.avif?u=https%3A%2F%2Fimages.ctfassets.net%2Fqtbqvna1l0yq%2F4OF6ywwNnbQLmD5qsIQ9kF%2F29aa033b59f51bc65fff3729e6948fe4%2Fkyle_samani__2_.jpg&a=w%3D200%26h%3D200%26fm%3Davif%26q%3D75&cd=2022-11-22T17%3A01%3A36.181Z)
멀티코인 캐피털은 Binance Labs, Coinbase Ventures,Accomplice, Sixth Horizon 및 Terminal 등의 참여와 더불어, 2 백만 달러 규모로 토러스(Torus)의 시드 라운드를 진행했습니다.
키 관리는 오늘날 암호자산의 활용성을 가장 크게 제약하는 요소입니다. 토러스는 가장 섬세한 키 관리 솔루션을 제공합니다. 토러스를 사용하여 웹3.0의 앱에 로그인하는 것은 기존 웹2.0 앱에 로그인 하는 것과 구별할 수 없을 정도로 유사합니다.
무엇이 문제인가
닉 자보(Nick Szabo)는 “신뢰할 수 있는 제삼자는 보안 허점이다.” 라고 말한 바 있습니다. 현대의 웹은 사용자의 키를 저장하기 위해 제삼자를 신뢰해야 하므로, 웹 자체가 보안 허점이 되는 것입니다.
키 관리가 이렇게 어려운 이유는 무엇일까요? 잃어버린 키를 복구할 방법이 없기 때문입니다. 키는 신뢰의 기초이며, 키를 잃어버린 경우 영구적으로 분실되어 버립니다.
소비자들은 항상 백도어(컴퓨터 시스템 설계자나 관리자가 의도적으로 심어둔 보안 허점)가 있는 것에 익숙합니다:
- 비밀번호를 잃어버리셨나요? “비밀번호 찾기” 버튼을 클릭하십시오.
- 공항에 운전면허증 가져오는 것을 잊어버리셨나요? 뒤에 있는 보안 직원과 상담하십시오.
- 해외 여행 중 여권을 잃어버리셨나요? 현지 대사관으로 가십시오.
- 인터넷 뱅킹에 로그인할 수 없나요? 운전면허증을 들고 가까운 지점을 방문하십시오.
소비자들은 신뢰할 수 있는 제삼자에 의존합니다. 소비자들�을 통제할 수 있고, 여러 장치에서 섬세하게 작동하며, 긍정 오류(false positive)나 부정 오류(false negative)를 겪지 않도록 하는 키 관리 시스템을 만드는 것은 매우 어려운 문제입니다.
소비자 수준에서의 키 관리는 다양한 방법으로 접근할 수 있습니다. 자사는 키 관리에 대한 모든 접근 방식을 고려했으며, 토러스가 새로운 신뢰 가정(trust assumptions)을 도입하지 않고도 단연코 최고의 사용자 경험을 제공한다는 것을 발견했습니다.
토러스는 웹3.0 어플리케이션이 웹 2.0에서 구동되는처럼 느껴지도록 합니다.
소비자 키 관리의 발전
암호자산 산업에서 키 관리의 첫 번째 방식은 256 비트의 정보를 종이에 기록하고 종이를 잃어버리지 않는 것이었습니다. 두 번째 방식은 우리 모두가 너무나도 익숙한 “24 단어를 적는 니모닉 시드”를 도입함으로써 보안의 측면에서 무질서도(엔트로피)를 낮추는 것이었습니다. 더 발전되기는 했지만, 별로 많이 나아진 것은 아닙니다.
최근에는 앱에서 사용자가 생성한 비밀번호로 키를 암호화하고, 암호화된 파일을 장치간에 동기화하는 기능을 제공하기 시작했습니다. 이러한 혁신은 암호자산의 활용성을 크게 개선하였습니다. 다만, 해당 솔루션에서는 계정 복구가 불가능합니다.
그 이후, 많은 프로젝트들이 다중 서명 지갑 및 샤미르 비밀 공유 방식(SSS; Shamir Secret Sharing) 등 계정 복구를 위한 다양한 접근 방식을 시도했습니다. 그러나 이러한 접근 방식에는 분명한 단점이 있습니다. 사용자들이 겁먹을 정도의 정교한 셋업 절차가 필요하다는 것입니다.
다른 키 관리 서비스 제공 업체들은 솔루션 기반의 하드웨어 보안 모듈을 제공하고 있으나, 해당 솔루션들은 계정 ��복구를 위해 백도어에 의존하기 때문에 많은 측면에서 실질적으로 현재보다 더 나쁜 신뢰 가정을 도입해야만 합니다.
