 프라이버시를 유지하기 위해 프라이버시 코인을 선택할 확률은 높지 않습니다.

2. 주류 블록체인이 프라이버시 기능을 배포하는 것이 프라이버시 분야 발전의 최종 경향일 수 있습니다.

프라이버시 코인은 독립적인 존재로서 더 이상 인기를 끌지 않을 수 있으며, 특히 지난 몇 년간 각국의 규제에 의해 제재를 받았습니다. 예를 들어, FATF 규정의 영향을 받아 2019년 Coinbase UK는 Zcash를 상장 폐지하였고, OKEx 한국은 Monero, Dash, Zcash, ZCache, Horizon 및 SuperBitcoin 등 여섯 가지 암호화폐를 상장 폐지하였습니다.

그러나 프라이버시 거래에 대한 수요는 실제로 존재하며, 계속해서 이 수요가 있을 것입니다. 수요가 있으면 시장이 생깁니다. 최근 업계에서 가장 주목받는 프라이버시 프로젝트 유형에 따르면, 비트코인, 이더리움, Polkadot 등을 대표하는 주류 블록체인에서 프라이버시 보호 기능을 포함하는 방식이 트렌드가 될 가능성이 있습니다.

비트코인 거래에서 CoinJoin 기술을 사용하는 것은 현재 거래 정보를 숨기기 위해 가장 널리 사용되는 혼합기(Mixers) 서비스입니다. Mixers는 제3자를 통해 비트코인 발신자 주소와 수신자 주소의 연결을 혼란시켜 거래 정보를 숨기는 서비스입니다.

이더리움에서 가장 주목받는 프라이버시 솔루션은 제로 지식 증명 시리즈(zk-SNARK, zk-STARK 등)입니다. Vitalik은 "제로 지식 증명은 가장 강력한 프라이버시 솔루션이며, 기술 구현 난이도가 가장 높지만, 이더리움 네트워크의 프라이버시와 보안을 보호하는 데 가장 효과적이다."라고 언급한 바 있습니다. 제로 지식 증명 기반 프라이버시 솔루션 중에서 Aztec의 PLONK 기술이 특히 높이 평가받고 있습니다.

Polkadot 생태계에도 주목받는 프라이버시 거래 프로젝트인 Manta Network가 있습니다. 이는 P0xeiden Labs에서 구축한 zk-SNARK 유형(Plonk with Lookup)의 프라이버시 프로토콜로, Manta Network는 Polkadot에 배포되며, 그 테스트넷 Calamari는 Kusama에 배포됩니다. 해당 프로젝트의 공식 웹사이트에 따르면, 향후 Avalanche, Near 등 공공 블록체인에 해당 프라이버시 프로토콜을 배포할 계획이 있습니다. Manta Network는 다중 자산 탈중앙화 익명 결제 프로토콜 MantaPay와 zk-SNARK를 지원하는 AMM 메커니즘의 탈중앙화 거래 프로토콜 MantaSwap을 출시할 계획입니다.

결론적으로, 프라이버시 거래는 실제로 존재하는 시장 수요이며, 이 분야의 발전은 지속적으로 주목할 가치가 있습니다. 체인 거래의 수와 자금량이 증가함에 따라 이 부분의 시장 수요도 증가할 것입니다.