Monero Bulletproofs+ vs Bulletproofs: 무엇이 진짜로 바뀌었나

2022년 8월 13일, Monero 네트워크 업그레이드는 거의 어떤 사용자도 직접 본 적 없지만 모두가 의존하고 있는 암호학 부품 하나를 조용히 교체했습니다. Bulletproofs+가 기존 Bulletproofs 범위 증명(range proof)을 대체하면서, 모든 거래에서 몇 바이트를 더 깎아 내고 체인을 감시하는 수천 개 풀 노드의 검증 시간을 줄였습니다. MoneroSwapper 같은 노-KYC 서비스로 XMR을 한 번이라도 옮겨 본 적이 있다면, 그 거래에는 이 증명 가운데 하나가 암호학적 화물처럼 실려 있었습니다. 당신이 몰래 코인을 무(無)에서 찍어내고 있지 않다는 수학적 증거 말입니다.

두 이름은 거의 똑같이 들리고, 릴리스 노트는 그 간극을 좀처럼 설명해 주지 않습니다. Bulletproofs+는 프라이버시 업그레이드일까요? 속도 업그레이드일까요? 아니면 완전히 새로운 시스템일까요? 짧게 답하면, 이것은 효율성 업그레이드이지 프라이버시 업그레이드가 아닙니다. 이 가이드는 각 증명이 실제로 무슨 일을 하는지, Monero가 왜 각각 2018년 10월과 2022년 8월에 이들을 도입했는지, 그리고 2026년의 평범한 거래 하나를 놓고 봤을 때 둘 사이의 실질적 차이가 얼마나 의미 있는지를 차근차근 풀어 드립니다.

Monero에 애초에 범위 증명이 필요한 이유

Monero는 2017년 1월에 도입된 RingCT(Ring Confidential Transactions)를 사용해 거래 금액을 숨깁니다. 금액을 평문으로 적어 두는 대신, 각 출력(output)은 C = xG + aH 형태의 페더슨 커밋먼트(Pedersen commitment)를 저장합니다. 여기서 a는 숨겨진 금액, x는 무작위 블라인딩 인자(blinding factor)이고, G와 H는 고정된 타원곡선 생성원입니다. 네트워크는 관련된 숫자를 전혀 알지 못한 채로 입력의 합과 출력의 합이 같다는 사실을 검증할 수 있습니다.

그런데 이 비밀성은 위험한 허점을 만들어 냅니다. 아무도 금액을 볼 수 없다면, 악의적인 송금자가 곡선의 군위수(group order)를 넘어 한 바퀴 도는 거대한 값에 커밋하는 것을, 즉 사실상 XMR을 무에서 만들어 내는 것을 무엇이 막아 줄까요? 바로 이 지점에서 범위 증명이 제 몫을 합니다.

• 인플레이션 방어: 범위 증명은 숨겨진 모든 금액이 그 수치를 드러내지 않으면서도 유효 구간 [0, 2⁶⁴) 안에 들어 있음을 증명합니다. 음수 금액도, 정수 오버플로도, 위조 코인도 없습니다.
• 영지식(zero-knowledge): 이 증명은 실제 값에 대해 아무것도 흘리지 않습니다. 검증자는 오직 "이 숫자는 범위 안에 있다"만 알 뿐, 그 숫자 자체는 결코 알지 못합니다.
• 신뢰 설정 불필요: 많은 zk-SNARK 구성과 달리, Bulletproofs와 Bulletproofs+는 비밀스러운 의식(ceremony)이 필요 없습니다. 나중에 증명을 위조하는 데 쓰일 수 있는 독성 폐기물(toxic waste)이 존재하지 않습니다.
• 집계(aggregation): 단 하나의 증명이 거래의 모든 출력을 한꺼번에 다룰 수 있어서, 증명 크기는 출력이 늘 때마다 선형으로 커지는 게 아니라 로그 규모로만 증가합니다.

이 증명에 들어가는 모든 바이트는 지구상 모든 노드에 복제되어 블록체인에 영원히 남습니다. 그래서 범위 증명의 효율성은 각주 수준의 사소한 문제가 아닙니다. 그것은 Monero의 수수료, 동기화 시간, 장기 저장 부담을 직접 좌우하며, 이 모두가 다시 Monero의 대체가능성(fungibility)을 떠받칩니다.

