DID는 지갑인가요? Web3 신원 미신에 대해 이야기해봅시다
함께 시도해 보자, Web3 신원의 기술 안개를 걷어내자.저자: Wei Duan, Next.ID 오픈소스 커뮤니티 매니저
최근 DID(탈중앙화 신원) 주제가 특히 뜨거워지고 있으며, 자금 조달 뉴스도 연이어 나오고 있습니다. DID 개념을 어떻게 정리할지는 상당한 논란이 있지만, 이러한 초기 발전 단계에서도 많은 이념이 완전히 명확하지는 않습니다. 그러나 이미 나타난 몇 가지 명백한 혼란에 대해서는 나열할 필요가 있으며, 함께 Web3 신원의 기술적 안개를 걷어내 보도록 하겠습니다.
본 글은 여러분의 토론을 초대합니다:
- 사용자는 어떤 DID, 또는 어떤 DID 시스템이 필요한가;
- Web2 사용자가 Web3로 이동할 때 어떤 이동 비용이 발생하는가;
- Web3 DID가 사용자에게 Web2에서 얻을 수 없는 것을 무엇을 제공할 수 있는가.
MetaMask 지갑은 DID인가?
불완전하게 공개된 바에 따르면, 지갑 선두주자 MetaMask의 현재 월간 활성 사용자 수는 최소 3천만 이상입니다. 이는 대부분의 dApp이 자연스럽게 MetaMask를 통해 신원 계층을 구축하고자 하는 이유입니다. 그러나 이 생각은 분명히 많은 도전 과제가 있습니다. 결국 MetaMask는 단순히 지갑을 만들고자 할 뿐입니다.
MetaMask가 이러한 대규모 공공 API를 유지할 동기와 의지가 있는지는 차치하고, 사용자가 항상 피할 수 없는 큰 문제는 다음과 같습니다: EOA(외부 소유 주소) 지갑으로서, 내 개인 키나 니모닉이 분실되면, 나는 내 계좌의 모든 자산을 잃게 됩니다.
MetaMask와 같은 지갑이 이 거대한 문제를 해결하지 못하는 한, Web2 사용자가 갑자기 Web3의 토끼 굴로 뛰어들기는 어려울 것입니다.
그렇다면 Web2 사용자의 현재 경험은 어떤가요?
간단한 비유를 들어보면, Web2의 이름과 신분증 번호(또는 운전면허증, 여권)와 같은 고유 ID는 Web3의 공개 키 주소와 개인 키에 해당합니다.
첫 번째 문제를 발견할 수 있습니다: Web2 사용자가 신분증을 잃어버리더라도, 이는 개인 키에 비유할 수 있으며, 그는 여전히 중앙화된 인증 기관 중 하나인 국가 공안 기관을 통해 신분증을 재신청할 수 있습니다. 그의 자산은 잃지 않습니다.
이와 유사하게, Web3도 다음과 같은 것을 달성해야 합니다: 개인 키를 잃어버린 후, 나는 탈중앙화 인증 네트워크를 통해 어떤 방식으로 이 계좌에 대한 제어를 복구할 수 있을까요? 이 목표가 달성된다면, 이 점에서 Web2 사용자가 Web3로 이동하는 비용은 제로가 됩니다.
두 번째 문제는 다음과 같습니다: 나는 MetaMask 지갑을 가지고 있고, Binance와 같은 다양한 거래소의 지갑도 있으며, 다양한 dApp 서비스가 기본적으로 생성한 지갑도 있습니다. 이렇게 많은 개인 키와 니모닉이 있는데, 우리는 Web3가 탈중앙화된 버전의 1Password 또는 LastPass를 재구성하여 관리해야 할까요? 사용자 비용이 크게 증가하여, 모든 가능성 있는 미래의 끝이 없는 계좌 목록을 추가하고 관리해야 합니다. 정말 힘든 일입니다.
그렇다면 문제는 어디에 있을까요? 함께 Web2 세계로 돌아가 생각해보면 명확해집니다.
MetaMask와 같은 지갑은 본질적으로 은행 계좌와 같습니다. 마치 우리가 중국工商은행, 씨티은행 등의 계좌를 통해 금융 거래를 하는 것처럼 말입니다. 우리는 신분증 번호(또는 운전면허증, 여권)와 같은 고유 ID를 사용하여 새로운 은행 계좌를 개설해야 합니다. 만약 우리가 중국工商은행의 계좌를 가지고 있다면, 중국 건설은행에 가서 계좌 개설을 요청하면, 직원이 우리를 내보낼 것이라는 것은 자명합니다.
