프라이버시는 상품이 아니다

편집자 주: 본 포스팅은 Ryan Gentry와 Matt Shapiro가 공동 작성한 글입니다.

프라이버시는 암호화폐가 갖는 특성 중의 하나입니다. 그러나 프라이버시 자체는 판매하는 상품이 아닙니다. 사용자는 본인의 금융 활동과 관련된 프라이버시를 가지기 위해 가치와 보안성이 낮은 암호화폐에 투자하는 대차대조표 상의 리스크(balance sheet risk)를 짊어져서는 안 됩니다. 여기서 대차대조표 상의 리스크라 함은 비트코인이나 이더리움을 매도하여 지캐시(Zcash)를 매수하는 것을 의미합니다. 이번 글을 통해 비트코인이나 이더리움과 같은 플랫폼이 이미 프라이버시를 충분히 담보하기 때문에 프라이버시 코인이라 불리는 아주 특수한 블록체인이 대부분의 사용자들에게는 필요가 없음을 주장하고자 합니다.

멀티코인의 핵심투자 철학(Crypto Mega Theses) 중 세가지 모두를 관통하는 개념인 검열저항성은 프라이버시와는 뗄레야 뗄 수 없는 관계입니다. 즉, 오픈 파이낸스, 국경없는 글로벌 화폐, 웹 3.0과 같은 발상의 핵심요소가 프라이버시인 것이죠. 하지만 현재 암호화폐 산업의 생태계 내에서 프라이버시 관련 개발은 대부분 프라이버시 중심 블록체인에서만 이루어지고 있습니다. 비트코인과 이더리움 커뮤니티의 경우, 프라이버시보다는 확장성이나 UX와 같은 이슈들을 선결해야 할 문제로 상정하고 고군분투하고 있습니다.

금융 프라이버시를 중요시하는 개발자들은 프라이버시를 그 어떤 기능보다 우선시하는 프로토콜을 만들었습니다. 그 예로는 우리와 친숙한 지캐시와 모네로(Monero)가 있고, 그린(Grin)과 빔(Beam) 역시 프라이버시 프로토콜로 이름을 알리고 있습니다. 해당 프로토콜들은 모두 핵심가치인 프라이버시를 보장하기 위해서 기능성과 사용성 측면의 여러가지 희생을 감수합니다. 그런데 정말 별도의 블록체인이 필요할만큼 프라이버시가 올바른 핵심 가치라고 할 수 있을까요?

암호자산 투자자들 중에는 프라이버시에 특화된 블록체인이 금융 거래에 수반되는 프라이버시의 중요성을 통해서만 가치가 확보된다는 생각이 만연합니다. 물론, 멀티코인 캐피털 역시 금융 거래에 있어서 프라이버시가 중요하다는 데에는 이견이 없습니다. 그러나 가치의 창출과 금융 거래의 프라이버시 간에 그 어떠한 인과관계도 없다는 것이 자사의 의견입니다.

멀티코인 캐피털은 가장 가치있는 블록체인은 프라이버시가 아닌 다른 기술적 우위를 점하는 프로토콜이 될 것으로 예상하고 있습니다. 그리고 이와 같은 프로토콜들을 기반으로 사용자 및 회사들이 네트워크 상에서 프라이버시를 보호할 수 있는 새로운 방법을 찾는 것이 프라이버시 프로토콜을 사용에 따라오는 대차대조표 상의 리스크를 감수하는 것보다 더 바람직하다고 생각합니다. 뿐만 아니라, 이전의 글을 통해서도 밝혔듯이, 레이어-1에 속하는 자산은 “통화”처럼 여겨져야 합니다. 레이어-1 프로토콜이 가치를 창출하는 법은 장기적으로 대부분의 블록체인이 시장에서 사라지고 소수의 블록체인만이 생존하면서 발생하는 네트워크 효과일 것입니다. 만약 프라이버시 프로토콜 외의 프로토콜들이 사용자들에게 적절한 수준의 프라이버시 보호를 해줄 수 있다면, 현존하는 프라이버시 프로토콜의 가치는 사라져버릴 것입니다.

이 글을 통해 프라이버시를 위해 희생해야 하는 기술적인 트레이드 오프로 인한 블록체인 기능성의 저해와 프라이버시에 특화된 블록체인 및 자산이 야기하는 대차대조표 상의 리스크에 대해서 다루어보겠습니다. 또한, 사용자가 더 많은 블록체인에 프라이버시 기능을 추가하는 다양한 방법, 적절한 “프라이버시의 정도”, 프라이버시 관련 투자에 대한 멀티코인의 의견 등 역시 독자분들과 나누고자 합니다.

