이더리움 클리어 서명, ERC-7730으로 지갑 승인을 사람이 읽게 만든다

즉 ERC-7730은 온체인 로직을 바꾸는 규칙이라기보다, 지갑이 ‘이 계약 호출은 사용자에게 이렇게 설명해야 한다’고 이해하도록 돕는 설명서에 가깝다.

왜 필요했나: 문제는 ‘모른 채 서명’하는 순간

ethereum.org의 Clear Signing 튜토리얼은 주요 이더리움 익스플로잇의 마지막 단계가 대개 사용자가 의미 있게 이해하지 못한 거래를 승인하는 일이었다고 설명한다. 하드웨어 지갑은 raw hex calldata를 보여주거나 blind signing을 켜도록 요구할 수 있고, 소프트웨어 지갑은 계약을 인식할 때만 필드를 해석할 수 있다. 새 프로토콜이거나, 앱이 침해됐거나, 기기가 오프라인이라 지갑이 계약을 알아보지 못하면 사용자는 다시 blind signing 상태로 돌아간다.

Clear Signing이 노리는 지점은 바로 여기다. 승인 화면이 ‘알 수 없는 데이터’가 아니라 ‘무엇을 누구에게 얼마나 허용하는지’에 가까운 요약이 되면, 피싱이나 승인 실수를 줄일 가능성이 커진다.

ERC-7730은 어떻게 작동하나

일반적인 흐름은 다음처럼 이해할 수 있다.

1. 프로토콜이나 개발자가 특정 계약 호출 또는 typed message에 대한 ERC-7730 descriptor를 만든다.
2. 이 descriptor에는 어떤 체인과 어떤 계약 주소에 적용되는지, ABI와 표시 규칙이 무엇인지가 들어간다.
3. Clear Signing을 지원하는 지갑이나 하드웨어 기기는 이 descriptor를 읽고, 원래의 calldata 또는 EIP-712 메시지를 사용자용 요약 화면으로 바꾼다.
4. 사용자는 서명 전에 화면에 표시된 계약, 행동, 토큰, 금액, 수신자, 권한 등을 검토한다. 단, 이런 세부 표시가 가능한지는 해당 descriptor와 지갑 구현에 달려 있다.

Ledger는 Clear Signing이 복잡한 스마트컨트랙트 데이터를 사용자가 즉시 이해할 수 있는 거래 세부 정보로 번역한다고 설명하며, Ledger 기기의 보안 화면에서 사람이 읽을 수 있는 정보를 확인하게 한다고 소개한다.

Descriptor registry와 감사가 중요한 이유

여기서 descriptor는 단순한 보조 문서가 아니다. 지갑이 거래를 어떻게 해석해 보여줄지를 결정하는 신뢰 계층이다. 따라서 지갑이 여러 체인과 수많은 계약의 descriptor를 어디서 찾고, 어떤 descriptor를 신뢰할지 정하는 registry가 중요해진다.

이더리움 재단은 Trillion Dollar Security Initiative가 Clear Signing registry의 ‘신뢰할 수 있는 중립적 관리자’ 역할을 맡고 있다고 밝혔다. EthDaily는 Clear Signing 인프라에 업데이트된 ERC-7730, 중립적으로 미러링 가능한 registry, Ethereum Attestation Service 기반의 auditor attestation을 위한 ERC-8176, 암호학적 fingerprint를 제공하는 ERC-8213이 포함된다고 보도했다.

감사 역시 핵심이다. descriptor가 틀렸거나 악의적으로 작성되면, 실제로는 위험한 권한을 넘기는 거래가 무해해 보이는 요약으로 표시될 수 있다. ERC-7730이 표시 규칙을 담는 구조인 만큼, descriptor가 실제 ABI와 메시지 의미를 정확히 반영하는지 검증하는 과정이 필요하다.

다만 현재 공개 근거만으로는 registry의 거버넌스, 감사 의무 기준, 잘못된 descriptor에 대한 이의 제기와 폐기 절차를 세부적으로 단정하기 어렵다. 이 부분은 Clear Signing이 실제 생태계 표준으로 자리 잡는 과정에서 계속 확인해야 할 지점이다.

누가 밀고 있나: 확인되는 지원 세력

공식적으로는 이더리움 재단이 지갑 개발자, 보안 기업, Ethereum Foundation의 Trillion Dollar Security Initiative가 참여한 Ethereum Working Group을 언급한다. 개별 이름이 가장 명확하게 확인되는 곳은 Ledger다. Ledger는 ERC-7730 참조 문서와 Clear Signing 기술 문서, 소비자용 안내 자료를 공개했고, Clear Signing이 Ledger가 주도하고 Clear Signing Alliance가 지원하는 보안 솔루션이라고 설명한다.

