Frostr: Nostr의 가장 큰 문제를 해결하다
2024년 TABCONF 해커톤에서 태어난 Frostr는 Nostr에서 가장 악명 높은 문제인 개인 키가 유출될 경우 비밀번호를 재설정할 수 없다는 문제를 해결했을지도 모릅니다.
2024년 10월에 시작된 Frostr는 최근 Igloo와 Frost2x의 알파 버전을 발표했습니다. 이는 Nostr 생태계를 위한 데스크탑 및 브라우저 확장 키 서명자입니다.
이 프로젝트는 Tapscript를 개발한 비트코인 엔지니어인 Topher(cmdruid)와 Voltage의 Lightning 개발자이자 PlebDevs라는 Lightning 기반의 개발자 교육 플랫폼을 창립한 Austin(bitcoinplebdev)에 의해 설립되었습니다. PlebDevs는 500명 이상의 학생들이 등록한 교육 플랫폼입니다.
소셜 미디어 혁명
소셜 미디어는 세상을 변화시켰습니다. 그럼에도 불구하고 우리는 디지털 신원과 관련된 이상한 상황에 처해 있습니다. 온라인에서 우리가 누구이고, 온라인 프로필의 소유권을 주장하는 방식은 종종 Facebook과 같은 신뢰할 수 있는 제3자에 의존합니다. 이러한 대기업들은 개별 고객을 신경 쓰지 않으며 언제든지 규칙을 변경하거나 계정을 완전히 취소할 수 있는 권한을 가지고 있습니다.
최근 몇 년 간 논란이 된 인플루언서나 정치인들의 탈퇴 사례는 중앙집중적인 권력이 어떻게 행사될 수 있는지를 잘 보여줍니다. 아마도 이와 관련하여 가장 잘 알려진 예시는 미국 의회 난입 사건 직후 도널드 트럼프 대통령이 Facebook과 Twitter에서 동시에 삭제된 사건일 것입니다.
그럼에도 불구하고 많은 사람들은 여전히 이 디지털 네오-봉건주의 구조에서 활동하고 있습니다. “탈중앙화”된 신원에 관한 근본적인 문제가 아직 해결되지 않은 것 같습니다.
현대의 은행 강도
신원 시스템은 사회에서 중요한 계층입니다. 2000년 전 로마 시민이든 오늘날 미국 시민이든, 신분증에 따라 문이 열리고 닫힙니다. 오늘날의 시스템은 진보적일 수 있지만 여전히 디지털 이전의 신원 및 보안 개념에 의존합니다. 즉, 얼굴을 인증하는 방식입니다.
운전 면허증이나 여권과 같은 신분증은 정부 직원, 은행원 및 바운서들이 전 세계에서 매우 간단한 일을 할 수 있게 해줍니다. 바로 공식 카드에 있는 사람과 얼굴이 일치하는지를 확인한 후, 그 사람에게 접근을 허용할지 말지를 결정하는 것입니다.
하지만 세상은 빠르게 변하고 있습니다. 이제는 외모의 불확실성이나 사회보장번호(SSN)의 비밀성이 예전과 같지 않습니다. 많은 사람들이 Facebook에 자신의 이름과 사진을 공개했고, 여러 해킹 사건을 통해 SSN 데이터가 다크 웹에 유출되었습니다. (예: 2017년 Equifax 데이터 유출 사건, 1억4790만 명이 영향을 받았고, 2024년에는 2억 명 이상이 영향을 받은 국가 공공 데이터 유출 사건)
디지털 시대에서 돈은 더 이상 현금이 아닙니다. 법정 화폐 결제는 종종 되돌릴 수 있기 때문에, 은행을 해킹하여 돈을 자신의 계좌로 이체하면 그 금액은 되돌릴 수 있을 뿐만 아니라, 사용자 신원과 연결된 흔적도 남게 됩니다.
오늘날의 온라인 강도는 현금이나 금, 또는 다른 귀중품을 훔치는 것이 아니라, 개인 신원 데이터를 훔치고 있습니다. 이 데이터는 은행 및 다양한 기업에서 사기를 치는 데 사용될 수 있습니다.
