Monero RingCT 비밀 거래(Confidential Transactions) 완벽 해설

아무 Bitcoin 블록 탐색기나 열어 보면 지금까지 일어난 모든 거래의 금액을 사토시 단위까지 정확히 읽어낼 수 있습니다. 주소 하나를 입력하면 잔액을 들여다보고, 그 코인이 어디서 왔는지 거슬러 올라가며, 어디로 흘러갔는지까지 따라갈 수 있습니다. 이런 투명성은 의도된 설계이지만, 동시에 월급 한 번, 후원 한 건, 부주의한 입금 한 번이 지갑 전체의 익명성을 무너뜨릴 수 있는 이유이기도 합니다. Monero는 정반대의 입장을 택합니다. Monero 체인에서는 금액 그 자체가 숨겨집니다. 이를 가능하게 하는 기술이 바로 Ring Confidential Transactions, 줄여서 RingCT입니다.

Monero 거래가 공개 원장에 읽을 수 있는 숫자가 아니라 암호학적 약속값(commitment) 형태로 기록되는 것은 RingCT 덕분입니다. RingCT는 2017년 1월에 도입되어 그해 후반 모든 거래에 의무화되었으며, 지갑으로 보내는 XMR이든 MoneroSwapper 같은 계정 없는 서비스로 확보한 XMR이든 모두 이 기술의 보호를 받습니다. 이 글에서는 RingCT가 정확히 무엇을 하는지, 금액을 보지 않고도 거래를 검증하게 해 주는 수학적 원리는 무엇인지, Bulletproofs와 Bulletproofs+를 거치며 어떻게 발전해 왔는지, 그리고 FCMP++로 어디를 향하고 있는지를 차근차근 풀어 보겠습니다.

금액을 숨기는 것이 왜 중요한가

블록체인에서의 프라이버시는 하나의 기능이 아니라 동시에 풀어야 하는 세 가지 문제입니다. 이 중 하나라도 노출되면 나머지 둘이 그 틈으로 새어 나갑니다. Monero는 세 문제를 모두 공략하며, 그중 세 번째를 책임지는 것이 RingCT입니다.

• 누가 보냈는가: ring signature(링 서명)가 담당합니다. 거래를 가능한 송신자 여러 명을 대신해 서명하므로, 관찰자는 어느 입력이 진짜인지 가려낼 수 없습니다.
• 누가 받았는가: stealth address(스텔스 주소) 기술이 담당합니다. 모든 결제마다 일회용 주소를 새로 생성하므로, 자금이 재사용 가능한 공개 주소에 절대 도착하지 않습니다.
• 얼마를 보냈는가: RingCT가 담당합니다. 금액을 Pedersen 커밋먼트 안에 암호화하면서도, 모든 노드가 장부의 수지가 맞는지는 그대로 확인할 수 있게 합니다.

RingCT가 등장하기 전의 Monero는 송신자와 수신자는 숨겼지만 금액은 평문 그대로 두었습니다. 그나마 금액 프라이버시를 조금이라도 확보하려고, 프로토콜은 거래를 고정된 단위로 쪼개도록 강제했습니다. 예컨대 0.01, 0.1, 1, 10처럼 정해진 액면으로 말이죠. 마치 현금으로 물건값을 딱 떨어지는 동전으로 치르는 방식과 비슷합니다. 그런데 이 방식은 의외로 많은 정보를 흘렸습니다. 7.3 XMR짜리 출력의 그럴듯한 미끼(decoy) 후보 집합은 숨겨진 출력의 후보 집합보다 훨씬 작았습니다. 미끼도 같은 액면이어야 했기 때문입니다. 게다가 금액이 보이면 분석가들이 체인 전체에서 같은 값을 추적해 거래를 서로 연결할 수 있었습니다.

비밀 금액은 이 구멍을 막습니다. 일단 값이 암호화되면 모든 출력이 구조적으로 다른 모든 출력과 똑같아 보입니다. 이것이 바로 대체가능성(fungibility)의 토대입니다. 즉 XMR 한 단위는 다른 어떤 단위와도 서로 바꿔 쓸 수 있고, 가맹점이나 거래소가 거부할 만한 '오염된' 이력 같은 것이 존재하지 않습니다. 이 속성은 해가 갈수록 더 중요해지고 있습니다. 한국에서는 이미 2021년에 Upbit, Bithumb 등 주요 거래소가 특정금융정보법(특금법) 시행과 자금세탁방지(AML) 의무에 대응하며 Monero를 비롯한 이른바 '다크코인'을 일제히 상장 폐지했습니다. 개별 단위를 선별하거나 블랙리스트에 올릴 수 없는 코인의 필요성은, 그런 흐름 속에서 오히려 더 분명해졌습니다.

