|
새로운 기술은 암호화폐와 Web3 지갑을 더 편리하게 만들 수 있습니다.
출처 cointelegraph 저자 톰 블랙스톤 소스:EK 이페어케이 플러스
개발자들은 시드 단어와 개인 키를 제거하는 동시에 사용자를 제어할 수 있는 방법을 연구하고 있습니다.
Web3 생태계의 기반은 사용자가 웹 ID를 확인하고 거래를 승인할 수 있는 앱 또는 브라우저 확장 프로그램인 지갑입니다. 그러나 지갑을 사용하는 것은 항상 가파른 학습 곡선을 수반했습니다. 신규 사용자는 시드 단어를 복사하여 안전한 장소에 저장하고, 키 저장소 파일을 암호화하기 위해 강력한 암호를 만들고, 자금을 보낼 때 주소를 정확하게 복사하고, Web2 앱을 사용할 때 배울 필요가 없는 기타 사항을 배워야 합니다.
신규 사용자가 온보딩에 더 쉽게 액세스할 수 있도록 하려면 한 가지 옵션은 중앙 집중식 거래소와 같은 보관 지갑 제공업체를 사용하는 것입니다. 그러나 경험 많은 암호화폐 사용자는 거의 항상 이에 대해 주의를 기울일 것입니다. 전 세계는 Mt. Gox, QuadrigaX 및 FTX와 같은 중앙 집중식 거래소가 해킹이나 노골적인 사기로 파산하여 일부 고객이 보관 지갑 사용으로 인해 모든 자금을 잃는 것을 목격했습니다.
이러한 위험 때문에 많은 암호화폐 사용자는 여전히 일련의 시드 단어로 백업되는 비수탁 지갑을 사용자가 Web3 ID를 보호할 수 있는 유일한 안전한 방법으로 보고 있습니다.
그러나 사용자는 항상 보안과 편의성 중 하나를 선택해야 합니까? 아니면 비수탁형 지갑의 보안과 거래소의 편의성을 결합할 수 있는 방법이 있습니까?
몇몇 Web3 회사는 사용하기 쉽지만 사용자가 중앙 집중식 관리인에게 모든 신뢰를 둘 필요가 없는 지갑을 만들려고 노력하고 있습니다. 매직(Magic), DFNS, 크레수스(Kresus), 웹쓰리오트(Web3Auth), 이뮤터블(Immutable) 등과 같은 회사들은 지갑이 이메일 계정만큼 사용하기 쉽고 사용자의 신원과 자금을 보호할 수 있을 만큼 충분히 안전할 수 있다고 믿습니다. 이 회사들은 이 아이디어를 현실로 만들기 위해 다양한 유형의 새로운 지갑 인프라를 사용하고 있습니다.
다음은 지갑 개발자가 사용하는 몇 가지 솔루션에 대한 요약입니다.
마법
새로운 시스템 중 하나는 Magic Labs에서 제작한 Magic SDK(소프트웨어 개발자 키트)입니다. 개발자가 사용자를 위한 씨 없는 지갑을 만들 수 있는 개발자 키트 및 지갑 인프라입니다.
사용자의 디바이스에 프라이빗 키를 저장하는 대신 암호화된 사본이 Amazon Web Services HSM(Hardware Security Module)에 보관됩니다. 암호화는 HSM을 벗어날 수 없는 마스터 키를 사용하여 수행됩니다. 모든 서명은 HSM 내에서 수행되므로 사용자의 키가 인터넷으로 브로드캐스트되지 않습니다.
매직 월렛은 비밀번호를 사용하지 않습니다. 대신, 사용자가 매직 월렛에 처음 가입할 때 매직 릴레이어에게 이메일 주소를 제출합니다. 그런 다음 릴레이어는 이메일을 통해 사용자에게 일회용 토큰을 보냅니다. 이 토큰은 요청을 보낸 장치에서 제한된 시간 동안만 사용하는 경우에만 작동합니다.
이 토큰은 사용자가 이메일 내의 링크를 클릭할 때 Amazon Web Services를 인증하는 데 사용됩니다. 그런 다음 블록체인 지갑 계정의 개인 키와 공개 키가 사용자의 장치에서 생성되어 HSM으로 전송됩니다. Magic Labs는 생성된 개인 키가 서버로 이동하지 않기 때문에 볼 수 없다고 말합니다.
