Key Takeaways

• 블록체인의 등장은 인류 사회에 ‘중개자 없는 신뢰’를 제공했지만, 모든 이력을 공개해야 하는 원치 않는 투명성과 모든 데이터를 직접 검증해야 하는 비효율성을 같이 남겼다. 이를 해결하기 위해 다시 등장한 것이 바로 영지식 증명(Zero-Knowledge Proof, ZKP) 기술이다.

• 영지식 증명은 ‘정보를 공개하지 않고도 그 정보가 진실임을 수학적으로 증명’할 수 있는 기술로, 프라이버시와 신뢰라는 두 가치를 동시에 지킬 수 있는 하나의 해법이다.

• 초기의 zk-SNARKs를 시작으로, zk-STARKs를 거쳐 이후 PLONK, Halo2 등 다양한 영지식 기술이 등장하며 점점 더 유연하고 실용적인 형태로 발전해왔다.

• 영지식 기술의 핵심은 두 가지로 요약되는데, 첫째는 정보를 숨기는 ‘은닉(Concealment)’, 둘째는 복잡한 연산을 간결하게 만드는 ‘압축(Compression)’이다. 전자는 프라이버시 문제를, 후자는 시스템 확장성 문제를 해결한다.

• 블록체인 생태계는 이러한 영지식 기술을 실험하고 다듬을 수 있는 완벽한 ‘샌드박스’ 역할을 했다. 그 결과 ZK 롤업, 프라이버시 프로토콜 등 다양한 응용이 빠르게 성장하며 실질적 성과를 만들어냈다.

• 이제 영지식 기술은 단순한 응용 단계를 넘어, 영지식 가상머신(zkVM), 하드웨어 가속(e.g., ASIC), 증명 및 검증 네트워크(Prover·Verifier Network) 등 ‘신뢰’를 생산하는 거대한 인프라 산업으로 확장되고 있으며, AI, 금융, 헬스케어 등 데이터 프라이버시와 무결성이 핵심인 모든 산업으로의 확장도 이미 가시권에 들어섰다.

• 이를 뒷받침하듯 수십억 달러의 VC 자금이 영지식 인프라로 흘러들고, 숙련된 개발자 생태계가 자리 잡으면서, 이제 ‘증명’과 ‘검증’이라는 행위를 중심으로 한 새로운 경제 패러다임이 열리고 있다.

• 궁극적으로 영지식 증명은 다가올 AI, 로봇 시대의 자율적 에이전트가 신뢰받을 수 있도록 행동을 검증하는 사회적 안전장치, 그리고 디지털 세계에서 서로의 상호작용응 위한 새로운 신뢰 문법으로 자리 잡게 될 것이다.

서문: 당황하지 마세요! — 이 안내서에 관하여

Source: seeklogo.com | Douglas Adams

“광활하고 때로는 난해한 크립토·블록체인 우주에서, 영지식 은하계를 탐험하는 여행자들을 위하여.”

이 안내서는 ‘영지식(Zero-Knowledge, ZK)’이라는 낯선 세계로 떠나는 이들을 위한 기술 안내서다. 여기에는 영지식 증명(Zero-Knowledge Proof)의 핵심 원리와 실제 활용 사례, 그리고 앞으로 열어갈 미래의 가능성까지 담았다. 하지만 수학적 공식이나 화려한 기술 용어에 당황하지 않아도 된다. 누구나 이 안내서를 이해하고 많은 정보를 얻어갈 수 있도록 다양한 예시를 곁들였기 때문이다.

그렇다면, 안내서를 따라 여정을 시작함에 앞서 먼저 짚어야 할 것이 하나 있다. 왜 우리는 이 여행을 떠나야 하는가? 그 질문에 대한 답에서부터 이 안내서의 이야기를 시작한다.

제 1장. 이 여정이 시작된 이유

1.1 블록체인의 약속과 현실의 딜레마

블록체인 기술의 등장은 인간 사회를 지탱해 온 ‘관계적 신뢰’를 수학과 암호학에 기반한 ‘계산적 진실(Computational Truth)’로 대체하겠다는 선언이었다. “믿지 말고, 검증하라(Don’t Trust, Verify)”는 이념 아래, 우리는 중개자 없는 신뢰의 시대를 꿈꾸었다.

“신뢰를 얻기 위해선 나를 증명해야 하지만, 그렇다고 나의 모든 것을 드러내고 싶지는 않다.”

하지만 이 이상은 인류가 오랫동안 마주해 온 근본적인 딜레마와 정면으로 충돌했다. 바로 ‘신뢰의 역설’이다. 이 역설은 문명 사회와 함께 이어져 온 오래된 문제였다. 과거 우리는 이 문제를 해결하기 위해 은행, 법원, 국가와 같은 거대한 ‘신뢰 기관’을 만들어왔다. 이들은 막대한 사회적 비용을 감수하는 대신, 우리의 비밀을 지켜주며 신용을 보증하는 역할을 해왔다.

블록체인의 등장으로 이러한 값비싼 중개자들이 대체될 수 있게 되었지만, 블록체인은 그 대가로 우리에게 ‘투명성’을 요구했다. 은행 대출을 위해 개인의 재무 정보를 모두 공개해야 하듯, 블록체인에서도 모든 트랜잭션이 공개되어야만 그 무결성을 검증받을 수 있기 때문이다.

Source: Arkham

그러나 이러한 투명성은 사용자들이 블록체인을 사용하는 데 걸림돌이 되기에 충분했다. 모든 활동 내역이 공개된다는 것은 곧 사용자의 전략이나 재무 정보가 모두에게 노출될 수 있음을 의미하기 때문이다. 이는 특히 기관의 경우 더욱 민감할 수 밖에 없는데, 기관의 프라이버시 통제권과 정면으로 충돌하는 지점이기 때문이다. 나아가, 개인도 모든 트랜잭션 기록이 온전히 공개되면서 자산 규모나 소비 습관 같은 민감한 정보가 원치 않는 타인의 추적과 감시 대상이 될 수 있다는 문제점도 드러났다.

1.2 인간 본성과의 충돌: 프라이버시와 효율성

결국 블록체인이 내세운 ‘계산적 진실’은 두 가지를 요구했다. 하나는 검증을 위한 투명성, 다른 하나는 무결성을 보장하기 위한 중복 연산이다. 그러나 투명성은 프라이버시를 침해하고, 중복 연산은 극심한 비효율을 초래한다. 이 두 가지 문제는 기술적 한계를 넘어, 인간의 본성과도 충돌하는 지점에서 더욱 뚜렷하게 드러났다.

프라이버시 본능

Source: BBC Radio 4

사회학자 어빙 고프먼(Erving Goffman)은 인간을 ‘사회라는 무대 위의 배우’에 비유했다. 우리는 각자의 역할을 연기하지만, 무대 뒤(backstage)에서는 가면을 벗고 진짜 자신으로 돌아가고자 한다. 하지만 블록체인의 완전한 투명성은 이 ‘무대 뒤’ 공간을 지워버린다. 모든 행적이 기록되고 누구나 열람할 수 있는 환경은, 감시와 통제로부터 벗어나려는 인간의 자율성 본능을 위협한다.

블록체인에서 프라이버시를 지키려면 트랜잭션 간 비연결성(unlinkability)과 비추적성(untraceability)이 확보되어야 한다. 그러나 비트코인이나 이더리움 같은 퍼블릭 블록체인은 정반대다. 누구나 트랜잭션을 추적할 수 있고, 주소 간의 관계를 분석하면 개인의 행동 패턴까지 드러난다. 즉, 신뢰를 확보하기 위한 투명성이 오히려 인간이 본능적으로 원하는 ‘숨 쉴 틈’을 빼앗게 되는 셈이다.

효율성을 향한 본능

인간은 본래 ‘최소 노력의 원칙(Principle of Least Effort)’을 따른다. 세상의 한정된 자원 속에서 최소한의 에너지로 최대의 결과를 얻어야 생존할 수 있기 때문이다. 하지만 블록체인의 구조는 이 본능에 정면으로 맞선다. 모든 참여자가 모든 거래를 재실행하고 검증해야 하는 방식은, 마치 한 사람이 책을 잘 이해했는지 확인하기 위해 모두가 책 전체를 큰소리로 함께 읽는 것과 같다. 이러한 중복 연산은 효율을 희생해 신뢰를 확보하는 구조지만, 인간이 오랜 세월 진화해온 ‘복잡함을 단순화하고 에너지를 아끼려는 습성’과는 정반대의 길인 것이다.

1.3 딜레마 해결을 위한 기술들과 그 한계

그렇다면 자연스럽게 “모든 것을 드러내지 않고도 필요한 사실만 증명할 수는 없을까?”라는 질문이 떠오른다. 이 질문을 해결하기 위해 여러 기술들이 등장하게 된다. 각 기술은 ‘어디에 신뢰를 둘 것인가’라는 서로 다른 철학적 입장을 반영한다.

1.3.1 신뢰 실행 환경 (TEE)

Source: Parsec

가장 직관적인 방법은 신뢰할 수 있는 하드웨어 금고, 즉 신뢰 실행 환경(Trusted Execution Environment, TEE)을 활용하는 것이다. 인텔 SGX나 AMD SEV 같은 기술은 CPU 내부에 외부 운영체제나 다른 프로세스로부터 격리된 보안 영역인 인클레이브(enclave)를 만들어 민감한 데이터와 코드를 그 안에서만 처리한다. 연산이 끝나면 결과만 외부로 반환되므로, 마치 은행 안전금고 내에서 출입이 허가된 인원들만 모여서 계약을 위한 회의를 하고 계약의 내용이 담긴 계약서만 밖으로 내보내는 것과 유사한 모델이다.

하지만 이런 접근법은 인텔, AMD와 같은 금고 제조사(vendor)를 전적으로 신뢰해야 한다는 전제를 깔고 있다. 더구나 CPU의 성능 최적화 기능을 악용해 원래 접근이 금지된 메모리 영역에서 민감한 데이터를 빼낼 수 있는 Spectre이나 Meltdown 계열의 아키텍처 취약성, 전압 조작을 이용한 에너지 기반 공격, 그 밖의 다양한 사이드 채널 공격 사례들이 보고되면서 하드웨어 기반 신뢰성에 대한 의문이 커지고 있다.

1.3.2 다자간 보안 컴퓨팅 (MPC)

다른 접근법으로는 정보를 감춘 상태로 조각내어 함께 연산하는 다자간 보안 컴퓨팅(Multi-Party Computation, MPC)이 있다. MPC는 여러 참여자가 자신의 개별 정보를 공개하지 않으면서도, 전체 정보를 합친 결과(예: 그룹의 평균 연봉)를 공동으로 계산할 수 있게 하는 암호학적 기법으로 주로 비밀 정보 공유(secret sharing)를 통해 작동한다. 이는 비밀 정보를 여러 조각으로 나눠 참가자들이 나눠 갖게 하고, 정해진 수 이상의 조각이 모여야만 원래 비밀을 복원할 수 있게 하는 방식이며, 개별 조각만으로는 아무 정보도 알 수 없다.

MPC는 강력한 프라이버시 보장을 제공하지만, 원하는 연산을 위해 참여자 간 여러 라운드의 복잡한 통신이 필요해 통신 오버헤드가 커질 수 있다. 또한 참여자들 간의 악의적인 공모(collusion) 가능성에 대한 리스크가 있다는 한계도 존재한다.

1.3.3 동형 암호 (Homomorphic Encryption)

동형암호(Homomorphic Encryption, HE)는 암호화된 데이터 위에서 직접 연산을 수행할 수 있게 하는 별도의 암호화 방식이다. 이 기법을 사용하면, 암호문에 대한 연산(예: 덧셈, 곱셈)을 수행한 뒤 그 결과를 복호화했을 때, 원본 평문(암호화 전 데이터)에 동일한 연산을 적용한 것과 같은 결과가 나온다.

즉, 데이터를 신뢰할 수 없는 환경(예: 클라우드 서버)에 보내더라도, 서버는 데이터를 복호화하지 않고 민감한 정보를 분석하고 처리할 수 있다. 특히, 덧셈과 곱셈 등 임의의 복잡한 연산을 제한 없이 수행할 수 있는 가장 강력한 형태의 동형암호 기술을 완전 동형암호(Fully Homomorphic Encryption, FHE)라고 부른다. FHE는 이론적으로 암호화된 상태에서 모든 종류의 계산을 가능하게 한다.

1.4 영지식 증명: 가장 우아한 철학적 합의점

이 지점에서 영지식 증명은 단순한 기술적 해법을 넘어, 신뢰와 프라이버시 사이의 긴장을 가장 우아하게 풀어내는 철학적 합의점으로 등장한다. 영지식 증명은 ‘증명(Proof)’과 ‘공개(Revelation)’를 완벽히 분리하면서, TEE처럼 특정 하드웨어를 신뢰할 필요도 MPC처럼 복잡한 상호작용이 필요하지도 않게 했다. 오직 순수한 수학의 논리만으로 신뢰를 구축한 것이다.

기존의 문제였던 프라이버시 관점에서 영지식은 ‘내가 누구인지(who I am)’를 드러내지 않으면서도 ‘무엇을 알고 있는지(what I know)’를 증명할 수 있게 한다. 열쇠의 모양을 보여주지 않고도 문을 열 수 있음을 증명하듯, 개인의 사적 영역을 침해하지 않고 신뢰를 형성할 수 있게 한다. 이는 디지털 무대에서 우리에게 ‘가면을 쓸 자유’를 되돌려주는 기술이다.

또한, 효율성 측면에서도 영지식은 ‘얼마나 많은 데이터를 공개할 것인가’ 대신 ‘결과가 타당함’을 증명하는 데 집중한다. 수천 건의 거래를 하나하나 검증하지 않고도, “모든 거래가 올바르게 처리되었다”는 사실을 단 하나의 짧고 우아한 증명으로 제시할 수 있기 때문이다. 복잡한 연산을 최소한의 논리로 압축하는 이 방식은, 최소한의 정보로 최대의 신뢰를 만들어내는 기술적 미학이라 할 수 있다.

결국 영지식 증명은 블록체인의 근본 가치인 ‘검증 가능한 진실(Verifiable Truth)’을 훼손하지 않으면서도 프라이버시와 효율성이라는 두 가지 목표를 동시에 충족시키는 가장 이상적인 해답이다. 이더리움 창립자 비탈릭 부테린(Vitalik Buterin)이 영지식을 ‘엔드게임(Endgame)’이라 부른 이유도 여기에 있다. 영지식 증명은 기술과 인간 본성 사이의 오래된 긴장을 해소하고 블록체인과 디지털 세상을 다음 단계로 이끄는 ‘마지막 퍼즐’이기 때문이다.

제 2장. 여행의 나침반: 정보 없이 진실에 닿는 기술

2.1 나침반의 기원: MIT 연구실에서 던져진 질문

영지식 증명은 사실 꽤 오래된 개념이다. 그 시작은 블록체인이란 단어조차 존재하지 않던 1985년으로 거슬러 올라간다. MIT의 세 암호학자, 샤피 골드와서(Shafi Goldwasser), 실비오 미칼리(Silvio Micali), 찰스 래코프(Charles Rackoff)는 “The Knowledge Complexity of Interactive Proof Systems”라는 논문을 통해 근본적인 질문을 던졌다. “어떻게 하면 ‘지식 그 자체’를 공개하지 않고도, 내가 그 지식을 알고 있음을 증명할 수 있을까?”