Bulletproofs: 2018년의 돌파구

Bulletproofs 이전에 Monero는 범위 증명을 만드는 데 보로미안 링 서명(Borromean ring signature)을 사용했습니다. 작동은 했지만 공간 측면에서는 가혹했습니다. 증명 크기가 증명해야 할 비트 수에 따라 선형으로 커졌고, 출력 두 개짜리 거래 하나가 대략 13KB까지 부풀어 올랐습니다. 이미 무거운 링 서명 데이터를 짊어진 프라이버시 체인에서 이것은 지속 가능하지 않았습니다.

Benedikt Bünz, Jonathan Bootle 및 공저자들이 2017년에 제안한 Bulletproofs는 2018년 10월 네트워크 업그레이드와 함께 Monero 메인넷에 안착했습니다. 결과는 극적이었습니다. 전형적인 거래 크기가 약 80% 줄어 ~13KB에서 약 2.5KB로 떨어졌고, 중간값 수수료는 95% 이상 폭락했습니다. 이는 Monero 역사상 단일 효율성 개선 가운데 가장 큰 것 중 하나로 지금도 남아 있습니다.

Bulletproofs는 내부적으로 어떻게 작동하나

Bulletproofs 내부의 엔진은 내적 논증(inner-product argument, IPA)입니다. 증명자는 금액의 비트들을 두 개의 벡터로 인코딩한 뒤, 그 두 벡터의 내적이 특정 값과 같다는 것을 검증자에게 납득시켜야 합니다. 전체 벡터를 보내는 대신, 프로토콜은 여러 라운드를 진행하면서 매번 벡터 길이를 절반으로 줄입니다. log₂(n) 라운드가 지나면 전송할 곡선 점은 한 줌만 남습니다.

바로 이 로그 규모의 확장성이 마법의 핵심입니다. 64비트 범위를 증명하는 데 단 수백 바이트짜리 증명이면 충분하고, 여러 출력을 집계해도 완전히 새로운 증명 대신 원소 몇 개만 더 붙으면 됩니다. 내적 논증을 영지식으로 만들기 위해, 기본형 Bulletproofs는 핵심 논증과 함께 전송되는 추가 블라인딩 항을 덧붙입니다.

배치 검증(batch verification)

Bulletproofs는 또한 여러 증명을 한 번의 배치 연산으로 묶어 검증할 수 있게 해 주는데, 이는 증명을 하나씩 따로 확인하는 것보다 훨씬 저렴합니다. 풀 노드가 수년치 기록을 동기화하거나, 멤풀에서 끌어온 거래로 가득 찬 갓 채굴된 블록을 검증할 때 이 점은 엄청나게 중요해집니다.

Bulletproofs+ vs Bulletproofs: 진짜 차이점

Bulletproofs+는 Heewon Chung, Kyoohyung Han, Chanyang Ju, Myungsun Kim, Jae Hong Seo가 쓴 2020년 논문에서 나왔습니다. 공교롭게도 모두 한국 연구자라는 점은 국내 독자에게 작은 자부심의 거리이기도 합니다. 그 핵심 혁신은 내적 논증을 가중 내적(weighted inner-product, WIP) 논증으로 교체한 것입니다. WIP는 영지식 블라인딩을 논증 자체에 직접 접어 넣어서, 증명자가 더 이상 기본형 Bulletproofs가 요구하던 별도의 마스킹 항을 전송할 필요가 없게 만듭니다.

전송 원소가 줄어든다는 것은 증명이 더 작아지고 검증이 약간 더 저렴해진다는 뜻입니다. Monero에 적용된 결과, Bulletproofs+는 거래에서 범위 증명이 차지하는 부분을 대략 5~7% 줄였고 검증 속도를 소폭 끌어올렸습니다. 이것은 점진적 개선입니다. 2018년의 80% 도약에는 한참 못 미치지만, 수백만 건의 거래와 모든 노드의 저장 공간에 걸쳐 누적되는 공짜 절감입니다.

