모네로 링 서명 완벽 해설: XMR이 모든 발신자를 숨기는 방법

비트코인 트랜잭션에 서명하는 순간, 네트워크는 당신의 주소, 잔액 이력, 그리고 정확히 어떤 UTXO를 사용했는지를 모두 들여다봅니다. 반면 2026년 모네로 트랜잭션에 서명하면, 네트워크는 가능한 서명자 16명으로 구성된 '링(ring)'만을 볼 뿐, 그중 누가 진짜였는지를 수학적으로 증명할 수 없습니다. 2014년 CryptoNote 백서부터 오늘날의 CLSAG 링 서명까지, 10년 넘게 축적된 암호학 연구가 빚어낸 이 단 하나의 설계 결정이야말로, 모네로가 프로토콜 레벨에서 강제 프라이버시를 제공하는 유일한 주요 레이어1 암호화폐로 남아 있는 이유입니다.

이 글은 링 서명이 실제로 어떻게 작동하는지, 2022년 8월 하드포크가 왜 중요했는지, FCMP++가 활성화되면 무엇이 바뀌는지, 그리고 MoneroSwapper에서 진행하는 모든 스왑이 이 보장을 어떻게 자동으로 상속받는지를 풀어 드립니다. 사전 암호학 학위는 필요 없습니다 — 그러나 두루뭉술한 비유 대신 구체적인 수학을 마주할 각오는 해 두세요.

왜 링 서명이 모네로 프라이버시의 핵심에 있는가

모든 공개 블록체인은 동일한 회계 문제를 풉니다. 코인이 존재한다는 사실을 증명하고, 송신자가 그것을 소유한다는 사실을 증명하며, 이중 지불을 막는 것이죠. 비트코인은 투명한 입력값과 누구나 감사할 수 있는 UTXO 셋으로 이를 해결합니다. 모네로는 세 가지 기술을 층층이 쌓아 해결합니다 — 링 서명, 스텔스 주소, RingCT — 이 중 송신자를 가리는 계층이 바로 링 서명입니다.

송신자 난독화가 없으면, 금액이 완전히 암호화되어 있어도 메타데이터는 새어 나갑니다. Chainalysis나 CipherTrace 같은 체인 감시 업체의 기업 가치는 비트코인의 송신자 필드가 평문이라는 사실 위에 세워졌습니다. 모네로의 링 서명은 이 표면을 완전히 부숩니다. 각 트랜잭션 입력은 단일 키가 아니라 키 '집합'에 의해 서명되며, 검증자는 그 집합 안의 '누군가'가 지출을 승인했다는 사실만 확인합니다.

• 송신자 모호성: 실제 지출자는 체인의 이전 출력값에서 추출된 15개의 디코이와 계산적으로 구분 불가능합니다.
• 신뢰 셋업 불필요: 의례적인 파라미터 생성에 의존하는 zk-SNARK 방식과 달리, 링 서명은 Curve25519 위의 표준 타원곡선 가정에만 기댑니다.
• 선택이 아니라 의무: 2014년 출범 이래 모든 모네로 트랜잭션은 링 서명을 동반합니다. 감시 업체가 기준선 분석에 활용할 수 있는 '투명 모드' 같은 것은 존재하지 않습니다.
• 구조적 대체가능성: 출력값을 송신자에게 안정적으로 역추적할 수 없기 때문에, 그 어떤 코인도 오염되거나, 블랙리스트에 오르거나, '과거 이력'을 근거로 거래소에서 거부될 수 없습니다.

마지막 항목은 한국 금융위원회와 EU 규제 당국이 2021년 특금법 시행 이후 줄곧 씨름해 온 지점입니다. 누가 누구에게 무엇을 보냈는지 밝히기를 거부하는 프로토콜에 트래블룰 휴리스틱을 적용할 방법은 없습니다. 업비트·빗썸·코빗이 2021년 일제히 모네로를 상장 폐지했음에도 글로벌 시장에서 XMR이 살아남은 기술적 이유가 바로 링 서명입니다 — Verge나 Beam 같은 투명한 프라이버시 코인들이 무관심 속으로 미끄러져 들어간 것과는 정반대의 결말이죠.