그들이 제시한 방식은 '증명(proof)'이 전달하는 '지식(knowledge)'의 양을 수학적으로 정량화할 수 있다는 것이었다. 논문 속 대표적인 예시가 바로 ‘해밀턴 경로’ 문제다. 여기서 해밀턴 경로란, 여러 점(vertex)과 선(edge)으로 이루어진 그래프에서 모든 점을 단 한 번씩만 방문하는 경로를 말한다. 이 경로를 찾는 것은 매우 어려운 일이기 때문에 누군가 이 경로를 알고 있다면, 그 자체가 귀중한 정보이자 지식이 된다. 즉, 이 경로를 알고 있다고 주장하는 사람이 정말로 그 지식을 가지고 있는지를 확인하는 것 또한 중요하다는 뜻이 된다.

이제 그들이 제시한 증명 방식을 간단히 살펴보자:

1. 페기(Peggy)는 해밀턴 경로를 알고 있다고 주장 중이고, 빅터(Victor)는 이 사실이 진짜인지 확인하고 싶다.

2. 페기는 해밀턴 그래프를 무작위로 뒤섞어 ‘암호화된 버전’을 만든 뒤, 이를 검증자인 빅터에게 제시한다. 그래프를 변형한 이유는 자신이 해밀턴 경로를 알고 있음을 증명하고 싶지만, 경로 자체가 중요한 정보이기 때문에 그 경로를 직접 보여주고 싶지는 않기 때문이다.

3. 빅터는 이 그래프에 대해 랜덤한 하나의 경로를 선택하고, 이 경로가 해밀턴 경로에 포함되어 있는지 페기에게 질문을 던진다.

4. 페기는 빅터가 선택한 경로가 해밀턴 경로에 포함되는지 아닌지에 대한 답을 해준다.

이 과정을 여러 번 반복할수록, 빅터는 “페기가 실제로 경로를 알고 있다”는 사실에 대한 확신을 점점 높일 수 있다. 하지만 그럼에도 불구하고, 빅터는 경로 자체에 대한 어떤 정보도 알 수 없다. 만약 페기가 실제 경로를 모르고 단순히 추측으로 답한다면, 반복되는 검증 과정 속에서 언젠가는 그 거짓이 드러나게 된다. 반대로, 여러 차례의 검증을 모두 통과한다면, 빅터는 수학적으로 매우 높은 확률로 페기가 진짜 비밀을 알고 있음을 확신할 수 있다.

이 실험을 통해 세 연구자는 ‘명제가 참이라는 사실 외에는 어떤 정보도 드러나지 않는 증명’, 즉 영지식 증명이라는 완전히 새로운 개념을 정립했다. 이는 ‘증명’이라는 행위에서 ‘지식’을 완전히 분리할 수 있음을 처음으로 수학적으로 입증한 발견이었다.

2.2 나침반의 작동 원리 예시 1: 알리바바의 동굴

앞서 언급한 해밀턴 경로 예시는 다소 추상적으로 느껴질 수 있다. 이를 보다 직관적으로 설명하기 위해 암호학자 장 자크 키스케다(Jean-Jacques Quisquater)는 ‘알리바바의 동굴’이라는 비유를 제시했다.

상황: 원형의 동굴 안에는 두 갈래 길 A와 B가 있으며, 그 사이에는 비밀 주문을 외워야만 열리는 문이 있다. 증명자 페기는 자신이 이 주문을 알고 있다고 주장하지만, 주문 자체를 검증자 빅터에게 공개하고 싶지는 않다. 그녀는 “내가 진짜 주문을 안다”는 사실만 증명하고 싶을 뿐이다.

증명 과정은 다음과 같이 진행된다:

1. 진입: 빅터는 동굴 밖에 남고, 페기는 A 또는 B 중 하나를 임의로 선택해 동굴 안으로 들어가 문 앞까지 간다.

2. 도전: 페기가 동굴 안에 들어간 뒤, 빅터는 입구에서 무작위로 “A 경로로 나오세요!” 혹은 “B 경로로 나오세요!”라고 외친다.

3. 응답: 페기는 빅터가 요구한 경로로 나온다. 만약 그녀가 정말 주문을 알고 있다면, 처음에 어떤 길로 들어갔든 상관없이 항상 요청된 길로 나올 수 있다. 문을 열고 건너가면 되기 때문이다.

4. 반복: 이 과정을 여러 번 반복한다.

이제 페기가 거짓말을 할 가능성을 생각해보자. 만약 페기가 주문을 모른다면, 그녀는 빅터가 자신이 들어간 쪽과 같은 길로 나오라고 외쳐주기를 바랄 수밖에 없다. 즉, 주문을 모르는 페기가 맞는 길로 나올 확률은 단 50%에 불과하다. 운이 좋으면 한두 번은 맞출 수 있겠지만, 이 실험을 20번 반복하면 이야기가 달라진다. 주문을 모르는 페기가 20번 연속 성공할 확률은 (1/2)^20, 즉 백만 분의 1보다도 낮아진다.

결국 이 과정을 여러 번 반복할수록, 빅터는 주문을 직접 듣지 않고도 페기가 정말로 주문을 알고 있다는 사실을 거의 확신할 수 있게 된다. 알리바바의 동굴이 보여주는 핵심은 바로 “진실을 증명하면서도, 그 진실의 내용은 숨길 수 있다”는 것이다.

2.3 나침반의 작동 원리 예시 2: 윌리를 찾아라

Source: Where’s Waldo?

‘알리바바의 동굴’ 외에도 영지식 증명의 개념을 직관적으로 설명할 수 있는 또 다른 예시가 있다. 바로 어렸을 때 우리를 괴롭히던 ‘윌리를 찾아라(Where’s Waldo?)’다. 여기서 증명자 페기는 검증자 빅터에게 윌리의 위치를 공개하지 않으면서도, 자신이 그림 속에서 윌리를 찾아냈음을 증명해야 한다.

증명 과정은 다음과 같다:

1. 준비: 페기는 원본 그림을 큰 종이로 완전히 덮는다. 이 종이는 그림 전체를 가리지만, 월리의 위치에 월리의 크기만큼 작은 구멍을 뚫을 수 있도록 준비한다. 이 때, 빅터는 이 종이가 원본 그림을 제대로 가리고 있는지 확인한다.

2. 증명 생성: 페기는 빅터가 보지 않는 곳에서 월리 위치인 곳 위의 종이에 구멍을 뚫는다.

3. 증명 제시: 페기가 빅터에게 다른 곳은 가리고 종이의 뚫린 부분만을 보여준다.

4. 검증: 빅터는 이 구멍을 통해 월리의 특징(빨간 줄무늬 옷, 안경 등)을 확인할 수 있다.

5. 반복: 한 번으로는 우연일 수 있으니, 빅터가 페기에게 다른 그림으로 월리의 위치를 요구한다.

이 과정에서 페기는 윌리를 찾았다는 사실을 확실히 증명했지만, 빅터는 종이가 전체 그림을 완전히 가리고 있고 페기가 월리를 보여줄 때는 뚫린 부분만 보여줬기 때문에 윌리가 그림의 어디에 있는지는 전혀 알 수 없다. 그저 페기가 월리를 ‘찾았다는 사실’만을 알게 된다. 이 과정도 반복되면 반복될 수록 페기가 거짓말을 할 확률이 매우 낮아진다. 이렇게 ‘윌리를 찾아라’를 통해서도 추가적인 정보를 공개하지 않고 사실을 증명하는 영지식 증명의 방식을 보여줄 수 있다.

2.4 나침반을 만들어내는 세 가지 재료: 완전성, 건전성, 영지식성

‘알리바바의 동굴’과 ‘윌리를 찾아라’의 예시는 영지식 증명이 반드시 갖춰야 할 세 가지 핵심 속성을 직관적으로 보여준다:

1. 완전성 (Completeness): 명제가 참이라면, 정직한 증명자는 항상 검증자를 설득할 수 있어야 한다. 동굴의 예시에서 페기가 실제로 주문을 알고 있다면 빅터가 어떤 길을 요구하든 언제나 그 길로 나올 수 있으며, 월리의 예시에서도 언제나 페기가 월리를 찾아낼 수 있다. 즉, 참인 주장은 반드시 증명될 수 있다.

2. 건전성 (Soundness): 명제가 거짓이라면, 어떤 거짓말쟁이 증명자라도 검증자를 속일 수 없어야 한다. 페기가 주문을 모르고 거짓말을 한다면 과정을 반복할수록 성공 확률은 기하급수적으로 0에 가까워지며, 월리의 위치를 모른다면 구멍에서 월리가 나타날 확률도 0에 수렴한다. 결국 거짓은 수학적으로 드러나게 되어 있다.

3. 영지식성 (Zero-Knowledge): 검증자는 명제가 참인지 여부만 확인할 뿐, 그 외의 어떤 정보도 얻지 못한다. 여러 차례의 증명 과정이 끝난 뒤, 빅터는 페기가 주문을 알고 있다는 사실은 확신하지만 그 주문이 무엇인지 모르며, 페기가 월리의 위치를 알고 있다는 것을 확신하지만 실제 위치가 어디인지는 전혀 알지 못한다. 이것이 바로 ‘지식은 증명되지만, 드러나지 않는다’는 영지식성이다.

이 세 가지 속성이 함께 작동할 때, 영지식 증명은 신뢰를 수학적으로 구축하는 하나의 체계가 된다.

2.5 초기 나침반의 한계

앞서 살펴본 초기 영지식 증명에는 한 가지 결정적인 한계가 있었다. 바로 증명자와 검증자 간의 실시간 상호작용이 필수적인 ‘대화형(Interactive)’ 구조라는 점이다. 이 방식에서는 검증자가 무작위로 질문을 던지고, 증명자가 즉시 응답해야 한다. 즉, 두 참여자가 항상 동시에 연결되어 있어야 한다는 의미다. 이러한 구조는 블록체인처럼 분산되고 비동기적인 환경에서는 근본적인 제약으로 작용한다.

실시간으로 일종의 퀴즈를 주고받는 과정은 통신 오버헤드를 초래할 뿐 아니라, 연결이 불안정하거나 단절된 상황에서는 아예 작동하지 않는다. 이 때문에 영지식 증명은 오랫동안 이론적으로는 매력적이지만, 실용성은 낮은 기술로 평가받아왔다. 이 문제를 해결하기 위해 제안된 새로운 접근이 바로 비대화형(Non-Interactive) 영지식 증명이다.

비대화형 영지식 증명에서는 증명자가 단 한 번의 증명만 생성하면, 검증자는 언제, 어디서나, 실시간 상호작용 없이 그 증명을 확인할 수 있다. 이 방식의 등장은 영지식 증명을 훨씬 효율적이고 실용적인 형태로 발전시켰다. 결국, 이는 블록체인처럼 비동기적이고 분산된 환경에서도 안전하게 작동할 수 있는 기반을 마련하며, 영지식 증명이 현실 세계의 시스템 속으로 들어오는 결정적인 전환점이 되었다.

제 3장. 히치하이커들을 위한 필드 가이드: 영지식 증명 시스템

이번 장은 영지식 증명 시스템을 설명하는 부분으로, 기술적인 내용이 다소 포함되어 있다. 하지만 중간중간 이해를 돕는 예시를 함께 넣어 두었으니, 내용이 어렵게 느껴진다면 핵심 개념과 예시만 파악해도 충분하다.

3.1 필드 가이드에 들어가기 앞서 — 영지식 증명 시스템의 구조

원활한 이해를 위해 영지식 증명이 시스템화되는 과정에서 이것을 프론트엔드(Frontend)와 백엔드(Backend)로 나눈 관념적 틀에 대해 먼저 살펴보겠다. 구체적인 영지식 증명 시스템은 이어서 다루도록 하겠다.

• 프론트엔드 (Frontend): ”무엇을 증명할 것인가”를 정의하는 부분이다. 증명할 정보에 대해 암호학적 증명 시스템이 이해할 수 있는 수학적 형태로 변환하는 산술화 과정으로 R1CS, PLONKish, AIR 등이 여기에 포함된다. 즉, 프론트엔드는 인간의 논리 정보를 기계(증명 시스템)의 언어로 번역하는 ‘번역기’의 역할을 한다.

• 백엔드 (Backend): “어떻게 증명할 것인가”를 담당한다. 프론트엔드가 만들어낸 산술 회로를 실제 암호학적 증명(proof)으로 생성해 내는 역할을 한다. 타원곡선 페어링, KZG 커밋, FRI, IPA, Bulletproofs 같은 구체적인 증명 시스템(Proving System)들이 여기에 해당한다. 백엔드는 프론트엔드가 설계한 ‘제약 조건의 설계도’를 바탕으로, 안전하고 효율적인 ‘증명의 건물’을 짓는 역할을 수행한다.

이처럼 프론트엔드와 백엔드로 구분되는 관념적 틀이 등장하면서, 영지식 증명 시스템은 목적에 맞게 서로 다른 조합을 자유롭게 구성할 수 있게 되었다. 예를 들어, PLONKish 기반 프론트엔드로 산술 회로를 설계한 뒤 FRI 백엔드와 결합해 신뢰 설정이 필요 없고 병렬화에 최적화된 영지식 시스템을 만드는 식이다. 이러한 모듈식 접근은 영지식 기술의 발전을 가속화했을 뿐 아니라, 다양한 애플리케이션 환경에 맞춰 최적의 시스템을 구축할 수 있는 기반이 되었다.

3.2 작고 빠른 영지식 증명, zk-SNARKs

프론트엔드: R1CS (QAP 포함) 백엔드: 타원곡선 페어링

3.2.1 수학으로 빚어낸 간결한 증명

zk-SNARKs(Zero-Knowledge Succinct Non-Interactive ARgument of Knowledge)는 비대화형으로 영지식 증명을 가능하게 한 첫 사례이다. 현재까지 이 영지식 증명 방식은 ‘Groth16’이라는 이름으로 대표되는 시스템 구현 형태로 널리 쓰이고 있으며, 정보를 수학적 다항식으로 변환하는 정교한 과정을 통해 ‘작고 빠른 증명’을 가능하게 만들었다. zk-SNARKs의 증명 과정은 크게 세 단계의 수학적 변환을 거친다.

1단계: 산술화 (Arithmetization) — 정보를 다항식으로 바꾸기

첫 번째 단계의 목표는 “나는 x=2가 방정식 x³+2x²+x+1=19의 해임을 안다”와 같은 주장(정보)을 수학적으로 표현 가능한 형태로 바꾸는 것이다.

• 평탄화 (Flattening): 복잡한 방정식이나 프로그램의 연산을 A + B = C 또는 A B = C 형태의 단순한 연산들로 분해한다. 위의 이미지는 (A + B) (B + C)의 복잡한 연산을 GATE 1(덧셈 게이트), GATE 2(덧셈 게이트), GATE 3(곱셈 게이트)의 간단한 기본 연산으로 표현하는 과정을 보여준다.

• Rank-1 Constraint System (R1CS): 다음으로, 나뉘어진 각 연산들을 벡터의 내적 형태로 바꾼다. 즉, 각 연산들은 G1: (s · a), G2: (s · b), G3: (s · c) 에 맞추어 (s · a) (s · b) = (s · c)*을 만족하는 세 벡터 a, b, c와 해답(위트니스) 벡터 s로 표현된다. 위 이미지는 이 변환 과정을 보여주는데, 표에서 행에 해당하는 1, A, B, C, s1, s2, s3은 연산에 필요한 모든 값을 포함하는 증인(witness)과 상수(1)를 나타내며, 각 GATE 열 그룹(p, q, r)은 R1CS 제약 조건을 정의하는 벡터를 구성한다.

  
  
  구체적으로 G1[p: (A + B) 1 = s1]*은 GATE 1의 덧셈을, G2[q: B C = s2]*는 GATE 2의 곱셈을, G3[r: s1 s2 = s3]*는 GATE 3의 곱셈을 각각 벡터 내적으로 표현하며, 이를 통해 전체 회로를 선형 제약 시스템으로 변환한다.