완전한 프라이버시

암호화폐 거래에서 유출될 수 있는 개인 정보에는 4개 종류(발신자, 수신자, 거래량, IP 주소)가 있습니다. 만약 이 모든 네 개의 요소들을 제3자로부터 완전하게 숨길 수 있다면, 그 거래는 완벽하게 프라이버시를 갖추었다고 평가할 수 있습니다.

<표1> 암호화폐 거래 프라이버시 스펙트럼

위의 <표1>에서도 보여지듯이 프라이버시 보호는 하나의 스펙트럼으로 표시될 수 있습니다. 즉, 정도의 문제라는 것입니다. 기초적인 비트코인이나 이더리움 거래 같이 거래 정보를 하나도 숨기지 않을 수도 있고, 상기 4가지 정보를 모두 숨기는 지캐시의 새플링(Sapling) 같은 거래도 있습니다. 새플링의 경우, IP 주소를 숨기는 기술인 Dandelion이나 Kovri가 함께 사용됩니다. 지캐시의 zk-SNARK는 거래량을 포함한 별도의 식별 정보를 블록체인에 기록하거나 네트워크에 알리지 않고 익명의 수신자에게 코인을 보낼 수 있도록 해줍니다. 이론상으로는 완벽하게 프라이버시를 보호하는 것이죠.

지캐시가 세상에 나온지 벌써 3년이나 되었지만, 총 ZEC 토큰의 약 5% 정도만이 SNARKs를 활용하며 그 중 절반은 아직도 이전 버전을 사용하고 있습니다. 이 외 95%의 ZEC 토큰은 프라이버시 보호가 적용되지 않는 주소에 저장되어 있습니다. 또한, 암호화폐 시장이 전반적으로 재반등하던 2019년 당시 ZEC는 가격 상승에 실패했다는 사실을 눈여겨 보아야 합니다.

출처: 2018년 1월 이후 BTC 기준 지캐시 가격

프라이버시 프로토콜이 가진 가능성은 있겠지만, 시장의 평가는 너무나 명확했습니다. 지캐시의 새플링 거래가 수반하는 프라이버시 보호가 ZEC 토큰을 더 가치있게 하지는 않는다는 겁니다.

이에는 몇 가지 이유가 있습니다.

우선, 암호화폐가 혁신적이라 불리는 이유 중 핵심은 제3자에 대한 신뢰 없이도 희소성에 대해서 쉽게 검증할 수 있고, 프로그램화된 규칙대로 운영된다는 것입니다. 이 특징은 사회적 확장성을 가능케 해줍니다. 즉, 어떤 문화권이거나 사회계층인지와 상관없이 자신들이 보유한 자산 또는 코인이 보장되어 있는 전체 중 일부분인 것을 안심하고 언제든 검증할 수 있다는 것입니다. 하지만, 완전한 프라이버시는 안타깝게도 용어 정의부터 온전한 감사(auditability)를 할 수 없게 만든다는 점을 유의해야 합니다.

2018년 3월, 지캐시 측은 무한대 인플레이션을 가능케하는 암호학의 버그를 발견하였습니다. 지캐시 재단 측에서 이미 시인한 바이지만, 재단조차 Sprout 주소가 완전하게 사용 중지되기 전까지는 해당 버그의 악용 사례 발생 여부를 알 수 없다고 밝혔습니다. 사용자가 안전한 주소로 얼마만큼의 코인을 보냈는지는 검증 가능하지만, 해당 코인들이 악의적인 주체에 의해 발생한 임의적인 인플레이션인지 아닌지는 알 수가 없다는 것입니다.

“100% 프라이버시가 보장되는 거래”라는 뜻은 투자자에게 있어 지캐시가 이미 정해진 물량만큼의 희소성에 대해 검증하는 것 역시 불가능하다는 뜻입니다.

두 번째로 지캐시처럼 프라이버시 분야를 최적화하게 되면 엄청난 비용을 감당해야 합니다. 매번 온전하게 프라이빗한 거래가 생성될 때마다, 발신자는 정확히 똑같은 연산 절차를 거쳐야만 합니다. 이러한 연산 절차를 밟아야만 채굴자가 영지식증명을 할 수 있는 근거가 생기니까요. (영지식증명에 대한 참고자료는 다음 링크를 통해 보실 수 있습니다.) 하지만 이는 컴퓨팅 파워 측면에서 많은 비용이 야기됩니다. 뿐만 아니라, Sprout 버전은 사용 자체가 너무 까다로워 신규 유저들이 대량으로 유입되기도 어려운 구조입니다. 이에 지캐시 팀은 코인 전송 및 거래의 최적화에 집중하기 위해 새플링을 구현하였습니다. 새플링은 이더리움의 상태적(stateful) 스마트 컨트랙트나 모네로의 다중서명 거래 및 컨트랙트 기능과 같은 추가적 기능을 지원하지는 않습니다. 물론 다중서명 관련 계획을 가지고 있긴 하지만요.

