1kx 연구 파트너: FHE는 대규모 응용에 "매우 가까워"졌으며, 분야 발전을 면밀히 주시하고 있습니다

인터뷰 및 기고: Wendy, Foresight News

인터뷰 대상: Wei Dai, 1kx 연구 파트너

「오랫동안 전동형 암호화(Full Homomorphic Encryption, FHE)는 암호학의 왕관 중 하나로 여겨져 왔습니다」라고 Vitalik은 2020년 7월 20일에 발표한 블로그 글의 시작 부분에서 썼습니다. 올해 5월 5일, Vitalik은 X(트위터)에서 《전동형 암호화 탐색하기》라는 제목의 글을 다시 공유하며 많은 사람들이 전동형 암호화에 관심을 가지고 있다고 밝혔습니다.

이러한 「관심」은 암호화 벤처 캐피탈 업계에서 이미 나타났습니다. 올해 3월, 전동형 암호화 회사 Zama는 Multicoin과 Protocol Labs의 주도로 7300만 달러의 A 라운드 자금을 확보했다고 발표하며 시장의 주목을 받았습니다.

Foresight News는 최근 정리한 바에 따르면, 암호화 분야 내에서 FHE 생태계가 이미 형성되었습니다. 일부 예민한 암호화 펀드들도 이미 FHE에 대한 투자를 시작했으며, 그 중에는 1kx도 포함되어 있습니다. 올해 초, 1kx는 Zama 기반의 전동형 암호화 프로젝트 Inco에 투자했습니다. 이 펀드의 연구 파트너인 Wei Dai는 Foresight News에 이 분야의 발전을 면밀히 주시하고 있다고 밝혔습니다. 왜냐하면 전동형 암호화 기술이 이미 「매우 가까운」 대규모 채택에 도달했기 때문입니다.

Wei Dai는 미국 캘리포니아 대학교 샌디에이고 캠퍼스에서 암호학 박사 학위를 보유하고 있습니다. 그의 생각에 따르면, 전동형 암호화의 전체 발전은 제로 지식 증명보다 약 3~4년 뒤쳐져 있지만, 그 잠재력은 엄청나며, 특히 블록체인에서의 프라이버시 문제를 해결하는 데 큰 도움이 될 수 있습니다. 이 기술이 다자간 계산(MPC) 및 제로 지식 증명(ZKP)과 같은 관련 기술과 결합되면 더 큰 상상력을 열 수 있을 것입니다.

Foresight News: 반동형 암호화와 같은 전통적인 암호화 기술과 비교할 때, 전동형 암호화의 주요 장점과 혁신점은 무엇인가요?

Wei Dai: 전동형 암호화(FHE)는 1970년대에 처음 논의되었으며, 지금까지 30~40년이 지났지만, 구현하기가 매우 어렵습니다.

이 아이디어의 (기원)은 간단합니다. 데이터를 암호화한 다음 다시 복호화하는 것이 표준 암호화입니다. 곧 사람들은 실제로 이들(암호화된 데이터)에 대해 간단한 작업, 예를 들어 덧셈(곱셈도 가능하지만 동시에는 아님)을 수행할 수 있다는 것을 깨달았습니다. 이것이 부분 동형 암호화라고 불리는 것입니다. 그런 다음 사람들은 임의의 형태의 계산을 수행할 수 있는지에 대해 상상하기 시작했습니다. 덧셈과 곱셈을 수행할 수 있다면 기본적으로 완전한 범용 계산 유형을 얻을 수 있습니다. 이 아이디어는 2009년 Craig Gentry의 논문을 통해 실현되었습니다. 그때부터 Craig Gentry 기반의 전동형 암호화 방식이라는 새로운 분야가 광범위하게 연구되었습니다. 지금까지 우리는 많은 발전을 보았습니다.

따라서 전동형 암호화의 주요 장점은 암호화된 상태에서 모든 유형의 계산을 수행할 수 있다는 것입니다.

Foresight News: Vitalik은 몇 년 전의 한 글에서 전동형 암호화가 블록체인 확장성과 프라이버시 보호의 핵심 기술이 될 것으로 기대한다고 언급했습니다. 전동형 암호화가 이 두 분야에서의 응용 전망은 어떠한가요? 구체적으로 어떤 개선을 가져올 수 있을까요?