• Quadratic Arithmetic Program (QAP): R1CS를 통해 평탄화와 벡터화가 된 회로는 라그랑주 보간법을 통해 다항식 P(x)로 확장되며, x=1,2,3 등의 점에서 평가되어 다항식 A(x), B(x), C(x)가 생성된다. 이 다항식들은 다항식 Z(x) = (x-1)(x-2)(x-3)와 결합되어 QAP의 핵심 방정식 A(x)B(x) = C(x)*Z(x)*를 형성한다. Z(x)는 특정 지점(x=1,2,3)에서 0이 되어 모든 게이트 제약이 만족될 때만 방정식이 성립하도록 보장하며, 증명 생성 시 증인(witness)을 다항식에 대입해 t(x) = A_s(x)B_s(x) - C_s(x)*를 계산하고 Z(x)로 나누어 나머지가 0인지 검증한다.

여기까지의 산술화 단계는 “나는 이 IKEA 책장을 설명서대로 완벽하게 조립했다”는 주장을 증명하는 과정에 비유할 수 있다.

• 평탄화: 복잡한 조립 과정을 “A 나사를 B 구멍에 끼우세요”처럼 아주 단순한 단계로 쪼갠다.

• R1CS: 각 단계를 “(부품) × (도구) = (결과물)” 같은 동일한 형식의 ‘품질 검수 양식’ 으로 표준화해 일관된 형태로 기록한다.

• QAP: 수백 장에 달하는 품질 검수 양식을 하나하나 확인하는 대신, 그 모든 정보를 하나의 거대한 ‘마스터 설계도’ 로 압축한다. 이 과정을 통해 “N번째의 조립 단계를 올바르게 따랐는가?”를 검증하기 위한 수많은 질문이 “당신이 만든 마스터 설계도가 원본 설명서의 모든 요구 조건을 만족하는가?”라는 하나의 질문으로 단순화된다.

이렇게 만들어진 단일 마스터 설계도는 이후 단계에서 정보를 매우 효율적으로 검증할 수 있는 기반이 된다.

2단계: 간결성(Succinctness)과 비대화형(Non-interactivity)의 구현

정보를 단 하나의 다항식 관계로 바꾼 덕분에, zk-SNARKs는 이를 활용하여 비동기 환경에서 매우 간결하게 검증이 가능하게 되었다.

• Schwartz–Zippel Lemma의 활용: 두 다항식이 같은지 확인하려면 모든 항을 비교해야 하지만, 이는 매우 비효율적이다. 대신 zk-SNARKs는 “서로 다른 두 다항식은 무작위의 한 점에서 같은 값을 가질 확률이 거의 0이다”라는 Schwartz–Zippel Lemma를 이용한다.

• 간결한 증명: 이 원리에 따라 검증자는 다항식 전체를 볼 필요 없이, 신뢰할 수 있는 제3자(Trusted Party)가 비밀리에 선택한 무작위 점 t₀에서 A(t₀) B(t₀) - C(t₀) = H(t₀) Z(t₀)가 성립하는지만 확인하면 된다. 이 방식으로 검증 과정은 계산 복잡도와 무관하게 매우 빠르고 짧아진다. 또한 증명자는 여러 번의 질의응답 없이 t₀에서의 결과만 제시하면 되므로, 비동기 환경에서도 증명과 검증이 가능해진다.

이 과정은 ‘국제 유전자 등록소’가 중개하는 DNA 친자 확인 검사에 비유할 수 있다. 검증자(법원)가 전체 DNA 서열을 직접 비교하는 대신, ‘국제 유전자 등록소’(Trusted Party)가 비밀리에 선택한 특정 ‘마커’(t₀)를 기준으로 삼는다. 증명자(아버지)는 이 등록소에서 사전에 검사를 받고, 전체 DNA 정보가 아닌 해당 마커의 값만 담긴 ‘봉인된 인증서’를 발급받는다.

이후 증명자는 검증자(법원)과 실시간으로 상호작용할 필요 없이, 원할 때 이 인증서만 제출하면 된다. 여기서 법원은 전달받은 '인증서'가 등록소의 기준에 맞는지만 확인하며, 천문학적인 경우의 수(2^256) 중 하나를 맞춘 것이므로 이 간결한 증명서 하나만으로도 친자 관계가 올바르다고 100% 가깝게 확신할 수 있다.

3단계: 영지식성(Zero-Knowledge)과 신뢰 설정(Trusted Setup)

하지만 t₀에서의 실제 값을 그대로 주고받으면, 증명하려는 비밀값(예: x=2)이 노출될 수 있다. 이를 막기 위해 zk-SNARKs는 타원곡선의 암호학적 기술을 결합하여 영지식성(Zero-Knowledge)을 달성한다.

Source: Medium | Vitalik Buterin

• 타원곡선 페어링 (Elliptic Curve Pairing): 증명자는 다항식의 실제 값을 직접 공개하지 않고, 그 값을 타원곡선 위의 점 형태로 암호화해 제출한다. 타원곡선에서의 이산 로그 문제는 역연산이 현실적으로 불가능하므로, 이 점들로부터 원래 값을 알아내는 것은 사실상 불가능하다. 검증자는 제출된 점들 사이에서 페어링(pairing) 연산을 수행해, A(t₀) * B(t₀) = C(t₀) 관계가 올바르게 성립하는지만 확인한다. 이 과정에서 검증자는 어떠한 정보도 얻지 못하지만, 증명이 정당하다는 사실은 확실히 알 수 있다. 이러한 성질 덕분에 영지식성(Zero-Knowledge)이 보장된다.

• 신뢰 설정(Trusted Setup): 무작위 점 t₀와 암호화에 필요한 값들을 미리 생성해, 모두가 사용할 수 있도록 공개하는 과정이다. 이렇게 만들어진 값들을 공개 파라미터(Public Parameters)라고 부른다. 이때 내부적으로 사용된 비밀 값(예:t₀ 등)은 외부에 유출될 경우, 누구나 위조된 증명을 만들어낼 수 있게 된다. 이런 이유로 이 비밀 값은 유출되면 큰 피해를 입힌다하여 ‘독성 폐기물(toxic waste)’이라고 불리며, 신뢰 설정이 끝난 후에는 반드시 완벽하게 폐기되어야 한다.

이 단계는 신약 개발 회사가 규제 기관에 약효를 증명하는 상황과 비슷하게 비유할 수 있다. 회사는 실제 비밀 성분(A, B)과 결과물(C)을 그대로 제출하는 대신, 각각의 시료를 분자 구조를 숨기는 특수 용매에 녹여 제출한다(타원곡선 암호화). 규제 기관은 내용물을 직접 분석하지 않고, 대신 ‘관계 분석기’라는 장비로 세 용액의 에너지 파장 관계가 (A * B = C) 공식을 만족하는지만 검사한다(타원곡선 페어링). 이처럼 규제 기관은 약의 비밀 성분을 전혀 알지 못하면서도 공식의 정당성만을 검증할 수 있다.

그러나 이 모든 검증이 신뢰를 얻으려면 ‘관계 분석기’ 자체가 공정하게 만들어졌다는 믿음이 필요하다. 이 기계는 조작 방지를 위해 국제표준기구 같은 신뢰할 수 있는 제3자에 의해 제작되어야 하고, 제작 과정에서 사용되는 일회용 ‘초기 설계도’ 는 절대 외부에 유출되어서는 안 된다. 만약 이 설계도가 공개된다면, 누구나 시스템을 속일 수 있는 위조 장비를 만들어낼 수 있다. 그래서 이 설계도는 ‘독성 폐기물(toxic waste)’ 로 간주되며, 장비 제작이 완료된 뒤에는 모든 사람이 지켜보는 가운데 완전히 폐기되어야만 “그 누구도 시스템을 조작할 수 없다”는 신뢰가 형성된다.

결론적으로, zk-SNARKs는 정보를 다항식 형태로 변환한 뒤, 이를 단일 지점에서 효율적으로 검증할 수 있도록 하는 동시에, 그 과정을 암호화해 어떠한 정보도 노출하지 않고 증명하는 수학적 시스템이다. 이러한 구조 덕분에 zk-SNARKs는 효율성과 프라이버시를 모두 확보하며, 오늘날 영지식 증명 기술의 핵심 기반으로 자리 잡고 있다.

3.2.2 스도쿠 퍼즐로 이해하는 zk-SNARKs

앞서 설명한 수학적 원리들을 좀 더 직관적으로 이해하기 위해, 스도쿠 퍼즐 예시를 들어보도록 하겠다.

주장: “나는 이 스도쿠 퍼즐의 정답을 알고 있다.” 단, 정답은 공개하지 않는다.

1. 산술화: 먼저 “이 스도쿠는 올바른 해답이다”라는 큰 규칙을 수백 개의 작은 규칙으로 쪼갠다. 예를 들어 “1행의 모든 숫자는 서로 달라야 한다”, “각 칸의 값은 1에서 9 사이여야 한다” 같은 규칙들이다. 이렇게 쪼개진 모든 규칙을 하나의 거대한 ‘마스터 규칙’ 다항식으로 통합한다. 이 다항식을 만족한다는 것은 곧 스도쿠의 모든 규칙을 동시에 만족한다는 뜻이 된다.

2. 간결성 & 비대화형: 검증자가 스도쿠의 모든 칸을 일일이 확인하는 대신, 증명자에게 이렇게 요청한다. “‘마스터 규칙’ 다항식이 특정 무작위 값에서 올바르게 계산된다는 걸 보여줘.” 증명자는 이 요청에 대한 결과를 미리 계산해 증명서(proof) 형태로 제출한다. 검증자는 퍼즐 전체를 볼 필요 없이, 이 작은 증명서 하나만 확인하면 된다. 덕분에 검증 과정은 매우 간결(Succinct)하며, 여러 번의 질의응답 없이 단 한 번의 제출로 끝나므로 비대화형(Non-interactive)으로 처리할 수 있다.

3. 영지식성 & 신뢰 설정: 물론 이 증명서에 퍼즐의 정답이 드러나면 안된다. 그래서 모든 과정은 암호화된 상태에서 진행되며, 이 암호화를 주관하는 제 3자를 설정한다. 이 때문에 검증자는 스토쿠에 대한 답을 전혀 모르지만, 증명자가 올바른 해답을 알고 있다는 주장을 믿을 수 있다.

3.2.3 zk-SNARKs의 한계: 신뢰 설정의 그림자

zk-SNARKs는 강력한 성능과 효율성을 가지고 있지만, 결국 ‘신뢰 설정(Trusted Setup)’이라는 구조적 한계를 해결해야 했다. 만약 악의적인 주체가 비밀 값을 입수한다면, 존재하지 않는 사실에 대해서도 유효한 증명을 무한히 만들어낼 수 있어 시스템 전체의 신뢰가 무너질 수 있기 때문이다.

이처럼 신뢰 설정의 존재는 zk-SNARKs를 중앙화된 실패 지점(single point of failure)에 대해 취약하게 만들었다. 설정 과정을 단일 기관이나 소수의 그룹이 수행할 경우, 이들이 악의를 품거나 외부 공격을 받아 비밀 값이 유출될 위험이 있다. 결국, 시스템의 보안이 ‘단 한 번의 신뢰할 수 있는 설정’에 의존하게 되는 아이러니가 발생한다.

이러한 이유로 신뢰 설정은 zk-SNARKs의 가장 중요한 공격 벡터(attack vector) 중 하나로 지적된다. 이를 완화하기 위해 zk-SNARKs를 이용할 경우, 신뢰 설정에 다자간 계산(MPC)을 활용하거나 아예 신뢰 설정이 필요 없는 새로운 형태의 영지식 증명 방식이 활용되고 있다.

3.3 신뢰 설정이 필요 없는 영지식 증명: zk-STARKs

프론트엔드: AIR (APR, ALI 포함)

백엔드: FRI

Source: freeCodeCamp

zk-STARKs(Zero-Knowledge Scalable Transparent ARgument of Knowledge)는 zk-SNARKs의 ‘신뢰 설정’ 문제를 해결하기 위해 등장한 대안이다. zk-STARKs는 두 가지 핵심적인 특징을 가진다:

• Scalable (확장성): zk-STARKs의 증명 생성 시간(NpolylogN)은 계산 복잡도 N에 대해 거의 선형적으로 증가하고, 검증 시간(polylogN)은 사실상 상수 시간과 비슷하기 때문에 매우 빠르고 효율적이다.

• Transparent (투명성): 시스템 파라미터가 모두 공개적으로 검증 가능한 무작위성(publicly verifiable randomness)을 통해 생성되기 때문에, zk-SNARKs에서 문제가 되었던 ‘신뢰 설정’과 ‘독성 폐기물(toxic waste)’이 존재하지 않는다.

3.3.1 zk-STARKs의 수학적 원리

zk-STARKs가 신뢰 설정 없이도 투명성을 확보할 수 있고 확장성까지 챙길 수 있었던 이유는, 그 기반이 되는 암호학적 도구가 zk-SNARKs와 다르기 때문이다. zk-SNARKs가 프론트엔드로 R1CS, 백엔드로 타원곡선 페어링을 사용하는 반면, zk-STARKs는 프론트엔드로 AIR, APR, ALI을 사용하며 백엔드로는 FRI을 사용한다.

Algebraic Intermediate Representation (AIR)

zk-STARKs의 AIR은 연산 정보를 검증 가능한 다항식의 형태로 변환시킨다는 목표는 zk-SNARKs의 R1CS와 같지만, 그 방식이 사뭇 다르다. AIR은 연산 정보를 정보를 ‘증거 테이블’ 형태로 모델링하고 이 테이블이 올바르다라는 내용을 다항식으로 표현하는 차이가 있다.

이 변환 과정은 두 단계로 나뉜다:

1. 증거 테이블(Execution Trace) 모델링: 증명자는 연산이 일어나는 모든 단계를 시간 순서대로 기록한 증거 테이블을 만든다. 이 테이블의 각 행(row)은 연산의 한 ‘스텝’을 나타내며, 테이블의 각 열(col)은 해당 스텝에서의 ‘상태 변수’(CPU 레지스터 값, 메모리 상태 등)를 나타낸다.

2. 증거 테이블의 유효성 검증: 증명자가 만든 이 테이블의 내용이 올바르다는 보장이 아직 없기 때문에, 정직하게 작성되었음을 보장하기 위해 다항식 제약 조건을 정의한다. 여기서의 제약 조건은 두 가지가 존재하는데, 하나는 연산의 시작과 끝을 검증하는 ‘경계 제약(Boundary Constraints)’과 한 스텝에서 다음 스텝으로 넘어갈 때 상태 변화를 기록하는 ‘전이 제약(Transition Constraints)’이 있다.

여기서 만들어진 증거 테이블과 다항식 제약 조건은 다음 단계를 위한 재료가 된다.

Algebraic Placement and Routing (APR)

이제 증명자는 이 증거 테이블과 다항식 제약 조건들을 결합한다. APR의 목표는 "증거 테이블이 모든 제약 조건을 만족하는가?"라는 복잡한 질문을 "특정 다항식이 낮은 차수를 가지는가?"라는 단 하나의 수학 문제로 바꾸는 것이다.

1. 테이블의 다항식화: 증명자는 증거 테이블의 각 열을 각각 하나의 '낮은 차수' 다항식 f(x)로 변환한다.

2. 제약 조건 적용: 그 다음, AIR에서 정의한 '전이 제약'과 '경계 제약'을 이 다항식 f(x)에 적용하여 새로운 '제약 다항식' 𝜓(x)를 만든다.

