만물연구원: EIP4361에서 Web2에서 Web3 계정 시스템 혁신 탐색

작성자：만물연구원 진건 제이슨

MetaMask는 지난주 EIP-4361을 지원한다고 공식 발표했으며, 많은 친구들이 이 프로토콜에 대해 혼란스러워하고 있습니다. 표면적으로는 일반 서명과 큰 차이가 없어 보이지만, 본문에서는 이를 해석해 보겠습니다. 먼저 EIP-4361이란 사실 꽤 작은 일이라는 것을 이해해야 하지만, 그 뒤에 연관될 수 있는 분야는 매우 큽니다.

EIP4361은 이더리움 로그인과 관련된 기술 규범 표준 제안으로, 이더리움 로그인 SiwE(이더리움으로 로그인)는 분산형 신원 인증 방법입니다. 이를 통해 사용자는 자신의 이더리움 계정을 사용하여 통합 로그인 및 신원 관리를 할 수 있으며, 중앙 집중화된 회사의 전통적인 사용자 이름/비밀번호 인증에 의존하지 않습니다. 비탈릭은 이전 인터뷰에서 2023년 Web3의 세 가지 최대 기회 중 하나로 이더리움 로그인을 언급하며, Facebook, Google, Twitter와 같은 중앙 집중화된 독점 기업으로부터 이더리움이 로그인 권한을 빼앗는 데 도움이 되는 기술은 결국 이더리움이 인터넷 애플리케이션에서 더 많은 시장 지배력을 얻는 데 기여할 것이라고 말했습니다. 따라서 로그인 시스템은 비탈릭이 다음 10억 명을 겨냥하는 중요한 방향으로 생각하는 것입니다.

사실 이더리움 내부에서 느껴지는 불안감이 있습니다. 현재 이더리움의 위치는 흔들리지 않는 것처럼 보이지만, 현재 직면한 경쟁 압력은 매우 큽니다. 특히 Aptos, Sui와 같은 고성능 신규 공공 체인이 등장하고, Cosmos를 대표로 하는 애플리케이션 체인 산업이 뒤따르고 있기 때문에, 이더리움이 POS로 전환하고 레이어를 구축하며 샤딩을 진행하는 이유이기도 합니다. 이는 합의와 성능에서 최적화를 통해 경쟁력을 높이기 위한 것이며, 한편으로는 ENS와 로그인과 같은 C단의 진입 수준 분야에서 더 깊이 작업하여 C단과 깊이 결합하여 자신의 방어선을 구축하려는 것입니다. 또한 EIP4361 뒤에는 이더리움 재단, ENS, Spruce의 세 개의 지원자가 있으며, 이더리움 재단 외에 나머지 두 개는 DID 회사입니다. 어느 정도는 두 개의 DID 회사가 이더리움 재단과 함께 산업 표준을 구축하고 있다고 볼 수 있습니다. 따라서 이 표준은 완전히 중립성을 갖추지 못하며, 문서에서 ENS와의 깊은 결합을 확인할 수 있습니다. ENS 도메인을 해석할 수 있는 기능도 포함되어 있습니다. 아래는 SiwE의 공식 웹사이트입니다: https://login.xyz/

ENS는 이미 많은 사람들이 잘 알고 있지만, Spruce는 상대적으로 생소합니다. 중국어 지역에서는 거의 보도나 해석이 없습니다. Spruce의 사명은 사용자가 자신의 개인 데이터를 제어할 수 있도록 하는 것이며, A16Z, YC 등 많은 스타트업 자본의 지원을 받고 있습니다. 이들이 속한 분야는 DID 대분류 아래의 SSI(자기 주권 신원)로, 개인이 자신의 신원 데이터를 제어할 수 있도록 하며, 어떤 제3자 애플리케이션이 이를 사용할 수 있는지, 어떻게 사용할지를 결정하는 문제를 포함합니다. 따라서 우리가 일반적으로 이해하는 DID가 데이터를 수집하여 당신이 누구인지를 증명하는 것이라면, SSI는 데이터 차원에서의 권한 부여, 사용 및 관리에 집중합니다.

이더리움 로그인 SiwE에 대해 이야기하기 전에, 전통적인 계정 로그인 시스템과 현재의 지갑 연결 서명에 대해 먼저 명확히 해야 SiwE의 차별성과 장점을 이해할 수 있습니다.