모네로 링 서명은 실제로 어떻게 작동하는가

작동하는 머릿속 모델만 필요하다면 이 섹션은 건너뛰셔도 됩니다 — 그러나 그 수학이 왜 견고한지 이해하고 싶다면, 그 구성은 대부분의 해설서가 시사하는 것보다 훨씬 우아합니다. 현재 방식인 CLSAG는 2022년 8월 13일 하드포크에서 이전의 MLSAG 알고리즘을 대체했으며, 동일한 보안 보장을 유지하면서 서명 크기를 약 25% 줄였습니다.

핵심 아이디어: 그룹을 대신하여 서명하기

전통적인 디지털 서명은 "개인키 x를 보유한 내가 이 트랜잭션을 승인한다"를 증명합니다. 링 서명은 "개인키 x₁, x₂, …, x₁₆ 중 하나의 보유자가 이 트랜잭션을 승인했으며, 당신은 그것이 누구인지 알 수 없다"를 증명합니다. 검증자는 증명자가 집합 안의 개인키 중 최소 하나를 알고 있을 때만 닫히는 단일 방정식을 검사하지만, 그 방정식은 어떤 키가 사용되었는지에 대한 어떠한 정보도 드러내지 않습니다.

모네로 구현에서 '링'은 트랜잭션 생성 시점에 송신자의 지갑이 직접 구성합니다. 지갑은 실제로 지출할 출력값에 더해 과거 블록에서 디코이 출력값 15개를 골라, XMR의 현실적인 지출 연령 분포를 모사하는 감마(gamma) 분포로 가중치를 부여하고 — 최근 출력일수록 지출될 확률이 높다는 사실을 반영합니다 — 이를 서명에 묶어 넣습니다.

키 이미지: 송신자를 노출하지 않고 이중 지불을 막는 법

당연한 반박이 떠오릅니다. 네트워크가 실제로 어떤 출력이 사용되었는지 모른다면, 누군가가 같은 코인을 두 개의 서로 다른 링에 걸쳐 두 번 사용하는 것을 무엇이 막아 줄까요? 답은 키 이미지(key image)입니다 — 실제 개인키에서 결정론적으로 파생되며, 그 특정 출력값에 대해 유일한 해시값이죠. 모든 트랜잭션은 링 서명과 함께 키 이미지를 게시합니다. 노드들은 지금까지 본 키 이미지 집합을 유지하며, 중복은 무조건 거부됩니다.

결정적으로 키 이미지는 일방향 함수입니다. 그것을 안다고 해서 기반이 되는 개인키나 링 안에서 어떤 출력값이 사용되었는지에 대해 알 수 있는 정보는 전혀 없습니다. 단지 네트워크가 반복을 인지하도록 해 줄 뿐입니다. 모네로가 추적 불가능성과 건전한 화폐 회계를 같은 봉투 안에 담을 수 있게 해 주는 암호학적 원시 요소가 바로 이것입니다.

디코이 선택: 과거에 프라이버시 누수가 가장 많이 숨어 있던 자리

초기 모네로(2014–2017)에서는 사용자가 링 크기를 수동으로 선택할 수 있었습니다. 이는 명백한 문제를 만들었습니다. 링 크기 1(자기 자신만)을 쓴 사용자는 자명하게 추적 가능했고, 작은 링조차 통계적으로 공격당할 수 있었죠. 2022년 10월 하드포크 이후 프로토콜은 모든 트랜잭션에 대해 정확히 16의 링 크기를 의무화합니다. 통일성 자체가 프라이버시 속성입니다 — 모든 트랜잭션이 똑같이 생겼을 때, 익명 집합은 사실상 전체 체인이 됩니다.