더 효과적이고 완전하게 프라이빗한 거래를 가능케 함으로써 지캐시는 프로그램화 측면에 대한 비용을 지불하게 됩니다.

2016년과 2017년의 마구잡이식 불 마켓이 끝난 지금, 시장은 프라이버시 측면을 약간 희생하더라도 비트코인과 이더리움과 같이 더 안전하고, 프로그램화 가능하며 프로토콜 내 자산의 희소성을 언제든 증명할 수 있는 프로토콜을 더 선호합니다.

물론, 미래에 생겨날 국가를 초월하는 통화는 완전한 투명성을 가지진 않을 것입니다. 검열저항성은 어느 정도의 금융 프라이버시를 필요로 하기 때문입니다. 그렇다면 이제 질문은 “도대체 얼마만큼 프라이버시를 중요하게 취급해야하는가?”입니다.

“Lost in the Crowd” 프라이버시

비트코인과 이더리움 커뮤니티 모두 자신들의 블록체인이 프라이버시 기능을 내재적으로 가지도록 하는데 많은 노력을 기울여왔습니다. 완전한 프라이버시를 위해 최적화 하는 대신, 비트코인과 이더리움 커뮤니티는 이미 토르 네트워크(Tor Network)를 통해 널리 알려진 “lost in the crowd” 프라이버시 전략을 차용하기로 했죠.

여기서 말하는 “lost in the crowd” 프라이버시는 거래 발생 시 특정 규칙을 따르도록 함으로써 외부 관찰자가 실제 발신인, 수신인, 거래량을 구분하기 어렵게 만드는 것을 뜻합니다. 더 많은 거래가 관련 규칙을 따르고 사용자가 많아질수록 외부 관찰자 입장에서 거래의 비익명화(실제 발신인, 수신인, 거래량 등을 가늠하는 것)이 더 어려워집니다.

완전하게 프라이빗한 거래를 하는 것과 다르게 “lost in the crowd” 전략은 사용자들의 보안을 위해 모호성을 이용합니다. 제3자인 관찰자 시점에서 거래가 일어나는 것은 알 수 있지만 발신인, 수신인, 거래량에 대해서 정확하게 짚을 수가 없게 만드는 것이죠. 그렇기 때문에 발신인, 수신인, 거래량과 같은 자세한 사항에 대해서 관찰자가 어떤 주장을 하더라도 확률론적인 예측에 불과하게 됩니다. 그리고 대부분의 경우, 발신인과 수신인 모두 어느 정도 그 주장을 부인할 수 있는 것입니다.

비트코인 커뮤니티 멤버들은 CoinJoins를 “lost in the crowd” 툴로 사용합니다.

2013년 Greg Maxwell에 의해 처음 제안된 아이디어인 CoinJoins은 여러 그룹의 각기 다른 single-input과 single-output 거래를 합쳐서 단일 multiple-input, multiple-output 거래로 만듭니다. 이런 식으로 입력값과 도출값을 섞는 과정을 통해 발신인과 수신인 사이의 직접적인 연결고리를 없애버리는 것이죠. 만약, 거래의 도출값이 동일할 경우, 누가 얼마만큼의 비트코인을 받았는지 알기 어려워집니다. 그래서 CoinJoins를 사용한 신뢰최소화 어플리케이션인 Wasabi Wallet과 Samourai Wallet이 최근 폭발적인 인기세를 누리고 있기도 합니다.