RingCT란 정확히 무엇이며 어떻게 작동하는가

RingCT의 'CT' 절반, 즉 Confidential Transactions가 금액을 숨기는 부분이고, 그 바탕에는 Pedersen 커밋먼트라는 암호학적 도구가 있습니다. 'Ring' 절반은 그 금액 은닉을 Monero의 기존 ring signature 체계와 엮어 송신자까지 익명으로 남게 합니다. 두 아이디어를 따로 떼어 보면 이해가 한결 쉽습니다.

Pedersen 커밋먼트: 그래도 계산은 할 수 있는 암호화된 숫자

커밋먼트란 어떤 값을 나중에 바꾸지 못하도록 고정하면서도 그 값이 무엇인지는 드러내지 않는 방법입니다. 어떤 금액에 대한 Pedersen 커밋먼트는 C = xG + aH 형태로 표현됩니다. 여기서 a는 실제 금액, x는 블라인딩 인자(blinding factor)라 불리는 무작위 비밀값, G와 H는 타원곡선 위의 고정된 점입니다. 커밋먼트를 불투명하게 만드는 것이 바로 이 블라인딩 인자입니다. 블라인딩 인자가 없으면 같은 값을 가진 두 출력이 완전히 다르게 보이는 커밋먼트를 만들어 내기 때문에, 둘이 같은 값이라는 사실을 알아챌 수 없습니다.

핵심적인 마법은 이 커밋먼트가 덧셈 가능(additive), 즉 준동형(homomorphic)이라는 점입니다. 거래의 모든 입력 커밋먼트를 더하고, 모든 출력 커밋먼트에 수수료를 더한 값을 따로 더했을 때, 실제 금액의 수지가 맞으면 두 합계는 같은 총액에 대한 커밋먼트가 됩니다. 송신자는 '입력에서 출력을 뺀 값이 0에 대한 커밋먼트'가 되도록 블라인딩 인자를 배치합니다. 네트워크의 모든 노드는 이 등식을 검증할 수 있으며, 거래 안의 어떤 금액도 단 하나 알아내지 못한 채 코인이 새로 만들어지거나 사라지지 않았음을 확인합니다.

RingCT의 진짜 묘수는, 네트워크가 장부의 수지가 사토시 단위까지 맞는다는 것을 증명할 수 있으면서도 개별 항목은 수학적으로 읽어낼 수 없다는 데 있습니다.

범위 증명(range proof): 무에서 코인을 찍어내지 못하게 막기

준동형 수지 맞추기에는 위험한 허점이 하나 있습니다. 금액이 숨겨져 있으므로 악의적인 송신자가 음수 금액을 커밋하려 들 수 있는데, 모듈러 연산의 특성상 음수는 한 바퀴 돌아 어마어마한 양수가 되어 버립니다. 그러면 무에서 XMR을 만들어 낼 수 있게 됩니다. 이를 막기 위해 모든 비밀 출력에는 범위 증명이 함께 실립니다. 커밋된 금액이 유효한 범위, 즉 0과 2⁶⁴ 사이에 있다는 것을, 그 값이 범위 안 어디에 있는지는 밝히지 않으면서 암호학적으로 보장하는 장치입니다.

RingCT의 용량과 비용 대부분이 자리 잡고 있던 곳이 바로 이 범위 증명이며, 가장 큰 개선이 일어난 곳도 여기입니다. 2017년 최초 구현은 Borromean 링 서명을 사용했는데, 정확하긴 했지만 덩치가 컸습니다. 일반적인 2-출력 거래 하나가 약 13 KB에 달하는 범위 증명 데이터를 짊어졌고, 그 탓에 Monero 거래는 용량이 크고 수수료도 상대적으로 비쌌습니다. 이후 프로토콜의 최적화 역사는 사실상 이 장치를 갈아 끼우는 이야기였습니다.

