2024년 TABCONF 해커톤에서 탄생한 Frostr는 Nostr의 가장 심각한 문제인 개인 키가 손상되었을 때 비밀번호를 재설정할 수 없는 문제를 해결했을지도 모릅니다.
2024년 10월에 시작된 Frostr는 Nostr 생태계를 위한 데스크톱 및 브라우저 확장 키 서명기인 Igloo와 Frost2x의 알파 버전을 발표했습니다.
이 프로젝트는 Tapscript를 개발하여 비트코인 엔지니어로 이름을 알린 Topher(cmdruid)와 Voltage의 라이트닝 개발자이자 PlebDevs의 창립자인 Austin(bitcoinplebdev)에 의해 설립되었습니다. PlebDevs는 500명 이상의 학생이 등록된 라이트닝 기반 개발자 교육 플랫폼입니다.
비밀번호를 재설정하는 것은 무해하거나 간단한 UI 기능처럼 보일 수 있지만, 그렇게 쉽지 않습니다. 이 문제를 해결하는 데 필요한 복잡성의 여정을 안내해 드리겠습니다.
소셜 미디어 혁명
소셜 미디어는 세상을 변화시켰습니다. 그럼에도 불구하고 우리는 디지털 아이덴티티와 관련하여 이상한 상황에 처해 있습니다. 온라인에서 우리가 누구인지와 우리의 온라인 프로필 소유권을 주장하는 방법은 종종 Facebook과 같은 신뢰할 수 있는 제3자에 의존합니다. 이들은 개인 고객에 대해 신경 쓰지 않을 만큼 너무 크고 언제든지 규칙을 변경하거나 계정을 완전히 취소할 수 있는 권한을 가지고 있습니다.
최근 몇 년 동안 논란이 있는 인플루언서와 정치인들의 플랫폼에서 퇴출된 사례는 이러한 중앙집중적 권력이 어떻게 행사될 수 있는지를 보여줍니다. 아마도 가장 잘 알려진 예는 미국 의사당에서의 1월 6일 폭동 직후 도널드 트럼프 미국 대통령이 Facebook과 Twitter에서 제거된 사건일 것입니다. 이는 그의 첫 임기가 끝나기 며칠 전이었습니다.
그럼에도 불구하고 많은 세계가 여전히 이러한 디지털 신세습 구조에서 운영되고 있습니다. 아이덴티티의 “탈중앙화”에 근본적인 문제가 있는 것으로 보입니다.
현대의 은행 강도
아이덴티티 시스템은 사회의 중요한 층입니다. 2,000년 전 로마의 시민이든 오늘날 미국의 시민이든, 당신이 소지한 신분증에 따라 문이 열리고 닫힙니다. 오늘날의 시스템은 고도로 발전된 것처럼 보이지만, 신원과 보안에 대한 디지털 이전 개념에 의존합니다: 그들은 당신의 얼굴을 인증하는 데 의존합니다.
신분증 자체, 즉 운전면허증이나 여권은 전 세계의 정부 직원, 은행 직원 및 바의 경비원이 매우 간단한 일을 수행하는 데 도움을 줍니다: 공식 카드에 있는 사람과 당신이 닮았는지 결정하고, 그 후에 접근이 허용되는지 여부를 판단하는 것입니다.
하지만 세상은 빠르게 변하고 있습니다. 당신의 외모의 불명확함이나 사회 보장 번호(SSN)의 비밀스러운 성격은 인터넷 이전의 세계에서와 같지 않습니다: 많은 사람들이 Facebook에 자신의 이름과 사진을 공개했으며, 해킹으로 인해 많은 SSN 데이터가 다크 웹에 유출되었습니다. (예를 들어, 2017년의 Equifax 데이터 유출은 1억 4,790만 명의 미국인에게 영향을 미쳤고, 2024년의 국가 공공 데이터 유출은 2억 명 이상의 미국인이 손상되었습니다.)
아날로그, 인터넷 이전의 시대에, 강도가 지역 은행의 문을 부수고 들어가면 금고에 저장된 현금, 금, 거래 가능한 귀중품을 훔치기 위해 그렇게 했습니다.
하지만 이제는 그렇게 작동하지 않습니다. 디지털 시대에서는 돈이 더 이상 현금이 아닙니다. 법정 통화 결제는 종종 되돌릴 수 있으므로, 만약 당신이 은행에 해킹하여 돈을 당신의 계좌로 이동시키면, 그것은 되돌릴 수 있을 뿐만 아니라 당신의 아이덴티티에 대한 링크를 노출하게 됩니다.