디코이 선택은 실제 XMR 지출 패턴에 맞춰 보정된 감마 분포를 따릅니다. 순수 무작위 선택은 새 출력을 과대 대표시키고(이들이 지출되기 전 여러 링에 등장하므로) 오래된 출력을 과소 대표시켜, 통계적 공격자에게 발판을 내주게 됩니다. 감마 모형은 인간과 거래소가 실제로 코인을 움직이는 방식을 근사하므로, 진짜 지출은 주변 체인 노이즈에 자연스럽게 섞여 들어갑니다.

CLSAG, Bulletproofs+, 그리고 2014년 이후의 진화

모네로의 링 서명은 고정된 설계가 아닙니다. 2017년 이후 모든 주요 하드포크는 암호 구조를 조이거나, 서명 크기를 줄이거나, 두 가지 모두를 해 왔습니다. 그 연대기를 이해하면 2018년에 '먹혔던' 온체인 포렌식이 왜 2026년에는 무용지물인지 자연스럽게 설명됩니다.

지평선 위의 헤드라인 업그레이드는 2026년 말 활성화를 목표로 하는 FCMP++(Full-Chain Membership Proofs Plus Plus)입니다. 전체 체인에서 15개의 디코이를 고르는 대신, 모든 트랜잭션이 역사적 출력값의 '전체' 집합에 속한다는 사실을 증명하게 됩니다. 익명 집합은 16에서 약 1억으로 도약하며, 검증은 밀리초 단위로 가능할 만큼 충분히 압축된 암호학적 논증이 사용됩니다.

오늘날의 링 서명을 16개 짚단 속에 바늘 하나를 숨기는 일로 본다면, FCMP++는 짚단 더미를 통째로 들판 전체로 바꿔 버립니다 — 그러면서도 검증자는 여전히 그 어딘가에 바늘이 있다는 사실을 확인할 수 있습니다.

모네로 개발자들이 다가올 Seraphis/Jamtis 아키텍처를 점진적 패치가 아니라 세대 전환적 업그레이드로 묘사하는 이유가 여기에 있습니다. 기존 프라이버시 봉투를 단순히 키우는 것이 아니라, 유한하고 선택 가능한 집합으로서의 '링' 개념 자체를 제거하는 일이기 때문입니다.

단계별 해부: 0.5 XMR을 보낼 때 실제로 무슨 일이 벌어지는가

구체적인 트랜잭션 하나를 추적해 봅시다. 당신은 Feather Wallet이나 Cake Wallet을 열고, 수신자 주소를 붙여 넣고, 0.5 XMR을 입력한 뒤 전송을 누릅니다. 내부적으로는 다음 시퀀스가 실행됩니다 — 중간 사양 노트북에서도 대부분 2초 이내에 끝납니다.

1. 출력 선택: 지갑이 0.5 XMR과 수수료를 충당할 수 있는 미사용 출력값을 식별합니다. 예를 들어 0.7 XMR짜리 출력을 골랐다고 합시다.
2. 디코이 수집: 지갑은 노드(직접 운영하든 원격이든)에 체인 이력 전체에 걸쳐 감마 가중치 분포로 선정된 그럴듯한 디코이 출력 15개를 요청합니다.
3. 링 구성: 실제 출력값이 16개짜리 링 안에 섞입니다. 순서는 무작위화되어 위치만으로는 어떤 정보도 새지 않습니다.
4. 스텔스 주소 생성: 수신자의 공개 주소는 오직 수신자의 뷰 키(view key)만 감지할 수 있는 일회용 스텔스 출력으로 변환됩니다. 수신자가 공개한 주소조차 체인에 직접 등장하지 않습니다.
5. Pedersen 커밋: 금액(전송 0.5, 거스름돈 0.199, 수수료 약 0.001)은 Pedersen 커밋으로 암호화됩니다. 범위 증명(Bulletproofs+)이 값을 드러내지 않으면서 각 금액이 음수가 아님을 증명합니다.
6. CLSAG 서명: 지갑은 링 멤버십을 증명하고 동시에 키 이미지를 결합하는 단일 CLSAG 서명을 생성합니다. 이것이 트랜잭션의 암호학적 심장부입니다.
7. Dandelion++로 전파: 서명된 트랜잭션은 발신 노드의 IP를 가리는 Dandelion++ '줄기-그 다음 솜털' 전파 방식으로 멤풀에 진입합니다.
8. 확인: 약 2분 뒤 트랜잭션은 블록에 안착합니다. 10번의 확인(약 20분)이 대다수 거래소와 가맹점이 사용하는 표준 확정 기준선입니다.