Wei Dai: 현재 블록체인은 기본적으로 투명합니다. 모든 거래와 스마트 계약의 모든 변수는 공개되어 있으며, 누구나 이를 확인할 수 있습니다. ------ 이는 변화해야 합니다.

그래서 우리는 많은 프로젝트가 기본적으로 완전히 투명한 블록체인을 부분적으로 암호화된 형태로 전환하고 있지만 여전히 스마트 계약에 의해 제어될 수 있는 것을 보고 있습니다. 예를 들어, Zama가 구축한 FHE 가상 머신입니다. Zama는 40명의 박사를 보유한 회사로, 깊이 있는 기술 FHE 원형 및 이를 기반으로 한 제품을 구축하고 있습니다. 기본적으로 프로그래머는 간단히 Solidity 코드를 작성하여 FHE 원형을 조작할 수 있습니다. 이는 매우 강력합니다. 저는 이것이 오늘날 블록체인에서 존재하는 프라이버시 문제를 해결하는 데 도움이 될 것이라고 생각합니다. 예를 들어, 슬롯 머신을 만들거나 카지노를 열거나 암호화된 결제를 수행할 수 있습니다. 이는 Tornado Cash와는 완전히 같지는 않습니다. Tornado Cash는 전체 거래 그래프를 모호하게 하지만, FHE와 암호화된 결제를 사용하면 실제로 거래 그래프를 유지하면서 금액만 숨길 수 있습니다. 따라서 어떤 의미에서는 추적이 조금 더 쉬워지고, 규제에 더 친화적일 수 있습니다.

Vitalik이 언급한 프라이버시와 관련된 또 다른 점은 Zcash, Aztec, Tornado Cash와 같은 프라이버시 프로젝트가 사용하기에 큰 문제를 가지고 있다는 것입니다. 즉, 모바일이나 브라우저에서 이를 사용할 경우 잔액 정보를 얻는 데 오랜 시간이 걸립니다. 누군가가 당신에게 결제하면, 체인 상태와 동기화하는 데도 오랜 시간이 걸립니다. 사실, FHE가 이 문제를 해결했습니다. 이는 Aztec가 연구하고 있는 것입니다. 이를 불확실한 메시지 검색(oblivious message retrieval, OMR)이라고 합니다. 만약 당신이 자신이 접근하고 있는 것을 누설하지 않고 지갑 클라이언트의 상태를 동기화하고 싶다면, FHE가 당신에게 어떤 형태의 해결책을 제공할 수 있습니다.

확장성 측면에서, 저는 사실 FHE가 이 문제를 실제로 해결한다고 생각하지 않습니다. Vitalik이 그의 글에서 이 점을 명확히 언급하지도 않았습니다. 현재 ZK를 사용하는 프라이버시 코인에 대해 클라이언트는 확장성 문제를 가지고 있으며, 클라이언트는 체인 상태와 동기화해야 합니다. FHE는 이러한 프라이버시 코인의 클라이언트 확장성 문제를 해결합니다.

그러나 확장성 문제를 해결하는 것과 관련하여, Rollup 유형의 확장성과 비교할 때 FHE는 실제로 이 문제를 해결하지 않았습니다. 사실, 또는 아마도 그가 언급한 것처럼, FHE가 ZK와 상호 보완될 때 이러한 문제를 해결하는 데 도움이 될 수 있습니다. 검증 가능한 FHE라는 것이 있으며, 사실, 체인과 연결된 FHE를 수행하려면 Rollup 설정에서 FHE 계산 값을 검증 가능하게 만들어야 합니다. ZK Rollup과 유사하게, 특정 입력에서 실행되는 계산이 있으며, 이는 당신에게 어떤 출력을 제공합니다. FHE는 기본적으로 이를 제공하지 않습니다. 여전히 신뢰할 수 있는 계산이지만, 계산이 올바르게 완료되었음을 보장하기 위해 특별한 검증된 FHE 방안을 수행할 수 있습니다. 예를 들어, RISC Zero와 다른 ZK 프로젝트는 이를 일반적인 형태로 수행하려고 하며, ZKVM을 사용하여 Zama의 코드를 삽입하고 이를 일반적으로 수행하려고 합니다. 그러나 사실, FHE 작업을 수학적으로 연구하여 더 스마트하고 효율적인 방식으로 직접 검증 가능한 계산을 수행할 수 있습니다.