3. '몫 다항식' 생성: 여기서 증명자는 ‘소거 다항식’인 V(x)를 이용하여 '몫 다항식' Q(x) = 𝜓(x) / V(x) 를 생성한다. 만약 증명자가 만든 증거 테이블이 모든 제약 조건을 완벽하게 만족했다면, 𝜓*(x)*는 해당 행의 '소거 다항식' V(x)로 나누어떨어진다. 반대로 증명자가 부정직했다면 (단 하나의 값이라도 조작했다면), 𝜓(x)는 V(x)로 깔끔하게 나누어떨어지지 않아 Q(x)는 다항식이 아니거나 매우 높은 차수의 다항식이 된다.

결국 APR 단계를 통해, "연산이 올바른가?"라는 질문은 "증명자가 제시한 몫 다항식 Q(x)가 정말 낮은 차수의 다항식이 맞는가?"라는 문제로 환원된다.

Algebraic Linking IOP (ALI)

하지만 실제 연산에는 수많은 제약 조건이 존재한다. APR 단계를 거치면 이처럼 다양한 제약 조건의 개수만큼 '몫 다항식' Q1(x), Q2(x), … 이 생성된다. 이 다항식들을 백엔드(FRI)에서 하나하나 검증하는 것은 매우 비효율적이다. ALI는 이 여러 개의 몫 다항식들을 단 하나의 '종합 다항식'으로 압축하는 단계이다.

1. 무작위 결합: 검증자가 무작위 계수(blending factors)를 생성한다.

2. 종합 다항식(Composition Polynomial) 생성: 증명자는 이 무작위 계수들을 가중치로 사용하여 모든 몫 다항식들을 하나로 합친다. (예: CP(x) = a1 Q1(x) + a2 Q2(x) + … )

3. 검증 문제 단순화: 만약 증명자가 정직했다면, 모든 Q(x)들이 낮은 차수이므로 이들을 결합한 CP(x)도 여전히 낮은 차수이다. 반대로 증명자가 단 하나의 Q(x)라도 조작하여 높은 차수를 가졌다면, 무작위 계수 때문에 CP(x) 전체가 매우 높은 확률로 높은 차수가 되어버린다.

이제 zk-STARKs 프론트엔드의 모든 과정이 끝났다. "복잡한 연산을 정직하게 수행했는가?"라는 최초의 질문은 "이 단 하나의 종합 다항식 CP(x)가 정말로 낮은 차수인가?"라는 단 하나의 질문으로 압축되었다. 이 최종 질문으로 증명을 생성하는 것이 바로 백엔드인 FRI의 역할이다.

Fast Reed–Solomon Interactive Oracle Proof of Proximity (FRI)

zk-STARKs의 백엔드인 FRI은 프론트엔드가 하나의 종합 다항식으로 압축한 내용이 정말로 약속된 ‘낮은 차수’를 가지는지 증명함으로써, 전체 연산의 무결성을 최종적으로 보장하는 것을 목표로 한다. 정직하게 수행된 연산은 언제나 낮은 차수의 CP(x)를 생성하므로, FRI는 이 '낮은 차수'를 증명하는 것이 곧 전체 연산의 무결성을 증명하는 것과 같다.

이 증명 과정은 크게 두 단계로 이루어진다:

1. 커밋 (Commit): 증명자는 프론트엔드로부터 받은 다항식 CP(x)를 매우 다양한 x에서 모두 평가를 한다. 그리고나서 이 평가 값 목록을 머클 트리(Merkle Tree)에 저장한다. 증명자는 이 머클 트리의 최종 ‘머클 루트’ 해시값 하나만을 검증자에게 공개하게 된다. 여기서 해시값은 충돌 저항성 해시 함수(collision-resistant hash function)를 사용하는데, 해시 함수는 공개된 알고리즘이며 어떤 비밀 정보도 필요하지 않기 때문에 신뢰 설정이나 독성 폐기물(toxic waste)이 존재하지 않는다.

2. 비대화형 반복 폴딩: 원래는 증명자와 검증자가 ‘스무고개 게임’과 같이 여러 차례 질의응답을 주고받고 다항식을 단순화시키는 폴딩 검증 과정을 거쳐야 하지만, 비대화형으로 진행하기 위해 피앗-샤미르 휴리스틱(Fiat-Shamir Heuristic) 기법을 사용하게 된다. 이 기법은 검증자의 ‘무작위 질문’을 해시 함수가 대신 생성하여, 스무고개 게임을 혼자 치르는 필기시험의 형태로 바꿔준다. 이를 통해 다항식이 단순해질 때까지 폴딩 과정을 증명자가 혼자 반복하게 된다.

증명자는 커밋과 폴딩이 반복되는 모든 과정의 기록을 하나로 묶어서 최종 증명으로 제출한다. 검증자는 이 증명을 받아서 각 단계의 해시 과정을 따라가며 증명자가 규칙을 정확히 따랐는지 확인하는 것으로 검증을 수행하게 된다. 여기서 모든 무작위 값은 공개적으로 검증 가능한 무작위성(publicly verifiable randomness)에 기반하므로, 비밀 값이나 신뢰 설정이 전혀 필요 없다. 이처럼 zk-STARKs는 비밀값이나 신뢰 설정에 의존하지 않아서, zk-SNARKs가 안고 있던 ‘신뢰 설정’ 문제를 구조적으로 제거하고, ‘투명한(Transparent)’ 영지식 증명을 실현할 수 있게 됐다.

다만, 이러한 투명성과 탈중앙성을 얻는 대가로, zk-STARKs는 증명(proof) 크기를 키울 수 밖에 없었다. 이 한계는 zk-STARKs가 사용하는 충돌 저항성 해시 함수가 zk-SNARKs만큼 정보를 밀도 높게 표현할 수 없어 증명 크기가 필연적으로 커질 수밖에 없다. 즉, zk-STARKs의 증명은 단순한 결과 요약이 아니라, 검증자가 계산 과정을 따라가며 신뢰할 수 있도록 구성된 상세한 ‘기록지(log)’에 가깝다. 이로 인해 zk-STARKs의 증명 크기는 zk-SNARKs의 증명 크기(288B)보다 훨씬 커지며, 일반적으로 수십~수백 킬로바이트(KB) 수준에 달한다. 따라서 이러한 증명을 네트워크 상에서 전송할 때, 더 많은 저장 공간과 대역폭이 필요하다는 현실적인 제약이 뒤따르게 된다.

3.3.2 대규모 회계장부 감사로 알아보는 zk-STARKs

zk-STARKs의 증명 및 검증 과정은 100만 줄짜리 대규모 회계장부 감사의 예시로 나타낼 수 있다.

상황: 어떤 기업의 CFO(증명자)가 CEO(검증자)에게 "100만 줄짜리 회계장부 처리가 완벽하게 끝났습니다"라고 보고한다. CEO는 이 100만 줄을 일일이 검토할 시간 없이, CFO의 주장이 사실인지만을 빠르게 검증하고 싶다.

1. AIR: CFO는 100만 줄짜리 회계장부 원본(증거 테이블)을 작성한다. 이 테이블의 각 행은 개별 거래 내역이며, 각 열은 계좌 잔액이나 거래 금액과 같은 상태 변수이다. 그리고 이 장부가 유효하기 위한 두 가지 제약 조건을 같이 작성한다.

   • 모든 거래의 최종 잔액은 바로 직전 최종 잔액에 이번 거래 금액을 더한 값과 정확히 일치해야 한다.

   • 시작 잔액은 반드시 0원이어야 하며, 최종 잔액은 반드시 현재 잔액(예: 500억 원)과 같아야 한다.

2. APR: CFO는 이 장부와 제약 조건들을 수학적인 그래프로 변환하는데, 이 그래프는 제약 조건들을 검사하는 특수한 기능을 담고 있다. 그래서 CFO가 장부를 정직하게 작성했다면 이 그래프는 100만 개의 모든 지점에서 정확히 ‘0’의 값을 가지고 있지만, 만약 CFO가 한 줄이라도 장부를 조작했다면 그 지점에서 그래프는 ‘0’이 아닌 값을 가져 그래프가 툭 튀어나오게 된다. 여기서 “회계장부가 제대로 작성되었는가?”의 물음은 “이 그래프가 평평하게 펴진 형태를 가지고 있는가?”로 바뀌게 된다.

3. ALI: 실제로는 따져야 할 제약 조건들이 너무 많기 때문에 만들어야하는 평평한 그래프가 수십 개에 이른다. 그래서 CEO는 이 그래프들을 무작위로 섞어서, 하나의 ‘전체 그래프’로 합쳐오라고 지시한다. 즉, 모든 그래프를 확인할 필요 없이 하나의 전체 그래프만 평평한지 확인하면 된다.

4. FRI: CFO는 만들어진 전체 그래프를 요약한 요약본(머클 루트)을 CEO에게 제출한다. 여기서 요약본은 공개된 값으로 만들기 때문에, 사전에 약속된 비밀 값이나 숨겨진 정보 없이 만들어진다. 이후 CEO는 이 요약본을 더 간단히 만들라고 지시해야하지만, CEO는 바빠서 자리에 없는 경우가 많으므로 임의로 CFO가 더 요약된 요약본을 만든다. 이 과정을 반복해서 충분히 요약이 되면 CFO는 이 모든 과정의 기록(요약본 모음, 최종 요약본 등)을 하나의 ‘최종 증명서’로 묶어 CEO에게 제출한다.

5. 검증: CEO는 이 증명서 하나만 받아서 CFO가 회계장부를 조작하지 않았는지를 몇 군데만 무작위로 확인한다. 예를 들어, 3번째 요약본과 4번째 요약본 사이의 요약 과정이 올바르게 되었는지와 같은 확인이다. 이 검증이 통과되면 CEO는 100만 줄에 달하는 회계장부를 직접 다 확인하지 않고도 CFO의 감사를 신뢰할 수 있다.

3.4 여러 방향으로 뻗어나가는 영지식 증명 시스템

모든 상황에 완벽히 들어맞는 만능 열쇠는 없다. 그래서 목적과 환경에 따라 특화된 다양한 영지식 증명 시스템들이 등장했다.

3.4.1 zk-SNARKs(Groth16)의 분화: PLONK

프론트엔드: PLONKish

백엔드: KZG

Groth16으로 대표되는 초기의 zk-SNARKs는 R1CS라는 수학적 구조 위에서 구현되었다. R1CS는 복잡한 계산을 증명 가능한 형태로 바꿀 수 있는 강력한 프레임워크였지만, 근본적인 한계가 있었다. 바로 회로별 신뢰 설정(circuit-specific trusted setup)이 필요하다는 점이다. 즉, 프로그램 로직이 조금이라도 바뀌면, 매번 보안적으로 민감하고 비용이 많이 드는 신뢰 설정 과정을 다시 거쳐야 했다.

이 문제를 해결하기 위해 등장한 것이 PLONK다. PLONK(Permutations over Lagrange-bases for Oecumenical Noninteractive arguments of Knowledge)는 유연성과 재사용성을 극대화한 새로운 접근법으로, 연산을 다루는 방식부터 R1CS와 확연히 다르다.

가장 근본적인 차이는 프론트엔드에 있다. Groth16이 사용하는 R1CS는 모든 계산을 A * B = C 형태의 단순한 2차 제약 조건으로 쪼갠다. 복잡한 프로그램을 수많은 산술 회로의 곱셈 게이트로 나누어 구성하는 방식이다. 이 구조는 단순하지만, 모든 연산을 같은 형식에 맞춰야 해서 유연성이 떨어진다.

반면, PLONK에서 사용하는 산술화 방식인 PLONKish는 연산을 게이트 제약(gate constraints)과 연결 제약(copy constraints)으로 나누어 처리한다. 게이트 제약은 a + b = c와 같은 실제 연산 로직을, 연결 제약은 ‘1번 게이트의 출력 c가 2번 게이트의 입력 a와 같다’는 와이어 연결 관계를 정의한다.

R1CS가 이러한 모든 관계를 수많은 A * B = C 형태로 묶어 표현했다면, PLONKish는 게이트 연산 로직을 제약 다항식(constraint polynomial)으로, 와이어 연결을 순열(permutation)로 추상화해 모델링한다. 그리고 이 순열 검증(permutation check) 과정을 통해 모든 와이어 연결의 일관성을 한 번에 효율적으로 검증한다.

순열 검증 과정은 거대한 물류창고를 예로 들면 더 직관적으로 이해할 수 있다. 이 창고에는 수많은 구역(게이트)이 있고, 각 구역은 컨베이어 벨트(와이어)로 연결되어 있다. 예를 들어, A 구역에서 ‘출고(Output)’된 물건(값)은 벨트를 따라 B 구역과 C 구역의 ‘입고(Input)’로 정확히 전달되어야 한다. 이것이 바로 회로의 ‘연결 제약’에 해당한다.

순열 검증의 목적은 “A에서 보낸 물건이 정말 B와 C에 잘 도착했는가?”를 하나하나 확인하는 것이 아닌, 창고 전체의 ‘출고 기록 리스트’와 ‘입고 기록 리스트’를 모아서, 두 리스트가 순서는 다르더라도 구성원이 완전히 같은지를 한 번에 비교한다. 만약 A에서 출고된 물건이 중간에 사라지거나, C 구역에 엉뚱한 물건(다른 값)이 들어왔다면 두 리스트의 구성원이 달라지게 되고, 검증은 실패한다. PLONK의 순열 검증은 바로 이 원리를 수학적으로 구현한 것으로, 이를 통해 회로 내 모든 값이 외부의 개입 없이, 오직 정해진 와이어 연결(순열)에 따라 정확하게 복사되고 이동했음을 한 번에 증명한다.

이러한 증명 생성 전처리 과정의 차이는 백엔드에서 수행되는 신뢰 설정 과정에서도 결정적인 차이를 만들어냈다. R1CS 기반의 Groth16과 같은 시스템에서는 회로마다 별도의 신뢰 설정이 필요했다. 즉, 프로그램 로직이 조금이라도 바뀌면 매번 처음부터 새로운 신뢰 설정을 다시 수행해야 했다. 이 때문에 실제 적용 과정에서 큰 비용과 번거로움이 따랐다.

반면, PLONK는 백엔드로 KZG(Kate-Zaverucha-Goldberg) 다항식 증명 스킴을 주로 사용한다. 이 KZG 스킴 역시 '신뢰 설정'을 필요로 하지만, 여기서 생성되는 것은 ‘구조화된 참조 문자열’(Structured Reference String, SRS)이라는 범용적인 공개 파라미터다. SRS가 범용적(universal)인 이유는, 순열 검증(permutation argument) 덕분에 신뢰 설정이 회로의 구체적인 게이트 로직(덧셈, 곱셈 등)과 완전히 분리되었기 때문이다. 즉, SRS는 특정 회로나 프로그램이 아니라 “어떤 회로든 표현할 수 있는 공통한 다항식 공간” 자체를 위한 설정이므로, 한 번 만들어두면 다양한 회로에 그대로 적용할 수 있다.

신뢰 설정을 단 한 번 수행해 이 범용 SRS를 생성해두면, 그 이후로는 이 SRS 하나로 (최대 크기 한도 내에서) 수천, 수만 개의 서로 다른 PLONK 회로를 증명하고 검증할 수 있는 것이다. 또한 SRS는 업데이트 가능(updatable)하여, 새로운 참여자가 자신의 무작위성을 추가해 보안성을 계속 강화할 수도 있다. Groth16이 프로그램을 바꿀 때마다 '신뢰 설정'이라는 비싼 행사를 다시 치러야 했던 반면, PLONK는 한 번의 행사로 만든 SRS를 모두가 돌려 쓸 수 있게 된 것이다.