전통적인 계정 로그인 시스템은 전화번호, 이메일, 비밀번호 등의 형태로 중앙 집중화된 방식으로 사용자의 계정을 저장하고 로그인 및 인증을 수행합니다. 사용자의 계정은 완전히 중앙 집중화된 데이터베이스에 저장되므로, 계정 삭제, 계정 이전, 데이터 유출 등의 문제가 발생할 수 있습니다. 총 두 단계의 발전을 거쳤습니다. 텐센트와 알리바바와 같은 자체 생태계를 가진 대형 인터넷 회사가 등장하기 전까지, 사용자의 계정 시스템은 각 회사, 심지어 각 제품이 독립적으로 유지 관리하는 방식이었습니다. 일반적으로 User 테이블이 있어 해당 사용자의 모든 계정 정보를 저장하며, 사용자 등록 시 User 테이블에 데이터를 저장하고, 이후 로그인 시 사용자 이름과 비밀번호를 입력하여 매칭합니다. 사용자는 많은 계정 비밀번호를 관리해야 하므로 매우 번거롭고 쉽게 잃어버리거나 잊어버리기 쉽습니다. 많은 사용자들이 편리함을 위해 모든 제품의 계정 비밀번호를 동일하게 설정하여, 하나의 제품의 데이터베이스가 유출되면 해커가 크래킹 공격을 통해 모든 제품에 일괄적으로 로그인할 수 있습니다. 이렇게 많은 계정이 중앙 집중화되어 관리되면 위험이 매우 큽니다. 이후 많은 모바일 인증이 사용되기 시작하면서 매번 전화번호를 변경할 때의 고통스러운 단계가 나타났습니다.

이후 텐센트와 알리바바가 자체 제품 매트릭스를 갖추고 생태계를 형성한 후, 사용자는 자사의 다양한 제품 간에 로그인할 때 다른 계정으로 전환해야 하므로 매우 번거롭습니다. 가장 큰 문제는 각 제품 간의 계정이 격리되어 있어 텐센트와 알리바바가 사용자 데이터를 충분히 "활용"할 수 없다는 점입니다. 예를 들어, 내가 타오바오에서 침대를 구매하고, 어러머에서 배달 음식을 주문했다면, 데이터 분석을 통해 "일하는 독신 청년"이라는 태그를 붙일 수 있지만, 이는 두 개의 제품이므로 각 제품이 고유한 계정 시스템을 가지고 있어 두 제품 사용자 간의 연관 관계를 전혀 알 수 없습니다. 방법은 통합된 계정을 통해 매칭 인식하는 것입니다. 예를 들어, 모두 전화번호로 등록하여 모든 제품에서 동일한 전화번호를 사용하는 경우 동일한 사람으로 인식할 수 있습니다. 또 다른 방법은 단일 로그인 또는 통합 로그인을 사용하는 것입니다. 현재 가장 일반적으로 사용되는 WeChat 로그인을 예로 들 수 있습니다. 아래는 WeChat 로그인 프로세스의 흐름도입니다. 사용자가 WeChat을 로그인 방식으로 사용하면 계정 재등록 및 관리의 불필요한 프로세스를 면제받을 수 있으며, 제3자 제품에 대해 사용자의 사용 장벽을 낮추어 더 나은 고객 확보를 할 수 있습니다. WeChat에게는 더 많은 사용자와 제3자 제품이 WeChat을 계정 로그인 진입점으로 사용하면 경쟁 장벽을 크게 높일 수 있습니다.

toC의 로그인 시스템은 텐센트와 알리바바와 같은 생태계 기업의 솔루션을 사용할 수 있지만, toB의 로그인 시스템은 더 복잡한 문제에 직면합니다. 기업의 발전에 따라 내부에서 사용하는 제품이 다양해지고, 출처는 제3자 맞춤형 구매, SaaS 공급업체, 자체 개발 등으로 나뉘며, 직원 수가 많아 많은 권한 및 데이터 보안 문제를 포함해야 합니다. 따라서 수천 명의 직원이 내부 수백 개의 제품을 원활하고 안전하게 사용할 수 있도록 하는 문제도 해결해야 합니다. Authing, Okta와 같은 회사가 기업에 단일 로그인 솔루션을 제공합니다.

