이더리움 재단이 오늘 사용자가 악성 트랜잭션을 무분별하게 승인하는 것을 막기 위해 설계된 새로운 '클리어 사인(Clear Signing)' 표준을 발표했다. 이 조치는 대부분의 암호화폐 지갑이 트랜잭션 데이터를 표시하는 방식을 악용하는 피싱 공격과 지갑 탈취로 인해 수십억 달러의 손실이 발생한 이후 나왔다. 이 표준은 지갑과 디앱(dapp)이 승인 요청을 평이한 언어로 표시하도록 강제하여, 공격자가 읽을 수 없는 헥스 코드 안에 위험한 행동을 숨기기 어렵게 만든다.
클리어 사인이 바꾸는 것
현재 사용자가 토큰 전송을 승인하거나 스마트 컨트랙트 상호작용에 서명할 때, 종종 수많은 16진수 문자열을 보게 된다. 대부분의 사람들은 그것을 읽지 않고 '확인'을 클릭하는데, 바로 이것이 피싱 공격이 이용하는 점이다. 클리어 사인은 지갑이 해당 데이터를 어떤 토큰, 수량, 어떤 컨트랙트, 어떤 권한인지 사람이 읽을 수 있는 필드로 변환하도록 요구한다. 이는 형식을 표준화하여 사용자가 요청이 정당한지, 아니면 지갑을 비우려는 시도인지 빠르게 판단할 수 있게 한다.
재단은 이 표준이 오픈소스이며 통합 준비가 되었다고 밝혔다. 이는 이더리움의 내부 작동 방식을 변경하지 않으며, 사용자가 서명하기 전에 보는 내용만 바꾼다.
피싱 공격은 암호화폐 분야에서 가장 지속적인 위협 중 하나였다. 가짜 에어드롭, 악성 승인, '아이스 피싱' 수법은 개인 지갑과 디파이(DeFi) 프로토콜에서 총 수십억 달러를 빼돌렸다. 문제는 새로운 것이 아니지만, 규모는 계속 커지고 있다. 클리어 사인은 사용자가 승인한다고 생각하는 것과 트랜잭션이 실제로 수행하는 작업 사이의 정보 비대칭이라는 근본 원인을 겨냥한다.
시점은 우연이 아니다. 이더리움 재단은 더 많은 소매 자금이 L2와 앱 체인으로 유입됨에 따라 사용자 안전을 개선해야 한다는 압박을 받아왔다. 이 표준은 현재 진행 중인 UX 안전 작업 그룹의 첫 번째 구체적인 결과물 중 하나이다.
도입 장벽
표준은 지갑이 실제로 구현해야만 유용하다. 메타마스크(MetaMask), 래비(Rabby), 세이프(Safe)와 같은 주요 지갑 제공업체는 새로운 형식을 지원해야 한다. 디앱은 이를 준수하기 위해 트랜잭션 요청 페이로드를 업데이트해야 한다. 재단은 클리어 사인을 최소한의 노력으로 업그레이드할 수 있는 것으로 소개하고 있으며, 대부분의 작업은 스마트 컨트랙트 쪽이 아닌 지갑 쪽에서 이루어진다.
이는 의무 사항이 아니다. 강제 메커니즘도 없다. 하지만 재단은 더 명확한 서명 프롬프트로 예방할 수 있었던 유명 해킹 사건 이후 사용자 수요가 지갑들이 이를 채택하도록 밀어붙일 것이라고 확신한다.
표준은 현재 이더리움 재단의 GitHub 페이지에서 확인할 수 있다. 개발자는 오늘부터 통합을 시작할 수 있다. 다음 대규모 피싱 공격이 발생하기 전에 이것이 기본값이 될지 여부는 미지수이다.