Foresight News: 당신이 언급한 제로 지식 증명(ZKP)도 암호학 분야에서 비교적 주목받는 기술인데, 전동형 암호화(FHE)와 제로 지식 증명(ZKP) 기술 간의 관계와 차이점은 무엇인가요? 두 기술은 서로 보완할 수 있나요? 프라이버시 보호 분야에서 이 두 기술을 어떻게 균형 있게 선택할 수 있을까요?

Wei Dai: 이는 매우 복잡한 주제이며, 간단하게 설명해 보겠습니다.

제로 지식 증명은 주로 두 가지를 허용합니다. 첫째는 검증 가능한 계산이고, 둘째는 '제로 지식' 즉, ZK(Zero Knowledge) 속성입니다. 현재 모든 ZK L2는 기본적으로 검증 가능한 계산을 수행하고 있습니다. ------ 당신은 계산을 수행하고 이를 검증할 수 있으며, 다시 계산할 필요가 없습니다. ZKP의 제로 지식 속성은 실제로 데이터 자체를 구축하지 않고도 데이터에 대한 사실을 증명할 수 있게 해주며, 이는 어떤 형태의 프라이버시를 얻을 수 있게 합니다. 이는 혼합 네트워크(mixnets), 프라이버시 보고서(예: Zcash), Tornado Cash와 같은 것에 사용되었습니다. 당신은 Aleo와 Mina와 같은 더 먼 계산으로 확장할 수 있으며, 이들은 ZK를 사용하여 데이터를 숨깁니다. 이는 체인 외부에서 수행할 수 있으며, 체인 내부에서 수행할 필요는 없습니다.

그러나 프라이버시 측면에서 ZK는 공유 상태에서 프라이버시를 허용하지 않으며, 개인 상태에 대해서만 프라이버시 보호를 허용합니다. 즉, 정보가 한쪽 또는 여러 쪽에 대해 개인적이라면 문제가 없습니다.

하지만 이는 스마트 계약에는 적용되지 않습니다. 예를 들어, Uniswap의 유동성은 누구와도 허가 없이 상호작용할 수 있으며, 이러한 유형의 프라이버시는 제가 말하는 공유 상태에서의 프라이버시 또는 기밀성입니다. 이는 ZK에게는 불가능하며, 그래서 당신은 MPC(다자간 계산)와 FHE가 필요합니다.

FHE가 진정으로 허용하는 것은 계산과 데이터를 분리하는 것입니다. 당신은 데이터를 암호화하고, 이를 계산할 수 있으며, 계산 과정에서 데이터를 볼 수 없습니다. 암호화된 상태에서 어떤 계산이 수행되는지 알 필요가 없으므로, 블록체인 환경에서 이는 정말 좋습니다. 왜냐하면 암호화된 스마트 계약이나 암호화된 값을 보유한 스마트 계약을 가질 수 있으며, 여전히 이를 계산할 수 있기 때문입니다. 마치 Uniswap에 FHE를 추가하여 어떤 암호화된 계산 추적(trace, 흔적)을 얻는 것과 같습니다.

따라서 FHE와 ZK의 차이는 매우 미세하지만, 전반적으로 스마트 계약을 비공식적으로 만들고 싶다면 MPC 또는 FHE가 필요합니다. 그러나 결제와 같은 간단한 작업에는 ZK를 사용할 수 있습니다.

Foresight News: 최근 일부 프로젝트가 ZK+FHE 이야기를 하고 있는데, 이에 대해 어떻게 생각하십니까?

Wei Dai: ZK+FHE의 아이디어에 대해, 저는 이 두 기술이 상호 보완적이라고 생각하지만, 현재 단계에서 이들을 겹쳐 놓으면 계산량이 기하급수적으로 증가할 것입니다. 왜냐하면 이들 간의 계산량은 곱셈 관계이기 때문입니다. 예를 들어, ZK를 사용할 경우 계산량이 천 배 증가하고, FHE를 사용할 경우 계산량도 천 배 증가한다면, 두 가지를 겹치면 백만 배가 됩니다. 실제로, 실제 계산량의 증가는 백만 곱하기 백만, 즉 1조가 될 수 있습니다.