조금 더 구체적으로 보면, 기본형 Bulletproofs에서는 증명자가 영지식을 위한 별도의 커밋먼트와 마스킹 스칼라를 핵심 논증과 나란히 실어 보내야 했습니다. WIP는 이 항들을 가중치가 부여된 내적 관계식 안에 녹여 넣어, 검증자가 동일한 안전성을 그대로 누리면서도 받아야 할 원소 수를 줄입니다. 검증자 입장에서 이는 다중 스칼라 곱셈(multi-scalar multiplication)에서 처리할 점이 줄어든다는 뜻이고, 배치 검증과 결합되면 노드의 누적 부담이 한층 가벼워집니다.

결정적으로, 프라이버시 속성은 둘이 동일합니다. 두 증명 모두 금액을 똑같이 잘 숨기고, 둘 다 같은 64비트 범위와 같은 페더슨 커밋먼트 방식에 의존합니다. Bulletproofs+를 "더 프라이빗하다"고 마케팅하는 사람이 있다면 그것은 틀린 말입니다. 프라이버시는 RingCT, 링 서명, CLSAG에서 나옵니다. 범위 증명이 보장하는 것은 오직 금액의 정직함뿐입니다.

2022년 8월 업그레이드는 범위 증명을 교체한 것 이상의 일을 했습니다. 지갑 스캔 속도를 대략 40% 높여 준 뷰 태그(view tags)도 함께 실었고, 링 크기를 11개에서 16개의 미끼(decoy)로 늘렸습니다. Bulletproofs+는 더 커진 링이 추가한 무게를 상쇄하는 데 도움을 주어, 익명 집합(anonymity set)이 커진 와중에도 거래를 날렵하게 유지했습니다.

왜 두 번째 도약은 그렇게 작았나

2018년에 80%를 깎아 낸 기술이 2022년에는 왜 고작 5~7%만 더 깎았을까요? 이상해 보일 수 있지만, 사실 이것은 수확 체감(diminishing returns)의 교과서적인 사례입니다. 보로미안 링 서명은 증명할 비트 수에 따라 크기가 선형으로 커졌습니다. 즉 구조적으로 비효율적이었기에, 로그 규모로 확장되는 무언가로 바꾸자마자 거대한 덩어리가 단번에 사라진 것입니다.

일단 Bulletproofs가 그 선형 비용을 로그 비용으로 으깨 놓은 뒤에는, 남은 살을 깎을 여지가 훨씬 적어졌습니다. Bulletproofs+가 한 일은 영지식 블라인딩을 운반하던 마지막 군더더기 원소들을 가중 내적 논증 안으로 흡수해 버린 것입니다. 이미 날씬한 증명에서 몇 개의 군곡선 원소를 더 떼어 낸 셈이니, 절대량으로는 작아 보여도 비율로는 의미 있는 정리(整理)였습니다.

핵심 교훈은 이렇습니다. 효율성 개선의 가치를 절감 비율 하나로만 판단하지 마십시오. 5~7%라는 숫자는 작아 보이지만, 그것은 영원히 복제되는 블록체인 데이터에 적용되고, 모든 노드의 검증 부담에 곱해지며, 매년 수백만 건의 거래에 누적됩니다. 한 번의 절약이 아니라 끝없이 반복되는 절약이라는 점이 차이를 만듭니다.

노드 운영자에게 미치는 영향

범위 증명의 효율성이 가장 또렷하게 체감되는 곳은 풀 노드를 직접 돌리는 사람의 컴퓨터입니다. 새 노드가 처음 켜질 때는 제네시스 블록부터 현재까지 체인 전체를 내려받아 검증하는 초기 블록 다운로드(IBD)를 거칩니다. 이 과정에서 노드는 과거에 확정된 모든 범위 증명을 다시 검증해야 합니다.

증명이 작을수록 디스크에서 읽고 네트워크로 받아야 할 데이터가 줄고, 배치 검증이 빠를수록 CPU가 일하는 시간이 짧아집니다. 라즈베리 파이 같은 저사양 기기나 Tor 너머의 제한된 대역폭에서 노드를 운영하는 사람에게는 이 차이가 누적되어 동기화 완료까지 걸리는 시간을 좌우합니다. 노드를 띄우는 문턱이 낮아질수록 더 많은 사람이 직접 체인을 검증하게 되고, 그것이 곧 Monero의 탈중앙화를 떠받칩니다.