관찰자 시각에서 체인에 보이는 것은 16명의 링 멤버(진짜 1, 디코이 15), 키 이미지 1개(이중 지불 부재 증명), 스텔스 출력 목적지 2개(거스름돈용 자신, 결제용 수신자), 그리고 Pedersen 커밋 2개뿐입니다. 금액, 송신자, 수신자는 모두 암호학적으로 가려져 있습니다.

실전 속의 링 서명: MoneroSwapper 스왑 사례

이론은 한 가지이고, 그 프라이버시 보장이 실제 교환에서 살아남는 것을 지켜보는 일은 또 다른 차원입니다. MoneroSwapper를 통해 비트코인을 모네로로 스왑할 때, 거래의 BTC 구간은 비트코인 체인에서 완전히 투명합니다 — 비트코인은 네이티브 프라이버시를 제공하지 않으므로 피할 수 없는 일이죠. 그러나 그 자금이 XMR이 되는 순간, 링 서명이 주도권을 잡습니다.

2026년 한 서울의 프리랜서가 미국 클라이언트로부터 BTC를 받았다고 가정해 봅시다. 그녀는 모네로 친화적인 해외 가맹점에 결제하기 위해 BTC를 MoneroSwapper 입금 주소로 보내고, 자신의 Cake Wallet 스텔스 주소로 XMR을 수령합니다. 그 시점 이후, 그녀의 XMR 잔액을 들여다보는 어떤 체인 분석 업체에도 보이는 것은 링 서명으로 보호된 출력값뿐입니다. BTC 구간과 이후 그녀가 진행하는 모네로 결제 사이에는 어떠한 연결도 없습니다 — 공유 주소도, 클러스터링도, 비트코인 분석이 의존하는 입력-출력 그래프도 존재하지 않습니다.

특금법과 트래블룰 시행 이후 국내 거래소에서 XMR을 직접 거래할 수 없게 된 환경에서, 모네로를 경유하는 노KYC(No-KYC) 거래소가 여행자, 언론인, 그리고 강력한 금융 감시가 작동하는 국가의 소상공인에게 사실상 표준 권고안이 된 이유가 여기에 있습니다. 프라이버시는 거래소 계층에 뒤늦게 덧붙여진 장치가 아니라, 자금이 XMR 쪽으로 진입하는 그 순간 기저 프로토콜에 의해 수학적으로 보장됩니다.

오해와 사실: 자주 반복되는 잘못된 통념들

모네로의 링 서명에 관해 한국 커뮤니티와 글로벌 포럼 모두에서 끈질기게 떠도는 잘못된 주장들이 있습니다. 정확한 보안 모델을 이해하려면 무엇이 사실이 '아닌지'를 정리하는 것도 중요합니다.