오늘날 온라인 강도의 동등한 존재는 현금, 금 또는 기타 귀중품을 훔치려는 것이 아니라 개인 아이덴티티 데이터를 훔치려는 것입니다.
그 데이터는 다시 그 같은 은행과 모든 규모의 기업을 사기치는 데 사용될 수 있습니다.
실제로, 아이덴티티 사기는 모든 형태의 절도보다 더 많은 비용이 들며, 2020년에는 560억 달러를 초과했습니다.
많은 중앙집중식 플랫폼이 데이터 금고가 해킹당하고 그 내용이 다크 웹에서 몇 푼에 팔린 것뿐만 아니라, AI는 빠르게 발전하고 있으며 이미지 생성의 튜링 테스트를 이미 통과했습니다. 우리는 악의적인 행위자가 유출된 사용자 데이터를 사용하여 가짜 신분증을 들고 있는 가짜 셀카를 생성하고 디지털 자산의 문지기들을 속일 수 있는 지점에 도달했습니다.
이 위협은 변화를 유도할 가능성이 있으며, 기술 기업과 정부 기관이 아이덴티티 시스템을 업그레이드하기 위한 새로운 노력을 볼 수 있습니다. 예를 들어, 캘리포니아의 모바일 운전면허증 앱인 mDL은 Google 및 Apple과 협력하여 개발되었으며, 처음에는 신원 확인을 위해 공항과 통합됩니다. 그러나 이 앱은 또한 개발자들이 일반 웹사이트 인증의 한 형태로 통합하도록 초대합니다. ID.me도 유사한 접근 방식을 취하고 있으며 이미 IRS와 완전히 통합되어 1억 3,600만 명의 회원을 자랑합니다.
이러한 앱 중 많은 것은 얼굴 또는 지문 인증을 요구하며, 사용자에게 인증을 받기 위해 신분증과 최근 신문을 들고 있는 복잡한 KYC 셀카를 요구합니다.
Facebook 시대에 아이덴티티를 인증하기 위해 얼굴을 사용하는 명백한 약점에도 불구하고, 기술 대기업들은 생체 데이터를 계속 의존하고 있으며, 이는 중국에서 구축되고 있는 사회 신용 점수 시스템에서 볼 수 있는 대규모 감시 도구와 결합되고 있습니다.
디지털 시대의 운명처럼 보이는 것을 억제할 기회를 가지려면, 서구에 도달하기 전에 생체 데이터에 의존하지 않고 안전한 아이덴티티 인증 시스템이 필요합니다. 우리는 우리의 얼굴에 의존하지 않는 아이덴티티 시스템이 필요합니다.
Nostr 등장, 비트코인 시대의 아이덴티티 및 소셜 미디어 프로토콜
비트코인 개발 생태계에서 탄생한 Nostr는 빠르게 독립적인 소셜 미디어 네트워크로 성장했습니다.
“Notes and Other Stuff Transmitted by Relays”의 약어인 Nostr는 사용자가 소셜 미디어 가명(nym)으로 인증하고 비트코인 스타일의 개인 키로 게시물을 서명할 수 있도록 합니다. 현재 구조에서 인터넷을 민주화하는 자가 보관 시스템으로서, 소셜 미디어에 대한 새로운 가능성을 열어줍니다.
Nostr의 지지자들은 사용자가 마침내 자신의 데이터를 소유할 수 있으며 플랫폼을 이동하거나 잘못된 정당을 선택할 때 실리콘 밸리 거대 기업의 자선이나 자비에 의존할 필요가 없다고 주장합니다.
Nostr는 분산 클라이언트-서버 네트워크 토폴로지를 통해 작동하며, 이를 통해 다양한 서버인 릴레이를 통해 콘텐츠에 접근할 수 있습니다. 하나가 다운되거나 사용자를 불공정하게 검열하기 시작하면, Nostr 콘텐츠 피드에 접근할 수 있는 또 다른 창구가 있을 가능성이 높으며, 이를 통해 자신의 생각을 게시할 수 있습니다.
Nostr의 꿈은 사용자를 데이터로 채굴하여 제품으로 만들지 않고, 생체 인증을 강요하지 않으며, 개발자가 이미 오픈 소스인 암호화 및 사양으로 구축할 수 있는 열린 네트워크에서 구축할 수 있는 새로운 세대의 소셜 미디어 기술을 여는 것입니다. 이 기술은 비트코인, 즉 인터넷의 돈과 본질적으로 통합되어 있습니다.
