Skip to content

Clear Signing이란 무엇인가요? 왜 그것이 암호화 세계에서 중요한 보안 표준인가요?

당신은 정확히 무엇을 할지 모른 채 암호화폐 거래를 승인하시겠습니까? 블라인드 서명에서는 사실상 그렇게 일어나며, 수년간 악의적인 행위자들에게 수십억 달러의 손실을 초래하는 데 기여해 왔습니다. 명확한 서명은 거래 세부 정보를 승인 전에 읽기 쉽고 검증 가능하게 만드는 것을 목표로 합니다. 하지만 이것이 어떻게 작동하며, 암호화폐 거래를 얼마나 더 안전하게 만들 수 있으며, 어떤 도구들이 가장 강력한 지원을 제공합니까?

Clear Signing이란 무엇입니까? BV Insights에서 지금 탐색하세요!
Clear Signing이란 무엇입니까? BV Insights에서 지금 탐색하세요! 

Clear Signing이란 무엇입니까?

명확한 서명은 사용자가 승인하기 전에 암호화폐 거래의 의미 있는 세부 정보를 사람이 읽을 수 있는 형식으로 제공하는 관행입니다. 이상적으로는 이러한 세부 정보가 지갑 또는 서명 장치의 신뢰할 수 있는 디스플레이에 직접 표시되어, 사용자가 거래가 자신의 의도와 일치하는지 검증할 수 있게 합니다.

블라인드 서명에서는, 지갑이 대신 보여줄 수 있는 것은 기술적이거나 인코딩된 정보일 수 있으며, 사용자는 의미 있게 이해할 수 없습니다. 따라서 사용자는 거래가 무엇을 할지 명확히 검증하지 못한 채 승인하라는 요청을 받게 됩니다.

반면, 명확한 서명은 두 가지 핵심 요소를 이해하기 쉽게 만들어야 합니다:

  • 명확한 거래 의도: 승인 요청 내용과 요청을 하는 애플리케이션을 보여줍니다.
  • 사람이 읽을 수 있는 세부 정보: 수신자, 관련 자산, 금액 등 핵심 거래 정보를 평이한 언어로 제시합니다.

원칙은 간단합니다: 당신이 서명하라는 것이 무엇인지 이해해야 합니다. 핵심 거래 세부 정보를 명확하고 사람이 읽기 쉬운 언어로 제시함으로써, 명확한 서명은 사용자가 거래가 자신의 의도와 일치하는지 확인하고, 의심스럽거나 오도하는, 또는 잠재적으로 악의적인 요청을 승인하기 전에 식별하는 데 도움을 줍니다.

Clear Signing으로 거래 세부 정보를 명확히 볼 수 있습니다
Clear Signing으로 거래 세부 정보를 명확히 볼 수 있습니다 

왜 명확한 서명이 해커에 대한 중요한 방어선인가?

복잡한 암호화폐 거래에서 블라인드 서명은 빈 수표에 서명하는 것과 같습니다. 당신은 하나의 행동을 승인한다고 믿지만, 숨겨진 거래 데이터는 전혀 다른 것을 허가할 수 있습니다. 악의적인 웹사이트 또는 스마트 계약은 예를 들어, 지갑에서 무제한으로 토큰을 사용할 수 있는 권한을 요청할 수 있습니다.

인터넷에 연결된 휴대폰이나 컴퓨터의 소프트웨어 지갑도 악성코드 또는 조작된 인터페이스의 영향을 받을 수 있습니다. 이는 오도하는 거래 세부 정보를 보여주거나, 당신이 의도하지 않은 것을 승인하게 만들 수 있습니다.

명확한 서명은 원시 거래 데이터를 명확하고 사람이 읽을 수 있는 정보로 변환하여 이러한 위험을 줄입니다. 하드웨어 지갑과 함께 사용할 때, 이러한 세부 정보는 기기의 신뢰할 수 있는 화면에 직접 표시되어, 승인하기 전에 무엇을 허가하는지 검증할 수 있습니다.

