무상태 패턴 디지털 주권의 세 번째 기둥

초록

본 논문은 기존 인터넷 인프라의 두 축인 웹 커뮤니케이션과 가치 전송(비트코인) 외에 ‘프라이빗 코디네이션’이라는 세 번째 축이 중앙화된 중개자에 의존해 감시 구조를 만든다는 문제를 지적한다. 이를 해결하기 위해 클라이언트‑사이드 암호화와 자동 소멸 서버 인스턴스를 활용한 ‘Stateless Pattern’(무상태 패턴)을 제안하고, SigningRoom.io 실증을 통해 1,900여 건의 요청과 캐시 히트 비율을 분석해 제로 지식(Zero‑Knowledge) 특성과 기관 활용 가능성을 입증한다.

상세 분석

이 논문은 디지털 주권을 세 축(Communication, Value, Coordination)으로 정의하고, 현재까지 구현되지 않은 ‘Coordination’ 축이 감시와 데이터 보존의 위험을 내포하고 있음을 비판한다. 기존 멀티시그(Multisig) 워크플로우는 PSBT(Partially Signed Bitcoin Transaction)를 이메일, 파일 공유 등 비동기 방식으로 교환하면서 장기 저장된 반암호화 데이터가 공격 표면을 확대한다. 저자는 이러한 문제를 ‘Fortress Model’(데이터베이스 중심 방어)에서 ‘Mist Model’(일시적 중계)로 전환하는 무상태 패턴을 설계한다. 핵심 기술은 다음과 같다.

1. 클라이언트‑사이드 AES‑256‑GCM 암호화: 브라우저의 Web Crypto API를 이용해 256비트 대칭키를 URL fragment(#)에 포함시켜 전송하고, 이 키는 절대로 서버에 전달되지 않는다. 따라서 서버는 암호화된 블롭만 중계한다.

2. Ephemeral Cloudflare Durable Object: 방(Room)마다 UUID와 무작위 세션 ID를 매핑한 일시적 인스턴스를 생성하고, 연결 종료 혹은 24시간 타임아웃 시 deleteAll()을 호출해 메모리와 디스크를 완전 삭제한다. 이는 ‘Forward Secrecy’를 물리적으로 구현한다.

3. Blind Relay 구조: WebSocket을 통한 실시간 브로드캐스트는 단순히 바이너리 블롭을 전달하고, 서버는 메시지 크기·전송 시간 외의 메타데이터를 수집하지 않는다. 데이터베이스, 사용자 계정, 영구 로그가 존재하지 않으므로 법적 소환이나 데이터 유출 위험이 근본적으로 차단된다.

4. 실증 결과: SigningRoom.io에 1,900건 이상의 PSBT 교환 요청을 기록했으며, 캐시 히트 비율이 0%에 가깝게 유지돼 서버가 실제 데이터를 보관하지 않음을 확인했다. 또한, 트래픽 분석에 대한 저항성을 검증하기 위해 패킷 크기와 전송 간격을 무작위화한 실험을 수행했다.

5. 규제적 함의: Basel III 규정에서 ‘custody’로 정의되는 자산 보관은 은행에게 높은 위험 가중치를 부과한다. 무상태 패턴은 키를 클라이언트에 영구 보관하게 함으로써 ‘custody’ 개념을 회피하고, 자본 효율성을 크게 향상시킨다.

6. 인권적 관점: 논문은 UDHR 제12조(프라이버시)와 제17조(재산·보안)를 기술적 구현으로 구체화한다. 서버가 데이터를 물리적으로 존재하지 않게 함으로써 ‘감시 불가능성’을 보장하고, 이는 정책이 아닌 물리법칙에 기반한 인권 보호 메커니즘이 된다.

이러한 설계는 기존 P2P 네트워크가 제공하는 프라이버시와 중앙 서버가 제공하는 신뢰성·성능을 결합한 하이브리드 모델이라 할 수 있다. 서버는 고속 라우팅과 트래픽 관리만 수행하고, 실제 비즈니스 로직과 데이터는 전적으로 클라이언트에 머무른다. 따라서 공격자는 서버를 장악하더라도 암호화된 블롭을 해독할 수 없으며, 법적 압력에 의해 데이터를 강제 제공받는 상황도 발생하지 않는다.