Groth16은 R1CS 덕분에 특정 회로에 대해 증명 크기가 작고 검증이 빠르다는 장점이 있어 여전히 일부 정적인 시스템에서 사용되고 있다. 대표적으로 지캐시(Zcash) 초기 버전, 토네이도 캐시(Tornado Cash) 등이 Groth16을 채택했다. 하지만 zkEVM이나 ZK 롤업 같이 스마트 컨트랙트 로직이 자주 변경되거나 동적으로 다양한 회로를 처리해야 하는 시스템에서는 PLONK의 범용성, 모듈성, 그리고 신뢰 설정 재사용성이 압도적인 우위를 가진다. 지케이싱크(zkSync), 폴리곤(Polygon) zkEVM, 스크롤(Scroll) 등은 PLONK 또는 그 변형인 헤일로2(Halo2), UltraPLONK를 채택하고 있으며, 지캐시(Zcash) 또한 Sapling 업그레이드 이후 헤일로2로 전환했다.

3.4.2 재귀 증명의 진화: 헤일로2 (Halo2)

프론트엔드: PLONKish (지캐시의 경우 R1CS)

백엔드: 타원곡선 사이클 (폴딩 스킴 포함)

헤일로(Halo): 신뢰 설정의 한계

초기 zk-SNARKs의 구현체였던 헤일로(Halo)는 지캐시(Zcash)의 초기 보호 트랜잭션(shielded transactions)에 사용되었다. 헤일로는 Groth16와 같이 여전히 신뢰 설정이 필요했으며, 이로 인해 중앙화 리스크와 비효율성의 문제가 남아있었다. 이러한 한계를 해결하기 위해 등장한 것이 바로 헤일로2(Halo2)이다.

신뢰 설정 없는 재귀의 시작

헤일로2의 가장 큰 진전은 백엔드에서 신뢰 설정 문제를 해결한 것이다. 이는 ‘타원곡선 사이클(a cycle of elliptic curves)’이라는 독창적인 암호학적 구조를 도입했기에 가능했다. 이 구조는 서로 다른 두 타원곡선이 서로의 연산을 검증하는 순환 관계를 형성하는데, 하나의 곡선이 다른 곡선상의 연산을 검증하고 그 다른 곡선이 다시 첫 번째 곡선의 연산을 검증하는 방식이다. 이를 통해 외부의 신뢰 기반 파라미터(SRS 또는 비밀 값) 없이도 시스템이 내부적으로 무한한 재귀 증명을 자체적으로 구현할 수 있게 되었다.

재귀 증명과 폴딩 스킴: 효율성의 극대화

헤일로2의 또 다른 특징은 '재귀 증명(Recursive Proofs)'을 극도로 효율화했다는 점이다. 재귀 증명은 "하나의 증명(A)이 올바르다는 사실" 자체를 "또 다른 증명(B)"으로 만드는 기술로, 복잡한 연산을 잘게 쪼개어 단계적으로 검증할 때 필수적이다. 하지만 매 단계마다 무거운 영지식 증명을 새로 생성하는 것은 매우 비효율적이기 때문에, 헤일로2는 이 문제를 '폴딩 스킴(Folding Schemes)'이라는 방식으로 해결했다.

폴딩 스킴은 여러 증명 대상을 하나로 '접는(folding)' 기술로, 수만 번의 연산이 일어날 때 매번 무거운 증명을 생성하는 대신, 훨씬 가벼운 '접기' 연산을 통해 두 개의 증명 대상을 하나로 합친다. 이 접기 과정을 계속 반복하여 모든 연산을 단 하나의 압축된 결과물로 만든다. 그리고 마지막에 이 최종 결과물에 대해서만 단 한 번의 증명을 생성한다. 이 방식 덕분에, 수백만 번의 연산이 누적되더라도 검증 비용은 거의 일정하게 유지되며, zkEVM처럼 복잡하고 긴 연산을 증명하는 것이 실용적인 수준으로 가능해졌다.

프론트엔드: 유연성의 확보 (PLONKish)

헤일로2는 PLONKish를 프론트엔드로 사용하는데, PLONKish는 개발자가 '커스텀 게이트'를 정의할 수 있게 하여, R1CS보다 훨씬 유연하고 효율적으로 복잡한 회로를 표현할 수 있기 때문이다. 참고로 지캐시의 헤일로2는 프론트엔드로 R1CS를 사용한다.

결국 헤일로2는 신뢰 설정 없는 백엔드와 효율적인 재귀(폴딩), 그리고 유연한 프론트엔드의 결합을 통해, 복잡한 프로그램 실행 전체를 검증할 수 있는 범용 플랫폼으로 발전했다. 특히, 지캐시는 NU5 업그레이드를 통해 헤일로2를 도입하여 중앙화된 신뢰 설정을 성공적으로 제거했으며, 스크롤(Scroll)과 같은 zkEVM 롤업 프로젝트들은 이 효율적인 재귀 증명 구조를 활용하여 이더리움 트랜잭션을 검증하는 복잡한 연산을 처리하고 있다.

3.4.3 범위를 증명하는 백엔드: 불릿프루프 (Bulletproofs)

불릿프루프(Bulletproofs)는 영지식 증명 시스템에서 백엔드로 분류되며, 특히 신뢰 설정 없이도 매우 작은 크기의 증명을 생성할 수 있다는 점이 특징이다. 이렇게 불릿프루프가 작은 증명 크기를 생성할 수 있는 이유는 ‘내적 증명(inner-product proof)’의 재귀적 압축 기법에 있다.

이 압축 기법은 큰 연산 문제(예: 길이가 N인 두 벡터의 내적)를 한 번에 증명하는 대신, 증명자는 매 단계마다 문제의 크기를 절반으로 줄인다. 각 단계에서는 원래 정보를 더 작은 새로운 정보로 바꾸고, 이 변환이 올바르다는 사실을 보여주는 극히 적은 양의 데이터(몇 개의 암호학적 그룹 원소)만 증명에 추가한다. 이 과정을 문제의 크기가 1이 되어 직접 검증 가능한 수준이 될 때까지 반복한다.

앞서 설명한 헤일로2의 폴딩 스킴이 여러 증명이나 연산 단계를 하나로 합쳐 효율을 높이는 구조라면, 불릿프루프의 재귀는 단일 증명 내부에서 차원을 점진적으로 축소하는 방식이다. 즉, 폴딩 스킴이 ‘여러 장의 영수증을 하나로 합치는’ 것이라면, 불릿프루프는 ‘한 장의 긴 영수증을 계속 반으로 접어 작게 만드는’ 방식에 가깝다.

이런 방식 덕분에 불릿프루프의 증명 크기는 매우 효율적으로 증가한다. 각 재귀 단계마다 고정된 크기의 데이터만 추가되므로, 연산량이 두 배로 늘어나도 최종 증명 크기는 몇 바이트 정도만 커진다. 예를 들어 100만 개의 연산을 증명하든 200만 개를 증명하든, 증명 크기 차이는 거의 없다. 이런 특성은 대규모 연산에서도 증명을 작고 효율적으로 유지할 수 있게 해주며, 모든 데이터를 저장해야 하는 블록체인 환경에서 특히 유리하다.

하지만 이런 압축성에는 백엔드로서의 트레이드오프가 있다. 바로 증명 생성과 검증 속도가 느리다는 점이다. 특히 검증 시간은 증명 크기와 달리 선형적으로 증가한다. 즉, 연산량이 두 배로 늘어나면 검증 시간도 거의 두 배로 길어진다. 이는 여러 노드가 동시에 거래를 검증해야 하는 블록체인 환경에서 부담이 될 수 있다.

이 때문에 불릿프루프는 복잡한 일반 연산(zkEVM 등)을 처리하는 것 보다는, 구조는 단순하지만 자주 반복되는 특정 명제를 증명하는 데 최적화 되어있다. 그 대표적인 예가 바로 ‘범위 증명(range proof)’이다. 범위 증명은 특정 숫자(예: 거래 금액)를 공개하지 않고도, 그 값이 유효한 범위(예: 0 이상)에 있음을 증명하는 기술이다. 이는 사용자가 자산을 몰래 부풀리는 것을 막는 핵심 메커니즘으로, 프라이버시 프로토콜에서 필수적인 역할을 한다.

결론적으로, 불릿프루프는 검증 속도를 희생하는 대신, 신뢰 설정 없이 매우 압축된 증명을 제공하는 백엔드 프로토콜이다. 이러한 특성 덕분에 모네로(Monero), 벨덱스(Beldex) 등 여러 프라이버시 블록체인에서 ‘기밀 트랜잭션(Confidential Transactions)’의 핵심 구성 요소로 채택되어, 블록체인 상에서 프라이버시와 효율성이라는 두 가지 목표를 동시에 달성하는 데 큰 역할을 하고 있다.

3.5 영지식 증명 시스템 비교

지금까지 우리는 zk-SNARKs, zk-STARKs, PLONK, Halo2, Bulletproofs 등 다양한 영지식 증명 시스템과 프로토콜을 살펴봤다. 아래 표는 이들 시스템의 특징을 한눈에 비교해, 각 기술의 장단점과 활용에 적합한 영역을 쉽게 파악할 수 있도록 정리한 것이다.

제 4장. 여행자를 위한 두 개의 필수품: ‘은닉’과 ‘압축’

앞서 살펴본 여러 영지식 증명 시스템에는 두 가지 핵심 특성이 있다. 바로 정보를 숨기는 ‘은닉(Concealment)’과 연산을 축약하는 ‘압축(Compression)’이다. 이 두 원리는 프라이버시 보호와 연산 효율성을 중심으로 디지털 신뢰 구조를 새롭게 만들어가고 있다. 개인화와 처리 성능이 점점 더 중요해지는 미래의 디지털 환경에서, 은닉과 압축은 안전성과 유연성을 동시에 제공하는 핵심 도구가 될 가능성이 크다.

4.1 힘의 첫 번째 형태: 은닉 (Concealment)

영지식 증명의 ‘은닉’은 프라이버시에 대한 관점을 수동적 방어에서 능동적 통제로 전환시킨다. 기존의 암호화가 데이터를 누구도 열 수 없는 ‘검은 상자’ 속에 가두는 방식이었다면, 영지식 증명은 그 상자를 잠근 채로 “이 안에는 파란 공이 들어 있다”는 사실만을 증명할 수 있게 해준다. 즉, 데이터의 내용을 공개하지 않고도 그 속성만 증명할 수 있는 기술이다. 이로써 프라이버시는 단순히 숨기는 것이 아니라, 필요한 만큼 선택적으로 드러낼 수 있는 ‘프로그래밍 가능한 프라이버시(Programmable Privacy)’의 형태로 탈바꿈하고 있다.

이 은닉의 개념은 디지털 신원(Digital Identity)의 방식을 근본적으로 바꿔놓고 있다. 오늘날 신원 증명은 여전히 ‘극과 극(All or Nothing)’의 방식이다. 예를 들어, 성인 인증을 위해 단지 나이가 19세 이상임을 증명하려 해도, 이름, 주소, 주민등록번호 등 불필요한 개인정보가 담긴 신분증 전체를 제출해야 한다. 이런 구조는 필요한 사실 하나를 입증하기 위해 과도한 정보를 드러내는, 전형적인 ‘과잉 노출(Overexposure)’의 사례다.

물론 최근 모바일 신분증과 같은 간편 인증 시스템은 필요한 정보만 선별적으로 보여주어, 기존의 문제를 상당 부분 해소한 것처럼 보인다. 하지만 데이터 주권의 관점에서 보면, 이는 여전히 신뢰받는 제3자(통신사나 플랫폼 등)가 사용자의 모든 정보를 보관하고 대신 증명하는 중앙화된 대리인 모델에 머물러 있다.

즉, 편의점 주인이 내 주민등록번호를 직접 확인하지는 않더라도, 그 뒤에서는 거대한 중개 기관이 나의 전체 신원 정보를 조회하고 검증하는 절차를 수행한다. 결국 증명의 주체가 개인 자신이 아니라 기관이라는 점에서, 이러한 방식은 여전히 근본적인 과잉 노출의 구조를 완전히 벗어나지 못한 과도기적 단계라 할 수 있다.

영지식 증명은 이를 완전히 뒤집는다. 데이터 원본과 그 데이터에 대한 ‘증명(Proof)’을 분리함으로써, “나는 19세 이상이다”라는 사실만을 검증자에게 증명할 수 있다. 즉, 신분증을 내보이지 않고도 신뢰를 확보할 수 있으며, 개인이 자신의 정보를 직접 관리하고 공개 범위를 선택할 수 있는 자기주권신원(Self-Sovereign Identity, SSI) 개념을 실현하게 된다.

Source: Ethereum Foundation

이제 이러한 ‘은닉’의 힘은 단순한 기술 수준을 넘어, 블록체인 프로토콜의 핵심 가치로 자리 잡고 있다. 이더리움 재단은 최근 ‘온체인 프라이버시에 대한 새로운 약속(A New Commitment to On-Chain Privacy)’을 발표하며, 영지식 기술을 활용해 프라이버시 기능을 프로토콜 수준에서 기본 제공하겠다는 비전을 제시했다. 그 내용에는 트랜잭션 정보를 숨길 수 있는 스텔스 주소(Stealth Address)나 신원 정보를 노출하지 않고 자격을 증명할 수 있는 프라이버시 중심 인증 시스템이 포함되어 있다.

결국 영지식 기반의 ‘은닉’은 이제 특정 애플리케이션의 선택적 기능이 아니라, 디지털 세상 위에서 개인의 자유와 안전을 지켜주는 기본권으로 자리 잡고 있다. 이는 기술이 단순히 신뢰를 구현하는 도구를 넘어, 개인의 주권과 자유를 수학적으로 보장하는 새로운 사회적 인프라로 진화하고 있음을 보여준다.

4.2 힘의 두 번째 형태: 압축 (Compression)

“다른 누군가의 연산 결과를, 직접 다시 실행하지 않고도 어떻게 신뢰할 수 있을까?”

탈중앙화 시스템은 오랫동안 ‘검증자의 딜레마(Verifier’s Dilemma)’를 안고 있었다. 대표적인 탈중앙화 시스템인 블록체인은 모든 참여자가 모든 트랜잭션을 직접 재실행하는 ‘중복 실행(Redundant Execution)’ 방식으로 신뢰를 확보해왔다. 이 방식은 보안성은 높지만, 심각한 비효율을 낳았다.

그러나 영지식의 특성 중 하나인 ‘압축(Compression)’은 이 패러다임을 완전히 바꿔놓는다. 하나의 증명자(Prover)가 복잡한 계산을 수행하고, 그 결과에 대한 짧고 간결한 증명(Proof)을 생성하면, 다른 모든 검증자들은 그 증명 하나만 확인함으로써 전체 연산 과정을 신뢰할 수 있게 된다. 여기서 압축되는 것은 단순한 파일 크기나 데이터 양이 아니다. 그 대상은 바로 ‘연산의 무결성(Computational Integrity)’, 즉 “이 연산이 규칙에 따라 정확히 수행되었다”는 사실 그 자체다. 수십억 단계에 달하는 복잡한 프로그램의 실행 결과가, 단 하나의 작고 우아한 암호학적 증명으로 요약된다.

예를 들어, 수천 페이지에 달하는 책을 한 페이지로 요약하면 대략적인 줄거리는 파악할 수 있다. 하지만 그 요약문만으로는 원본의 모든 문장이 정확한지, 혹은 어떤 내용이 빠지거나 왜곡되지 않았는지를 결코 보장할 수 없다. 결국 그 신뢰도를 확인하려면 원본 전체를 다시 읽어볼 수밖에 없다.

그러나 영지식 증명은 책의 내용을 요약하지 않고, “이 책의 사본이 원본과 글자 하나 틀리지 않고 동일하다.”는 사실을 수학적으로 증명한다. 즉, 이는 요약문이 아니라 일종의 ‘무결성 확인서(Integrity Certificate)’에 가깝다. 검증자는 이 작은 확인서만 살펴보면, 수천 페이지의 책을 직접 대조하지 않아도 그 사본이 원본과 완벽히 일치한다는 사실을 확신할 수 있다.