출처: Chainalysis 2019년도 Wasabi Wallet 월별 달러 거래량 통계

다시 한 번 짚고 넘어가자면 CoinJoins가 완전한 프라이버시를 제공하지는 않습니다. 제3자인 관찰자가 믹서(mixer)로 어떤 코인이 주고 받아졌는지는 알 수 있기 때문입니다. 하지만 위와 같은 성장을 이어간다면 사용자 숫자가 충분히 많아져서 “lost in the crowd” 전략을 통해 프라이버시를 어느 정도 보장받을 수 있게 됩니다. FBI, DEA, IRS와 같은 정부 부처를 클라이언트로 보유한, 업계 내에서 최고라고 손꼽히는 블록체인 애널리틱스 회사인 Chainalysis는 “믹싱 서비스를 거치는 코인들을 완벽히 추적하는 것은 불가하다”라고 밝힌 바 있습니다. [1]

이더리움의 베이스 레이어는 비트코인과 비교해보면 기본적으로 프라이버시 측면에서 부족할 수 밖에 없습니다. 이는 UTXO 기반의 모델을 채택하지 않고 account 기반 모델을 사용하기 때문입니다. 즉, 각 거래별로 신규 주소를 사용하는 것이 아니라 하나의 주소로 각기 상이한 거래를 위해 재사용한다는 것을 의미합니다.

다만, 스마트 컨트랙트 플랫폼이 비트코인에 비해 가지는 장점은 바로 거래 종류가 더 다양하다는 것입니다. 스마트 컨트랙트의 특성을 활용하여 코드 상으로 자산을 보낼 때 “lost in the crowd” 프라이버시를 적용할 수 있습니다. 뿐만 아니라, 스마트 컨트랙트에 따라 자산을 전송할 때 완전한 프라이버시를 제공할 수도 있습니다. [2] 이러한 프라이버시에 방점을 둔 스마트 컨트랙트들에 대한 여러 예시를 메인넷에서 찾을 수 있으며, 더 많은 종류의 스마트 컨트랙트가 개발 중에 있습니다.

이더리움의 믹서로 알려진 Argent Labs의 Hopper, Heiswap와 Tornado의 현재 버전들 모두 “lost in the crowd” 프라이버시 전략을 채택하고 있습니다. 비트코인의 CoinJoins와 견줄 수 있는 수준의 효과를 내고 있습니다. 이러한 믹서를 사용하는 방법은 다음과 같습니다: 사용자가 우선 스마트 컨트랙트를 통해 특정 자산(예를 들어, 0.1 이더 혹은 10 DAI)을 예치합니다. 그리고 이와 비슷한 규모의 예치금을 넣은 사용자들이 많아져서 익명성 풀이 형성될 때까지 기다립니다. 이러한 풀이 형성되면 원금은 기존의 주소와 전혀 어떠한 연결고리도 없는 새로운 주소로 출금합니다. 하지만 이런 절차를 거치더라도 액면가액은 변동이 없어야하므로 큰 규모의 예치금을 처리하기는 어렵습니다. 그래서 이 서비스만 제공하더라도 사업체를 유지할 수 있는 확장성을 확보하기가 쉽지 않은 것이죠.

Aztec Protocol은 기밀 자산, 일회성 주소(stealth address), 출력값 0처리(zero-value output)를 가능케 해주는 모듈형의 스마트 컨트랙트를 개발하고 있습니다. 이를 통해, 이더리움 상에 “lost in the crowd” 형태의 프라이버시 풀을 형성하려는 것입니다. 사용자들은 자신들의 공개된 자산을 스마트 컨트랙트를 통해 전송해야 할 것입니다. 이렇게 전송이 일어날 때, 자산이 프라이버시 풀에 담기고 프라이빗 버전의 자산이 생성됩니다. 또한, 사용자에게 거래를 할 수 있는 프라이빗 주소를 할당합니다. 프라이버시 풀에 더 많은 자산과 사용자들이 유입될수록 전체 참가자들은 더 강력해진 보안으로 혜택을 누릴 수 있게 됩니다.

기존의 블록체인에 프라이버시를 제공하는데 있어 경쟁이 레이어-2 애드온(add-on) 프로젝트 간의 경쟁에만 국한되는 것은 아닙니다. 규모가 작거나 덜 알려져있지만 강력한 거버넌스를 자랑하는 Decred나 Tezos 같은 퍼블릭 블록체인들도 프로토콜 내에 프라이버시 기능을 빠른 시일 내에 추가하고자 합니다. 비트코인과 이더리움 커뮤니티처럼 Decred와 Tezos 커뮤니티 역시 프라이빗한 거래가 갖는 가치에 대해서 잘 알고 있습니다. 그리고 금융 프라이버시를 제품의 핵심역량으로 두는 것이 아닌 커뮤니티가 누릴 수 있는 하나의 기능으로 만들기 위해 노력하고 있습니다. 여기서 더 재미있는 사실은 Tezos 커뮤니티가 지캐시의 새플링을 완전히 베끼고 있다는 것도 눈여겨볼만 합니다. [3]

상기 열거된 퍼블릭 블록체인에서 이루어지고 있는 노력들은 현재 “lost in the crowd” 프라이버시 관련 최적으로 평가받는 모네로보다 더 나아지기 위함이라고 평가할 수 있습니다. 지캐시의 ZEC 토큰 중 5% 정도 물량만이 보호받는 반면, 모네로의 XMR은 100% 모두 모호함을 이용한 보안 제공 규칙들에 따라 전송이 이루어집니다.