이때, 하드웨어 지갑이 자체 보안 화면을 갖추고 있다면, 원시 스마트 계약 데이터는 간단하고 읽기 쉬운 정보로 변환되어 기기에서 바로 보여집니다. 이 디스플레이는 인터넷에 연결된 휴대폰 또는 컴퓨터와 격리되어 있기 때문에, 악성코드가 그 내용을 은밀히 변경할 수 없습니다.

이것은 의심스러운 권한이나 예상치 못한 거래 세부 정보를 승인하기 전에 감지하는 데 도움을 줍니다.

풍부한 기능의 생태계는 희생을 감수해야 한다

명확한 서명은 주로 현대 스마트 계약 생태계의 복잡성에 대한 대응입니다.

반면, 비트코인은 일반적으로 같은 문제에 직면하지 않으며, 그 프로토콜 개발은 의도적으로 더 좁은 설계를 따릅니다. 기본 계층에서 광범위한 애플리케이션 로직과 개방형 토큰 권한을 지원하는 대신, 비트코인은 안전하고 중립적인 화폐 기반 계층으로서의 역할에 집중합니다. 기능 세트가 적기 때문에, 사용자들은 일반적으로 불투명한 스마트 계약 상호작용이나 무제한 지출 승인과 같은 위험을 경험하지 않습니다.

비트코인 전용 애플리케이션과 지갑은 따라서 이러한 공격 벡터에 덜 노출됩니다. 이것이 많은 보안에 민감한 비트코인 사용자들이 Coinkite 또는 Blockstream과 같은 제조사의 전용 비트코인 하드웨어 지갑을 선호하는 이유입니다.

명확한 서명의 미래: 공유 표준을 향하여

ERC-7730을 통한 명확한 서명의 표준화 노력은 주로 Ledger 주도 이니셔티브로 시작되었습니다. 이제는 다른 지갑, 애플리케이션, 보안 회사들도 사용할 수 있는 공개 보안 표준으로 발전하고 있습니다.

ERC-7730: 지갑을 위한 공통 언어

ERC-7730은 호환 가능한 지갑이 복잡한 거래를 평이한 언어로 설명하는 데 필요한 정보를 제공하는 개방형 표준입니다. 표준화된 JSON 형식을 사용하여, 서로 다른 지갑들이 거래가 실제로 무엇을 하는지 사용자에게 보여주기 쉽게 만듭니다.

이것을 설명서라고 생각하세요. dApp은 거래가 하는 일을 설명하는 정보를 제공하며, 호환 가능한 지갑은 그 정보를 사용해 사용자에게 이해하기 쉬운 내용을 보여줍니다 — 예를 들어:

1,000 WMATIC을 약 554 USDT로 교환하는 것과 같이, 읽기 어려운 긴 코드 문자열 대신 보여줍니다.

이미 지갑과 지원 인프라에 의해 구현되고 있지만, ERC-7730은 아직 공식적으로 초안 상태입니다. 이 제안은 Ledger와 이더리움 생태계의 다른 참가자들의 기여를 통해 계속 발전하고 있습니다.

이 표준은 주로 지갑 연결 dApp에 관련되며, 사용자는 스마트 계약과 상호작용하는 거래에 서명하라는 요청을 받습니다. BitcoinVN의 현재 교환 흐름은 다릅니다: 사용자는 자금을 생성된 입금 주소 또는 인보이스로 보내고, 교환 자체는 BitcoinVN의 백엔드 인프라가 처리합니다.

BitcoinVN은 파트너 지갑 및 서비스와의 API 기반 통합 옵션도 제공하지만, 이는 사용자에게 복잡한 온체인 계약 로직에 대한 승인 요구를 하는 스마트 계약 dApp 상호작용과는 다릅니다.