• "디코이는 가짜이므로 통계적으로 무시할 수 있다." 틀렸습니다. 감마 가중 디코이는 실제 지출 패턴과 통계적으로 구분 불가능하며, 어떤 출력이 "더 진짜처럼 보이는지"를 판정하는 알려진 방법은 없습니다. 검증자가 디코이와 실제 출력값을 가르려면 송신자의 비밀 정보를 가지고 있어야만 합니다.
• "링 서명은 zk-SNARK보다 약하다." 트레이드오프가 다를 뿐 단순한 우열 관계가 아닙니다. zk-SNARK(Zcash 등이 사용)는 더 강한 익명성 집합을 제공할 수 있지만 신뢰 셋업이 필요하고, 또 옵션 프라이버시 모델 — 즉 사용자가 '꺼 둘' 수 있는 — 에서 작동합니다. 모네로의 링 서명은 강제적이며 신뢰 셋업이 없는 대신 익명 집합이 16으로 제한됩니다. FCMP++는 이 격차를 사실상 해소합니다.
• "두 개의 링이 겹치는 출력값을 가지고 있으면 추적이 가능하다." 거짓입니다. 디코이는 의도적으로 과거 출력 풀에서 추출되므로 다른 트랜잭션의 디코이 또는 실제 지출과 자주 겹칩니다. 겹침 자체는 어떤 출력이 진짜였는지에 대해 아무것도 말하지 않습니다.
• "모네로 노드 운영자는 송신자를 본다." 부분적으로만 맞습니다. 노드는 거래를 전파하는 동안 발신 IP를 일시적으로 볼 수 있지만, Dandelion++가 이를 흐려 놓습니다. 어떤 경우에도 노드는 링 서명을 깰 수 없으며, 트랜잭션의 어떤 멤버가 실제 송신자인지 알아내지 못합니다.
• "수령 주소가 같으면 두 결제를 연결할 수 있다." 잘못된 통념입니다. 스텔스 주소는 매번 새로 생성되며, 동일한 공개 주소로 보낸 두 결제조차 체인에서 서로 다른 출력값으로 보입니다. 송신자나 수신자 측 메타데이터 누수가 없는 한, 두 거래를 연결할 방법은 없습니다.

이러한 통념의 상당수는 비트코인의 멘탈 모델을 모네로에 그대로 옮겨 적용한 데서 비롯됩니다. 비트코인에서는 입력-출력 그래프가 분석의 토대지만, 모네로에서는 그 그래프가 의도적으로 다대다로 흐려져 있어 같은 분석 도구가 통하지 않습니다.

다른 프라이버시 접근법과의 비교

모네로의 링 서명을 더 깊이 이해하려면, 같은 문제(송신자/수신자/금액 은닉)를 다르게 푸는 프로젝트들과 견주어 보는 것이 도움이 됩니다.

Zcash와 zk-SNARK

Zcash는 zk-SNARK를 사용해 송신자, 수신자, 금액을 모두 가립니다 — 이론적으로는 모네로보다 강한 익명성 집합(전체 차폐 풀)을 제공합니다. 그러나 차폐 트랜잭션은 옵션이며, 실사용에서는 트랜잭션의 다수가 투명한 t-address 사이에서 일어납니다. 결과적으로 차폐 풀에서 t-address로 나오는 경계 지점이 분석가에게 풍부한 메타데이터를 제공합니다. 모네로는 강제 프라이버시로 이 경계 지점 자체를 제거합니다.

MimbleWimble (Beam, Grin)

MimbleWimble은 주소 자체를 없애고 트랜잭션을 컷스루(cut-through)로 묶어 송신자-수신자 연결을 모호하게 만듭니다. 그러나 트랜잭션 그래프의 흐름은 여전히 추적 가능하며, '플래시라이트' 공격을 통한 부분적 익명성 해제가 학계에서 입증되었습니다. 모네로의 링 서명은 트랜잭션 그래프 자체를 다대다 관계로 흐려 놓아 같은 종류의 흐름 분석을 무력화합니다.