여기에는 한 가지 미묘하지만 중요한 점이 있습니다. 거래 크기가 작아지면 같은 블록 공간 안에 더 많은 거래가 들어갈 수 있고, 이는 혼잡한 시기에도 수수료를 낮게 유지하는 압력으로 작용합니다. 다시 말해 Bulletproofs+의 절감은 노드 운영자의 디스크뿐 아니라 모든 사용자의 지갑에서 수수료라는 형태로도 되돌아옵니다. 효율성, 탈중앙화, 비용이 한 줄로 꿰어져 있는 셈입니다. 외부에서 화려하게 드러나지 않는 이런 종류의 개선이야말로, 프라이버시 코인이 장기적으로 살아남는 데 필요한 토대를 조용히 다집니다.

범위 증명이 거래 안에서 거치는 여정

이 증명들이 XMR 결제의 생애 주기 어디에 자리 잡는지 보면 이해가 쉬워집니다. 아래 단계는 출력 하나가 생성에서 확정까지 거치는 길을 따라갑니다.

1. 금액에 커밋한다. 지갑이 무작위 블라인딩 인자를 고르고 각 출력에 대해 페더슨 커밋먼트 C = xG + aH를 만들어, 온체인에서 값을 숨깁니다.
2. 증명을 생성한다. 지갑은 모든 출력을 아우르는 집계된 Bulletproofs+ 범위 증명 하나를 구성해, 각 금액이 노출 없이 [0, 2⁶⁴) 안에 있음을 증명합니다.
3. 전파한다. 서명된 거래는 — 링 서명 데이터, 키 이미지, 커밋먼트, 그리고 범위 증명까지 — Dandelion++를 통해 네트워크로 퍼져 나가 멤풀에 도착합니다.
4. 검증한다. 각 풀 노드는 범위 증명을 확인하고(흔히 다른 증명들과 배치로 묶어서), 입력과 출력의 균형을 맞춰 보고, 링 서명을 검증한 다음 거래를 중계합니다.
5. 확정한다. 채굴자가 거래를 블록에 포함시키고, 열 번의 확인(confirmation)을 거치면 자금은 정산되어 사용 가능한 것으로 간주됩니다.

단 하나의 범위 증명이 검증에 실패하면 거래 전체가 거부됩니다. "부분" 승인 같은 것은 없습니다. 이 전부-아니면-전무(all-or-nothing) 규칙이 바로 인플레이션 보장을 빈틈없게 만드는 장치입니다.

이 차이가 실제로 의미하는 것

일반 사용자에게 Bulletproofs에서 Bulletproofs+로의 전환은 눈에 보이지 않았습니다. 지갑을 업데이트했고, 거래는 그냥 더 새로운 증명을 만들기 시작했을 뿐입니다. 사용할 수 없게 된 코인도 없었고, 바뀐 주소도 없었으며, 당신의 프라이버시 자세에 대해 달라진 것도 전혀 없었습니다. 이득은 네트워크 차원에서 발생했습니다.

2026년 기준 표준적인 입력 2개·출력 2개짜리 Monero 거래는 무게가 대략 1.5KB이고, 일반 우선순위에서 미국 1센트의 몇 분의 일에 해당하는 비용이 듭니다. 링 크기가 16개로 뛴 뒤에도 이 수치가 낮게 유지된 이유 중 하나가 바로 Bulletproofs+입니다. 매년 확정되는 수백만 건의 거래 전반에 5~7%의 범위 증명 절감을 곱해 보면, 눈에 띄게 슬림해진 블록, 새 노드의 더 빠른 초기 동기화, 그리고 변변찮은 하드웨어에서 Tor를 통해 Monero를 돌리는 누구에게나 더 가벼운 발자국이 돌아옵니다.

그 효율성은 곧장 접근성으로 이어집니다. 낮은 수수료와 작은 거래는 노드를 띄우는 비용을 낮추고, 이는 네트워크를 탈중앙화된 상태로 유지합니다. MoneroSwapper를 통해 XMR로 교환하고 자신의 지갑으로 출금할 때, 그 거래 안에 실려 가는 증명은 2026년의 다른 모든 사용자가 만들어 내는 것과 똑같이 날렵한 Bulletproofs+ 객체입니다. 하나의 XMR 출력이 암호학적으로 다음 것과 구별되지 않기에, 대체가능성이 보존되는 것입니다.