이 압축의 힘은 블록체인이 직면한 최대 난제인 확장성 문제를 해결하는 핵심적인 도구다. 기존 블록체인은 모든 노드가 모든 트랜잭션을 직접 처리해야 하기 때문에 필연적으로 병목이 발생했다. 그러나 ZK 롤업이나 검증 가능한 컴퓨팅(Verifiable Computing)은 이 병목을 정면으로 돌파하고자 한다.

강력한 연산 능력을 가진 L2 또는 오프체인 증명자가 수천, 수만 개의 트랜잭션을 한꺼번에 처리한 뒤, “이 모든 트랜잭션이 규칙에 따라 정확히 수행되었다”는 단 하나의 영지식 증명을 생성한다. 메인 블록체인은 이 증명 하나만 검증하면 되므로, 수만 건의 트랜잭션 검증이 단 한 번의 연산으로 대체된다. 즉, 연산 전체가 하나의 증명으로 압축되는 셈이다. 이 방식은 탈중앙화나 보안을 희생하지 않으면서도 블록체인의 처리량을 비약적으로 높인다. 그 결과, 네트워크는 초당 수천 건의 트랜잭션을 처리하면서도 동일한 수준의 신뢰와 보안성을 유지할 수 있다.

요약하자면, 은닉이 신뢰의 범위를 좁혀 개인의 프라이버시를 보호한다면, 압축은 신뢰의 범위를 넓혀 시스템 전체의 효율을 확장한다. 이 두 힘이 결합될 때, 영지식 증명은 더 이상 단순한 암호학적 기술이 아닌, 신뢰, 속도, 프라이버시가 공존하는 새로운 디지털 질서의 토대가 된다.

4.3 블록체인, 거대한 샌드박스의 등장

그렇다면 1980년대에 등장한 이 기술이 왜 지금에 와서야 폭발적인 관심을 받게 되었을까? 그 이유는 단순하다. 오랫동안 우리의 금융과 사회 시스템에서는 영지식이 들어설 자리가 거의 없었기 때문이다. 은행, 정부, 법원 같은 중앙화된 중개자들이 사회적 합의를 기반으로 ‘신뢰’를 독점해왔고, 그들은 우리의 비밀을 대신 지켜주고(은닉), 거래의 유효성을 보증하는 역할(압축)을 수행했다. 우리는 그 대가로 일정한 비용과 권한을 기꺼이 넘겨왔다.

하지만 블록체인과 같은 탈중앙화 시스템의 등장은 이 질서를 완전히 뒤흔들었다. “믿지 말고, 검증하라(Don’t trust, verify)”는 철학 아래, 블록체인은 신뢰를 사회적 합의가 아닌 수학적 증명으로 대체했다. 그러나 이 과정에서 프라이버시와 효율성 사이의 딜레마가 생기게 되었는데, 영지식 증명은 자신이 존재해야 할 무대를 이 딜레마에서 마침내 찾아낸 것이다. 이렇게 블록체인은 영지식 기술이 그 잠재력을 실험하고 단련할 수 있는 최초의 거대한 ‘샌드박스(Sandbox)’가 된 것이다.

이후 블록체인 생태계는 영지식 기술을 프라이버시 보호와 확장성 향상을 위한 도구로 인식하기 시작했다. 이 수요는 영지식 연구에 전례 없는 자본과 인재를 끌어들이는 기회가 되었고, 현실의 문제를 해결하는 과정에서 영지식 기술은 학문적 개념을 넘어 실제 산업을 움직이는 엔진으로 빠르게 발전했다. 그 결과, 수요가 발전을 이끌고, 발전이 다시 새로운 수요를 창출하는 선순환 구조가 만들어졌다.

제 5장. 어느 여행자의 영지식 생태계 항해 일지

블록체인이라는 샌드박스에서 단련된 영지식 기술은 이젠 하나의 거대한 생태계를 형성해 나가고 있다. 이 생태계를 구성하는 각 프로젝트들은 미래의 보편적 영지식 애플리케이션으로 나아가기 위한 초기 모델로서 중요한 의미를 지닌다. 이들은 영지식의 핵심 역량인 ‘압축’과 ‘은닉’의 힘을 구체적인 시스템과 애플리케이션 형태로 구현하며, 기술의 가능성을 현실로 확장하고 있다.

이번 장에서는 영지식 생태계가 어떤 분류 체계로 구성되어 있는지, 그리고 각 프로젝트들이 어떤 영지식 기술을 활용해 어떤 서비스를 구현하고자 하는지를 살펴본다.

5.1 블록체인 인프라와 앱의 재정의

영지식 기술은 블록체인 인프라와 애플리케이션의 구조와 작동 방식 자체를 재정의하고 있다. 특히 이 변화는 이더리움과 ZK 롤업 기반 L2 인프라, 그리고 사용자 프라이버시를 중심으로 하는 인프라와 앱을 중심으로 활발히 진행되고 있다.

5.1.1 이더리움의 영지식 네이티브 로드맵

이더리움은 주요 L1 블록체인 가운데 가장 체계적이고 빠르게 영지식 기술의 도입을 추진하고 있다. 그 최종 목표는 영지식을 이더리움 프로토콜 자체에 내재화(built-in)하는 것이다.

프라이버시: 온체인 익명성을 향한 약속

이더리움의 모든 트랜잭션은 누구나 조회할 수 있도록 투명하게 공개된다. 이는 신뢰를 담보하는 요소이지만, 동시에 사용자의 금융 활동이 그대로 노출된다는 점에서 프라이버시 문제가 꾸준히 제기되어 왔다.

이러한 문제에 대응하기 위해, 이더리움 재단은 2025년 9월과 10월에 걸쳐 프라이버시 보호를 네트워크의 핵심 가치로 삼겠다는 공식 입장을 발표했다. 이는 이더리움이 글로벌 금융과 신원 시스템의 기반 인프라로 성장하기 위한 전환점으로 평가된다. 특히, 비탈릭 부테린 역시 EU의 Chat Control 정책을 비판하며 개인 정보 보호의 중요성을 재차 강조했었다.

Source: Privacy Stewards of Ethereum

이더리움의 프라이버시 강화 노력은 이더리움 재단 산하의 전담 조직을 중심으로 구체적인 기술과 프로젝트를 통해 현실화되고 있다. 이더리움의 프라이버시 전담 조직인 PSE(Privacy Stewards of Ethereum) 팀은, 새로운 리더십인 이고르 바리노프(Igor Barinov)와 앤디 구즈만(Andy Guzman)의 지휘 아래, 이더리움 생태계 전반에 엔드투엔드(데이터의 수명 주기 전체 동안) 프라이버시를 구축하는 것을 목표로 하고 있다. PSE는 이를 위해 세 가지 핵심 연구 축을 제시했다:

• 프라이빗 쓰기 (Private Writes): 트랜잭션 내용을 비공개로 처리하는 기술

• 프라이빗 읽기 (Private Reads): 사용자의 IP나 계정 정보 노출 없이 블록체인 데이터를 조회하는 기술

• 프라이빗 증명 (Private Proving): 저사양 기기에서도 빠르고 저렴하게 영지식 증명을 생성할 수 있도록 하는 기술

이러한 연구 방향에 따라 PSE는 구체적인 기술 개발과 프로젝트를 로드맵에 포함시켰다.

• 스텔스 주소 (Stealth Addresses): 트랜잭션마다 새로운 일회용 주소를 생성해 송금자와 수신자의 연결을 차단하는 기술로, 영지식 기술을 직접적으로 사용하진 않지만 사용자의 프라이버시를 보호하는 역할을 한다. 2025년 10월 기준, 이더리움 재단에서 ERC-5564를 스텔스 ID와 함께 확장 중이다.

• 플라즈마폴드 (PlasmaFold): L2 솔루션으로, 오프체인 트랜잭션 처리를 통해 높은 처리 속도와 즉시 출금을 지원한다. 또한, 영지식 기술을 활용하여 기밀 전송이 가능하며 트랜잭션의 내용도 필요한 내용만 공개할 수 있어 규제 준수와 디파이 적용성을 균형 있게 제공할 수 있다.

• zkID: 영지식 기술을 기반으로 한 탈중앙화 신원 인증 시스템으로, 사용자 프라이버시를 보호하면서 선택적 공개를 통해 KYC/AML 준수, GDPR 요구사항, 기밀 트랜잭션 등을 지원한다. PSE의 로드맵에서 프라이빗 쓰기와 프라이빗 증명 트랙의 핵심으로 위치하며, 이더리움의 프라이버시 인프라를 강화하는 데 초점을 맞추고 있다.

이더리움 재단은 이러한 프라이버시 관련 기술적 발전과 더불어, 2025년 10월 9일 키링 네트워크(Keyring Network)와의 공동 펀딩 이니셔티브인 ‘개발자 법률 방어 기금(Developer Legal Defense Fund)’을 발표하며 프라이버시 관련 프로젝트에 대한 지원을 확대했다. 이 이니셔티브의 주된 목표는 토네이도 캐시의 개발자 로만 스톰(Roman Storm)과 알렉세이 퍼체프(Alexey Pertsev)의 법적 방어를 지원하고, “코드 작성은 범죄가 아니다(Code is not a crime)”라는 메시지를 명확히 전달하는 것이다.

특히 주목할 점은, 기존의 일회성 기부나 보조금 방식에서 벗어나 ‘시장 연계형’ 펀딩 모델을 도입했다는 것이다. 이더리움 재단과 키링 네트워크는 오일러 파이낸스(Euler Finance)와 협력해 구축한 ‘zkVerified Vaults’를 활용한다. 사용자가 이 프라이빗하면서도 규제 친화적인 볼트에 USDC를 예치하면, 발생하는 프로토콜 수수료가 자동으로 개발자 법률 방어 기금으로 전송되고 이는 로만과 알렉세이에게 자동으로 분배된다.

이더리움 재단은 이러한 ‘온체인 플라이휠(on-chain flywheel)’ 모델을 통해 프라이버시 보호 기술의 지속적인 연구와 개발을 촉진하고, 장기적으로는 이더리움 생태계 전반의 지속 가능한 성장을 견인하는 것을 목표로 한다.

확장성: zkEVM을 통한 무한한 처리 능력

이더리움의 오랜 과제였던 확장성 문제는 영지식 롤업 기술의 도입으로 전환점을 맞이했다. 영지식 롤업은 트랜잭션을 오프체인에서 먼저 처리한 뒤, 그 결과가 유효하다는 영지식 증명만을 메인넷에 제출하는 방식이다. 이 과정에서 메인넷의 부담은 획기적으로 줄어들고, 초당 수천 건(TPS) 이상의 트랜잭션을 처리할 수 있게 된다. 이를 통해 이더리움은 보안성과 탈중앙성을 유지하면서도 대규모 트랜잭션을 효율적으로 처리할 수 있는 확장성을 갖추게 되었다.

이후 등장한 영지식 이더리움 가상머신(Zero-Knowledge Ethereum Virtual Machine, zkEVM)은 이러한 발전을 한 단계 더 끌어올렸다. zkEVM은 기존 이더리움 가상머신(Ethereum Virtual Machine, EVM)과 완벽히 호환되는 환경으로, 개발자들은 기존 디앱을 별도의 수정 없이 그대로 이전할 수 있다. 이로써 영지식 기술은 개발자 생태계에 자연스럽게 녹아들며, 영지식 기반 확장성의 대중화를 이끌었다. 결과적으로 이더리움은 확장성과 프라이버시를 동시에 강화하면서도, 개발 친화적인 플랫폼으로서의 입지를 공고히 했다.

이더리움의 로드맵은 영지식 기술을 이더리움에 직접 통합하는 것을 목표로 하고 있다. 현재 진행 중인 목표인 이른바 ‘Enshrined zkEVM’은 이더리움 블록 자체의 유효성을 영지식 증명으로 검증하는 구조를 뜻한다. 이 구조를 통해 검증인은 모든 트랜잭션을 재실행할 필요 없이 단 하나의 영지식 증명만 확인하면 되므로 검증 효율이 비약적으로 높아진다. 그 결과, 이더리움은 단독적으로 초당 10K TPS 수준의 성능을 달성하면서, 노드의 하드웨어 요구사항도 낮아져 탈중앙성이 더욱 강화되는 효과를 가지게 된다.

더 나아가, 이더리움의 궁극적인 ‘엔드게임(Endgame)’ 비전은 zkEVM을 넘어, RISC-V 아키텍처 기반의 범용 zkVM으로 확장되고 있다. 이는 EVM의 복잡성을 벗어나 100배 이상 높은 증명 효율을 달성하고, 장기적으로는 EVM 자체를 대체해 '무한한 처리능력'에 가까운 스케일링과 개인 노드 증명(홈 프로빙)을 실현하려는 목표를 담고 있다.

Source: ethproofs.org

이를 위해 가장 먼저 필요한 것은 블록 생성 주기인 12초 안에 영지식 증명을 완료할 수 있는 실시간 증명(Real-time Proving) 기술의 확보다. 이더리움 재단은 전체 블록의 99%를 지연 시간 10초 이내에 처리한다는 더 엄격한 목표를 제시했으며, 이는 네트워크 전반에 데이터가 전파되는 데 약 1.5초가 걸린다는 점을 감안한 기준이다. 현재 석싱트(Succinct)의 SP1 하이퍼큐브(Hypercube)와 브레비스(Brevis)의 피코 프리즘(Pico Prism)이 이 목표에 가장 근접한 성과를 내고 있다.

이처럼 ZK 롤업에서 시작된 기술 혁신은 zkEVM을 거쳐 궁극적으로 이더리움에 내재화되는 방향으로 발전하고 있는 가운데, 일부에서는 L1에 zkEVM이 완전히 도입되면 L2 롤업 생태계가 사라질 것이라는 우려를 제기하기도 한다. 그러나 이는 사실과 다르다.

이더리움 로드맵의 핵심은 L1과 L2의 역할을 명확히 분리하는 것이기 때문이다. L1은 모든 거래의 최종적인 보안과 기록을 담당하는 ‘정산 계층(Settlement Layer)’으로, L2는 사용자가 실제로 상호작용하는 빠르고 저렴한 ‘실행 계층(Execution Layer)’으로 기능한다. 이 구조에서 L1에 내재화될 zkEVM은 L2의 실행 환경과 경쟁하는 것이 아니라, L2가 제출하는 영지식 증명을 프로토콜 수준에서 신속하고 저비용으로 검증하는 역할에 집중한다. 이를 통해 L2의 운영 비용이 크게 절감되는 직접적인 효과가 발생한다.

비유하자면, 지방법원(L2)이 수많은 사건(트랜잭션)을 신속하게 처리하고, 대법원(L1)은 그 판결이 정당한지 최종적으로 ‘확인 도장’을 찍는 역할을 맡는다고 하자. 여기에 zkEVM이 도입된다는 것은, 바로 이 ‘확인 도장’ 절차를 자동화해 훨씬 빠르게 처리할 수 있게 만드는 것과 같다. 즉, 지방법원을 없애려는 것이 아니라, 오히려 그들의 업무 부담을 줄여 더 많은 사건을 효율적으로 처리하도록 돕는 것이다.

이러한 상호보완적 관계는 이더리움의 기술 발전 로드맵에서도 명확히 드러난다. 덴쿤(Dencun) 업그레이드에 이어 2025년 예정된 푸사카(Fusaka) 업그레이드에 포함될 PeerDAS와 같은 기술들은 L1의 실행 능력을 높이려는 것이 아니라, L2가 데이터를 저장하는 비용을 낮추고 데이터 공간을 확장하는 ‘데이터 가용성(Data Availability)’에 초점을 맞추고 있다.