그래서 저는 지금 이 조합이 거의 불가능하다고 생각합니다. 정말로 필요한 사용 사례가 아니라면 말이죠.

Foresight News: 당신이 생각하는 전동형 암호화 기술의 현재 발전 단계는 무엇이며, 대규모 응용까지 얼마나 남았다고 보십니까?

Wei Dai: 이 기술의 발전이 현재 어떤 단계에 있는지를 절대적인 관점에서 말하기는 어렵습니다. 이 질문은 아마도 FHE와 다른 기술의 상대적 위치를 통해 설명할 수 있을 것입니다.

Zama나 Duality와 같은 FHE 회사에서 일하는 사람들과 대화하면, 그들은 FHE의 발전이 전반적으로 ZK보다 몇 년 뒤쳐져 있다고 말할 것입니다. 구체적으로 몇 년 뒤쳐져 있을까요? 어떤 사람들은 2~3년이라고 하고, 어떤 사람들은 5~6년, 심지어 10년까지 뒤쳐져 있다고 생각하는 사람도 있습니다. 이러한 다양한 의견이 있는 이유는 사람들이 보는 지표가 다르기 때문입니다. 예를 들어, 개발자 수, 기술 논문 수, 또는 이 기반 위에서의 새로운 응용 수 등이 있습니다.

저는 이에 대해 매우 포괄적으로 정리하지는 않았지만, 개인적으로 이러한 커뮤니티와의 상호작용 경험에 따르면, FHE의 발전은 대략 ZK보다 3~4년 정도 뒤쳐져 있다고 생각합니다.

ZK는 계속해서 더 빨라지고 있으며, FHE도 마찬가지입니다. 그렇다면 우리는 FHE의 대규모 응용까지 얼마나 남았을까요? 저는 사실 이미 매우 가까워졌다고 생각합니다. (FHE 측면에서) 첫 번째 세대 프로젝트가 이제 막 테스트넷에上线되었고, 올해 늦게는 메인넷에上线될 예정입니다. 그래서 저는 우리가 곧 이 점을 보게 될 것이라고 생각합니다(즉, FHE의 대규모 응용). 현재 이러한 실제 시스템에서의 계산 비용을 측정하면, FHE는 여전히 ZKP보다 약간 더 많습니다. 그러나 어떤 것이 생산에 투입되면, 그것이 능동적으로 적응하고 확장할 수 있다면, 상대적으로 빠르게 성장하기 시작할 수 있으며, 일반적으로 기하급수적인 성장이 발생합니다. 이 점에서 ZK 롤업을 살펴보면, 상당히 짧은 시간 안에 이론적 개념에서 실제 사용으로 전환되었으며, 수십억 달러의 가치를 보장하고 있습니다.

Foresight News: 실제 적용 측면에서 현재 전동형 암호화 기술(FHE)은 어떤 병목 현상에 직면해 있습니까? 예를 들어, 계산 효율성, 키 관리 등. 알고리즘 최적화, 하드웨어 가속 등에서 어떤 문제를 해결해야 한다고 생각하십니까?

Wei Dai: 우선, 해결해야 할 많은 문제들이 분명히 존재합니다. FHE의 경우, 문제는 일반적으로 부트스트래핑(bootstrapping)입니다. 부트스트래핑은 사실 매우 복잡한 일이며, 이 과정에서 계산량이 많지만 알고리즘 개선과 일반적인 엔지니어링 최적화에 따라 점점 줄어들고 있습니다.

사실, 부트스트래핑을 수행하지 않는 다른 유형의 솔루션도 존재하며, 이러한 솔루션은 ML(머신러닝)에 대해 더 효율적일 수 있습니다. 특정 고전 계산을 사용하면 실제로 이를 최적화할 수 있습니다. 특히 짧은 시간 동안 실행되는, 일회성 계산에 더 가까운 AI 추론과 같은 경우입니다. 특정 고전 계산에 집중하고 이를 최적화하며, 특정 방향으로 많은 노력을 기울이는 상업화 노력은 아직 많지 않습니다. Zama가 현재 체인 상에서 수행하고 있는 작업은 매우 일반적이며, 이는 모든 단계에서 부트스트래핑을 수행해야 하므로 그렇게 효율적이지 않습니다.

