클리어 서명이란?
| 주요 시사점: |
| — 많은 암호화폐 지갑은 복잡한 트랜잭션의 세부 정보를 사람이 읽을 수 있는 언어로 변환하지 못하기 때문에 ‘블라인드 서명’이라는 문제를 야기합니다. —블라인드 서명은 스캐머가 순진한 고객으로부터 수십억 달러를 빼돌리는 데 악용하는 디지털 자산 생태계의 중대한 장애물이었습니다. — Ledger는 이 문제를 해결하기 위해 클리어 서명을 개발했습니다. 클리어 서명은 이전에는 해석하기 어려웠던 스마트 계약 데이터를 사람이 읽을 수 있는 언어로 변환하여 “보이는 내용을 그대로 믿고 서명”하는 것을 가능하게 만들었습니다. |
암호화폐 보안을 위해 명심해야 할 한 가지 원칙이 있다면, 그것은 ‘신뢰하지 말고 확인’하라는 것입니다. Ledger 사이너는 지난 10년간 가장 인기 있는 하드웨어 솔루션으로 자리매김했습니다. 보안 칩을 통해 개인 키를 오프라인에서 안전하게 보관하고 보안 화면을 통해 사용자가 직접 트랜잭션을 검증할 수 있도록 해주었죠.
그러나, Ledger가 시장에 진출한 이후 디지털 자산의 환경이 크게 달라졌습니다. 디파이(DeFi) 및 NFT와 같은 새로운 사용 사례가 등장하면서 트랜잭션의 범위와 복잡성이 더욱 다각화되고 있습니다.
안타깝게도 대부분의 지갑 인터페이스는 사용자가 읽을 수 있는 트랜잭션 정보를 제공하지 못합니다. 이로 인해 대부분의 사용자는 전체 세부 정보를 이해하지 못한 채 트랜잭션에 서명하게 되는데, 이를 블라인드 서명이라고 하며, 이는 스캐머들이 악용하는 심각한 취약점이기도 합니다. 이러한 취약성으로 인해 사기꾼들은 트랜잭션의 복잡성 뒤에 악의적인 계약을 숨겨 아무것도 모르는 사용자로부터 수십억 달러를 쉽게 탈취해 갑니다.
업계 전반에 걸쳐 클리어 서명 표준을 구현하는 것이 이 위협에 대처하는 유일한 방법이지만, 이는 생각보다 훨씬 어려운 일입니다. 이 문제를 해결하기 위한 Ledger의 전략을 자세히 알아보기 전에 먼저, 기본 사항부터 살펴보겠습니다. 먼저 클리어 서명의 개념부터 설명하겠습니다.
클리어 서명이란?
클리어 서명은 읽기 어려운 트랜잭션 정보, 즉 ‘블라인드 서명’ 문제를 해결하는 방법입니다. 클리어 서명에는 두 가지가 필요합니다.
- 명확한 트랜잭션 의도. 트랜잭션 의도에서 서명 요청을 받은 승인의 종류와 승인을 필요로 하는 디앱을 반드시 확인할 수 있어야 합니다.
- 사람이 읽을 수 있는 트랜잭션 필드. 트랜잭션 필드에는 수령자(계약자)와 전송하는 자산을 이해할 수 있는 언어로 표시해야 합니다.
이 두 가지 내용이 모두 표시되면 사용자는 자신이 어떠한 내용의 트랜잭션을 승인하는지 명확하게 이해할 수 있어, 트랜잭션의 신뢰성 여부에 대해 제대로 이해하고 결정을 내릴 수 있습니다.
단순히 해시라고도 알려진 문자열만 표시하는 트랜잭션이 아닌, 클리어 서명을 통해 서명된 트랜잭션의 경우에는, 서명 전에 모든 세부 정보를 검토할 수 있습니다.
클리어 서명의 목적은?
클리어 서명은 악의적인 트랜잭션에 서명하는 것을 방지한다는 한 가지 목적만으로도 상당한 중요성을 가집니다. 트랜잭션에 ‘블라인드 서명’을 요청하는 것은 백지수표에 서명을 요청하는 것과 같습니다. 한 마디로 엄청난 위험을 수반하죠.
많은 스캠 사기가 블라인드 서명을 악용합니다. 스캐머들은 지갑을 털기 위한 악성 코드가 포함되어 있는 트랜잭션을 단순한 거래로 포장해 서명을 유도합니다. 인터넷에 항상 연결되어 있어 보안이 취약한 장치에서 실행되는 소프트웨어 지갑은 블라인드 서명에 특히 취약합니다.