Ledger는 또 Ledger Wallet을 통해 15개 이상의 인기 서비스 제공자가 이미 Clear Signing과 Transaction Check를 지원한다고 밝혔다.

다른 주요 참여자에 대해서는 공개 자료의 표현을 구분해서 볼 필요가 있다. EthDaily는 작업그룹 멤버로 Ledger, Trezor, MetaMask, WalletConnect, Cyfrin, Fireblocks 등을 열거했다. 별도 보도에서는 MetaMask가 Ledger와 협력해 Clear Signing 지원을 강화한다고 전했다. 다만 이더리움 재단 블로그 자체는 전체 명단을 빠짐없이 나열하기보다 ‘지갑 개발자와 보안 기업’이라는 범주를 제시한다. 따라서 모든 참여 지갑과 보안 업체의 완전한 명단, 각 회사의 구현 범위와 책임까지 확정됐다고 보기는 어렵다.

사용자에게 실제로 달라지는 것

사용자 관점에서 가장 큰 변화는 승인 화면의 언어다. 지금까지는 ‘Contract interaction’ 같은 뭉뚱그린 문구나 해석하기 어려운 데이터가 보였다면, Clear Signing이 지원되는 경우에는 거래 의도와 핵심 조건을 더 직접적으로 확인할 수 있다.

예를 들어 지원되는 descriptor가 있다면 지갑은 어떤 프로토콜에서 어떤 동작을 하는지, 어떤 토큰과 수량이 관련되는지, 수신자나 승인 권한이 누구에게 향하는지 등을 보여줄 수 있다. 이는 인터넷뱅킹의 이체 확인 화면처럼 ‘마지막 확인 단계’를 사람이 읽을 수 있게 만들려는 사용자 경험 개선에 가깝다. 다만 블록체인 거래는 되돌리기 어렵고, 요약이 있다고 해서 모든 위험이 사라지는 것은 아니다.

남은 한계: 읽을 수 있게 만드는 것과 안전한 것은 다르다

첫째, coverage가 병목이다. ERC-7730은 모든 이더리움 계약을 자동으로 읽을 수 있게 만들지 않는다. 각 계약이나 메시지 유형에 적절한 descriptor가 있어야 하고, 지갑이 이를 지원해야 한다. ethereum.org 문서도 소프트웨어 지갑이 계약을 인식할 때만 필드를 해석할 수 있다고 지적한다.

둘째, registry와 감사 체계가 신뢰를 얻어야 한다. registry가 있어야 지갑이 descriptor를 찾을 수 있지만, 그 descriptor가 정확하다는 보장이 약하면 오히려 사용자에게 거짓 안도감을 줄 수 있다.

셋째, 표준과 구현의 성숙도가 남아 있다. Ledger 문서상 ERC-7730은 Standards Track ERC이지만 상태는 Draft로 표시된다. 실제 보호 효과는 표준 문서뿐 아니라 지갑, 하드웨어 기기, dApp, 서비스 제공자가 얼마나 넓게 구현하느냐에 좌우된다.

넷째, 완전한 air-gapped hardware wallet은 더 까다로운 영역이다. Ledger 자료는 보안 서명기를 Bluetooth 또는 USB로 연결하고 기기 화면에서 Clear Signing 정보를 확인하는 흐름을 설명한다. 반면 Ethereum Magicians의 온체인 clear signing 제안은 에어갭·제약 기기에서 제3자 큐레이션 registry에 의존하지 않고 검증 가능한 표시를 구현해야 한다는 문제의식을 제기하며, 기존 오프체인 registry 방식이 잘 알려진 일부 계약 중심으로 제한될 수 있다고 지적한다. 제공된 근거만으로는 완전 에어갭 기기에서 ERC-7730 descriptor를 어떻게 전달, 갱신, 검증할지까지 확인하기 어렵다.

결론

Clear Signing은 ‘서명 버튼을 누르기 전 사용자가 무엇을 승인하는지 읽을 수 있어야 한다’는 당연한 원칙을 이더리움 지갑 표준으로 밀어 올리려는 시도다. ERC-7730은 그 원칙을 구현하기 위한 JSON descriptor 형식을 제공하고, registry와 감사는 어떤 설명을 신뢰할지 정하는 안전장치가 된다.

하지만 이 표준은 마법 버튼이 아니다. 지원되는 계약과 descriptor가 늘어나야 하고, registry 운영과 audit/attestation 절차가 신뢰를 얻어야 하며, 지갑과 하드웨어 기기의 실제 구현이 따라와야 한다. 특히 새 계약, 긴 꼬리 프로토콜, 완전 에어갭 서명 환경에서는 아직 확인해야 할 숙제가 남아 있다.