사용자가 지갑 사용을 중지하고 브라우저를 닫으면 이 과정을 반복하여 지갑을 다시 열 수 있습니다. 그들은 매직에 이메일 주소를 다시 제출하고 새로운 일회용 토큰을 받습니다. 이번에는 인증 후 지갑에 다시 액세스할 수 있습니다.
Magic Labs는 시스템 작동 방식을 보여주는 데모를 만들었습니다. 누구나 브라우저 확장 프로그램을 다운로드하거나 시드 단어를 복사하지 않고도 지갑을 만들 수 있는 것으로 보입니다. 또한 사용자는 브라우저를 닫고 나중에 지갑으로 돌아가 동일한 Web3 계정에 다시 로그인할 수 있습니다.
데모는 현재 Goerli, Sepolia 및 Mumbai와 같은 테스트넷에서만 작동합니다.
Magic 기반 지갑
매직을 사용하는 몇 가지 다른 지갑이 출시되었거나 현재 개발 중입니다. 한 가지 주목할만한 예는 사용자가 비트코인을 저장하고 보유할 수 있는 모바일 앱인 Kresus 지갑입니다
증권 시세 표시기
티커 다운
26,941달러
에테르
이더리움
티커 다운
1,813달러
솔라나
솔
티커 다운
21달러
다각형
마티치
티커 다운
$0.8629 (달러)
그리고 이러한 네트워크의 토큰. 또한 사용자는 암호화 주소 대신 .kresus 도메인 이름을 사용하여 암호화를 보낼 수 있습니다.
Kresus는 11월 2023일 Apple App Store에서 출시되었습니다. 팀은 코인텔레그래프에 안드로이드 버전이 <>년 후반에 출시될 것이라고 말했다.
불변의 여권은 또 다른 예입니다. Web3 게임 개발사 Immutable이 구축한 애플리케이션 프로그래밍 인터페이스(API)입니다. 참여 게임이 웹사이트를 Passport와 통합하면 플레이어가 게임 사이트를 통해 직접 지갑을 만들 수 있습니다.
관련 : 불변이란 무엇인가, 설명
이뮤터블은 코인텔레그래프에 패스포트 지갑이 레이어 2 이더리움 프로토콜인 이뮤터블 X 네트워크에 연결되어 플레이어가 처음 가입한 게임에 관계없이 모든 이뮤터블 게임 수집품을 하나의 계정에 저장할 수 있다고 말했습니다.
Immutable은 최근 개발자 포털의 기본 로그인 방법으로 Passport를 구현했으며 2023년 여름까지 최소 하나의 게임 로그인 페이지에 사용할 계획이라고 팀은 말했습니다.
매직의 보안 문제
Magic SDK에는 개발자가 완화하기 위한 조치를 취한 알려진 보안 결함이 하나 포함되어 있습니다. 사용자를 인증하기 위해 이메일 토큰을 사용하기 때문에 공격자는 이메일 계정을 해킹한 다음 공격자 자신의 디바이스에서 인증을 요청하여 사용자의 HSM에 대한 액세스 권한을 얻을 수 있습니다. HSM에 대한 액세스 권한이 부여되면 사용자 계정의 모든 트랜잭션에 권한을 부여할 수 있습니다.
이러한 이유로 Immutable Passport와 Kresus는 사용자의 이메일 계정이 손상될 경우를 대비하여 추가 보안 계층으로 이중 인증(2FA)을 사용할 계획입니다.
매직 기반 지갑에는 비밀번호가 없기 때문에 비밀번호 해시를 훔치고 크래킹하는 일반적인 방법을 통해 해킹할 수 없습니다.
Web3인증
개발자들이 자주 사용하는 또 다른 새로운 지갑 인프라는 Web3Auth입니다.
Web3Auth는 개인 키를 복구할 수 있도록 MPC(다자간 계산)에 의존하는 키 관리 네트워크입니다. 사용자가 Web3Auth를 사용하여 계정에 가입하면 평소와 같이 개인 키를 생성합니다. 그런 다음 이 키는 세 개의 "공유"로 분할됩니다.
첫 번째 공유는 장치에 저장되고, 두 번째 공유는 로그인 공급자를 통해 Web3Auth 네트워크에 저장되며, 세 번째 공유는 별도의 장치 또는 오프라인으로 저장되어야 하는 백업 공유입니다. 사용자가 원하는 경우 보안 질문에서 세 번째 공유를 생성할 수도 있습니다.