만약 이더리움이 L2를 대체할 의도를 가졌다면, 이런 L2 중심의 업그레이드를 추진할 이유가 없다. 결국 L1의 발전은 L2의 경쟁력을 강화하는 촉매제로 작용하며, L1의 견고한 기반 위에서 L2가 자유롭게 혁신을 이어가는 완전한 협력 구조를 보여준다.

또한, L1과 L2 간의 협력 구조가 안정적으로 자리 잡는 것과는 별개로, ‘Enshrined zkEVM’처럼 영지식 기술을 L1에 직접 통합하는 일은 매우 신중해야 한다. 이더리움 재단 자료에서도 지적하듯, 증명 생성에는 막대한 연산 비용이 필요하여, 잠재적으로 서비스 거부(DoS) 공격 벡터로 악용될 수 있기 때문이다. 만약 이더리움이 영지식 기술을 성급히 도입한다면, 네트워크의 핵심 가치인 활성성(liveness)과 안정성이 심각하게 위협받을 수 있다. 따라서 충분한 스트레스 테스트를 거치며 점진적으로 도입되어야 한다.

결국, 이더리움의 영지식 로드맵은 프라이버시와 확장성이라는 두 축을 통해 이더리움의 대중화를 실현하려는 전략이다. 이를 통해, 이더리움은 한층 더 안전하고, 빠르며, 자유로운 디지털 경제의 기반 인프라로 발전할 예정이다.

5.1.2 ZK 롤업

이더리움의 확장성 문제를 해결하기 위해 영지식의 '압축' 능력을 중심으로 설계된 L2 생태계 프로젝트들이다.

리니아 (Linea)

gnark-Plonk

프론트엔드: PLONKish

백엔드: KZG

리니아는 컨센시스(ConsenSys)가 개발한 zkEVM 기반 이더리움 L2 네트워크로, 이더리움의 확장성 문제를 해결하기 위해 설계되었다. ZK 롤업 기술을 활용해 트랜잭션을 오프체인에서 처리한 뒤, 영지식 증명만을 이더리움 메인넷에 제출함으로써 높은 처리 속도와 낮은 수수료를 구현한다. 리니아는 $ETH를 네이티브 가스 토큰으로 사용하며, ‘Type 2’ 수준의 완전한 EVM 호환성을 제공해 개발자들이 기존 이더리움 디앱을 코드 변경 없이 손쉽게 이식할 수 있다는 장점이 있다.

리니아 네트워크는 Go 언어로 구현된 gnark-Plonk 증명 라이브러리를 기반으로 하여 리니아만의 생태계 확산을 빠르게 이끌고 있다. gnark-Plonk는 Go 언어로 구현되어 있어, 다른 영지식 구현체에 비해 증명 생성 과정에서 메모리 사용량을 크게 줄여 효율성을 높였다. 또한 모듈러 디자인을 통해 이더리움 생태계와의 원활한 통합과 커스터마이징을 용이하게 하여 개발자들이 더 유연하게 적용할 수 있게 했다.

2025년 10월 초에는 메타마스크(MetaMask)와 함께 $LINEA 토큰 보상 프로그램을 활성화하여 사용자 참여를 확대했다. 더불어 SWIFT가 뱅크오브아메리카(Bank of America) 등 30개 이상 금융 기관이 참여하는 블록체인 기반 지불 정산 플랫폼을 리니아로 구축할 것을 공식 확인하며, 기관 투자자들의 관심과 참여가 더욱 높아지고 있다.

지케이싱크 에라 (zkSync Era) & 지케이싱크 라이트 (zkSync Lite)

Airbender

프론트엔드: AIR

백엔드: FRI

지케이싱크 에라와 지케이싱크 라이트는 메터 랩스(Matter Labs)가 개발한 ZK 롤업 기반 이더리움 L2 솔루션으로, 두 가지 버전 모두 지케이싱크의 발전 단계를 보여준다. 지케이싱크 라이트는 결제와 단순한 토큰 스왑에 초점을 맞춘 초기 버전으로, 스마트 컨트랙트를 지원하지 않는 한계가 있었다. 반면 지케이싱크 에라는 zkEVM을 도입해 EVM과 호환되는 스마트 컨트랙트 플랫폼으로 발전했으며, 디파이, NFT, 디앱 등 복잡한 애플리케이션을 지원한다. 2025년 현재 에라가 지케이싱크의 메인넷으로 운영되며 폭넓은 생태계를 형성하고 있고, 라이트는 레거시 버전으로 제한적으로 유지되고 있다.

지케이싱크 에라는 기존에 부줌(Boojum) 영지식 시스템을 사용하다가 2025년 6월에 공개한 에어벤더(Airbender) 영지식 시스템으로 점진적으로 대체 중이다. 대체된 에어벤더는 zk-STARKs 기반으로 보안성과 확장성을 모두 확보하며, 지케이싱크의 핵심 기술적 방향성을 이끌고 있다. 특히 2025년 10월 7일에 출시된 ‘아틀라스(Atlas)’ 업그레이드는 초당 30,000건(TPS)의 트랜잭션 처리 속도와 1초 미만의 빠른 최종성을 달성하면서, 성능을 기관 및 기업 수준으로 끌어올렸다. 이는 지케이싱크 에라가 단순한 디앱 플랫폼을 넘어 기관용 블록체인 인프라로 확장되고 있음을 보여준다.

또한 지케이싱크 에라는 기관 채택을 가속화하기 위해 ‘Prividiums’ 이니셔티브를 도입했다. 이는 프라이빗 블록체인의 통제력과 퍼블릭 블록체인의 보안성과 상호운용성을 결합한 하이브리드 접근 방식이다. Prividiums는 ‘프라이빗하고 허가가 필요한(permissioned) 이더리움 기반 L2 블록체인’으로 설계되어, 기관이 규제 준수를 충족하면서도 안전하고 효율적으로 디지털 자산 시장에 참여할 수 있도록 지원한다.

스타크넷 (StarkNet)

zk-STARKs

프론트엔드: AIR

백엔드: FRI

스타크넷은 스타크웨어(StarkWare)가 개발한 STARK 증명 기술을 활용해 이더리움의 확장성 문제를 해결하는 ZK 롤업 기반 이더리움 L2다. 이 시스템의 핵심은 ZK 증명 생성을 위해 특별히 설계된 전용 프로그래밍 언어 카이로(Cairo)와 카이로 가상머신(Cairo VM)이다. 이를 통해 개발자들은 스마트 컨트랙트를 효율적으로 작성하고 배포할 수 있으며, 사용자는 대규모 확장성, 빠른 거래 속도, 낮은 수수료의 이점을 누릴 수 있다.

스타크넷은 튜링 완전 언어 카이로와 zk-STARKs를 결합해 블록체인의 확장성, 보안, 분산화 문제를 해결하며, zk-STARKs를 통해 오프체인 트랜잭션의 유효성 증명을 생성하여 L1에서 최소한의 데이터로 신뢰 최소화 검증을 실현한다. 2025년 9월 배포된 v0.14.0 ‘Grinta’ 아키텍처에서는 zk-STARKs 기반 증명 스택을 강화해 증명 비용을 줄이고, 중립적 트랜잭션 포함과 순서 보장을 통해 보안을 유지한다. 또한 분산 시퀀싱과 결합된 프리컨퍼메이션 기능으로 영지식 증명의 지연을 최소화해 UX를 개선하고, 향후 완전 분산 증명(decentralized proving)을 통해 프라이버시와 스케일링을 더욱 강화할 계획이다.

또한, 스타크넷은 2025년 10월 15일, 알펜 랩스(Alpen Labs)와의 협력을 발표하며, 중개자나 래퍼(wrapper) 없이 BTC를 스타크넷으로 전송할 수 있는 신뢰 최소화(trust-minimized) 브리지 구축 계획을 공개했다. 이 프로젝트는 알펜 랩스의 ‘Glock verifier’ 기술을 활용해 비트코인 네트워크 상에서 직접 BTC 트랜잭션을 검증하며, 이를 통해 BTC 보유자가 스타크넷에서 스테이킹, 대출 등 BTCFi 활동을 할 수 있도록 지원하는 것을 목표로 한다.

그리고 스타크넷은 2025년 11월, 기존 Stone 프로버를 대체하는 최대 100배 빠르고 저렴하며 효율적인 성능의 S-two 프로버를 공개했다. 이 기술은 러스트(Rust) 기반으로 구축되어 클라이언트 측 증명과 탈중앙화 증명을 가능하게 하며, 프라이버시 강화 디파이, ZK 신원 인증, 검증 가능한 AI 등의 새로운 활용 사례가 가능해질 전망이다.

카타나 (Katana)

OP-Succinct SP1

프론트엔드: AIR

백엔드: FRI + KZG

카타나는 폴리곤 랩스(Polygon Labs)와 GSR이 인큐베이팅한 ZK 롤업 기반 이더리움 L2 네트워크로, 2025년 7월 1일 메인넷을 출시했다. ‘실질적인 수익(real yield)’과 ‘깊은 유동성(deep liquidity)’ 제공을 위한 디파이 전용 체인으로 설계되었으며, 기존 디파이 생태계의 유동성 분산 문제를 해결하는 것을 목표로 한다. 또한 폴리곤의 에그레이어(Agglayer) CDK를 채택하여 다른 L2 체인들과 브릿지 및 유동성을 원활히 공유할 수 있다. 2025년 10월 기준 약 5억 5천만 달러의 TVL을 확보하며 성장 중이다.

기술적으로 카타나는 OP Stack을 기반으로 하지만, 석싱트(Succinct)의 OP-Succinct SP1 유효성 증명(validity proofs)을 통합해 ZK 롤업으로 업그레이드한 하이브리드 구조를 갖추고 있다. 이를 통해 옵티미스틱 롤업의 단점인 7일 출금 대기 시간 없이 1시간 이내의 빠른 최종성(finality)을 제공하며, 트랜잭션당 $0.005 미만의 매우 낮은 비용을 실현했다.

2025년 5월 석싱트의 ZK 지원 발표 이후, 카타나는 6월 말 보안 감사와 스트레스 테스트를 완료하고 7월에 메인넷을 성공적으로 런칭하며 주목받았다. 현재는 시퀀서(sequencer)와 프로포저(proposer)가 중앙화된 ‘Stage 0’ 단계에 있으나, 추후 다중 독립 시퀀서 도입, 허가가 필요 없는 증명 생성 등을 통해 스테이지 1으로 올라갈 계획을 가지고 있다. 또한, 향후 폴리곤의 ‘기가가스(GigaGas)’ 로드맵과 연계해 초당 10만 건(TPS) 처리 및 완전한 분산화를 달성하는 것을 목표로 하고 있다.

스크롤 (Scroll)

OpenVM

프론트엔드: AIR

백엔드: FRI + KZG

스크롤은 “Ethereum devs for Ethereum devs”라는 슬로건 아래 개발된 ZK 롤업 기반 이더리움 L2 네트워크다. 이 프로젝트의 가장 큰 특징은 EVM(이더리움 가상 머신) 바이트코드 수준의 완전한 호환성을 갖춘 zkEVM을 구현했다는 점이다. 이를 통해 개발자들은 기존 이더리움의 솔리디티(Solidity)나 바이퍼(Vyper) 코드를 수정 없이 그대로 스크롤에 배포할 수 있다.

스크롤의 아키텍처는 오픈VM(OpenVM)과 탈중앙화 증명자 네트워크 ‘롤러(Roller)’로 구성되며, 오픈 VM은 zk-STARKs 기반의 프로토콜을 활용해 신뢰 증명 없이 오프체인 트랜잭션 실행의 유효성을 효율적으로 증명한다. 이로 인해 이더리움에 컴팩트한 증명만 제출되어 가스 비용을 90% 이상 절감하고, 2,000 TPS 이상의 처리량을 달성하는 확장성을 제공한다. 롤러 네트워크는 멀티 프로버 시스템으로 증명 생성 과정을 분산화해 단일 실패 지점을 없애 보안성을 강화하고, 누구나 참여 가능한 구조로 프라이버시 보호와 탈중앙화를 동시에 실현한다.

2025년 4월 진행된 ‘유클리드(Euclid)’ 업그레이드를 통해 기존에 사용하던 헤일로2(Halo2) zkEVM에서 오픈VM으로 마이그레이션을 진행했으며, 추가로 L2BEAT 기준 ‘Stage 1’ 롤업 단계에 도달했다. 이는 보안 위원회(Security Council) 운영과 강제 거래(forced transactions) 지원이 가능해졌음을 의미한다. 향후 로드맵의 목표는 ‘Stage 2’ 달성, 10,000 TPS 처리 속도, 그리고 롤러 네트워크의 완전한 탈중앙화다.

아즈텍 (Aztec)

PLONK

프론트엔드: PLONKish

백엔드: KZG

아즈텍은 트랜잭션, 신원, 계산 과정을 선택적으로 숨길 수 있는 ‘프라이빗 월드 컴퓨터(private world computer)’를 지향하는 프라이버시 중심 이더리움 ZK 롤업 L2다. 2018년 설립 이후 zk-SNARKs 기술 개발에 집중해 왔으며, 2025년 현재 공개 테스트넷을 운영 중이다. 23,000명 이상의 밸리데이터를 모집하며 메인넷 론칭을 준비하고 있으며, ZK 롤업 중 유일하게 ‘Stage 2’ 단계에 도달한 프라이빗 결제 네트워크인 zk.money v1, v2를 생태계로 가지고 있다.

Source: l2beat.com

아즈텍의 기술 아키텍처는 ZK-ZK 롤업과 PLONK 증명 시스템을 기반으로 클라이언트 측 데이터 보호와 온체인 효율성을 극대화하며, UTXO, 계정 모델 하이브리드로 트랜잭션, 신원, 연산의 선택적 프라이버시를 제공한다. 개발자들은 러스트 기반 Noir 언어를 통해 영지식에 익숙하지 않아도 프라이빗 앱을 만들 수 있으며, Aztec Virtual Machine(AVM)을 통해 복잡한 프라이버시 앱 개발이 가능하다.

2025년 들어 아즈텍은 메인넷 론칭을 위한 핵심 업데이트를 진행하고 있다. 9월에는 v2.0.3 업그레이드를 통해 저메모리 증명(low-memory proofs)과 슬래싱 시스템 재설계를 완료하며 메인넷 준비를 마쳤다. 이어 10월에는 “ZK 롤업 진화의 다음 단계”를 예고했고, 10월 15일에는 지캐시(Zcash)와의 크로스체인 브릿지 데모를 공개했다. 이 데모에서는 약 11억 달러 규모의 프라이빗 $ZEC를 zk.money를 통해 $USDC로 변환하는 ‘트랜잭션 후 유틸리티(post-transaction utility)’를 시연하며 주목받았다.

앱스트랙트 (Abstract)

Airbender

프론트엔드: PLONKish

백엔드: FRI

앱스트랙트는 펏지 펭귄(Pudgy Penguins) NFT 컬렉션의 모회사 Igloo Inc.가 개발한 이더리움 기반 ZK 롤업 L2로, 2025년 1월 27일 메인넷을 런칭했다. 앱스트랙트는 디파이 중심의 L2와 달리 “디지털 놀이공원(Digital Playground)”을 지향하며, 게임, 소셜, NFT 등 소비자 중심의 애플리케이션에 초점을 맞춘다. 특히 크립토 초보자를 주요 타겟으로 하여, 패스키(passkeys), 계정 추상화(account abstraction), 스폰서드 트랜잭션(sponsored transactions)을 통한 ‘가스비 제로(no-gas)’ 경험을 제공한다. 이를 통해 복잡한 웹3 진입 장벽을 제거하고, 펏지 펭귄 IP를 활용해 새로운 사용자를 자연스럽게 유입시키는 전략을 취하고 있다.