별도 플러그인 대신 하나의 파서

Ledger는 2025년에 일반 파서를 출시했습니다.

이전에는 Ledger 기기에서 dApp의 명확한 서명을 지원하려면, 그 애플리케이션에 맞춘 전용 플러그인을 별도로 만들어야 했습니다. 일반 파서는 대신 ERC-7730 메타데이터를 읽어 거래가 무엇을 하는지, 그리고 기기에서 어떻게 보여줄지 설명할 수 있습니다.

개발자는 여전히 스마트 계약에 대한 이 정보를 제공해야 하지만, 각 dApp마다 특화된 Ledger 소프트웨어를 새로 만들 필요는 없어집니다. 이는 명확한 서명을 더 쉽게 추가하고 유지할 수 있게 합니다.

ERC-7730은 개방형 표준이기 때문에, 다른 지갑 제조사들도 이를 지원하는 제품에 추가할 수 있습니다.

ERC-7730 V2

두 번째 버전은 더 복잡한 상황을 포괄하도록 표준을 확장하며, 포함하는 내용은 다음과 같습니다:

  • 여러 네트워크를 포함하는 거래;
  • 하드웨어 및 소프트웨어 지갑 모두 지원;
  • 개인정보 보호 중심 및 암호화된 거래;
  • 더 복잡한 스마트 계약 상호작용.

목표는 다양한 지갑, 애플리케이션, 블록체인 네트워크 전반에서 명확한 서명을 지원하기 쉽게 만드는 것입니다.

이더리움 재단의 중립적 역할

이더리움 재단은 현재 ERC-7730 등록부의 중립적 관리자 역할을 하며, 지원 인프라를 호스팅하는 데 헌신하고 있습니다. 등록부 자체는 공개적으로 GitHub에 유지 관리됩니다: 누구나 거래 설명을 제출할 수 있고, 독립적인 검토자가 그 정확성을 확인하며, 지갑 제공자는 신뢰하는 출처를 자유롭게 결정할 수 있습니다.

Ledger가 초기 작업의 대부분을 시작했지만, 현재는 WalletConnect, Fireblocks, Trezor, Sourcify, Cyfrin, MetaMask 등 여러 기여자가 참여하고 있습니다.

명확한 서명은 아직 모든 곳에서 지원되지 않습니다. 그러나 이 프로젝트를 한 제조사에 국한하지 않고 확장하는 것은 이더리움 및 관련 스마트 계약 생태계 전반에 널리 채택될 보안 표준이 될 가능성을 높입니다.

언제 여전히 블라인드 서명을 요청받을 수 있나요?

명확한 서명이 점점 더 널리 지원됨에 따라, 여전히 지갑이 읽기 쉬운 언어로 설명하지 못하는 dApp 또는 스마트 계약 상호작용을 만날 수 있습니다.

고위험 사례: 거래를 명확히 표시할 수 없는 경우

이 경우, dApp이 지원하는 명확한 서명 메타데이터를 제공하지 않거나, 지갑에 거래를 해석하는 파서 또는 통합이 없을 때 발생할 수 있습니다. 스마트 계약이 무엇을 할지 정확히 보여주는 대신, 기기는 원시 기술 데이터를 보여주거나 블라인드 서명이 필요하다고 경고할 수 있습니다.

Ledger 기기에서는, 지원하는 블록체인 앱에서 기본적으로 블라인드 서명이 비활성화되어 있습니다. 이를 활성화하면, 기기가 완전히 설명하지 못하는 거래를 승인할 수 있으므로, 이 요청은 심각한 경고로 간주해야 합니다 — 일상적인 단계로 여기지 마세요.

