이더리움의 차세대 2계층 합의 구조

[이더리움의 차세대 2계층 합의 구조] 최근 이더리움 리서치에서 차세대 합의 프로토콜에 대한 제이 공개되었습니다. EF의 리서치 사이언티스트 Luca Zanolini가 작성하고, 비탈릭을 포함한 여러 연구자들이 피드백에 참여한 제안입니다. 이 제안을 한마디로 요약하면, ‘이더리움의 합의를, 블록 생산과 블록 완결을 완전히 분리하는 2계층 아키텍처로 전환하자’입니다. 현재 이더리움은 매 슬롯(12초)마다 약 100만 명의 검증자로부터 서명(attestation)을 수집해야 합니다. 100만 개의 서명을 한번에 전파할 수 없으니, 여러 서브넷을 거치는 서명 집계 과정을 거칩니다. 슬롯 시간인 12초 중 이 서명 집계가 차지하는 부분은 상당하며, 슬롯 시간을 줄이는 데 물리적인 한계로 작용한다고 볼 수 있죠. 제안의 핵심은 합의를 두 계층으로 나누는 것입니다. 블록체인에서 동적 가용성(참여자가 줄어도 멈추지 않음)과 완결성(한번 확정되면 되돌릴 수 없음)은 단일 프로토콜로 동시에 보장할 수 없다는 것이 수학적으로 증명되어 있습니다. 블록체인에서의 CAP 정리라고 할 수 있는 가용성-최종성 딜레마입니다. 따라서 이 두 특성을 하나의 합의 알고리즘에 합치는 것이 아니라, 각각을 담당하는 두 계층으로 분리하자는 것이 제안의 골자입니다. 첫 번째 계층은 하트비트(Heartbeat) 위원회입니다. 매 슬롯마다 전체 밸리데이터 중 약 256명을 무작위로 추출하여 블록을 생산하는 것이죠. 256명의 서명은 별도의 집계 없이 단일 서브넷에서 한번에 전파할 수 있을 정도로 주고받아야 하는 데이터의 양이 적으므로, 서명 집계라는 가장 무거운 작업이 블록 생산의 critical path에서 완전히 제거됩니다. 이를 통해 슬롯 시간을 대폭 단축할 수 있습니다. 두 번째 계층은 후행 완결성 가젯(Trailing Finality Gadget)입니다. 전체 밸리데이터들은, 하트비트 위원회가 이미 생산한 블록을 뒤따라가며, "이 블록은 되돌릴 수 없다"는 완결 도장을 찍습니다. 서명 집계는 여전히 필요하나, 하트비트 위원회의 블록 생산과 병렬로 진행되기 때문에, 블록 생산 속도에 영향을 주지 않습니다. 현재 Gasper에서는 LMD-GHOST와 Casper FFG가 복잡하게 상호작용하는 구조인데, 새 제안에서는 이 두 계층이 완전히 분리됩니다. 이더리움 비콘체인은 출시 이후 한 번도 완전히 멈춘 적이 없으나, 프로토콜이 이를 보장하지는 않습니다. 현재 이더리움은 대규모 밸리데이터 이탈 등으로 참여율이 떨어지면 완결이 지연되지만, 포크 선택 규칙인 LMD-GHOST가 절대 정족수를 요구하지 않으므로 블록 생산 자체는 계속됩니다. 다만 LMD-GHOST는 동기 모델에서의 안전성 및 liveness 공격이 학술적으로 시연된 바 있으며, 블록이 계속 생산됨을 이론적으로 보장하지 못합니다. 실전에서 잘 작동하는 것과 이론적으로 보장하는 것은 별개의 문제죠. 이번 제안은 하트비트 위원회 단에서 Goldfish 계열의 합의 프로토콜을 적용해, 동적 가용성(Dynamic Availability)을 도입합니다. 전체 등록된 밸리데이터의 과반수가 아니라, 현재 깨어 있는 밸리데이터의 과반수가 정직하기만 하면 체인이 안전하고 살아있는 상태를 유지한다는 성질입니다. 이를 통해, 참여율 저하로 완결이 지연되는 상황에서도 하트비트 위원회가 계속 블록을 생산하며 체인을 진행시킬 수 있습니다. 완결이 지연되는 동안에도 inactivity leak이 비활동 밸리데이터의 실효 지분을 점진적으로 깎아, 별도의 외부 개입 없이 완결이 재개됩니다. 그 기간 동안 체인이 멈추지 않도록 보장하는 것이 하트비트 계층과 Goldfish의 역할입니다. 다만 이 구조가 완벽한 솔루션은 아닙니다. 완결이 지연된 상태에서, 동시에 256명의 하트비트 위원회 중 과반 이상이 악의적으로 구성되면 해당 슬롯의 liveness와 safety가 일시적으로 깨질 수 있습니다. 그러나 위원회는 매 슬롯마다 전체 밸리데이터에서 무작위로 추출되므로, 이러한 상황이 발생할 확률은 암호학적으로 무시 가능한 수준이며, 공격자가 의도적으로 유발할 수 없는 순수 확률 문제입니다. 현재 이더리움 밸리데이터가 사용하는 BLS 서명은 효율적 집계가 가능하지만, 양자 컴퓨터에 취약하다는 단점이 있습니다. 또한, 양자 저항 서명 중 BLS처럼 집계 가능한 메커니즘은 아직 활발히 연구되고 있는 중이며, 아직 프로덕션 레벨이 아니죠. 만약 하트비트 위원회에만 먼저 양자 저항 서명을 도입한다면 어떨까요? 256명이라면 서명 집계 없이, 서명을 그대로 전파하더락도, 약 768KB 수준의 데이터만 주고받으면 되며, 이는 현재 이더리움 네트워크 단에서도 감당 가능한 수준입니다. 즉, 하트비트만 먼저 양자 저항 서명으로 전환하고, 완결성 계층(전체 밸리데이터)은 PQ 서명 집계 기술이 성숙하면 별도로 전환하는 단계적 양자 전환이 가능해집니다. 요약하자면, 100만 명의 서명 집계를 블록 생산의 critical path에서 빼고, 무작위 256명 위원회가 멈추지 않는 블록 생산을 담당하며, 전체 밸리데이터는 뒤에서 병렬로 완결성을 보장하는 구조입니다. 이는 더 나은 가용성을 보장할 뿐만 아니라, 미래에 슬롯 시간을 더 단축시킬 수 있는 기반을 제공하며, 이에 부수적인 양자 저항 서명 도입에서의 이점도 가진다고 볼 수 있겠네요. 이더리움 합의에 관련된 리서치 및 개발 뉴스가 많은 주네요! 출처