키 관리 측면에서도 몇 가지 도전 과제가 있습니다. Zama의 fhEVM, Inco 또는 Phoenix는 모두 임계값 키 관리(threshold key management)를 필요로 하며, 당신은 검증자 그룹을 가지게 되고, 이들이 함께 복호화할 수 있는 능력을 가집니다. 저는 이것이 로드맵에 있지만, Zama는 사실 아직 완전히 구현하지 않았다고 생각합니다. 이는 극복해야 할 장애물이며, 그렇지 않으면 단일 검증자가 여전히 복호화할 수 있는 단일 실패 지점이 존재합니다.

Foresight News: 1kx의 연구 파트너로서 투자 관점에서 전동형 암호화 분야에서 주목할 만한 기술 방향과 응용 사례는 무엇이라고 생각하십니까? 시장 전망은 어떤가요? 주요 기회와 도전 과제는 무엇인가요?

Wei Dai: 제가 특히 주목해야 할 것은 전동형 암호화뿐만 아니라 임계값 동형 암호화(threshold FHE 또는 TFHE)입니다. 즉, FHE(전동형 암호화)와 MPC(다자간 계산) 및 블록체인의 결합입니다. 이러한 특별한 조합은 새로운 사용 사례를 열어줄 것입니다. 이에 대해 저는 매우 흥분하고 있습니다.

사실, Zama가 fhEVM을 만들기 전부터 저는 블록체인에서 TFHE의 응용에 대해 논의해왔습니다. 우리는 최근 Inco에 투자했으며, 이 프로젝트는 Zama 위에 구축되어 fhEVM 사용 사례를 출시하는 것을 목표로 하고 있습니다. 그들은 슬롯 머신, 카지노, 상업 결제, 게임과 같은 소규모 사용 사례를 개발하기 위해 몇몇 파트너와 협력하고 있습니다. 저는 첫 번째 응용 프로그램이 시장에 출시되는 것을 매우 기대하고 있습니다.

또한, 이는 개발자에게도 매우 친숙합니다. 왜냐하면 프로그래밍이 쉽고, Solidity를 조작하기만 하면 되기 때문입니다. 그리고 당신도 알다시피, 개발자가 맞춤형 프로그래밍 언어로 프로그래밍해야 한다면, 응용 프로그램을 보는 것이 훨씬 더 어려워집니다. 이 점에서 ZK를 보면 알 수 있습니다. 그러나 사실, 이러한 좋은 형태에서 FHE가 체인과 연결되면, 개발자는 FHE를 고려할 필요가 없으며, 이는 매우 간단한 암호화 데이터 유형으로, 이를 매우 간단하게 조작할 수 있습니다. 당신은 Solidity에서 모든 것을 프로그래밍 방식으로 복호화할 수 있습니다. 그래서 저는 이것이 제가 향후 1~2년 내에 가장 흥미롭게 생각하는 주요 분야라고 생각합니다.

또한, 더 많은 새로운 분야도 있습니다. 체인 상의 FHE에 대한 또 다른 점은 일반적으로 스마트 계약에서 수행되는 계산이 정말 짧고 간결하다는 것입니다. 스마트 계약 응용 프로그램은 이더리움과 같은 제한된 계산 환경을 중심으로 설계되었기 때문에, Uniswap은 실제로 매우 경량입니다. 그래서 이는 FHE에 정말 잘 맞습니다. 왜냐하면 현재 FHE의 효율성이 낮기 때문입니다.

그 외에도, 저는 FHE의 다른 형태가 더 많은 응용을 볼 수 있을 것이라고 생각합니다. FHE가 처음 논의되었을 때, 암호학계가 정말 흥분했던 것은 계산의 아웃소싱이었습니다. 데이터가 있을 경우 ------ 사용자 소유든 조직 소유든 ------ 이러한 데이터를 다른 사람에게 아웃소싱하여 계산하도록 하는 것입니다. 아마도 당신은 ML 사용 사례를 가질 수 있으며, 모든 사람의 데이터는 실제로 암호화되어 있지만, 여전히 이를 훈련 데이터로 사용할 수 있습니다.