실제로 신원 도용은 2020년 한 해에만 560억 달러 이상을 초래하며, 이는 모든 형태의 도난 피해를 합친 금액보다 큽니다. 또한 많은 중앙집중적인 플랫폼들이 해킹당해 다크 웹에서 그들의 데이터를 불법으로 거래하기도 했습니다. AI 기술이 급격히 발전하고 있으며, 이미지 생성에서 튜링 테스트를 통과한 상태입니다. 이제 악의적인 행동자는 유출된 사용자 데이터를 이용하여 가짜 신분증을 들고 가짜 셀카를 만들어 디지털 자산의 문을 열 수 있습니다.
이러한 위협은 변화의 필요성을 부각시키고 있으며, 기술 기업들과 정부 기관들은 신원 시스템을 업그레이드하려는 노력을 보이고 있습니다. 예를 들어, 캘리포니아의 모바일 운전 면허 앱인 mDL은 Google과 Apple과의 협력을 통해 개발되었으며, 현재 공항에서 신원 인증을 위해 통합되어 있습니다. 이 앱은 또한 개발자들이 이를 웹사이트 인증 수단으로 통합할 수 있도록 초대하고 있습니다. ID.me는 비슷한 접근 방식을 취하고 있으며, 이미 IRS와 완전히 통합되어 1억3600만 명의 회원을 자랑합니다.
이 앱들은 얼굴 인식 또는 지문 인증을 요구하며, 사용자들이 인증을 받기 위해 신분증과 최신 신문을 들고 있는 복잡한 KYC 셀카를 제출해야 합니다.
그러나 Facebook, Instagram, Twitter와 같은 소셜 미디어에서 흔히 발생하는 프로필 클론 사기와 유사하게, Nostr에서 이러한 공격은 가짜 프로필이 아닌, 실제 사용자의 신원으로 이루어집니다. 이는 사용자들에게 큰 피해를 입히며, 신뢰를 크게 떨어뜨립니다.
비밀번호 재설정이 불가능한 이유
현재 Nostr nym이나 신원의 비밀번호를 재설정할 방법은 없습니다. Nostr는 간단한 공개 키 쌍 시스템을 기반으로 구축되어 있으며, 개인 키가 해킹되거나 유출되면, 신원은 이제 해당 키를 가진 사람의 제어 하에 있습니다. (두 사람이 비밀을 공유하기 때문에, 아무도 독점적으로 제어할 수 없습니다.)
이는 큰 문제입니다. 이러한 해킹의 예는 많지 않지만, 이 문제는 새로운 소셜 네트워크 프로토콜에서 진지한 자본을 투자하려는 브랜드들에게 큰 걸림돌이 됩니다.
이 문제는 Nostr의 설계에서 비롯됩니다. 다양한 인터페이스가 동일한 사용자 신원을 통해 콘텐츠에 접근하게끔 초대되며, 사용자들이 여러 클라이언트에 개인 키를 제공하기 때문에 보안 리스크가 증가합니다.
Frostr: 자율 키 관리의 혁신
최근 암호학의 혁신은 비트코인 및 암호화폐 산업에서 자율 관리의 새로운 길을 열었습니다. 그 중 하나는 Schnorr 기반의 키 관리 및 키 회전 방식인 Frostr입니다. 이는 비트코인 멀티 서명 주소 및 거래와 유사한 기능을 제공하지만, 온체인 거래 비용이나 개인정보 유출 없이 가능합니다.
Schnorr는 1990년대에 발명된 암호학의 한 형태로, 2020년 비트코인의 Taproot 업그레이드에서 소개되었습니다. 그 해 Chelsea Komlo와 Ian Goldberg는 “FROST: Flexible Round-Optimized Schnorr Threshold Signatures”라는 기술 사양을 발표하여, 이를 Lightning Network 인프라와 새로운 멀티 서명 방식으로 적용할 수 있는 기초를 마련했습니다.
Frostr는 이 기술을 Nostr의 리레이 프로토콜에 통합하여 키 회전 및 비밀번호 재설정을 가능하게 합니다. 이를 통해 사용자들은 더 안전한 키 관리 시스템을 사용할 수 있으며, Nostr에서 비밀번호 재설정 기능을 활성화할 수 있게 됩니다.
자세한 내용은 Frostr 웹사이트인 Frostr.org에서 확인하거나, Topher와 Austin과 함께한 팟캐스트를 통해 더 알아볼 수 있습니다.