RingCT의 진화: Bulletproofs, Bulletproofs+, CLSAG

RingCT는 고정된 무언가가 아닙니다. Monero의 대략 반년 주기 하드포크를 거치며 여러 차례 재설계되었고, 그때마다 같은 프라이버시 보장은 유지하면서 더 작고 더 빨라졌습니다. 대표적인 업그레이드는 다음과 같습니다.

2018년 10월 하드포크에 적용된 Bulletproofs는 전환점이었습니다. 로그 크기의 범위 증명으로 갈아타면서 각 거래에 붙던 데이터가 급격히 쪼그라들었고, 중간값 수수료는 수 달러에서 1센트의 몇 분의 일 수준으로 떨어졌습니다. 오늘날 Monero를 저렴하게 쓸 수 있게 만든 가장 결정적인 변화가 바로 이것입니다. 2022년 8월의 Bulletproofs+는 여기서 한 번 더 여유를 짜내고 검증 속도를 끌어올렸는데, 모든 노드가 모든 증명을 일일이 확인해야 하므로 이는 중요한 의미를 갖습니다.

링 서명 쪽도 나란히 발전했습니다. CLSAG(Concise Linkable Spontaneous Anonymous Group signatures)는 2020년 10월에 기존 MLSAG 구성을 대체하며, 송신자 은닉 부분을 약 4분의 1 더 작고 검증하기 빠르게 만들었습니다. Bulletproofs+를 가져온 2022년 8월의 그 포크는 의무 ring size도 11에서 16으로 끌어올렸습니다. 즉 사용된 출력 하나가 이제 미끼 10개가 아니라 15개 사이에 숨습니다. 또한 view tag도 도입했는데, 이는 지갑이 들어오는 자금을 찾으려 체인을 훑을 때 대부분의 연산을 건너뛰게 해 주는 작은 최적화입니다.

RingCT 거래는 어떻게 단계별로 만들어지는가

지갑이 XMR을 보낼 때 각 조각이 어떻게 맞물리는지 보면 이해에 도움이 됩니다. 이 과정에서 사용자가 할 일은 전혀 없습니다. 지갑이 1~2초 만에 알아서 처리합니다. 다만 그 순서를 알아 두면 실제로 체인에 무엇이 올라가는지가 명확해집니다.

1. 진짜 입력과 미끼를 고른다. 지갑은 실제로 쓸 출력을 고른 뒤, 체인에서 다른 진짜 출력 15개를 끌어와 미끼로 삼아 16개의 그럴듯한 출처로 이뤄진 링을 구성합니다.
2. 키 이미지(key image)를 생성한다. 진짜 출력으로부터 고유한 키 이미지가 유도됩니다. 이것이 네트워크가 이중 지불을 잡아내게 해 주지만, 그것이 링의 어느 구성원에서 나왔는지는 역추적할 수 없습니다.
3. 스텔스 출력을 만든다. 각 수신자마다 지갑이 일회용 스텔스 주소를 계산하므로, 결제가 수신자의 공개 주소와 묶이지 않습니다.
4. 금액을 커밋한다. 각 출력 금액을 무작위 블라인딩 인자와 함께 Pedersen 커밋먼트로 감싸고, '입력 빼기 출력 빼기 수수료'가 0으로 커밋되도록 블라인딩 인자들의 균형을 맞춥니다.
5. 범위 증명을 붙인다. 각 출력마다 Bulletproofs+ 범위 증명을 생성해, 숨겨진 금액이 음수가 아니며 유효 범위 안에 있음을 증명합니다.
6. CLSAG로 서명하고 전파한다. CLSAG 링 서명이 링 전체를 대신해 지출을 승인하고, 거래는 Dandelion++를 통해 전파됩니다. 공개 mempool에 닿기 전 발신 IP를 가리기 위해서입니다.

그 결과 블록체인에 올라가는 것에는 읽을 수 있는 송신자도, 읽을 수 있는 수신자도, 읽을 수 있는 금액도 없습니다. 오직 커밋먼트와 증명, 그리고 가능성들의 링만 있을 뿐입니다. 그런데도 모든 노드가 이를 완전하게 검증할 수 있습니다.