모네로는 발신인, 수신인, 거래량을 알아보기 힘들도록 세 가지 요소인 링 서명(ring signature), 일회성 주소(stealth address), 링CT(RingCT)를 활용합니다. 링 서명은 발신인이 거래에 대한 서명을 할 때 11명의 사용자 키를 활용하도록 해줍니다. 이로 인해 자신의 키가 무엇인지 알기 어려워지는 것이죠. 일회성 주소는 수신인이 매 거래에 있어 주소를 한 번 사용하도록 하여 퍼블릭 키를 숨길 수 있도록 합니다. 링CT는 인플레이션이 일어나지 않고 있다는 것을 검증할 수 있도록 해주되 거래량은 블라인드 처리하도록 해줍니다.

모든 모네로 내 거래는 해당 특징들을 사용하여야만 하기 때문에, 모든 XMR 토큰은 익명성을 가지고 “lost in the crowd” 전략의 일부분으로 포함되게 됩니다. 그럼에도 불구하고, 모네로가 지캐시보다 2018년 있었던 “크립토 윈터(crypto winter)”를 더 잘 극복하지는 못했습니다.

출처: BTC 기준 모네로 가격 (2018년 1월 집계 시작)

지캐시와 비교할 때 모네로 상의 거래가 약간 더 유연한 것은 사실입니다. 그러나 여전히 stateful 스마트 컨트랙트는 불가능하죠. 최근 HTLCs(라이트닝 네트워크와 유사한 레이어-2 솔루션)를 가능케하는 연구 결과가 나왔지만, 여전히 갈 길은 멉니다. 안타깝게도 모네로의 개발자 커뮤니티는 소규모이며, 이들을 위한 자금 역시 거의 없습니다. 신규 기능이 나오더라도 이에 대한 개발은 상대적으로 지지부진한 이유이기도 합니다.

베이스 레이어로 쓰이는 블록체인이 무엇이냐와 상관없이 “lost in the crowd” 프라이버시 전략을 사용하면 충분히 그 내역에 대해서 부정할 수 있게 됩니다. 만약 이에 함께 참여하는 이들이 많을수록 더 쉽게 부인할 수 있게되는 것이죠.

얼마나 프라이버시를 제공해야 프라이버시가 보호된다고 할 수 있는가에 대한 질문에 대한 답이 나온 것입니다. 만약 악의적인 세력이 사용자 거래의 익명성을 없애고 내역을 보려고 할 때 얼마나 많은 비용을 지불해야 하는지가 바로 그 답이 되는 것입니다. 즉, Wasabi Wallet이 제공하는 비트코인의 익명성, Aztec의 이더리움 익명성, 모네로의 익명성 중 말이죠.

익명성의 가면을 벗기는 비용

올해 초, 몇몇의 연구원들은 모네로의 링 서명 선정 절차의 특정 요소들을 이용하는 FloodXMR 공격을 통해 단돈 $1,700으로 연간 거래량의 50%를 비익명화할 수 있다는 제안을 했습니다. 이에 대해, 모네로 커뮤니티는 비용에 대해서는 지나치게 낮게 산정되었다는 이유로 반발하였으며, 연구 방법론 측면에서 발생 가능한 시나리오인 동시 다발적인 공격이나 가격 변동과 같은 요소들을 고려하지 않았다는 이유를 들어 이를 받아들이지 않았습니다.

이번 장에서는 FloodXMR을 재현하고자 하는 것이 아니라, 그 원리들을 활용하여 공개적인 체인 상의 프라이버시 풀에 대한 사고 틀을 구축하고자 합니다. 해당 공격은 다음과 같은 구조를 갖습니다. 매일 여러 개의 거래가 모네로 상에서 이루어집니다. 이 거래들은 서로 섞여 본인이 보낸 거래 말고는 누가 누구에게 보냈는지 모르도록 조치됩니다. 그러나 모든 거래는 공개되고, 링 서명 구조 상 거래 주소가 재사용 되기 때문에 공격자는 해당 거래들 중 상당수에 직접 참여할 수 있게 됩니다.