토러스는 모든 기기와 브라우저에서 작동하고 계정 복구가 가능하며 어떠한 새로운 신뢰 가정도 도입하지 않는 최초이자 유일한 키 관리 솔루션입니다.
그럼 토러스는 어떻게 작동할까요?
토러스는 다자간 연산(MPC; multi-party computation)의 한 종류인 분산형 키 추출 방식(DKG)에 기반합니다.
토러스에는 DKG에 참여하는 노드로 구성된 분산형 네트워크가 있습니다. 이러한 노드는 바이낸스, 코인베이스, ETC 협동조합, 터미널, 카이버(Kyber) 등의 회사에서 운영하는 9개의 노드입니다. 이 과정에서 노드들은 집합적으로 샤드키를 생성하지만 중요한 것은 키가 절대로 특정 시점에 한 곳에 존재하지 않는다는 점입니다. 이러한 점이 DKG와 샤미르 비밀공유 방식(SSS)을 구분 짓는 큰 차이점입니다. SSS를 사용하면 키는 여전히 한 곳에서 추출되며, 추출된 후 SSS를 사용하여 샤딩할 수 있습니다. DKG를 사용하면 키가 분산된 방식으로 추출됩니다.
키를 재조립하려면 사용자는 9개 중 5개의 노드에서 각각의 키 조각을 받아와야 합니다. 토러스의 첫 번째 버전은 사용자가 키 조각을 요청한 후, 별도로 자신의 로컬 자바 스크립트 컨텍스트 또는 iFrame에서 키 조각을 재조립하며 이는 악의적인 앱이 키를 도용할 수 없도록 하는 장치로서 사용됩니다. 사용자가 브라우저 탭을 닫으면 메모리와 디스크에서 키가 지워지게 됩니다.
기존의 키 관리 솔루션은 논리적으로, 아키텍쳐적으로, 정치적으로 중앙화되어 있습니다. 토러스의 장점은 논리적으로는 중앙화되어 있지만 아키텍쳐적, 정치적으로는 분산되어 있다는 점��입니다. 토러스는 웹 3.0 수준의 신뢰 가정만으로도 웹2.0 모델에서 개발자와 소비자가 사용했던 익숙한 유형의 논리적 엔드포인트를 제공합니다.
토러스 네트워크는 공개인증(oAuth) 표준을 구현하므로 사용자는 구글, 페이스북 및 트위터를 포함한 모든 oAuth 제공 업체에 로그인 할 수 있습니다. oAuth가 지원되므로 토러스를 사용한 웹3.0앱 로그인은 웹2.0 앱에 로그인하는 것처럼 느껴집니다. 사용자 경험은 사실상 동일합니다. 또한 토러스는 모든 oAuth 제공 업체와 통합하여 엔터프라이즈용 액티브 디렉터리 설치를 위한 토러스 기반의 로그인 뿐만 아니라 구글, 페이스북 및 트위터에 의존하지 않는 타사 앱을 활성화 할 수 있습니다.
해당 아키텍쳐를 통해 토러스는 완벽한 키 관리 및 로그인 경험을 제공합니다. 토러스는 확장 없이도 모든 장치와 브라우저에서 작동하고, oAuth 공급자를 통한 계정 복구를 지원하며, 어떠한 새로운 신뢰 가정도 도입하지 않습니다.
토러스 네트워크는 현재 이더리움 기반 애플리케이션에서 사용할 수 있습니다. 그리고 곧 SKALE 체인에서도 사용할 수 있습니다. 여기에서 직접 시도해 보십시오. 이제 개발자를 위한 API도 사용가능하며 몇 줄의 코드만으로도 구현할 수 있습니다.
토러스는 향후 몇 달 안에 ed25519 기반 체인에 적용될 것입니다. 테조스, 솔라나, 니어(Near), 헬륨(Helium), ��알고랜드, 그리고 리브라가 포함됩니다.
웹2.0과 웹3.0의 연결
자사는 토러스가 웹2.0과 웹3.0의 응용 프로그램을 연결하는 데 도움이 될 것으로 기대합니다. 예를 들어, Docusign과 같은 전자서명 응용 프로그램을 생각해 봅시다. 대부분의 전자서명 앱은 이미 사용자에게 oAuth 식별 업체를 이용하여 로그인 하도록 요청합니다. 앞으로, 전자서명 앱은 토러스를 통해 전자서명 앱이 공유 원장에 암호화 서명을 기록할 수 있도록 할 것입니다. 즉, 전자 서명 사용자는 진실 확인을 위해 Docusign에 의지할 필요 없이, 공유 원장에서 스스로 디지털 서명의 무결성을 확인할 수 있습니다.