이상은 전통적인 Web2가 지난 20년 동안 계정 신원 시스템에서 겪은 주요 진화입니다. Web3는 일반 사용자에게 매우 직관적인 경험의 차이를 제공합니다. 하나의 지갑으로 모든 Web3 제품을 사용할 수 있다는 점이 가장 직접적으로 사용자에게 블록체인이 전 세계를 하나의 네트워크로 연결하는 의미를 느끼게 해줍니다. 또는 진정으로 "인터넷"을 실현했다고 할 수 있습니다.

하지만 체인 상 자산의 특성으로 인해 각 개인은 자신의 안전에 책임을 져야 하며, Web2처럼 사용자 자산의 안전을 보장할 책임과 의무가 있는 제3자 플랫폼이 존재하지 않게 됩니다. 따라서 사용자는 피싱 사이트가 가득한 환경에 대량으로 노출될 수 있으며, 관련 서명 및 권한 부여를 수행하면 자산이 도난당할 수 있습니다. 특히 현재 MetaMask를 대표하는 지갑 상호작용 시 노출되는 정보가 너무 적고 가독성이 매우 나쁩니다. 비기술 배경을 가진 사람들은 대다수 경우 서명 및 권한 부여를 요구하는 팝업 내용이 무엇을 의미하는지 이해하지 못합니다. 따라서 사용자 서명 권한 요청에 대한 엄격한 기준을 설정하고, 사용자에게 수행할 내용을 충분히 알려야 합니다.

EIP-4361은 이더리움 계정이 오프체인 서비스를 통해 신원 인증을 수행하는 표준 프로세스를 명확히 하며, 이 인증은 표준 메시지 형식을 서명하여 수행됩니다. 이 메시지 형식은 세션 세부 정보, 보안 메커니즘 및 범위를 구조화하여 표준 필드 매개변수로 표시됩니다. 이는 개발자에게 Web2 및 Web3 애플리케이션을 위한 통합 신원 계층을 구축할 수 있는 인프라를 제공합니다. 이 과정은 사용자에게 무료이며, 메시지에 서명하기만 하면 되며, 블록체인과 거래를 수행할 필요가 없고, 광부에게 Gas를 지불할 필요도 없습니다.

문서에서 언급한 바와 같이 "Web2 회사로서, 귀하는 사용자가 Web3에 처음 접촉하는 지점이 될 기회를 가지며, 그들이 자신의 디지털 신원을 제어하도록 도울 수 있습니다." SiwE는 지갑 연결-서명 전송-로그인 완료 과정을 표준화하여 더 많은 Web2 제품이 접속할 수 있도록 하여 로그인 옵션이 되기를 희망합니다. 이는 우리가 특정 제품을 사용할 때 Google 로그인, Twitter 로그인, Facebook 로그인 등의 로그인 방식을 선택할 수 있는 것과 같습니다. 아래에는 이더리움 로그인을 추가하여, 로그인 진입점을 삽입함으로써 대규모 사용자 기반의 Web2 제품을 커버할 수 있습니다.

이러한 Web2 제품이 SiwE에 접속하는 동기는 사용자의 공개 체인 자산에 따라 해당 서비스를 제공할 수 있기 때문입니다. 즉, Google이나 Twitter로 로그인하는 것은 단순히 로그인하는 행위일 뿐이지만, 이더리움으로 로그인하면 사용자가 보유한 자산 상황에 따라 더 많은 특정 서비스를 제공할 수 있습니다. 예를 들어, 특정 NFT를 보유하고 있다면 20% 할인과 같은 혜택을 받을 수 있습니다.

EIP-4361 제안 링크는 다음과 같습니다: https://eips.ethereum.org/EIPS/eip-4361 아래 이미지는 SiwE의 템플릿 메시지, 완전한 ABNF 및 해당 팝업 스타일로, 사용자에게 수행할 내용을 매우 구조화된 표준화된 방식으로 보여줍니다. 메시지, 요청 로그인 URL URI, 현재 버전 Version, 로그인 체인 Chain ID, 재전송 공격 방지를 위한 Nonce, 로그인 유효 시간 Issued AT 및 종료 시간 Expires AT이 포함됩니다.