Ledger 기기에서, 블라인드 서명은 수동으로 활성화해야 하며 — 기기가 서명하는 내용을 완전히 설명할 수 없다는 의도된 경고
Ledger 기기에서, 블라인드 서명은 수동으로 활성화해야 하며 — 기기가 서명하는 내용을 완전히 설명할 수 없다는 의도된 경고 

블라인드 서명을 반드시 해야 하는 경우의 생존 가이드

  • 별도 저가 지갑 사용: 주요 장기 보유 자산은 실험적 dApp이나 알 수 없는 스마트 계약에서 멀리하세요.
  • 웹사이트를 신중히 검증: 저장된 북마크를 사용하거나 신뢰할 수 있는 출처를 통해 공식 도메인을 확인하세요.
  • 개인 메시지로 받은 링크는 피하세요: 텔레그램, 디스코드 또는 X에서 받은 예기치 않은 dApp 링크는 의심스럽게 취급하세요.
  • 권한을 제한하세요: 무제한 토큰 승인과 사용하지 않는 권한은 거래 후 제거하세요.

결론: 읽을 수 없는 것을 절대 서명하지 마세요

명확한 서명은 당신이 승인하는 내용을 보여줍니다. 블라인드 서명은 그렇지 않습니다. 이 차이는 당신이 의도한 거래를 완료할지 아니면, 모르게 공격자에게 자산을 넘기도록 허락할지를 결정할 수 있습니다.

가능하면 블라인드 서명은 피하는 것이 좋습니다. 정말 다른 방법이 없다면, 잃어도 되는 금액만 포함된 별도 지갑을 사용하세요. 중요한 저축이나 장기 투자를 하는 지갑으로는 절대 블라인드 서명을 하지 마세요.

매년 수십억 달러 상당의 암호화폐가 공격자에게 도난당하며, 읽을 수 없는 거래 승인 요청은 그들이 쉽게 악용하는 가장 명백한 취약점 중 하나입니다. 그들의 일을 쉽게 만들지 마세요.

악성 거래가 승인된 후에는 구제 방법이 매우 제한적이기 때문에, 최고의 피해 방지는 사전에 적절한 방어적 사이버보안 태세에 투자하는 것입니다.

Ledger의 현재 기기들 — Nano S Plus, Nano X, Flex, Stax, Nano Gen5 — 는 명확한 서명을 지원합니다. Flex, Stax, Nano Gen5의 큰 화면은 복잡한 거래 세부 정보를 훨씬 쉽게 검토할 수 있게 하며, Nano 모델들은 더 작은 다단계 디스플레이를 통해 동일한 정보를 보여줍니다. 실제 명확한 서명 지원 여부는 지갑과 dApp이 거래를 지원하는지에 달려 있습니다.

중요한 경고

구형 Nano S는 현재 Ledger 기기에서 제공하는 최신 명확한 서명 개선 사항을 지원하지 않습니다. 하드웨어 제한 때문입니다. 기본 거래는 처리할 수 있지만, 복잡한 dApp 상호작용이나 의미 있는 보유 자산에 대해 주된 기기로 신뢰해서는 안 됩니다. 더 최신 모델로 업그레이드 고려하거나, 원래 Nano S는 간단하고 저가인 거래용 보조 기기로만 사용하거나, 미끼 지갑으로만 사용하세요. 이 경우, 잃어도 되는 금액만 넣어두는 것이 좋습니다.

전문적인 셀프 커스터디 환경에 더 투자하려면, 저희 BitcoinVN 컨설팅 팀이 1:1 상담을 제공합니다. 우리는 대부분의 일반적이고 예방 가능한 손실 시나리오를 피하는 전문 셀프 커스터디 전략 수립을 도와드릴 수 있습니다.

우리 팀은 순수 이론이 아닌 실무 경험에서 말합니다. 10년 넘게 ‘참호에서’ 자산을 보호하며 생존하고, 고객 자산을 지키며, 선도적인 사이버보안 동료들과 지속적으로 협력해온 경험이, 실제로 효과적인 디지털 자산 보호 방법에 대한 깊은 실무 경험을 쌓게 했습니다.