비밀 거래가 실생활에서 의미하는 것

RingCT의 실질적 보상은 대체가능성과 감시 저항성이며, 이는 구체적인 상황에서 드러납니다. 암호화폐로 보수를 받는 프리랜서를 생각해 봅시다. 투명한 체인에서는 모든 클라이언트가 그 지갑의 전체 잔액과 지금까지 받은 다른 모든 결제 내역을 볼 수 있습니다. 주소 하나만 신원과 연결되면 전부 노출됩니다. Monero에서는 들어오는 결제가 금액이 숨겨진 스텔스 출력이므로, 클라이언트는 자신이 보낸 거래 외에는 아무것도 알지 못합니다.

'체인 분석'이 사용자를 상대로 작동하는 방식도 달라집니다. 블록체인 포렌식을 파는 업체들은 주소를 군집화하고 금액을 따라가는 일을 사업의 기반으로 삼아 왔습니다. RingCT는 금액 신호를 통째로 제거하고, ring signature는 출처를 흐리며, 스텔스 주소는 목적지 연결을 끊습니다. 조회할 잔액도 없고 따라갈 깔끔한 자금 흐름도 없습니다. 프라이버시 코인 추적이 하나의 상품 기능이 아니라 여전히 풀리지 않은 난제로 남아 있는 이유가 바로 이것입니다.

그래서 어떻게 확보하느냐도 중요합니다. 신원을 특정 온체인 출력과 묶어 두는, 감시가 심한 창구에서 XMR을 산다면, 체인 자체는 비공개라 해도 이미 알려진 출발점을 스스로 만들어 둔 셈입니다. 계정을 두지 않고 신분증을 요구하지도 않는 MoneroSwapper 같은 스왑 서비스를 이용하면 그 첫 단계를 깨끗하게 유지할 수 있어, RingCT가 온체인에서 제공하는 비밀성이 오프체인의 종이 흔적 때문에 무너지는 일을 막을 수 있습니다. 물론 이것이 세무 조언은 아닙니다. 한국에서도 국세청은 가상자산 처분을 과세 대상으로 보며, 거래소를 거치는 자금은 특금법에 따른 트래블룰과 신고 의무의 적용을 받습니다. 가상자산 소득에 대한 과세 시행은 여러 차례 미뤄져 현재 2027년으로 예정되어 있지만, 체인이 아무리 비공개라 해도 납세 의무 자체가 사라지지는 않습니다. 다만 네트워크 그 자체가 블록 탐색기를 든 누구에게나 당신의 재정을 떠벌리지는 않는다는 뜻입니다.

RingCT의 다음 단계: FCMP++

RingCT의 금액 은닉은 반석처럼 견고하지만, 송신자 익명성에는 이론적 한계가 있습니다. ring size가 16이라는 것은 진짜 지출이 16개 후보 중 하나라는 뜻이고, 통계 분석으로 그 확률을 이따금 깎아낼 수 있습니다. 2025년과 2026년에 걸쳐 활발히 개발 중인 Monero의 답은 FCMP++, 즉 full-chain membership proofs(전체 체인 구성원 증명)입니다. 미끼 15개 사이에 지출을 숨기는 대신, FCMP++는 그동안 체인에 존재했던 모든 적격 출력 사이에 지출을 숨겨, 익명 집합을 16개에서 수천만 개 규모로 넓힙니다.

결정적으로 FCMP++는 비밀 거래 구성요소가 아니라 ring signature 구성요소를 대체합니다. 금액을 숨기는 Pedersen 커밋먼트와 Bulletproofs+ 범위 증명은 그대로 남고, 바뀌는 것은 지출 가능 집합에 대한 구성원 증명 방식입니다. 더 멀리 보면 Seraphis 거래 프로토콜과 Jamtis 주소 체계가 이 토대 위에 쌓이도록 설계되어 있습니다. 사용자에게 주는 교훈은 단순합니다. RingCT를 통한 금액 프라이버시는 Monero에서 이미 정착되고 성숙한 부분이며, 프로토콜은 그 주변을 계속 강화하고 있다는 것입니다.