범위 증명은 Monero 프라이버시 스택의 한 층일 뿐이라는 점도 짚어 둘 만합니다. 국세청 같은 과세 당국과 금융감독원 같은 규제 기관이 가상자산 흐름을 들여다보지만, 범위 증명은 송신자·수신자·금액에 대해 아무것도 드러내지 않습니다. 그 유일한 임무는 공급량에 대한 정직함이지 익명성이 아닙니다. 익명성은 프로토콜의 다른 곳에서 처리됩니다.

한국 사용자를 위한 맥락

한국에서 Monero를 둘러싼 환경은 기술 자체만큼이나 규제의 영향을 강하게 받습니다. 특정금융정보법(특금법) 체제 아래에서 국내 원화 거래소들은 자금세탁방지(AML) 기준을 충족하기 어렵다는 이유로 XMR 같은 프라이버시 코인을 사실상 상장 폐지해 왔습니다. 그래서 국내 사용자가 XMR을 손에 넣는 경로는 노-KYC 스왑 서비스나 P2P 채널로 좁혀지는 경우가 많습니다. 이런 맥락에서 Bulletproofs+가 가져다주는 거래 크기 절감은 단순한 기술 디테일을 넘어, 더 저렴하고 더 검열에 강한 송금을 가능하게 하는 실질적 가치가 됩니다.

여기서 분명히 해 둘 점이 하나 있습니다. 범위 증명의 효율성은 세금 신고 의무와는 별개의 문제입니다. 국세청은 가상자산 거래에서 발생한 소득에 대한 신고 책임을 개인에게 지우며, Bulletproofs+가 금액을 온체인에서 숨긴다고 해서 그 의무가 사라지지는 않습니다. 프라이버시 기술은 블록체인 위에서의 노출을 줄여 주는 도구일 뿐, 현행 법규를 대신 지켜 주는 장치가 아닙니다. 도구의 작동 원리를 이해하는 것과 그 도구를 책임 있게 쓰는 것은 서로 다른 차원의 이야기입니다.

FAQ

Bulletproofs+ 때문에 예전에 받은 Monero를 못 쓰게 됐나요?

아닙니다. 이 변경은 특정 블록 높이에서 활성화된 합의 수준(consensus-level) 업그레이드였습니다. 2022년 8월 포크 이후, 업데이트된 지갑은 새 거래에 대해 그저 Bulletproofs+ 증명을 만들기 시작했을 뿐입니다. 옛 Bulletproofs 시기에 받은 코인도 아무 문제 없이 쓸 수 있습니다. 증명은 잔액과 함께 영구히 저장되는 것이 아니라, 보낼 때마다 새로 생성되기 때문입니다.

Bulletproofs+가 Bulletproofs보다 더 프라이빗한가요?

아닙니다. 둘은 정확히 같은 정도로 금액을 숨기고, 동일한 [0, 2⁶⁴) 범위를 증명합니다. Bulletproofs+는 순전히 효율성 개선입니다. 더 작은 증명과 약간 더 빠른 검증이 전부입니다. Monero의 실제 프라이버시는 RingCT, 스텔스 주소(stealth address), CLSAG 링 서명에서 나오며, 이 중 어느 것도 범위 증명이 건드리지 않습니다.

Bulletproofs+를 쓰려면 제가 뭘 해야 하나요?

최신 지갑을 돌리기만 하면 됩니다. 공식 Monero 소프트웨어인 GUI와 CLI, 그리고 평판 좋은 서드파티 지갑들은 2022년 업그레이드 이후 기본값으로 Bulletproofs+ 증명을 만들어 왔습니다. 켜고 끌 설정도 없고, 따로 수행할 마이그레이션도 없습니다. 전부 자동입니다.

Monero는 왜 그냥 zk-SNARK를 쓰지 않나요?

가장 효율적인 zk-SNARK 시스템 대부분은 신뢰 설정 의식을 필요로 하는데, 이 의식은 비밀 매개변수를 만들어 냅니다. 만약 그 매개변수가 유출되면, 공격자가 증명을 위조해 공급량을 들키지 않고 부풀릴 수 있습니다. Bulletproofs와 Bulletproofs+는 그런 의식이 전혀 필요 없어서 Monero의 무신뢰(trustless) 철학과 맞아떨어집니다. 그 대가는 증명이 약간 더 크고, 검증 비용이 명제 크기에 비례해 늘어난다는 점입니다.