믹서와 텀블러

Tornado Cash 같은 이더리움 믹서나 비트코인 코인조인(CoinJoin) 도구는 옵션 프라이버시 — 사용자가 능동적으로 선택해야 하는 — 만 제공합니다. 그 결과 익명성 집합은 그 도구를 사용한 소수 사용자로 한정되며, OFAC 제재 같은 규제 압력에 노출됩니다. 모네로 링 서명은 모든 사용자가 자동으로 같은 익명성 집합에 속하므로 이런 차별적 압력을 받지 않습니다.

링 서명 프라이버시를 극대화하는 실전 베스트 프랙티스

프로토콜은 강력하지만, 사용자 행동이 프라이버시를 무너뜨릴 수 있습니다. 다음은 한국 사용자들이 실수하기 쉬운 항목들을 중심으로 정리한 체크리스트입니다.

1. 지갑 동기화는 직접 운영하는 노드에 연결하세요. 원격 노드를 사용하면 그 노드 운영자가 당신의 잔액 조회 패턴을 볼 수 있습니다. 잔액 자체는 보이지 않지만, 메타데이터 수집은 가능합니다. monerod를 직접 돌리는 것이 가장 안전합니다.
2. Tor 또는 I2P 위에서 전송하세요. 모네로 트랜잭션 자체는 익명이지만, 발신 IP는 ISP나 거래소가 관찰할 수 있습니다. Tor를 통한 전송은 이 마지막 누수 지점을 차단합니다. Feather Wallet은 기본 Tor 지원을 제공합니다.
3. 같은 공개 주소를 공개적으로 두 번 재사용하지 마세요. 체인 자체는 새 스텔스 주소를 생성하지만, 오프체인에서 같은 주소가 두 명의 결제자에게 게시되면 메타데이터 상관관계가 만들어집니다. 매 거래마다 서브 주소(sub-address)를 생성하세요.
4. 중앙화 거래소에서 직접 받은 XMR을 곧장 지출하지 마세요. 거래소는 출금 시점, 금액, 목적지 메모를 보관합니다. 받은 XMR을 자신의 지갑 안에서 한 차례 자기 자신에게 보낸 뒤 — 'churn' 작업 — 다른 곳으로 지출하면 시간/금액 상관관계를 추가로 흐릴 수 있습니다.
5. 거래소 입출금 시점을 무작위화하세요. 정확히 정각에 일정한 금액을 출금/입금하는 패턴은 그 자체로 식별 신호가 됩니다. 시간과 금액 모두에 약간의 무작위성을 도입하세요.

이 다섯 가지를 지키면, 프로토콜이 제공하는 수학적 보장에 더해 운영상의 누수 채널 대부분을 차단할 수 있습니다. 사실상의 익명성은 항상 '프로토콜 보안 × 사용자 운영 보안'의 곱으로 결정됩니다.

자주 묻는 질문

링 서명은 일반 디지털 서명과 어떻게 다른가요?

일반 서명은 특정 개인키 하나가 메시지를 승인했음을 증명합니다 — 검증자는 누가 서명했는지 정확히 알게 됩니다. 링 서명은 'N개의 개인키 중 하나'가 메시지를 승인했음을 증명하면서 그것이 어떤 키인지는 결코 드러내지 않습니다. 모네로에서 N은 현재 16이며, 모든 트랜잭션 입력이 16명의 가능한 지출자로 구성된 구분 불가능한 집합에 의해 서명됩니다.

체인 분석이 모네로 링 서명의 익명성을 깰 수 있나요?

초기 모네로(2017년 이전)를 대상으로 한 통계적 공격은 링 크기가 작거나 선택 가능했을 때 성공했습니다. 2022년 8월 하드포크가 감마 가중 디코이 선택과 함께 링 크기 16을 강제한 이후, 프로토콜 계층에서 신뢰할 만한 익명성 해제를 입증한 동료 심사 논문은 한 편도 없습니다. 운영상의 실수 — 모네로 외부에서 주소를 재사용한다든가, 거래소에서 메타데이터를 흘린다든가, 타이밍 상관관계가 형성된다든가 — 가 여전히 진짜 공격 표면으로 남아 있습니다.