Bitcoin, Zcash와 비교하면 RingCT는 어디에 서 있나

금액 프라이버시를 다루는 방식은 코인마다 다르고, 그 차이를 보면 RingCT의 위치가 분명해집니다. Bitcoin은 금액을 전혀 숨기지 않습니다. 모든 출력의 값이 평문으로 원장에 적혀 누구나 읽을 수 있고, CoinJoin 같은 믹싱 기법조차 금액 단위가 겹치지 않으면 효과가 떨어집니다. 그래서 한국 거래소들이 2021년 특금법 대응 과정에서 Monero는 상장 폐지했지만 Bitcoin은 그대로 둔 것이기도 합니다. 추적 가능성이 규제 친화성으로 해석되었기 때문입니다.

Zcash는 zk-SNARK라는 다른 영지식 증명 기술로 금액과 송수신자를 한꺼번에 숨기는 'shielded pool'을 제공합니다. 기술 자체는 강력하지만, 차폐 거래가 선택 사항이라 실제로는 상당수 사용자가 투명한 t-주소를 그대로 씁니다. 그 결과 차폐 풀에 실제로 들어가 있는 자금 비중이 낮아, 익명 집합이 이론만큼 크지 않다는 비판이 오래 따라붙었습니다. 반면 Monero는 RingCT를 모든 거래에 의무화했습니다. 선택지가 없다는 점이 오히려 강점입니다. 모든 출력이 예외 없이 금액을 숨기므로, '차폐를 쓰지 않은 거래'라는 약한 고리 자체가 존재하지 않습니다.

요약하면 Bitcoin은 투명성, Zcash는 강력하지만 선택적인 차폐, Monero는 강제된 기본값을 택합니다. RingCT가 모든 사용자에게 항상 켜져 있다는 사실이, 대체가능성 측면에서 Monero를 차별화하는 핵심입니다. 일부만 프라이버시를 쓰면 그들이 오히려 눈에 띄지만, 모두가 쓰면 군중 속에 묻히기 때문입니다.

RingCT는 깨진 적이 있는가

중요한 구분이 하나 있습니다. RingCT의 금액 은닉, 즉 Pedersen 커밋먼트와 범위 증명 부분은 지금까지 깨진 적이 없습니다. 학계와 체인 분석 업체가 Monero를 겨냥해 발표한 연구들은 거의 전부 금액이 아니라 송신자 쪽, 즉 ring signature의 미끼 선택 통계를 노렸습니다.

초기 사례가 대표적입니다. 2017년 이전, 금액이 아직 평문이던 시절과 RingCT 도입 직후에는 미끼가 거의 없거나 선택 알고리즘이 단순해, 일부 입력의 진짜 출처를 높은 확률로 추정할 수 있었습니다. 이른바 'EAE(Eve–Alice–Eve) 공격'이나 0-미끼 거래 추적이 그 예입니다. 하지만 이는 RingCT의 금액 암호화가 뚫린 것이 아니라, 링 구성 방식이 미성숙했던 데서 비롯된 문제였습니다.

Monero 개발진은 이에 대응해 최소 ring size를 단계적으로 올리고(현재 16), 실제 지출 패턴을 흉내 내는 정교한 미끼 선택 알고리즘을 도입했으며, 0-미끼 거래를 아예 금지하고, 결국 ring signature 자체를 전체 체인 구성원 증명으로 갈아엎는 FCMP++까지 추진하고 있습니다. 즉 약점이 드러날 때마다 프로토콜이 그 자리를 메워 온 셈입니다. 핵심은 명확합니다. 약점이었던 것은 언제나 익명 집합의 크기였지, RingCT가 보장하는 금액 비밀성이 아니었습니다. 금액 프라이버시는 8년 넘게 실전에서 검증된 성숙한 기술입니다.

자주 묻는 질문(FAQ)

RingCT는 정확히 무엇을 숨깁니까?

RingCT는 Monero 거래의 금액을 숨깁니다. 각 값을 Pedersen 커밋먼트 안에 암호화해 그 수치가 블록체인에 평문으로 절대 기록되지 않게 하면서도, 모든 노드가 '입력이 출력 더하기 수수료와 같다'는 점은 검증할 수 있게 합니다. 송신자와 수신자는 RingCT와 함께 작동하는 별도의 장치, 즉 ring signature와 스텔스 주소가 숨깁니다.

금액이 숨겨져 있다면 가짜 코인은 어떻게 막습니까?

