개인정보를 둘러싼 비트코인 지갑 전쟁의 의미
이 기사를 공유합니다
Christine Kim
Christine Kim 2019년 8월8일 10:00
A Battle Between Bitcoin Wallets Has Big Implications for Privacy
출처=셔터스톡

지난 목요일 비트코인 개인 지갑 업체 사무라이(Samourai)는 주요 경쟁사인 와사비(Wasabi) 월릿이 지속적인 네트워크 공격의 대상이라고 발표했다.

이는 사무라이 월릿이 지난 7월 중순부터 자사의 블로그를 통해 꾸준히 제기한 와사비 월릿에 대한 의혹 중 최신 발표다.

사무라이 월릿에 따르면 이번 공격은 소수의 사용자가 새로운 ID를 위조하여 사용자가 많은 것처럼 위장하는 시빌 공격(Sybil)과 유사하다. 이는 사용자가 비트코인 거래를 감출 수 있는 익명 설정이나 거래량이 실제로는 와사비 월릿이 제시한 것보다 크지 않다는 것을 의미한다.

"와사비 월릿이 설명하듯, 와사비 혼합 기술(Wasabi mixing technique)의 핵심은 사용자가 '사용하지 않은 거래 결과'를 '충분히' 많은 집단(피어, peer)에 숨기는 것이다. 현재 와사비 혼합의 익명 설정은 100 피어이다." - 사무라이 월릿 블로그

즉, 와사비 월릿이 제공하는 익명 설정 피어 중 20명이 실제로는 1명의 사용자라면, 그 사용자의 ID가 노출되는 순간 동일한 익명 설정 풀의 다른 모든 사용자의 개인정보 보호 수준이 낮아진다.

독립 비트코인 연구가 맥스 힐브랜드(Max Hillebrand)는 "만약 공격자에 의해 식별화된 트랜잭션이 하나 이상 있다면, 더이상 익명 설정은 100 피어라고 할 수 없다"고 설명했다.

사무라이에 따르면 와사비 월릿 네트워크 데이터에 대한 시빌 공격은 올해 1월부터 시작됐다.

이에 대해 와사비 월릿은 사무라이 월릿의 주장을 반박하는 성명을 발표했다.

그 결과, 개인정보를 중시하는 비트코인 사용자는 개인정보를 보호하는데 어느 지갑이 효과적인지 혼란에 빠졌다.

 

코인조인(CoinJoin)의 역사


사실상 사무라이 월릿과 와사비 월릿의 핵심 디자인은 공통점이 많다.

사무라이 월릿의 공동 창업자인 'SW'는 코인데스크와의 인터뷰에서, 어느 시점부터 사무라이와 와사비가 같은 응용 프로그램으로 봐도 무방하다고 말했다.

사무라이 월릿의 수석 개발자 'TDevD'와 와사비 월릿의 수석 개발자 'nopara73'은 제로링크(ZeroLink)라는 비트코인 개인정보 보호 기술을 코인조인에서 구현하기 위해 협업한 바 있다.

"우리는 (개인정보 보호 기술) 구현 방법에 의견이 달랐다. 그래서 갈라지게 됐다. 우리는 서로가 원하는 방식으로 프로젝트(개인정보 보호 기술)를 진행했다." - SW 사무라이 월릿 공동 창업자

사무라이 월릿은 제로링크를 월풀(Whirlpool)이라고 부르며, 세부적으로 와사비 월릿과는 과금 체계(pricing mechanism)가 다르다. 사무라이 월릿과 와사비 월릿의 나머지 부분은 동일하다. 그 결과 SW는 사무라이 월릿의 월풀 시스템은 독자적인 과금 체계를 통해 악의적 사용자가 시빌 공격으로 다른 사용자의 익명성을 깨는데 더 큰 비용이 필요하다고 주장한다.

 

'이건 미친 짓'


nopara73으로 잘 알려진 와사비 월릿의 수석 개발자 아담 픽서(Adam Ficsor)는 사무라이 월릿의 월풀 시스템이 사용자의 확장된 공개키를 처리하기 위해 중앙화 백엔드 서버를 사용하는 점을 고려할 때 사용자 익명성은 언제든지 깨질 수 있다고 지적했다.
"엿 먹어."
"어떻게 기본이 올바른 프로젝트보다 당신이 한 멍청한 디자인이 상당한 이점이 되는 것처럼 행동할 수 있나?" -아담 픽서, 2019년 7월 21, 개인 블로그

아담 픽서는 두 번째 블로그 게시물을 통해 사용자 지갑 주소를 백엔드 서버로 보내는 문제는 코인조인의 제작자인 그레고리 맥스웰(Gregory Maxwell)이 제기한 것이라고 덧붙였다. 맥스웰은 자신이 사무라이 월릿에 애정을 갖고 접근했지만, 오히려 허위주장을 했다고 레딧(Reddit)에서 비난받고, 괴롭힘을 당했다고 말했다.
"지갑을 사용할 때, 사무라이 월릿은 당신의 모든 공개키를 확장 공개키(XPUB) 형식으로 전송한다. 사무라이는 이를 통해서 현재와 미래의 모든 주소에 접근할 수 있다." - 아비브 밀너(Aviv Milner, 별명 zkSNACKs) 와사비 월릿 커뮤니티 기술 지원 리더

백엔드 서버에 대한 사무라이 월릿의 의존 문제에 대해 SW는 "사무라이 월릿은 공개키 데이터를 제삼자에게 판매하지 않는다는 사용자의 신뢰를 얻고 있다"고 말했다.

 

'항상 섞어라'


전문가들은 와사비 월릿과 사무라이 월릿 사이에서 확실한 승자는 없다고 말한다.
"코디네이터를 신뢰해서는 안 된다. 코디네이터가 알고 있는 것은 모두가 알고 있다고 가정해야 한다. 또한 개발자는 그동안의 경험을 통해 중앙 서버를 신뢰할 수 있다는 점을 알아야 한다. 이제 '당신의 선택'은 모든 개인과 독특한 경험에 따른 위협 모델에 좌우된다." - 맥스 힐브랜드 독립 비트코인 연구가

맥스 힐브랜드에 따르면 양사의 제로링크 구현은 기본적으로 동일하다. 결국 사용자는 어느 것을 선택하더라도 개인정보 보호 절차를 준수함으로써 이 문제를 스스로 해결해야 한다.
"비트코인의 개인정보 보호는 매우 어렵다. 블록체인은 누구나 모든 사람들의 정보를 볼 수 있기 때문에 미래에 당신이나 다른 사용자가 실수하면 공격 받을 것이다. 당신이 사용하는 지갑의 유형, 소비 습관(시간, 금액 등) 정보를 하나로 통합 관리한다면, 당신을 프로파일하고, 식별화하는데 이용될 수 있다." - 케빈 로에크(Kevin Loaec) 블록체인 컨설팅 업체 체인스미스(Chainsmiths) 이사

따라서 와사비 월릿과 사무라이 월릿을 모두 사용하는 케빈 로에크는 사용자가 어느 한 쪽의 비트코인 지갑에 정착할지 결정하는 것은 정답이 아니라고 강조했다.
"코인조인을 사용해라. 하지만 당신의 개인정보가 괜찮을 것이라고 넘겨짚지 말아라. '항상 섞어라' " - 케빈 로에크 체인스미스 이사

번역: 박근모/코인데스크코리아
This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.