Bulletproofs+ 다음에는 무엇이 오나요?

다음 큰 도약은 FCMP++(Full-Chain Membership Proofs)입니다. 이것은 링 서명을, 16개 미끼로 이뤄진 링이 아니라 블록체인 전체 속에 각 지출을 숨기는 증명으로 교체하는 것을 목표로 합니다. 자체적인 증명 기계를 사용하며, 2025~2026년에 걸쳐 활발히 테스트되어 향후 하드포크에 예정되어 있습니다. Bulletproofs+ 같은 범위 증명은 FCMP++가 프라이버시의 멤버십 측면을 뜯어고치는 와중에도 자기 일을 계속 맡을 가능성이 높습니다.

Bulletproofs+ 증명은 정확히 얼마나 큰가요?

대략적인 감을 잡자면, 출력 두 개를 다루는 집계된 Bulletproofs+ 범위 증명은 700바이트 안팎입니다. 흥미로운 점은 이 증명의 크기가 출력 수가 늘어도 거의 같은 수준에 머문다는 것입니다. 로그 규모 확장 덕분에 출력이 두 배가 되어도 곡선 점 한두 개만 추가될 뿐이기 때문입니다. 거래 전체 크기에서 더 큰 비중을 차지하는 쪽은 보통 링 서명 데이터입니다.

제 거래의 범위 증명이 검증에 실패할 수 있나요?

정상적인 지갑 소프트웨어를 쓴다면 사실상 그럴 일이 없습니다. 증명은 지갑이 보내기 전에 자동으로 구성하며, 형식이 올바르게 만들어진 증명은 항상 검증을 통과합니다. 검증 실패는 보통 손상된 거래나 합의 규칙을 따르지 않는 비표준 소프트웨어의 신호입니다. 그리고 그런 경우 거래 전체가 통째로 거부될 뿐, 부분적으로 처리되는 일은 없습니다.

범위 증명이 제 거래 그래프에 대해 무언가를 드러내나요?

아닙니다. 범위 증명은 오직 "이 금액들이 유효 범위 안에 있다"는 한 가지 사실만 말합니다. 어떤 출력이 어떤 입력과 연결되는지, 누가 보냈고 누가 받는지에 대해서는 한 글자도 흘리지 않습니다. 그런 연결을 끊는 일은 링 서명과 스텔스 주소의 몫입니다. 범위 증명과 프라이버시 계층을 혼동하면 "더 작은 증명 = 더 약한 프라이버시"라는 잘못된 직관에 빠지기 쉬운데, 둘은 완전히 별개의 부품이라는 점을 기억하면 그 함정을 피할 수 있습니다.

결론

Bulletproofs는 혁명이었습니다. 2018년에 기밀 금액을 실용적으로 만든 80%의 크기 절감이었죠. Bulletproofs+는 마무리 다듬기입니다. 2022년에 내적 논증을 가중형 변형으로 교체하고, 영지식을 증명 안으로 접어 넣어, 당신의 프라이버시에 대해서는 아무것도 바꾸지 않으면서 모든 거래에서 바이트를 절약한 5~7%의 개선이었습니다. 그 차이를 알면, 더 새로운 증명을 "더 익명하다"고 부르는 마케팅 신화를 꿰뚫어 볼 수 있습니다. 그것은 그렇지 않으며, 그럴 필요도 없습니다.

두 증명은 같은 목표를 공유합니다. 금액이 봉인된 채로 있는 동안 누구도 XMR을 위조하지 못하게 보장하는 것입니다. 그 조용한 무결성이 모든 코인을 서로 교환 가능하게 유지하는 한 축입니다. 화면에 표시되지도, 따로 광고되지도 않지만, 당신이 보내는 모든 거래의 밑바닥에서 묵묵히 일하고 있는 수학인 셈입니다. 직접 써 볼 준비가 되셨나요? MoneroSwapper를 통해 계정도 KYC도 없이 익명으로 Monero를 구매할 수 있으며, 당신이 받는 모든 출력에는 네트워크의 나머지 전부가 신뢰하는 바로 그 날렵하고 충분히 검증된 Bulletproofs+ 증명이 실려 옵니다.