이러한 장치의 디스플레이는 중간자 공격을 통해 악성코드에 의해 변조될 수 있으므로, 컴퓨터나 휴대폰 화면에 보이는 내용이 실제로 서명하는 내용과 같은지 100% 확신할 수 없습니다. 보안 화면이 없는 하드웨어 지갑도 마찬가지입니다.
바로 이 지점에서 Ledger 사이너의 차별성이 두드러집니다. Ledger 사이너의 보안 화면은 보안 칩에 의해 오프라인 상태로 관리되므로 이러한 변조로부터 안전합니다. 클리어 서명은 이 신뢰할 수 있는 화면에 트랜잭션의 실제 세부 정보를 보여줌으로써 “보이는 내용 그대로 서명”할 수 있도록 보장합니다.
클리어 서명의 실제 사용 사례
Ledger Wallet: 트랜잭션을 수행하는 가장 안전한 방식
가장 안전하고 손쉽게 클리어 서명을 경험할 수 있는 곳은 Ledger Wallet입니다. 클리어 서명은 Ledger Wallet 내의 모든 기본 흐름, 즉 암호화폐 전송, 스왑, 스테이킹과 같은 “수익” 서비스의 핵심 작업에 기본적으로 적용됩니다.
그 보안성은 Ledger Wallet “탐색” 섹션에 있는 디앱에도 적용됩니다. 이 앱들은 바로 통합되어 있어 스마트 계약과 관련된 모든 작업이 사이너의 보안 화면에 사람이 읽을 수 있는 정보로 표시됩니다.
Ledger Wallet 외부에서의 클리어 서명: 공동 책임
통합된 Ledger Wallet 생태계를 벗어나 수천 개의 디앱과 상호 작용할 경우, 클리어 서명은 공동 책임이 됩니다. 다시 말해, Ledger Wallet을 벗어나면 클리어 서명 가능 여부는 디앱 개발자에게 달려 있습니다.
이 문제를 해결하기 위해 Ledger는 초기 플러그인부터 시작하여 2024년 암호화폐 생태계 전반에 걸쳐 클리어 서명 도입을 촉진하기 위한 클리어 서명 이니셔티브를 시작하는 등 클리어 서명을 발전시키고 개선하는 데 집중해 왔습니다. 이러한 이니셔프의 일환으로 Ledger는 다른 업계 선두 기업들과 협력하여 복잡한 트랜잭션 데이터를 간단한 JSON 형식으로 변환하는 개방형 표준인 ERC-7730을 개발했습니다.
이후 2025년에는 디앱이 제출하는 ERC-7730 메타데이터를 읽고 파싱하는 플러그인인 Generic Parser를 출시했습니다. 이 새로운 접근 방식을 사용하면 도입의 주요 장벽이었던 디앱별 맞춤 플러그인이 필요 없습니다. 이제 ERC-7730 메타데이터를 제공하는 모든 디앱은 트랜잭션을 자동으로 클리어 서명할 수 있게 되습니다. 이는 모두를 위한 더 안전한 생태계를 만드는 데 있어 의미 있는 진전입니다.
다이렉트 디앱 커넥티비티(Direct dApp Connectivity)를 통해 클리어 서명 및 트랜잭션 검증 기능을 자체 생태계에 도입
이 프로세스를 더욱 안전하게 만들기 위해 Ledger는 다이렉트 디앱 커넥티비트 기능도 도입했습니다. 이 새로운 기능은 소프트웨어 지갑 확장 프로그램이나 기타 중재자를 필요로 하지 않아 피싱이나 블라인드 서명과 같은 주요 보안 위험을 줄여줍니다. 덕분에 Ledger 사이너를 단 한 번만 클릭하면 파트너 디앱에 직접 연결되며, 클리어 서명 및 Transaction Check(트랜잭션 점검)의 모든 보안 기능을 디앱 사용에까지 확장할 수 있습니다.
트랜잭션 해시가 표시되는 경우: 블라인드 서명 vs. 고급 검증
일반적으로 트랜잭션 해시를 장치에서 만나게 될 때는 다음의 두 가지 상황에서 입니다. 하나는 위험도가 높은 경우(블라인드 서명)이고, 다른 하나는 고급 사용자를 위한 선택적 검증 단계입니다.
블라인드 서명
간혹 앱이 완전히 해석할 수 없는 새롭거나 복잡한 스마트 계약이 있을 수 있습니다. 이 경우 장치는 트랜잭션 세부 정보를 명확하고 사람이 읽을 수 있는 형식으로 표시할 수 없습니다. 대신, 블라인드 서명 경고를 표시하고 처리되지 않은 미가공 형태의 해시만 표시합니다.
