이더리움, 지갑 보안의 약점 손본다… ‘무슨 거래인지 보이는 서명’ 체계로 전환

이더리움재단, 클리어 사이닝 표준 공개… 블라인드 사이닝 한계 넘어 지갑 보안 강화

가상자산 시장에서 반복돼 온 해킹 피해의 상당수는 고도의 기술적 취약점보다, 사용자가 거래 내용을 제대로 이해하지 못한 채 승인 버튼을 누르는 순간에 시작됐다. 이더리움 생태계가 바로 그 지점을 겨냥해 새로운 보안 표준 도입에 나섰다. 핵심은 복잡한 데이터 묶음을 일반 이용자가 읽을 수 있는 형태로 바꾸는 것이다.

이더리움재단은 최근 지갑 보안 강화를 위한 방향으로 ‘클리어 사이닝(Clear Signing)’ 표준을 공개하고, 관련 지갑 개발사들과 함께 적용 확대에 나섰다. 이용자가 거래 승인 전에 실제로 어떤 자산이 움직이는지, 누구에게 권한이 넘어가는지, 어떤 행위에 동의하는지를 보다 분명한 문장으로 확인할 수 있게 하겠다는 구상이다.

문제는 기술이 아니라 “이해하지 못한 승인”

그동안 가상자산 이용자들이 자주 마주한 방식은 이른바 ‘블라인드 사이닝’이다. 지갑 화면에 사람이 읽기 어려운 코드나 긴 문자열이 표시되고, 사용자는 그것이 정확히 무엇을 의미하는지 알기 어려운 상태에서 거래를 승인해왔다.

이 구조에서는 공격자가 교묘하게 설계한 악성 트랜잭션도 정상 요청처럼 보이기 쉽다. 특히 디앱(DApp) 접속, 토큰 승인, 권한 위임 과정에서 사용자가 세부 내용을 파악하지 못하면, 단 한 번의 클릭만으로 지갑 접근 권한이 과도하게 넘어갈 수 있다. 이른바 ‘월렛 드레인’ 피해가 반복된 배경에도 이런 승인 구조가 자리하고 있다는 지적이 이어져 왔다.

새 표준의 핵심은 “기계어를 문장으로 번역하는 것”

클리어 사이닝이 도입되면 거래 서명 전 화면에 표시되는 정보의 질이 달라진다. 단순히 코드 값을 나열하는 대신, 사용자가 실제 의미를 이해할 수 있도록 정보를 정리해 보여주는 방식이다.

예를 들어 이용자는 승인 직전에 다음과 같은 내용을 보다 명확하게 파악할 수 있게 된다. 어떤 자산이 이동하는지, 상대 주소 또는 수취 주체가 누구인지, 특정 애플리케이션에 어떤 권한을 부여하는지, 일회성 승인인지, 지속적 권한 허용인지

이 변화는 단순한 UI 개선이 아니라 보안의 출발점을 바꾸는 조치에 가깝다. 사용자가 “무엇에 동의하는지”를 이해할 수 있어야 보안 경고도 실제 의미를 갖기 때문이다.

ERC-7730 기반으로 신뢰 가능한 설명 체계 마련

이번 표준은 ERC-7730을 기반으로 설계됐다. 이더리움재단은 여기에 더해 독립 보안 연구자들이 거래 설명 정보를 검토하고 검증할 수 있는 공개 레지스트리 운영도 추진할 계획이다.

이 레지스트리는 일종의 공공 정보 기반 역할을 한다. 지갑 서비스 제공자는 검토된 설명 데이터를 참고해 사용자 화면에 더 정확하고 해석 가능한 거래 정보를 표시할 수 있다. 결국 “보안성 높은 설명”을 특정 기업의 자체 판단에만 맡기지 않고, 생태계 차원의 검증 구조 안에 두겠다는 의미다.

왜 지금 이 변화가 중요한가

가상자산 시장은 이제 일부 고위험 투자자만의 영역을 넘어 보다 넓은 대중과 기관 참여를 염두에 둔 단계로 이동하고 있다. 이 과정에서 보안의 기준도 달라지고 있다. 기술적으로 안전한 프로토콜을 만드는 것만으로는 충분하지 않고, 실제 사용자 경험 안에서 실수를 줄이는 설계가 중요해졌기 때문이다.

최근 대형 거래소 및 지갑 보안 사고들이 잇따르며, 시장에서는 “이용자가 거래를 이해할 수 없는 구조 자체가 리스크”라는 문제의식이 더 커졌다. 결국 보안은 암호학만으로 완성되지 않는다. 마지막 승인 버튼을 누르는 사람이 내용을 이해해야 비로소 작동한다는 얘기다.

업계도 “보이는 보안” 필요성에 무게

하드웨어 월렛 업계 역시 이번 흐름을 긍정적으로 보고 있다. 관련 업계에서는 사용자가 내용을 이해하지 못한 채 진행하는 서명 구조가 오히려 보안을 약화시켜 왔으며, 명확한 거래 해석을 제공하는 방식이 생태계 전반의 신뢰도를 높일 수 있다고 평가한다.

이는 이용자 보호 차원뿐 아니라 시장 확장 측면에서도 의미가 있다. 신규 이용자나 기관 참여자 입장에서는 복잡한 서명 절차보다, 승인 행위의 결과를 분명하게 제시하는 환경이 진입 장벽을 낮추는 요인이 될 수 있기 때문이다.

‘1조 달러 보안’ 구상, 실사용 단계로 이어질까

이더리움재단은 이른바 ‘1조 달러 보안 이니셔티브’ 기조 아래 관련 인프라를 직접 관리하고, 지갑 개발사와 서비스 사업자들의 표준 채택을 독려할 방침이다. 관건은 얼마나 빠르게 주요 지갑들이 이를 실제 서비스에 녹여낼 수 있느냐다.

표준 공개만으로 위험이 즉시 사라지지는 않는다. 다만 사용자가 거래 내용을 읽고 판단할 수 있도록 만드는 일은, 그동안 반복돼 온 피싱·권한 탈취 피해를 줄이는 데 가장 현실적인 첫 단계라는 평가가 나온다.

가상자산 보안의 다음 경쟁력은 더 어려운 기술이 아니라, 더 쉽게 이해되는 인터페이스가 될 가능성이 커지고 있다.