다자간 계산이 작동하는 방식 때문에 사용자는 개인 키를 생성하고 세 개의 공유 중 두 개로만 트랜잭션을 확인할 수 있습니다. 즉, 사용자는 기기가 충돌하거나 백업 키를 분실한 경우에도 지갑을 복구할 수 있습니다. 동시에 로그인 공급자는 공유가 하나만 있으므로 사용자의 허가 없이 트랜잭션을 수행할 수 없습니다.
공급자는 또한 트랜잭션을 검열할 수 없습니다. 공급자가 올바르게 인증한 후 사용자에게 두 번째 공유 제공을 거부하는 경우 사용자는 디바이스에 저장된 공유와 백업 공유의 조합을 사용하여 프라이빗 키를 생성할 수 있습니다.
Web3Auth에서 로그인 공급자 공유는 <>개의 서로 다른 샤드로 더 분할되어 스토리지 노드 네트워크에 분산되며, 공급자 공유를 재구성하려면 <>개의 샤드가 필요합니다. 이렇게 하면 로그인 공급자가 자체 인프라에 공유를 저장할 수 없습니다.
Web3Auth 지갑
Web3Auth는 바이낸스 월렛과 트러스트 월렛의 클로즈 베타 버전을 포함한 여러 소매 지갑에 통합되었습니다. 바이낸스 월렛의 확장 버전에서 사용자는 Google 로그인을 사용하여 월렛 계정을 만들 수 있습니다. Web3Auth Twitter 계정의 공식 비디오에 따르면 Trust Wallet 버전에서 Google, Apple, Discord 및 Telegram은 로그인 공급자 옵션입니다.
두 경우 모두 사용자는 여전히 시드 단어를 복사해야 합니다. 그러나 이러한 단어가 손실되더라도 사용자가 장치와 로그인 공급자 계정 모두에 계속 액세스할 수 있는 한 계정을 복구할 수 있습니다.
코인텔레그래프와의 인터뷰에서 Web3Auth의 CEO인 Zhen Yu Yong은 Web3에서 여러 키 공유를 사용하는 것으로의 전환은 Web2 사이트에서 2FA의 진화와 유사하다고 주장했다.
"2000년대 초반이나 1990년대 후반의 사용자 이름과 비밀번호는 잃어버리기가 매우 쉬웠습니다. 그 당시 우리는 금융 애플리케이션이 인터넷에 구축되지 않을 것이라고 생각했습니다."
"사용자 이름과 비밀번호를 사용하여 결국 이중 인증으로 진행했습니다."라고 Yong은 계속했습니다. "나는 그것이 우리가 여기서 추진하려고 하는 것과 같은 전환이라고 생각합니다. 단일 요소 시드 문구를 사용하는 대신, 우리는 이것을 여러 가지 다른 요소로 나누고 있습니다 [...] 모든 액세스 포인트가 되도록 하므로 여전히 모두 자체 관리됩니다."
증권 시세 표시기
"방어"로 발음되는 Dfns는 기관, 개발자 및 최종 사용자가 암호 및 시드 없는 지갑을 만들 수 있도록 하는 MPC 키 관리 네트워크입니다. 각 블록체인의 개인 키를 Dfns 네트워크 전체의 노드 간에 분산된 여러 샤드로 보유합니다.
트랜잭션을 승인하려면 Dfns 노드가 각 샤드를 사용하여 서명을 공동으로 생성해야 합니다.
Web3Auth와 달리 Dfns는 블록체인 개인 키의 공유를 사용자 장치에 보관하거나 백업으로 유지하지 않습니다. 모든 샤드는 네트워크 자체에 보관됩니다.
Dfns 노드는 "WebAuthn"이라는 프로토콜을 사용하여 사용자가 트랜잭션에 권한을 부여했는지 확인합니다. 이 프로토콜은 사용자가 암호 없이 웹사이트에 로그인할 수 있도록 World Wide Web Consortium에서 만들었습니다. Dfns에서 노드는 최종 사용자가 이 프로토콜을 사용하여 인증한 경우에만 샤드로 트랜잭션에 서명하도록 프로그래밍됩니다.
사용자가 WebAuthn을 사용하여 웹사이트에 등록하면 사이트에서 사용자의 기기에 비공개 키를 만듭니다. 이 개인 키는 블록체인에서 사용되지 않습니다. 사용자가 사이트에 로그인할 수 있도록 하기 위해서만 존재합니다.