가짜 계정으로부터 Nostr 브랜드를 보호하고자 하는 유명인과 사용자들은 Keybase에서 개발한 것과 유사한 표준을 따를 수 있습니다. Keybase는 사용자가 다른 소셜 미디어 계정으로 자신의 keybase 아이덴티티를 공개적으로 증명하도록 요청하여 평판의 지표를 암호적으로 제어되는 하나의 아이덴티티로 통합합니다. 현재 Nostr에서는 이러한 관행이 이루어지지 않지만, 이는 Keybase에 의해 분산 방식으로 잘 해결된 문제입니다.
하지만 모든 것이 순조롭지만은 않습니다. 아이덴티티 소유권을 가장자리로 밀어내는 것은 지금까지 해결되지 않은 새로운 문제 세트를 동반하며, 이는 개인적으로 제가 Nostr에서 브랜드를 구축하는 데 투자하는 것을 주저하게 만들었습니다.
비밀번호 재설정 불가
현재 Nostr nym 또는 아이덴티티의 비밀번호를 재설정하는 실제 방법은 없습니다. 간단한 공개 키 쌍 시스템으로 구축된 Nostr에서 개인 키가 해킹되거나 유출되면, 당신의 아이덴티티는 이제 그것을 얻은 사람의 통제 하에 놓이게 됩니다. (당신과 그 사람 모두 비밀을 가지고 있으므로, 아무도 독점적으로 통제할 수 없습니다.)
이것은 큰 문제입니다. 이러한 해킹의 예는 그리 흔하지 않지만, 이는 이 새로운 소셜 네트워크 프로토콜에 진지한 자본을 투자할 수 있는 브랜드에 대한 상당한 억제 요소입니다.
이 특정 위험은 Nostr의 의도된 설계로 인해 악화됩니다. 이는 다양한 인터페이스가 동일한 사용자 아이덴티티로 다양한 종류의 콘텐츠에 접근하기 위해 생성되도록 초대하며, 사용자가 여러 클라이언트에 개인 키를 제공하게 되어 손상 위험이 증가합니다.
결과적으로 인기를 얻은 방어의 한 층은 외부 서명자의 개념입니다. 이는 종종 Alby와 같은 브라우저 확장 프로그램으로, 개인 키를 비밀번호 관리자의 일종으로 관리하여 다양한 Nostr 플랫폼에서 콘텐츠 서명을 용이하게 합니다.
현재로서는 잘 작동하지만 근본적인 문제를 해결하지는 못합니다. 한 번의 실수로 nym이 효과적으로 손상되며, 구축된 브랜드나 평판의 가치는 손상될 뿐만 아니라, 사기꾼이 당신의 아이덴티티를 사용하여 친구나 고객을 괴롭힐 수 있는 가능성이 있습니다.
이는 Facebook, Instagram 및 Twitter에서 매우 흔한 사칭 사기와 유사합니다. 이들은 당신의 프로필을 복제하고 당신의 지인들에게 피싱 계획으로 DM을 보냅니다. 하지만 Nostr에서는 이러한 공격이 당신의 아이덴티티로 이루어지므로, 문제가 있는 사람들에게 모든 콘텐츠의 진정성에 대한 신뢰를 상당히 해칠 수 있습니다.
해결책은 간단해야 합니다: 비밀번호 재설정 기능을 만들면 됩니다. 그렇죠?
하지만 여기서는 매우 창의적인 엔지니어링이 필요하다는 것이 밝혀졌습니다. 비밀번호 재설정은 기본적으로 당신의 아이덴티티에 대한 통제를 포기하고 중앙 데이터베이스를 업데이트할 수 있는 제3자에게 새로운 키 세트를 제공해야만 가능합니다.
지금까지는 그렇습니다. 이제 Frostr에 대해 알아보겠습니다.
Frost, 주권 키 관리의 혁신
최근 암호학의 혁신은 비트코인 및 암호화폐 산업에서 자가 보관을 위한 새로운 문을 열었습니다. 시장에 빠르게 진입하고 있는 특정 혁신은 Frost입니다. 이는 Schnorr 기반의 키 관리 및 키 회전 방식으로, 비트코인 다중 서명 주소 및 거래와 유사한 기능을 달성하지만 온체인 거래 비용이나 개인 정보 보호의 거래를 필요로 하지 않습니다.
Schnorr는 1990년대에 발명된 암호학의 한 형태입니다. 유럽 및 미국 특허가 만료된 몇 년 후, Schnorr는 비트코인의 미래 업그레이드로 논의되기 시작했으며, 궁극적으로 2020년 Taproot 소프트 포크 업그레이드에서 도입되었습니다.