여기서 ABNF는 확장 바카우스-노르 형식(Augmented Backus–Naur form)으로, 양방향 통신 프로토콜 언어의 형식 시스템을 설명하는 것입니다. 이는 EIP-4361의 핵심으로, 로그인 과정을 표준화하는 것입니다.

위에서 언급한 EIP-4361 뒤에는 ENS가 있으므로, 이 제안서에는 ENS와의 깊은 결합이 포함되어 있습니다. SiwE를 사용하면 ENS 데이터를 해석할 수 있으며, ENS 이름, ENS 아바타 및 ENS 문서에서 지정된 모든 해석 가능한 리소스를 포함합니다. 아래 이미지는 ENS가 본인의 도메인 외에도 지갑 주소, 이메일, Discord, Twitter 등 많은 정보를 바인딩할 수 있음을 보여줍니다.

표준화된 로그인 외에도 EIP-4361은 어느 정도 피싱 공격을 예방할 수 있습니다. 현재 매일 많은 사용자가 피싱 사이트에 의해 자산을 도난당하는 사건이 발생하고 있으며, EIP-4361은 지갑 로그인 과정에서 세 가지 단계를 거칩니다.

1. 메시지 검증: 서명 내용이 위에서 언급한 ABNF 표준 형식에 부합하는지 확인합니다.
2. 도메인 검증: EIP-4361 로그인 표준에 부합하는 경우, 지갑은 로그인 요청 URL이 ABNF에 제출된 URL과 일치하는지 검증하여 잘못된 정보를 피합니다.
3. 이더리움 로그인 팝업을 생성합니다. 이 팝업에는 모든 조항을 사용자에게 충분히 보여줘야 하며, 사용자가 페이지를 맨 아래로 스크롤한 후 서명하도록 요구합니다. 이는 많은 앱의 사용자 규칙과 유사하며, 명목상으로 읽었다는 것을 보장한 후 다음 단계를 실행할 수 있습니다.

디자인 규범에는 네 가지 조항이 언급되어 있습니다.

1. 인간이 이해할 수 있는 페이지를 제공해야 하며, 대부분 기계 작업을 위한 것이 아니어야 합니다. 예를 들어, JSON, 16진수 코드, base 인코딩 등은 포함되지 않아야 합니다. 이는 현재 지갑 상호작용에서 존재하는 문제로, 비기술자는 자신이 클릭한 후 의미가 무엇인지 전혀 알지 못합니다.
2. 애플리케이션의 백엔드는 최종 사용자에게 완전한 지원을 제공해야 하며, 지갑을 강제로 수정할 필요가 없습니다. 이는 SiwE에 접속할 때 사용자에게 경험상의 장벽을 주지 않아야 한다는 것을 요구합니다.
3. 이미 SiwE를 사용하고 있는 애플리케이션 지갑은 간단하고 직접적인 업그레이드 경로를 제공해야 하며, 위에서 언급한 SiwE 버전 번호 Version이 표시되어야 하며, 이후 SiwE 업그레이드도 호환성을 보장해야 합니다.
4. 충분한 재전송 공격, 악의적인 서명 등에 대한 예방 준비가 필요합니다.

또한 문서에서는 키 관리 문제도 언급되었습니다. SiwE는 많은 Web2 제품이 접속할 수 있도록 하여 더 많은 외부 사용자를 Web3 세계로 데려오기를 희망하지만, 주류 사용자는 이미 Web2 제품의 "비밀번호 찾기" 기능에 익숙해져 있습니다. Web3에서는 개인 키를 잃어버리면 복구할 수 없으므로, 이 문제는 많은 Web2 사용자에게 교육 장벽이 매우 높습니다. 사실 계정 추상화 AA 지갑의 보급이 이 문제를 효과적으로 해결할 수 있기를 매우 기대합니다.

이상은 EIP-4361을 통해 Web2에서 Web3로의 계정 시스템 변혁에 대한 해석입니다. 사실 EIP-4361 자체는 계정 추상화, 상하이 업그레이드와 같은 큰 영향을 미치는 사건이 아닙니다. 그것은 오히려 규범적인 산업 표준을 구축하는 것입니다. 그러나 이러한 미세한 최적화가 점차 Web2와 Web3 사용자 경험을 향상시킬 것입니다.

이 글을 작성하는 동안 몇몇 친구들에게 조언을 구했습니다. 특히 주재남, 여선, 방군 등 여러 분의 논의에 감사드립니다!