키를 만들 때 핀 코드 또는 생체 인식 잠금으로 키를 보호하라는 메시지가 사용자에게 표시됩니다. Windows PC에서 이 잠금은 운영 체제의 일부인 Windows Hello를 통해 또는 휴대폰 또는 Yubikey와 같은 별도의 장치를 통해 만들 수 있습니다. 모바일 장치에서는 장치에 내장된 보안을 사용하여 잠금이 생성됩니다.
WebAuthn 등록 프롬프트의 예입니다. 출처 : WebAuthn.io
WebAuthn 등록을 구현하는 웹 사이트에서는 이메일 주소나 비밀번호가 없어도 등록할 수 있습니다. 대신 장치는 자체 보안 시스템을 사용하여 사용자를 식별합니다.
지갑 개발 팀이 Dfns를 사용하여 지갑을 만들 때 이 인증 방법을 최종 사용자에게 전달할 수 있습니다. 이 경우 지갑 제공자는 사용자의 장치, 핀 코드 또는 생체 인식 데이터를 가지고 있지 않아 거래를 승인할 수 없기 때문에 지갑은 비수탁으로 간주됩니다.
최종 사용자는 첫 번째 장치가 충돌하는 경우 지갑에 장치를 추가할 수도 있습니다.
지갑 개발자는 Dfns를 사용하여 보관 지갑을 만들 수도 있습니다. 이 경우 지갑 개발자는 WebAuthn을 사용하여 네트워크에 인증해야 합니다. 사용자 이름과 암호를 포함하여 모든 방법을 사용하여 자신을 인증할 수 있습니다.
Dfns를 사용하는 지갑
Dfns의 설립자인 클라리스 해제주(Clarisse Hagège)는 코인텔레그래프와의 인터뷰에서 DFNS의 고객 중 상당수가 B2B 시장의 기관 및 개발팀이라고 말했다.
그러나 팀은 최근 더 많은 B2C(기업 대 소비자) 지갑 제공업체를 유치하기 시작했습니다. 소매 암호화폐 저축 앱인 SavingBlocks는 Dfns를 사용하며, 회사는 고객을 위한 지갑을 만드는 데 도움을 주기 위해 몇 개의 탈중앙화 거래소와 논의 중이라고 그녀는 말했습니다.
Hagège는 암호화폐 대량 채택이 일어나기 위해서는 사용자가 거래를 할 때 블록체인 개인 키가 있다는 사실조차 인식해서는 안 된다고 주장했습니다.
"우리가 목표로 삼고 있는 것은 수십만 명의 개발자들이 블록체인 대량 채택을 목표로 하는 사용 사례를 구축하는 것이며, 개인 키가 있다는 것을 알고 싶어하지 않는 사람들을 대상으로 합니다." "우리는 키 생성을 운영하는 서버 네트워크를 가지고 있으며, 중요한 것은 실제로 개인 키나 키 공유를 소유하는 것이 아니라 API에 대한 액세스를 소유하는 것입니다."
새로운 지갑 기술이 대중에게 채택 될 것인가?
이러한 새로운 지갑 기술이 대량 채택으로 이어질지 아니면 현재 사용자가 받아들일지는 두고 봐야 합니다. 단순함에도 불구하고 거래소에 암호화폐를 보유하는 것을 선호하는 사용자에게는 여전히 너무 복잡할 수 있습니다. 반면에 "키가 아니라 암호화폐가 아니다"라는 만트라를 믿는 사용자는 Amazon이 소유한 MPC 네트워크 또는 하드웨어 보안 모듈을 신뢰하여 거래를 승인하는 것을 의심할 수 있습니다.
그러나 일부 사용자는 MPC 또는 매직 링크의 장점이 너무 좋아서 포기할 수 없다고 결정할 수 있습니다. 단지 시간이 말해 줄 것이다.
한편, 이러한 새로운 기술은 사용자가 자금을 계속 통제할 수 있도록 하는 방법이나 "자체 관리"가 실제로 무엇을 의미하는지에 대한 논의를 불러일으킬 것입니다.
저자 톰 블랙스톤
Tom Blackstone은 2014년부터 금융 및 기술에 대해 글을 쓰고 있습니다. 그의 전문 분야에는 암호화 규정, 지갑 보안, 공개/민간 암호화, 암호화폐의 역사 및 블록체인 비디오 게임이 포함됩니다.
|