이런 방식으로 공격자들은 익명성을 획기적으로 낮췄으며, 실제 발신인과 수신인이 누구인지 판단하기 훨씬 쉽게 만들어 효과적으로 비익명화를 이뤘습니다. 앞서 언급했던 보고서에 따르면, 악의적인 주체가 1년 동안 생성되는 거래 아웃풋 키 중 75%를 통제하면 같은 기간 동안 생성된 거래 인풋 중 47.63%을 추적할 수 있을 것이라고 합니다. [4]

이와 같은 공격은 비트코인의 CoinJoins 프라이버시 풀로도 확장될 수 있으며(실제로 이미 발생), 이더리움 Aztec Protocol 프라이버시 풀에서도 특정 가정들이 성립한다면 일어날 수 있습니다. 지난 12개월 동안 CoinJoins는 보통 비트코인 총 거래량의 5~10% 정도를 감당했었습니다.[5]

출처: 비트코인 거래량 중 CoinJoins 거래량 비율

평균적인 거래 수수료, 프라이버시 거래 수, 메인 체인 시가총액에서 프라이버시 풀이 차지하는 비율이 일정하다고 가정했을 때 비익명화 비용은 다음과 같습니다.

C = (평균 거래 수수료) (평균 일일 거래량) 1.25 (프라이버시 풀의 시가총액 비중) 365

<표2>는 BTC의 Wasabi Wallet 풀, ETH의 Aztec 풀(ETH 시가총액의 5%을 차지한다고 가정), XMR의 C 값을 작성 일자(2018년 10월 19일) 기준 평균값을 토대로 산출한 것입니다.

<표 2> 프라이버시 풀의 시가 총액 비중 가정치에 따른 비익명화 비용

비용에 대한 또 하나의 접근법은 <표3>에 나타나있습니다. 여기서 모네로와 같은 비익명화 비용을 가지려면 이더리움이나 비트코인의 프라이버시 풀이 얼마만큼 시가총액 비중을 갖춰야 할지 산출해보았습니다.

<표 3> 고정 비익명화 비용 산정 시 시가총액 대비 프라이버시 풀 비율 %

물론 이와 같은 상위 단계에서의 분석은 공격자가 각 체인을 어떻게 접근할지에 대한 구체적인 차이점들을 고려하지 않습니다. 상기 분석의 목적은 확실한 숫자를 제공하는 것은 아니며, “lost in the crowd” 방식이 프라이버시를 어느 정도로 보장하는지 전반적으로 보여주기 위해서입니다. 시장은 그 불완전성을 감안해서 분석 결과를 받아들이되, 비트코인과 이더리움 프라이빗 풀의 비약적으로 높은 시가총액, 거래량, 거래 수수료를 고려한다면 모네로의 전체적인 익명성을 공격하는 것보다 더 비싸진다는 것은 이해할 수 있을 겁니다.

미래에 대한 투기 대신 프라이버시에 대한 시장의 정서를 정량화하는 방법 중 하나는 프라이버시를 가장 필요로 하는 사용자들, 즉 다크웹 사용자들이 어떤 암호화폐를 가장 많이 사용하는지를 파악하는 것입니다. 최근에 가장 프라이버시를 많이 보장한다고 여겨지는 암호화폐가 모네로이기 때문에 가장 많이 사용될 것이라 생각하기 쉽지만, CipherTrace에 의하면 다크웹 사용자 중 5% 미만의 사용자만이 모네로를 사용했고 오히려 대부분 비트코인을 사용한다고 합니다.

글을 맺으며

암호화폐의 존재 이유는 제3자를 신뢰할 필요 없이 거래할 수 있는 디지털 방식을 제시하는 것입니다. 국경을 초월하는 국가 권력으로부터 자유로운 암호화폐는 검열 저항성을 갖춰야 하며, 그 전제조건은 금융 프라이버시입니다. 프라이버시를 두고 익명성을 지키려는 암호화폐 생태계와 암호화폐 사용자를 식별하고자 하는 주체들 간의 경쟁이 되겠지만, 암호화폐가 성공하려면 이 경쟁에서 반드시 이겨야 합니다.

안타깝게도, 위에서 설명한대로 지캐시와 같이 완벽하게 비공개로 거래하는 비용은 지나치게 높습니다. 이는 암호화폐의 또 다른 핵심 가치제안(Value Proposition)인 ‘검증’을 퇴색시킵니다. 여기서의 ‘검증’이란 암호화폐가 무허가성 환경에서도 역대 모든 거래들 중 과도한 인플레이션, 이중지불이 없었다는 점을 보장할 수 있는 능력을 이야기합니다. ‘검증’ 특성 없이는 사회적인 확장성이 부족하여 전세계적인, 국가 권력에서 자유로운 암호화폐가 실현될 수 없을 것입니다.