보안상의 이유로 블라인드 서명은 기본적으로 비활성화되어 있습니다. 반드시 블라인드 서명을 진행해야 하는 경우, 이 설정을 수동으로 활성화해야 합니다. 사이너에서 특정 코인 앱(예: 이더리움)을 연 다음, 설정으로 이동하여 “블라인드 서명”을 수동으로 활성화하면 됩니다. 이후 경고 메시지가 표시될 것입니다. 블라인드 서명을 활성화하면 트랜잭션을 완료하는 데 따른 위험을 감수하는 것입니다.
블라인드 서명 안전 체크리스트
읽을 수 없는 트랜잭션에 서명하는 것은 백지 수표에 서명하는 것과 같습니다. 만약 부득이하게 블라인드 서명을 진행해야 하는 경우라면, 자금의 안전을 위해 다음의 몇 가지 안전 수칙을 반드시 따라야 합니다.
- URL 확인: 반드시 사용하려는 애플리케이션의 공식 웹사이트에 접속하세요. 스캐머들은 블라인드 서명 사기를 위해 똑같이 생긴 가짜 웹사이트를 만드는 경우가 많습니다.
- 신뢰할 수 있는 디앱만 사용할 것: 잘 알려진 평판 좋은 플랫폼인지, 아니면 새롭고 알려지지 않은 플랫폼인지 확인하세요. 많은 사람들에 의해 자주 사용되지 않는 디앱은 자주 사용되는 안전한 플랫폼보다 훨씬 위험합니다.
- 소셜 미디어 DM으로 전송된 링크는 피할 것: Discord나 X와 같은 소셜 플랫폼에서 모르는 사람이 보낸 개인 메시지(DM)로 전송된 링크는 항상 의심해야 합니다. 이는 사람들이 흔히 당하는 피싱 스캠입니다.
자산을 분리해 저장할 것: 자산을 분리해 관리하는 것은 위험을 최소화하는 가장 효과적인 방법입니다. 장기적 목적의 자산을 보관하는 지갑과 동일한 지갑을 사용해 스마트 계약과 상호 작용해서는 안 됩니다. 대신, 디앱 사용에만 쓰는 별도의 버너 지갑(다른 계정 또는 사이너)을 사용하세요. 특정 트랜잭션에 필요한 자금만 버너 지갑으로 옮기고 나머지 자산은 별도의 지갑 계정에 안전하게 보관하세요. 이렇게 하면 버너 지갑에 문제가 생기더라도 나머지 자산은 안전하게 보호할 수 있습니다.
고급 인증 기능
대부분의 사용자에게는 클리어 서명만으로도 충분하지만, 일부 고급 사용자의 경우 추가적인 인증 단계를 필요로 합니다. 예를 들어, 복잡한 프로토콜을 사용하는 사용자는 더욱 엄격한 인증을 위해 타사 도구를 사용해 Ledger 사이너의 해시를 검증하고자 할 수 있습니다.
기본적으로 이더리움 앱은 간편성을 위해 클리어 서명이 완료된 트랜잭션의 해시를 표시하지 않습니다. 하지만 앱의 트랜잭션 해시 설정에서 해시를 항상 표시하도록 선택할 수 있으며, 그렇게 하면 모든 트랜잭션에 대한 고급 검증이 가능해집니다.
클리어 서명의 미래
Ledger는 지난 10년 동안 디지털 자산 보안의 선두에 있었습니다. 당사는 하드웨어, 소프트웨어, 독점 보안 운영 체제 및 보안 화면을 사용자 친화적인 패키지에 통합하는 포괄적인 접근 방식을 취해왔으며, 이를 통해 Ledger 사용자는 개인 키를 오프라인에서 안심하고 생성하고 안전하게 보관할 수 있습니다. 블라인드 서명은 심각한 위협이지만, Ledger 커뮤니티에서는 이를 방지하기 위한 중요한 조치를 취할 수 있습니다. Ledger Wallet에 클리어 서명 기능이 기본으로 탑재되고, 디앱과의 직접적인 연결을 통해 타사 앱에서도 클리어 서명 및 트랜잭션 점검(Transaction Check) 기능을 사용할 수 있게 됨으로써 암호화폐 생태계는 보안이 강화된 안전한 환경으로 나아갈 수 있게 되었습니다.
Ledger의 보안 터치스크린에 대한 자세한 내용은 여기에서 확인하실 수 있으며, 안전한 디지털 소유권을 향한 다음 단계로 나아갈 준비가 되셨다면 Ledger의 전체 제품군을 살펴보고 본인에게 맞는 제품을 찾아보세요.