두 가지 안전장치가 있습니다. Pedersen 커밋먼트의 준동형 성질 덕분에 노드는 숨겨진 입력과 출력의 수지가 0으로 맞아떨어지는지 확인할 수 있어, 어떤 가치도 새로 만들어지거나 사라지지 않습니다. 또한 모든 출력에 붙는 범위 증명이 커밋된 금액은 음수가 아니며 유효 범위 안에 있음을 보장해, 숨겨진 음수 금액이 일으킬 오버플로 수법을 차단합니다.

RingCT와 ring signature는 무엇이 다릅니까?

둘은 서로 다른 문제를 풀며, 이름이 겹쳐 자주 혼동됩니다. ring signature는 가능한 송신자 무리를 대신해 서명함으로써 누가 거래를 보냈는지를 숨깁니다. RingCT는 비밀 커밋먼트를 사용해 얼마를 보냈는지를 숨깁니다. RingCT는 이 둘을 통합해 같은 거래에 두 보호가 모두 적용되게 합니다.

Bulletproofs가 RingCT를 대체했습니까?

아닙니다. Bulletproofs와 Bulletproofs+는 RingCT 안의 업그레이드이며, 구체적으로는 범위 증명 구성요소에 해당합니다. 더 낡고 덩치 큰 Borromean 범위 증명을 대체해 거래 크기를 약 80%, 수수료를 90% 이상 줄였지만, 전체 RingCT 틀과 숨겨진 금액 방식은 그대로 유지되었습니다.

FCMP++가 출시되면 RingCT가 제거됩니까?

아닙니다. FCMP++는 Monero의 ring signature를 full-chain membership proofs로 대체해 송신자 익명 집합을 극적으로 키울 예정입니다. 비밀 금액을 다루는 장치, 즉 Pedersen 커밋먼트와 Bulletproofs+ 범위 증명은 그대로 남을 것으로 보입니다. 다시 말해 FCMP++는 RingCT가 제공하는 금액 프라이버시를 해치지 않으면서 송신자 프라이버시를 강화합니다.

국내 거래소에서 상장 폐지됐는데 Monero를 어떻게 확보하나요?

한국 주요 거래소들이 Monero를 더는 취급하지 않더라도, XMR을 손에 넣는 길이 막힌 것은 아닙니다. 가장 깔끔한 방법은 이미 가진 다른 암호화폐를 계정 없이 교환해 주는 스왑 서비스를 쓰는 것입니다. MoneroSwapper 같은 서비스는 계정 가입이나 신분증 제출을 요구하지 않고 Bitcoin 등으로 XMR을 바꿔 주므로, 신원과 온체인 출력을 묶는 출발점을 만들지 않습니다. 그 결과 RingCT가 체인 위에서 제공하는 비밀성이 처음부터 보존됩니다.

RingCT 때문에 거래가 느려지거나 수수료가 비싸지나요?

오늘날에는 거의 그렇지 않습니다. 2017년 초기 구현은 범위 증명 데이터가 무거워 거래가 컸지만, 2018년 Bulletproofs와 2022년 Bulletproofs+를 거치며 그 데이터가 극적으로 줄었습니다. 그 결과 중간값 수수료는 보통 1센트의 몇 분의 일 수준이고, 블록 시간도 약 2분으로 일정하게 유지됩니다. 금액을 숨기는 대가로 사용자가 체감하는 속도나 비용 부담은 사실상 없습니다.

결론

RingCT는 Monero 프라이버시의 조용한 일꾼입니다. 체인 위의 모든 금액을, 네트워크는 검증할 수 있지만 누구도 읽을 수 없는 커밋먼트로 바꿔 놓으며, 그러는 동안 범위 증명이 발행량을 정직하게 지킵니다. 송신자를 숨기는 ring signature, 수신자를 숨기는 스텔스 주소와 결합해, Monero 출력이 다른 모든 출력과 똑같아 보이고 가치를 기준으로 선별·블랙리스트·추적될 수 없게 만드는 이유가 바로 이것입니다. Bulletproofs, Bulletproofs+, CLSAG를 거치며 RingCT는 더 저렴하고 더 빨라지기만 했고, FCMP++가 지평선에 떠오른 지금 그 주변 프라이버시는 계속 깊어지고 있습니다. 받는 순간부터 이 보호를 지니는 코인을 원한다면, MoneroSwapper를 통해 익명으로 Monero 구매하고 거래하는 즉시 나머지는 RingCT에 맡기면 됩니다.