위는 하나의 예시일 뿐으로써, 이와 유사한 더 많은 사용 사례가 있을 것으로 기대합니다. 웹2.0 앱은 소비자들의 신뢰를 계속해서 잃고 있기 때문에, 이러한 응용 프로그램의 공급자들은 공유 원장을 사용하여 신뢰 가정을 줄이는 방법을 모색할 것입니다. 이는 직관적이지 않은 것처럼 보이지만 (결국 웹2.0 앱이 사용자에게 웹3.0의 자유를 부여하는 이유가 무엇일까요?) 딥페이크가 널리 보급됨에 따라 점점 더 필요할 것입니다.
세계는 MPC 연구 개발의 르네상스를 경험하고 있습니다. MPC는 90년대 이래 학술 논문에서 계속 등장했으나, 여전히 컴퓨터 과학 분야에서 상당히 저개발된 분야입니다. 토러스 팀은 MPC의 최첨단에 있으며, 자사는 전 세계 MPC의 힘을 이끌어 내기 위해 이들을 후원하게 되어 기쁩니다.
토러스는 웹2.0 애플리케이션과 동일하게 논리적으로는 중앙화된 엔드 포인트를 유지하고 있으며, 사용자가 이미 알고있는 웹2.0 워크 플로우와 완벽하게 통합되기 때문에, 토러스는 웹3.0의 장점을 웹2.0에, 웹2.0의 장점을 웹3.0에 적용할 수 있는 완벽한 위치에 있습니다.
추신: MPC와 키 관리의 미래를 만드는데 관심이 있으신 독자께서는 토러스에서 채용 중이니 참고하시기 바랍니다.
Disclosure: Unless otherwise indicated, the views expressed in this post are solely those of the author(s) in their individual capacity and are not the views of Multicoin Capital Management, LLC or its affiliates (together with its affiliates, “Multicoin”). Certain information contained herein may have been obtained from third-party sources, including from portfolio companies of funds managed by Multicoin. Multicoin believes that the information provided is reliable and makes no representations about the enduring accuracy of the information or its appropriateness for a given situation. This post may contain links to third-party websites (“External Websites”). The existence of any such link does not constitute an endorsement of such websites, the content of the websites, or the operators of the websites.These links are provided solely as a convenience to you and not as an endorsement by us of the content on such External Websites. The content of such External Websites is developed and provided by others and Multicoin takes no responsibility for any content therein. Charts and graphs provided within are for informational purposes solely and should not be relied upon when making any investment decision. Any projections, estimates, forecasts, targets, prospects, and/or opinions expressed in this blog are subject to change without notice and may differ or be contrary to opinions expressed by others.
The content is provided for informational purposes only, and should not be relied upon as the basis for an investment decision, and is not, and should not be assumed to be, complete. The contents herein are not to be construed as legal, business, or tax advice. You should consult your own advisors for those matters. References to any securities or digital assets are for illustrative purposes only, and do not constitute an investment recommendation or offer to provide investment advisory services. Any investments or portfolio companies mentioned, referred to, or described are not representative of all investments in vehicles managed by Multicoin, and there can be no assurance that the investments will be profitable or that other investments made in the future will have similar characteristics or results. A list of investments made by funds managed by Multicoin is available here: https://multicoin.capital/portfolio/. Excluded from this list are investments that have not yet been announced (1) for strategic reasons (e.g., undisclosed positions in publicly traded digital assets) or (2) due to coordination with the development team or issuer on the timing and nature of public disclosure.
This blog does not constitute investment advice or an offer to sell or a solicitation of an offer to purchase any limited partner interests in any investment vehicle managed by Multicoin. An offer or solicitation of an investment in any Multicoin investment vehicle will only be made pursuant to an offering memorandum, limited partnership agreement and subscription documents, and only the information in such documents should be relied upon when making a decision to invest.
Past performance does not guarantee future results. There can be no guarantee that any Multicoin investment vehicle’s investment objectives will be achieved, and the investment results may vary substantially from year to year or even from month to month. As a result, an investor could lose all or a substantial amount of its investment. Investments or products referenced in this blog may not be suitable for you or any other party.
Multicoin has established, maintains and enforces written policies and procedures reasonably designed to identify and effectively manage conflicts of interest related to its investment activities. For more important disclosures, please see the Disclosures and Terms of Use available at https://multicoin.capital/disclosures and https://multicoin.capital/terms.