따라서, 경쟁에서 승리하려면 공개적으로 검증 가능한 장부 위에 완벽하지는 않더라도 “Lost in the Crowd” 류의 개인정보보호 체계를 도입해야 할 것입니다. 표 2와 3에서 보여지듯이 비트코인과 이더리움 커뮤니티는 각자의 본질적으로 공개적인 블록체인에 프라이버시 풀(Privacy Pool)을 연결시킬 수 있으며, 각 체인이 갖춘 높은 거래량과 비용 덕분에 비익명화 비용을 빠르게 모네로 체인 전체의 비익명화 비용보다도 높도록 만들 수 있습니다. 프라이버시가 국가 권력에서 자유로운 화폐의 요소가 될 것은 확실하며, 핵심 제품이 되지는 않을 것이라는 점도 명확합니다.

프라이버시 관련 논지는 이러한 맥락 하에서 만들어져야 합니다. 기관 투자자들은 점차 거래 익명성에 최적화된 베이스 레이어 암호화폐 보다는 비트코인이나 스마트 컨트랙트 플랫폼 상에서 서비스형 프라이버시(Privacy-as-a-Service)를 제공하는 프로젝트에 투자할 것입니다. 레이어 2 서비스들은 거래할 때 프라이버시를 기본적으로 제공할 것이며, 프라이버시를 중요시하는 사람들이 이와 같은 서비스들을 사용하게 됨으로써 메인 체인 거래량이 상당히 감소하게 될 수도 있습니다.

본질적으로, 베이스 레이어 체인에서 완벽한 프라이버시를 구현하는 것이 지나치게 고가인 것은 Wasabi Wallet, Samourai Wallet, Argent, Heiswap, Tornado, Aztec Protocol 등과 같은 사업들이 추구하고 있는 기회 요인입니다. 지캐시, 모네로에 투자된 자는은 결국 이러한 기업들이나 해당 프로젝트들이 구현되고 있는 베이스 레이어 암호화폐 생태계로 유출될 것으로 판단됩니다.

부록

[1] 2020년이 되어 비트코인이 Taproot 소프트포크를 거치게되면 CoinJoins는 더 값싸고 효과적인 툴이 될 것입니다. CoinJoins가 수신인과 발신인이 누구인지 특정하는 것은 막아주지만 여전히 서명이 거래 내에 보이기 때문에 트래킹이 가능하긴 합니다. Taproot 소프트포크 이후 모든 수신인과 발신인의 서명을 하나로 모아 단일 서명으로 바꿀 수 있게 됩니다. 거래 내역에서 수신인과 발신인 주소를 완전하게 없앰으로써 Taproot은 CoinJoin 거래 비용을 낮추어 더 많은 사용자들을 확보할 수 있게 해줍니다. 또한, 이를 통해 더 나은 프라이버시도 보장합니다.

비슷하게 라이트닝 네트워크나 Liquid 사이드체인 개발에 있어서도 상당한 노력이 들어가고 있습니다. 이 두 레이어-2 솔루션 모두 기본적으로 메인 블록체인이 부족한 부분인 프라이버시를 완충하려 합니다. 라이트닝 거래는 전부 오프체인에서 발생하여 채널이 개방되거나 폐쇄되는 것만 가시적으로 잡힙니다. 또한, 모든 거래는 어니언 라우팅 패킷을 사용하기 때문에 거래당사자들이 누구인지 혹은 거래량이 얼마인지 라우팅 노드들은 알 수 없습니다. 반면, Liquid 사이드체인은 Confidential Transactions를 활용하여 거래량과 자산 종류를 블라인드 처리합니다. 하지만 Liquid 사이드체인 상에서 거래당사자인 발신인과 수신인은 알 수 있습니다.

[2] Ernst & Young의 블록체인 팀은 최근 zk-snarks를 사용하여 이더리움 상의 거래를 프라이빗하게 처리하는 Nightfall 프로토콜을 출시하였습니다. JP Morgan의 Quorum 팀은 zk-snarks를 활용하여 프라이빗 잔고를 트래킹 할 수 있는 Anonymous-Zether 프로토콜을 출시하였고, Clearmatics는 Zeth 라이브러리를 통해 지캐시 거래내역을 이더리움 상으로 바로 올릴 수 있도록 했습니다. 이렇게 이름이 알려진 사기업들이 퍼블릭 블록체인을 사용하기 이전에 거래를 비공개적으로 처리할 수 있는 능력을 보유하는 것이 선행되어야 함은 너무나 명확합니다.