왜냐하면 "신원"과 "은행 계좌"는 직접적으로 동일시될 수 없기 때문입니다.
Next.ID 커뮤니티만 이러한 견해를 가지고 있는 것이 아닙니다. 많은 커뮤니티와 DID 제품도 이렇게 생각하고 있습니다. 예를 들어, 이더리움 커뮤니티는 제안 EIP-2938을 통해 추상 계좌(abstracted account)를 공식적으로 제안하여 스마트 계약 지갑을 개발하고 있습니다. 또 다른 인기 있는 DID 신제품 UniPass도 유사한 접근 방식을 취하고 있습니다.
즉, 신원(공개 키와 개인 키 쌍)과 은행 계좌(추상 계좌, 지갑 주소)의 분리를 통해 새로운 메커니즘을 구축하려고 시도함으로써, 우리는 앞서 언급한 문제의 해결책을 얻을 수 있습니다:
개인 키를 잃는 것이 자산을 잃는 것을 의미하지 않으며, 나는 새로운 개인 키를 사용하여 잃어버린 개인 키의 자산을 바인딩할 수 있습니다.
- 방법 1, 사회적 복구(social recovery): 과거에 이미 관계를 맺고, 블록체인 상에 고품질 상호작용 기록을 남긴 좋은 친구들이 보증하는 방식;
- 방법 2, 개인 키 수준에 상응하는 일련의 개인 정보 보호 질문을 사용하여 계정을 복구하는 데 도움을 줄 수 있습니다. 예를 들어, 내가 어렸을 때 키우던 애완동물의 이름은 무엇인가요/내 고등학교 영어 선생님의 이름은 무엇인가요 등;
모든 관련 추상 계좌(Web2 ID, Web3 추상 계좌)의 관리는 특정 디지털 신원(공개 키와 개인 키 쌍)에 직접 바인딩되고 통합되어 관리될 수 있으며, Next.ID에서는 이를 디지털 아바타(Avatar)라고 부릅니다. 유명한 영화 "아바타"를 기억하시나요? 하반신이 마비된 인간 Jake는 신경 연결을 통해 나비족 남성의 건강한 몸을 조종합니다. 이는 우리가 미래에 메타버스에서 디지털 아바타를 제어하는 것과 매우 유사합니다. 아래 그림과 같습니다:
좋습니다, 여기까지 우리는 "DID 신원의 가장 기본적인 정의는 공개 키와 개인 키 쌍이다"라는 층을 대략적으로 설명했습니다. 물론, DID의 개인 키 관리 문제는 여전히 전체 Web3 커뮤니티가 함께 탐구해야 할 과제로 남아 있으며, 미래에는 사회적 복구 및 개인 정보 보호 질문과 같은 솔루션을 통해 사용 장벽을 낮추는 데 함께 노력해야 합니다.
우리는 DID를 첫 원리에서 고려했는가?
얼마 전, Tornado Cash가 가져온 규제 폭풍은 많은 Web3 종사자들에게 두려움을 안겼습니다. 주소를 직접 차단하고, 거래 기록이 있는 모든 주소를 차단하는 "모두를 처벌하는" 방식은 Web3의 검열 저항성에 대한 의구심을 불러일으키고, 신념을 흔들리게 합니다.
동시에, 시장에 있는 많은 DID 프로젝트는 단순히 조잡한 집계 서비스를 제공하고 있으며, 온체인 및 오프체인 계좌가 개인 정보 유출 위험이 있는지 여부를 고려하지 않고 모두 함께 묶고 있습니다. 이는 마치 제로 지식 증명(zero knowledge proof)과 같은 개인 정보 보호 기술이 완전히 성숙하지 않은 오늘날, 우리가 스스로를 내어주어 규제 당국이 한 번에 모두 잡을 수 있도록 하는 것과 같습니다.
상당히 난처한 상황입니다.
DID 프로젝트가 프로젝트 측의 요구를 너무 고려하여, 오히려 사용자의 진정한 요구를 간과하고 있는 것은 아닐까요?