비록 이러한 것들은 더 먼 미래의 이야기일지라도, 저는 이미 훌륭한 팀들이 이러한 방향을 연구하고 있다고 생각합니다. 아마도 미래에는 머신러닝 추론, 머신러닝, 심지어 머신러닝 훈련이 FHE 내에서 완료되는 것을 볼 수 있을 것입니다.

Foresight News: 규제 측면에서, 국가와 지역에 따라 암호화 기술에 대한 태도가 다릅니다. 특히 AI의 발전과 함께 데이터 프라이버시가 점점 더 중요해지고 있습니다. 당신은 미래의 규제 환경이 어떻게 발전할 것이라고 생각하십니까? 이것이 전동형 암호화 기술의 연구 및 응용에 어떤 영향을 미칠까요?

Wei Dai: 저는 프라이버시의 규제 측면에 대해 잘 알지 못합니다. 그러나 저는 프라이버시에는 두 가지 주요 유형이 있다는 것을 알고 있습니다. 하나는 데이터 프라이버시이고, 다른 하나는 금융 자산 프라이버시입니다. 이 두 가지는 매우 다르지만, 때때로 사람들은 프라이버시에 대해 이야기할 때 이를 혼동합니다. 실제로 이 두 가지 다른 프라이버시는 구별되어야 하며, 이 점에서 더 많은 사회적 합의가 필요합니다.

현재 사람들은 규제에 대해 이야기할 때 많은 데이터 프라이버시가 필요하다고 생각하지만, 금융 프라이버시는 회색 지대입니다. 저는 FHE가 이 두 가지 측면 모두에서 역할을 할 수 있다고 생각하지만, 확실히 데이터 프라이버시 부분에 더 직접적으로 적용됩니다. 현재 대형 기술 회사들은 사용자 데이터로 수익을 올리고 있으며, FHE를 통해 사용자는 실제로 데이터 소유권을 잠재적으로 유지할 수 있으며, 어떤 방식으로든 대형 기술 회사에 데이터를 판매할 수 있습니다. 이렇게 되면 여전히 사회적 긍정적 효과를 유지할 수 있으며, 이러한 데이터 기반으로 모델을 훈련하고, 광고주는 통제 가능한 방식으로 사용자 데이터에 접근할 수 있으며, 사용자는 데이터 자율성을 가질 수 있습니다.

Foresight News: 향후 3~5년 동안 전동형 암호화 기술의 발전에 대한 기대는 무엇인가요? 어떤 잠재적인 기술 돌파구가 판도를 바꿀 수 있을까요?

Wei Dai: 저는 어떤 혁신적인 변화가 있을 것이라고 기대하지 않으며, 점진적인 개선을 기대합니다. 이론, 소프트웨어, 하드웨어, 알고리즘 등 모든 관련 요소가 서로 누적되며, 각 레이어에서 개선이 이루어질 것입니다. 시간이 지남에 따라 계산량과 개발자 경험의 꾸준한 개선을 보게 될 것이며, 이로 인해 이 기술이 점점 더 사용 가능해질 것입니다.

FHE는 현재 제로에서 하나로 가는 단계에 있지만, 동시에 하나에서 열로 가는 궤도에 있습니다. 저는 다시 한번 강조하고 싶습니다. FHE의 발전은 하드웨어, 소프트웨어, 이론 및 개발 경험의 모든 측면에서 진전을 필요로 하며, 저는 이러한 측면에서 흥미로운 회사들이 작업을 진행하고 있다고 생각합니다.

Foresight News: 1kx는 ZK 분야에서 많은 투자를 해왔는데, FHE 분야에서는 어떻습니까? 방금 언급한 Inco 외에 다른 프로젝트도 보고 있나요? 앞으로 FHE 분야에 더 많은 투자를 할 가능성이 있습니까?

Wei Dai: 네, 우리는 네트워크 회사 Inco에 투자했지만, 하드웨어 측면에서도 투자를 진행했습니다. 현재로서는 많은 세부 사항을 공개할 수는 없지만, 우리는 전체 기술 스택을 주시하고 있습니다. 저는 이것이 매우 흥미로운 시점이라고 생각하며, 3~5년 후에 이 분야가 어떤 수준에 도달할 수 있을지 기대하고 있습니다.