이더리움과 같은 퍼블릭 블록체인 상에서 지캐시와 같은 수준의 프라이버시 보장은 불가능하다고 생각하실 수도 있습니다. 왜냐하면 그런 거래 비용은 매우 비싸니까요.

출처: The Block에서 조사한 다양한 프라이버시 서비스의 가스비

하지만 이러한 비용 문제 역시 여러 분야에서의 발전으로 인해 해결될 수 있습니다. Schnorr Signatures와 Taproot 같이 비트코인의 프라이버시를 향상시키는 기술들이 있듯이, 2019년 가을 예정된 이더리움의 이스탄불 하드포크 때 EIP-1108이 유사한 역할을 할 것입니다. 이더리움의 이러한 업데이트는 스마트 컨트랙트를 위해 사용되는 타원형 곡선 수학이 야기하는 가스비를 획기적으로 감소시킬 것입니다. Aztec 프로토콜을 구체적인 사례로 들자면 가스 비용을 현 수준의 75% 정도까지 감소시킬 것입니다.

[3] 더 향상된 가상 머신을 지닌 솔라나(Solana), 이더리움 2.0, 폴카닷(Polkadot)과 같은 미래형 블록체인들은 완전한 프라이버시가 보장된 거래를 가능케 해줄 것입니다. 아직 완료 시점이 꽤 떨어져있을 뿐더러, 이 글의 범위를 벗어나기 때문에 자세히 서술하지는 않았습니다.

[4] FloodXMR 공격은 특정 거래 24시간 전에 사용된 링서명만 재사용된다는 가정을 했는데, 이는 사실이 아닙니다. 링CT 하드포크 일자인 2017년 9월 15일부터 현재까지 사용된 모든 링 서명이 재사용 될 수 있기 때문입니다. 몇몇 가정들을 제하고 위 사실을 적용하면 Monero의 익명성 세트가 비약적으로 커지고 공격 비용도 획기적으로 증가하게 됩니다. 2017년 9월 15일부터 현재까지 Monero의 누적 거래 수수료 중 60%는 상승장이 가장 격했을 때, 2017년 11월 1일부터 2018년 2월 1일 사이에 발생했습니다. 2017년 9월부터 2018년 10월까지(2017년 11월 - 2018년 2월 제외) 매달 평균 122,000 건의 거래가 이행되었으며, 2017년 11월부터 2018년 2월까지는 매달 평균 182,000 건의 거래가 이행됐습니다. 2017년 11월과 2018년 2월 사이에 발생한 추가적인 50%의 거래들이 투기성 투자자들이 거래소에 입금하고 송금한 물량이라고 가정한다면, 이들은 공격자들이 별도로 비용을 지불할 필요도 없이 실질적으로 비익명화 된 것으로 치부할 수 있습니다. 위 가정에 따르면 2017년 9월 이후로 발생한 총 공격 비용의 낙관적인 추정치는 총 거래 수수료의 75%인 대략 3백만 달러가 되는 것입니다. 매달 전체 거래의 25%가 거래소 관련 거래라고 가정한다면 같은 기간의 총 공격 비용 추정치는 70만 달러로 축소됩니다.

참고할만한 부분은 Bulletproof 포크가 2018년 10월에 시행되어 거래수수료가 95% 감소한 이후에는 공격자가 75%의 거래량을 차지하기 위한 비용이 매달 1만 달러 이하로 감소했다는 점입니다. 국가 정보 기관이나 호기심 많은 컨설팅 업체에서 충분히 감당할 수 있을만한 비용입니다. 위 주장의 핵심 가정은 2017년 9월부터 2018년 10월 사이에 충분한 정보가 노출되어 공격자가 해당 기간 동안의 거래들 중 50%를 이미 비익명화 했다는 것입니다. 따라서 공격자는 Monero 거래량의 75% 점유율을 유지하기 위한 비용만을 지속적으로 지불하면 된다는 것입니다.(모든 거래 수수료 정보 출처 bitinfocharts.com)

[5] 구글의 BigQuery 내 퍼블릭 “crypto-bitcoin” 데이터베이스에서 나온 데이터이며, 방법론적인 부분은 해당 쿼리의 인라인 코멘트로 상세하게 나와있습니다.