링 크기는 왜 16에서 막혀 있나요? 더 크면 안 되나요?

서명 크기와 검증 비용은 링 크기에 비례해 커지며, 큰 링일수록 모든 노드가 더 많은 데이터를 저장·동기화·검증해야 합니다. 16은 익명 집합 크기와 체인 비대화 사이의 현재 절충점입니다. 다가오는 FCMP++ 업그레이드는 링을 압축적인 전체 체인 멤버십 증명으로 대체함으로써 이 트레이드오프를 완전히 우회하여, 실효 익명 집합을 지금까지 생성된 모든 출력값으로 확장합니다.

키 이미지란 무엇인가요? 쉽게 말하면?

키 이미지는 지출되는 실제 개인키에서 파생된 고유한 지문입니다. 모든 트랜잭션은 키 이미지 하나를 게시합니다. 노드들은 자신이 본 모든 키 이미지를 추적하고 중복은 거부하며, 이것이 모네로가 이중 지불을 막는 방식입니다. 결정적으로, 키 이미지는 역산해 개인키나 출처가 된 특정 출력값을 알아낼 수 없습니다 — 오직 중복만을 표시할 뿐입니다.

모네로 링 서명은 양자내성을 갖추고 있나요?

아직은 아닙니다. 현재의 CLSAG 링 서명은 Curve25519 위의 이산 대수 문제에 의존하며, 충분히 큰 양자 컴퓨터는 쇼어(Shor) 알고리즘으로 이를 깰 수 있습니다. 모네로 리서치 랩(Monero Research Lab)은 격자 기반·해시 기반 양자내성 후보들을 추적하고 있으며, Seraphis는 향후 양자내성 마이그레이션 경로를 염두에 두고 설계되고 있습니다. 2026년 현재 실제 양자 위협은 존재하지 않지만, 로드맵은 장기적 우려를 분명히 인지하고 있습니다.

하드웨어 지갑을 쓰면 링 서명이 작동하는 방식이 달라지나요?

아닙니다. 모네로를 지원하는 Trezor Safe 3와 Ledger 기기는 보안 요소(secure element) 내부에서 처리한다는 점만 다를 뿐, 소프트웨어 지갑과 동일한 CLSAG 서명 연산을 수행합니다. 링 구성, 디코이 선택, 키 이미지 생성은 모두 동일하게 일어납니다. 하드웨어 지갑의 가치는 지출 키를 오프라인에 두는 데 있는 것이지, 암호 프로토콜 자체를 바꾸는 데 있지 않습니다.

맺음말

링 서명은 모네로가 마케팅 카피에서 광고하는 기능이 아닙니다 — 그것은 전체 프로토콜이 그 위에 세워진 내력벽입니다. 2014년의 CryptoNote 원안에서, MLSAG와 Bulletproofs를 거쳐, 오늘날의 링 크기 16을 의무화한 CLSAG를 지나, 2026년 후반의 FCMP++로 향하는 동안 모든 세부 개선은 동일한 근본 약속을 단단히 조여 왔습니다. XMR 트랜잭션의 송신자는 체인을 들여다보는 그 누구에게도 식별되지 않는다는 약속이죠.

이 보장이 모네로를 인터넷 상의 실질적 현금으로 사용 가능하게 만들고, MoneroSwapper를 경유하는 모든 스왑이 자금이 XMR 쪽에 닿는 순간 상속받는 약속이기도 합니다. 이론을 실전에 옮기고 싶다면 다음 단계는 단순합니다 — CLSAG를 지원하는 지갑을 설치하고(Feather Wallet, Cake Wallet, Monero GUI 모두 적격입니다), 노KYC 거래소를 통해 소액 스왑을 진행한 뒤, 당신의 트랜잭션이 체인에 얼마나 적은 것을 노출하는지 직접 관찰해 보세요. 나머지는 수학이 합니다.