같은 해 Chelsea Komlo와 Ian Goldberg는 “FROST: Flexible Round-Optimized Schnorr Threshold Signatures”라는 기술 사양을 발표하여 Lightning Network 인프라 및 자가 보관을 위한 새로운 다중 서명 방식인 FROST의 사용 기반을 설정했습니다.
암호학은 복잡하며 이 기사의 범위를 넘어 설명하기 어렵지만, Shamir의 비밀 공유와 유사한 방식입니다. 관련된 암호학적 원칙은 사용자가 Trezor의 하드웨어 지갑으로 24단어 시드를 생성하고 이를 각각 12단어로 나눈 세 개의 공유로 분할할 수 있도록 합니다. 두 개의 공유를 결합하면 지갑의 마스터 개인 키로 조합할 수 있으며, 하나의 공유만으로는 계정에 대한 접근을 손상시키거나 복구할 수 없습니다.
여기 Andrew Poelstra, Blockstream의 연구 책임자가 설명하는 FROST에 대한 2분짜리 동영상이 있습니다:
이 동일한 원칙은 FROST에서 사용되며, 이는 거래소에서 사용하는 다중 사용자 다중 서명 지갑을 가능하게 하도록 설계되었습니다. 이는 다중 서명 비트코인 스크립트를 대체할 수 있으며, 사용자에게 더 많은 개인 정보 보호와 낮은 비용을 제공합니다.
Frostr는 FROST를 Nostr의 릴레이 프로토콜과 통합하여 확장합니다. 따라서 이름에 추가된 “r”이 있습니다. 또한 이 기술을 산업 등급의 다중 사용자 방식이 아닌 단일 사용자 지갑에 맞게 조정하여 더 간단한 설정을 가능하게 하고, Nostr에서 사용되는 단일 키 쌍에 대한 키 회전(비밀번호 재설정)을 가능하게 합니다.
Frostr는 특히 세 가지 새로운 기능을 제공합니다:
- 임계값 키 서명, 즉 하나의 키가 손상되면 교체할 수 있으며, Nostr 개인 키 쌍을 생성하는 새로운 하위 키 세트를 생성합니다. Nostr 공개 및 개인 키(nsec)를 변경할 필요가 없습니다. 예를 들어, 하나의 키가 분실되거나 손상되면 나머지 두 개의 키를 사용하여 동전을 새로운 안정적인 구조로 이동하고 세 개의 새로운 키를 다시 얻을 수 있는 2-of-3 다중 서명 비트코인 지갑과 유사합니다. 이는 마법 같은 일입니다.
- Nostr 키 회전을 위한 애플리케이션 계층 솔루션이 필요하지 않으며, Alby와 같은 키 서명자만 Frostr를 통합하면 됩니다. Primal이나 Damus와 같은 Nostr 앱은 사용자가 키 회전을 위해 Frostr를 사용하고 있다는 사실조차 알지 못할 것입니다.
- 이미 Nostr 계정을 보유하고 있는 사용자, 즉 nsec가 손상되지 않은 사용자는 새로운 키 쌍 및 아이덴티티로 마이그레이션할 필요 없이 현재 키 서명자에서 nsec를 제거하고 Frostr를 더 안전한 키 관리 시스템으로 사용하기 시작할 수 있습니다.
결과는? 중앙 집중식 소셜 미디어 퍼즐의 주요 부분이 잠금 해제됩니다: 중앙 집중식 게이트키퍼에 의존하지 않고 인증할 수 있는 신뢰할 수 없는 아이덴티티와 비밀번호 재설정 기능입니다.
이 혁신의 결과는 성공적일 경우 근본적입니다. Nostr 생태계는 Frostr를 살펴보는 것이 현명할 것이며, 이는 비트코인 시대를 위한 비생체적이고 신뢰할 수 없는 디지털 아이덴티티 및 주권 데이터 소유 사례의 새로운 세대를 여는 데 충분한 보안 및 UI 개선이 될 수 있습니다.
Frostr에 대한 더 깊은 탐구를 원하신다면, Frostr.org 웹사이트를 방문하시거나 이 주제에 대해 Topher와 Austin과 함께 녹음한 팟캐스트를 확인해 보세요.
https://creators.spotify.com/pod/show/bitcoin-magazine-po/episodes/FROSTR-Explained-A-Gamechanger-for-NOSTR-Identity-Management–The-Juan-Galt-Show-e30op20