사용자 관점에서 보면, 전체 DID 시스템의 구현 방안은 앞서 언급한 "DID 신원의 가장 기본적인 정의는 공개 키와 개인 키 쌍이다"를 포함할 뿐만 아니라, 최소한 두 가지 상위 레벨을 포함해야 합니다:
- 한편으로, 이 시스템에서 임의의 DID 신원은 모든 dApp의 권한 정보 요청을 안전하게 처리할 수 있는 동시 호출 트래픽을 만족해야 하며, Web2의 OpenID/OAuth와 같은 매끄러운 경험을 제공해야 합니다. 사용자 조작은 "바보"처럼 간단해야 하며, 한두 번 클릭하여 한 번에 로그인할 수 있어야 합니다;
- 다른 한편으로, 해당 DID 신원에 바인딩된 모든 Web2 계좌(예: Twitter, 물론 당신의 Twitter도 적극적으로 비공식화되어야 하며, 실명 및 실물 사진이 없어야 합니다. 예를 들어, 유명한 NFT OG 6529는 회의에 참석하더라도 결코 자신의 모습을 드러내지 않습니다)와 Web3 추상 계좌(예: 스마트 계약 지갑)는 사용자 개인 정보를 보호하는 전제 하에 통합될 수 있어야 합니다. 심지어 "인간 검색"을 당하더라도, 사용자가 실제 세계에서 "누구"인지 알 수 없으며, 결국 온라인 가상 신원과 숫자 문자열로만 추적될 수 있습니다.
사용자가 원하는 Web3 "원클릭 로그인"은 어떤 모습일까요?
Web2 시대의 앱에서 모든 사용자는 원클릭 로그인을 능숙하게 사용합니다. 사용 경험이 편리하며, 성가신 비밀번호를 입력할 필요가 없습니다.
사용자에게 앱 로그인 시의 장점:
- 처음 등록할 때 비밀번호가 필요합니다;
- 이후에는 QQ, WeChat, Alipay로 영원히 로그인할 수 있습니다.
동시에 사용자에게의 단점은:
- 데이터 주권이 자신에게 있지 않습니다. 플랫폼(QQ, WeChat, Alipay)이 제공하는 계좌 시스템을 사용합니다;
- 개인 정보에 기반한 각종 광고를 수동적으로 수용해야 하며, 사용자가 선택할 수 없습니다.
Web3의 계좌는 데이터 주권을 가져오는 데 도움을 줄 수 있지만, 피할 수 없는 문제는: 계좌 권한 부여와 사용이 Web2의 원클릭 로그인처럼 매끄럽게 이루어질 수 있을까요?
Next.ID 커뮤니티는 AuthService와 같은 아이디어를 제안하여 이 공학적 문제를 해결하고자 합니다. 그 설계 과정은 다음과 같습니다:
- 사용자는 Next.ID의 AuthService SDK를 사용하여 dApp의 계좌 권한 부여 작업을 수행하며, 데이터 출처는 하위 사용자가 ProofService에 바인딩된 데이터입니다;
- 권한 부여 작업은 사용자가 직접 배포한 VPS(가상 개인 서버)를 통해 서명 검증을 수행합니다;
- 성공적으로 검증된 후, 사용자는 특정 범위(scope)에 대해 사용자 계좌의 관련 개인 정보를 공개할 수 있습니다.
그 중 중요한 첫 단계는 dApp에 로그인할 때 Next.ID를 사용하는 것입니다:
세 번째 단계는 어떤 계좌의 데이터를 공개할 것인지입니다:
마지막으로 다섯 번째/여섯 번째 단계는 어떤 데이터를 공개할 것인지입니다:
이상으로 본 기사의 모든 내용을 마칩니다. 이후 기사에서는 "개인 정보"와 "안전" 관련 주제에 대해 계속 논의할 것이며, AuthService 뒤에 있는 VPS(가상 개인 서버) 아이디어에 대해서도 추가 설명할 예정입니다.
읽어주셔서 감사합니다. 댓글과 공유를 환영합니다. 오픈소스 커뮤니티 Next.ID는 여러분의 참여를 진심으로 초대하며, 함께 DID 생태계의 실현을 추진해 나가길 바랍니다.
Next.ID에 대하여
Next.ID는 탈중앙화 신원에 서비스를 제공하는 세계 최초의 프로토콜(DIaaS)로, 공개 테스트를 곧 시작할 예정입니다. 이는 모든 Web2 및 Web3의 디지털 신원을 통합하는 탈중앙화 신원 집계 프로토콜로, 오픈소스 개발자와 프로젝트에 포괄적이고 검증 가능한 신원 데이터베이스를 제공하여 dApp의 혁신과 개발을 용이하게 합니다.
세계 최초의 탈중앙화 신원 서비스 프로토콜(Decentralized-Identity-As-A-Service, DIaaS)인 Next.ID는 사용자의 신원을 안전하게 아바타(즉, 암호학적으로 생성된 사용자 디지털 아바타)로 집계하는 신원 인프라를 구축했습니다. Web3 생태계에서 Next.ID는 다양한 탈중앙화 소셜 프로토콜과 dApp의 신원 집계 관문이 될 것입니다.