기술적으로 앱스트랙트는 지케이싱크(zkSync)의 ZK Stack을 커스터마이징하여 이더리움 L1의 보안을 상속받는 ZK 롤업 구조를 채택했다. ZK Stack은 zkSync Era의 모듈러 프레임워크로, 개발자들이 증명 시스템, 데이터 가용성, 시퀀싱 등의 컴포넌트를 유연하게 조합해 커스텀 L2 체인을 구축할 수 있게 하며, 에어벤더 프로버를 통해 15,000 TPS 이상의 고성능 증명을 지원한다.

2025년 10월 기준, 앱스트랙트 생태계에는 DOGAMÍ, Anichess, Pudgy Party 등 게임, NFT 중심의 160개 이상 프로토콜이 배포되어 있다. 총 TVL은 약 $35.9M, 브릿지드 TVL은 $185.26M, 24시간 DEX 거래량은 $12M 이상을 기록하며 빠르게 성장 중이다. 2025년 주요 로드맵으로는 9월 Binance US 입출금 지원, 10월 Abstract 3.0 업그레이드(체인 추상화 고도화)가 있으며, 2025년 4분기 거버넌스 토큰 TGE, 그리고 2025년 말~2026년 사이 시퀀서 분산화를 목표로 하고 있다.

파라덱스 (Paradex)

zk-STARKs

프론트엔드: AIR

백엔드: FRI

파라덱스는 스타크넷 최초의 앱체인으로 구축된 높은 성능의 암호화폐 파생상품 거래소(Perp DEX)다. 영구 선물(perpetuals)과 옵션 거래를 지원하며, 세계적인 투자사 패러다임(Paradigm)의 인큐베이팅을 받았다. 2023년 7월 스타크넷 메인넷에 정식 론칭한 이후, 중앙화 거래소(CEX)의 편의성과 탈중앙화 거래소(DEX)의 보안, 프라이버시를 결합하는 것을 목표로 빠르게 성장하여 2025년 10월 기준, 파라덱스는 누적 거래량 1,230억 달러($123B+), 일일 거래량 10억 달러($1B), TVL 1억 5백만 달러를 기록하고 있다.

기술적으로 파라덱스는 스타크넷 스택(SN Stack)을 기반으로 한 ZK 롤업 앱체인이다. zk-STARKs 증명으로 트랜잭션의 유효성을 검증하고, 이더리움 L1의 보안을 그대로 상속받는다. 오프체인 실행 구조를 통해 가스비를 최소화하면서도 그 결과를 보장한다. 또한 스타크넷의 SHARP(SHARed Prover)를 추가로 도입해 재귀적 ZK 증명 집계와 공유를 통해 기관급 프라이버시(트랜잭션 내역 비공개)를 제공한다.

2025년 9월에 도입된 제로 수수료 모델(ZFP, Zero Fee Paradigm)을 통해 리테일 트레이더의 진입 장벽을 낮추고, 사용자 유입을 폭발적으로 늘리고 있다. 또한 2025년 4분기~2026년 1분기 사이로 예상되는 $DIME 토큰 생성 이벤트(TGE)와 대규모 에어드랍에 대한 기대감이 커지고 있다. 현재는 ‘XP Warzone 시즌 2’ 포인트 프로그램을 통해 활발한 활동이 이어지고 있다.

폴리곤 zkEVM (Polygon zkEVM)

zk-STARKs — zk-SNARKs Hybrid

프론트엔드: AIR + R1CS

백엔드: FRI + 타원곡선 페어링

폴리곤 zkEVM은 폴리곤 랩스(Polygon Labs)가 개발한 ZK 롤업 기반 이더리움 L2 네트워크로 EVM 호환성을 바이트코드 수준에서 완벽히 지원하여 개발자들이 기존 이더리움 스마트 컨트랙트와 개발 도구(MetaMask, Hardhat 등)를 코드 수정 없이 그대로 폴리곤 zkEVM에 배포할 수 있다.

폴리곤 zkEVM은 ‘STARK–SNARK 하이브리드’ 구조로 트랜잭션을 오프체인에서 묶어(batch) 처리한 뒤 zk-STARKs 증명을 생성하고, 이를 이더리움 메인넷에 제출하기 적합한 zk-SNARKs 증명으로 압축한다. 이를 통해, 온체인 검증 비용을 200-400K 가스(gas) 수준으로 줄이는 효과를 가지고 있다.

2025년은 폴리곤 zkEVM에 중요한 전환점이 되는 해다. 폴리곤 랩스는 2026년 말까지 현재 메인넷 베타 버전을 단계적으로 종료할 계획이다. 현행 zkEVM 베타는 ‘레거시(legacy)’ 네트워크로 전환되며 종료 수순에 들어갔고, 앞으로 폴리곤 생태계의 영지식 관련 개발과 활동은 공동 창립자인 조르디 베일리나(Jordi Baylina)가 이끄는 신설 자회사 지스크(Zisk)가 주도하게 된다.

한편 비탈릭 부테린은 폴리곤이 zkEVM 증명 기술에 초기부터 대규모 자원을 투입해 “이 분야의 발전을 크게 앞당겼다”며 그 공로를 높이 평가했다. 이에 따라 향후 이더리움 측의 추가 기여가 성과를 내고 있는 지스크로 이어질 가능성에도 관심이 모이고 있다.

5.1.3 프라이버시 프로토콜

영지식의 '은닉' 능력을 프로토콜에 통합하여, 모든 트랜잭션과 애플리케이션이 기본적으로 프라이버시를 보장하도록 설계된 생태계 프로젝트들이다.

지캐시 (Zcash)

zk-SNARKs (Halo2)

프론트엔드: R1CS

백엔드: 타원곡선 사이클

지캐시(Zcash)는 2016년 출시된 프라이버시 암호화폐로, zk-SNARKs 기술을 활용해 발신자, 수신자, 거래 금액을 완벽히 숨기는 '보호 트랜잭션(shielded transaction)'를 제공한다. 비트코인 코드베이스(총 발행량 2,100만 개)를 기반으로 하며, 2022년 헤일로2 업그레이드를 통해 '신뢰 설정'을 제거해 탈중앙성과 보안성을 강화했다.

지캐시의 특징인 보호 트랜잭션은 암호화된 UTXO와 'Nullifier set'을 통해 작동하는데, 사용자가 거래 시 UTXO의 고유 값을 해시한 'Nullifier'를 제출하면 네트워크는 이것이 이미 사용되었는지만 확인하여, 어떤 UTXO가 사용되었는지 공개하지 않고도 이중 지불을 방지한다.

이 과정을 비유하자면 ‘비밀 투표’와 같다. 각 코인(UTXO)은 익명의 ‘투표권’이며, 소유자만 아는 ‘비밀 도장’(r 값)을 가진다. 사용자는 거래 시 이 도장을 사용해 ‘투표 확인증’(Nullifier)을 만들고 ‘투표 완료 게시판’(Nullifier set)에 제출한다. 네트워크는 이 확인증이 이미 게시판에 있는지 확인해 이중 투표(이중 지불)를 막는다. 이때 zk-SNARKs는 “나는 유효한 투표권을 가지고 있고 이 확인증을 발급했다”는 사실만 증명할 뿐, 누가 어떤 투표권을 사용했는지는 절대 공개되지 않는 역할을 한다.

2025년 10월 27일 기준, 지캐시는 프라이버시 코인 시장의 선두주자로 다시 주목받으며 최근 한 달간 가격이 550% 급등해 360달러 선에서 거래되고 있다. Grayscale Zcash Trust(ZCSH)에 약 4,600만 달러가 유입되는 등 기관 투자자 수요가 크게 증가했으며, 전체 공급량의 20%(350만 ZEC)가 보호 풀에 예치되고 보호 트랜잭션 비중이 27% 증가하는 등 프라이버시 기능의 실질적인 온체인 사용이 빠르게 확산되고 있다.

향후 지캐시는 NU7 업그레이드를 통해 Zcash Shielded Assets(ZSA)를 도입하여, 보호 풀 내에서 프라이빗 스테이블코인이나 실물자산(RWA) 등 다양한 토큰을 발행, 거래할 수 있도록 지원하며 '풀 프라이버시 네트워크'로 진화할 계획이다. 현재 ZSA 발행 키 및 FROST 다중서명 지급 키 관련 ZIP 초안 작업과 NU7 프로토콜 사양 변경 작업이 진행 중이다.

특히 최근 온체인 분석가 ZachXBT가 자쉬(Zashi) 지갑의 프라이버시 취약점(추적 가능성)을 지적하자, 자쉬 팀은 이를 수용해 지원되는 모든 NEAR Intent 기능에 '임시 투명 주소(Ephemeral Transparent Addresses)' 구현을 최우선 개발 과제로 삼고 문제를 해결할 계획임을 밝혔다. 이 외에도 지캐시 생태계는 2026년까지 기존 레거시 합의 소프트웨어(zcashd)를 중단하고, 개발 가속화 및 보안 향상을 위해 'zebrad'의 완전한 전환을 목표로 한다. 이 과정은 'Zallet' 및 'Zaino'와 함께 진행된다.

토네이도 캐시 (Tornado Cash)

zk-SNARKs

프론트엔드: R1CS

백엔드: 타원곡선 페어링

토네이도 캐시는 zk-SNARKs 기술을 이용한 이더리움 기반의 탈중앙화 프라이버시 프로토콜(믹서)로, 사용자는 토네이도 캐시를 통해 자산의 연결고리를 끊고 추적이 되지 않게 할 수 있다. 이 같은 방식이 가능한 이유는 다음과 같다.

사용자는 입금할 때 널리파이어(nullifier)와 시크릿(secret)이라는 두 개의 비밀 값을 오프체인(로컬 환경)에서 생성한다. 그리고 이 둘을 해시한 커밋먼트(commitment)를 스마트 컨트랙트에 전송한다. 스마트 컨트랙트는 이 커밋먼트를 머클 트리에 추가하며, 이 과정은 온체인에 기록되지만 커밋먼트의 원본 값은 공개되지 않는다.

입금된 자산을 인출 할 때에는 완전히 새로운 주소를 사용한다. 사용자는 오프체인에서 모든 입금 이벤트를 스캔해 머클 트리를 재구성한 뒤, 자신이 머클 트리의 유효한 구성원임을 증명하는 머클 증명(Merkle proof)과 이중 지불을 방지하기 위한 Nullifier hash를 생성한다. 이 정보를 바탕으로 사용자는 영지식 증명을 생성해 컨트랙트에 제출다.

스마트 컨트랙트는 제출된 증명이 유효한지, 머클 루트가 실제 존재하는지, 그리고 Nullifier hash가 이전에 사용되지 않았는지(이중 지불 방지)를 검증한다. 모든 검증이 통과되면, 컨트랙트는 지정된 새 주소로 자금을 전송한다. 이 과정 덕분에 입금 주소와 인출 주소 간의 연결 고리가 완전히 차단되어, 사용자의 프라이버시가 보호된다.

토네이도 캐시는 이러한 구조적인 특징 때문에, 2022년 8월 미 재무부(OFAC)에 의해 강력한 규제를 받게 되었다. 시간이 지나 2025년 3월이 되어서야 토네이도 캐시는 법적 불확실성을 상당 부분 해소하며 어느정도 규제의 족쇄에서 벗어날 수 있었다. 특히, 연방 법원은 “스마트 컨트랙트는 제재 가능한 재산이 아니다”라고 판결했다. 또한 개발자 로만 스톰(Roman Storm) 재판에서 미 법무부(DOJ)가 “코드 작성 자체는 범죄가 아니다”라고 명시하면서 개발자 개인에 대한 법적 책임이 완화되었다.

알레오 (Aleo)

zk-SNARKs

프론트엔드: R1CS

백엔드: 타원곡선 페어링

알레오는 zk-SNARKs 기술을 기반으로 하는 L1 블록체인으로, 개인 데이터 보호와 규제 준수를 동시에 실현하는 프라이버시 중심 애플리케이션 플랫폼을 지향한다. 2024년 메인넷을 출시한 알레오는 러스트 기반의 레오(Leo) 프로그래밍 언어를 통해 개발자들이 안전하고 효율적인 프라이버시 디앱을 구축할 수 있도록 지원한다. 또한 a16z, 코인베이스 벤처스(Coinbase Ventures) 등 주요 기관 투자자로부터 약 2억 8천만 달러를 유치했으며, 자체 합의 알고리즘인 AleoBFT를 통해 높은 처리 속도와 네트워크 안정성을 확보하고 있다.

알레오는 가상머신(AleoVM)을 통해 트랜잭션을 오프체인에서 실행하고, 그 결과로 생성된 영지식 증명만을 온체인에 제출한다. 이를 통해 민감한 트랜잭션 정보는 외부에 노출되지 않으면서도, 트랜잭션의 유효성을 안전하게 검증하여 프라이버시를 구현한다. 이 방식은 연산 부담이 큰 증명 생성 과정을 외부로 아웃소싱할 수 있어 확장성과 효율성 또한 확보할 수 있다.

알레오는 프라이버시와 규제 준수의 균형 모델을 선보이며 주목받고 있는데, 10월 1일 팍소스(Paxos)와 협력해 세계 최초의 프라이버시 보장형 미국 달러 스테이블코인 USAD를 출시했다. $USAD는 지갑 주소, 거래 금액, 타임스탬프를 기본적으로 암호화하면서도, 필요 시 감사를 위해 특정 정보를 선택적으로 공개할 수 있는 기능을 제공한다. 이는 2025년 7월 미 의회에서 통과된 GENIUS Act 규제 요건을 충족하는 설계다. 알레오는 이러한 규제 친화적 프라이버시 인프라를 강화하기 위해 10월 8일 Yaya Fanusie를 글로벌 정책 책임자로 임명하고, 17일에는 전략 임원 두 명을 추가 영입하며 글로벌 확장을 본격화 하고 있다.

레일건 (Railgun)

zk-SNARKs

프론트엔드: R1CS

백엔드: 타원곡선 페어링

레일건은 이더리움, 폴리곤, BNB 체인, 아비트럼 등 다중 체인을 지원하는 온체인 zk-SNARKs 프라이버시 인프라다. 사용자가 디파이 서비스와 상호작용할 때 트랜잭션 내역, 발신자, 수신자, 금액 정보를 암호화해 프라이버시 거래 환경을 제공한다. 이러한 특성 덕분에 레일건은 토네이도 캐시의 합법적 대안으로 주목받고 있으며, 2025년 10월 31일 기준 TVL이 2억 1천만 달러를 돌파하며 규제 친화형 프라이버시 솔루션으로 자리 잡고 있다.

레일건은 zk-SNARKs 기반의 트랜잭션 암호화 구조를 통해, 사용자가 ERC-20 토큰이나 NFT를 ‘쉴드(shield)’ 하여 프라이빗 풀에 예치한 뒤, 스왑, 대출, 송금 등 다양한 디파이 활동을 익명 상태로 수행할 수 있게 한다. 모든 과정은 별도의 브릿지 없이 온체인에서 직접 작동하므로 기존 디앱과의 호환성도 유지된다. 또한 레일건은 사용자나 기관이 자금의 '깨끗함'을 제3자에게 공유 없이 검증할 수 있게 하는 Private Proofs of Innocence (PPOI) 기능을 통해 불법 자금 유입을 차단하고, 세금 보고 통합 기능을 제공하여 기관과 규제 당국의 요구를 충족한다.

2025년 들어 레일건은 프라이버시 시장의 새로운 중심축으로 떠올랐다. 같은 해 10월, 이더리움 재단이 지갑의 보안과 프라이버시 강화를 목표로 추진 중인 코하쿠(Kohaku) 프로젝트에 레일건이 공식 참여했다. 이후 레일건은 기관 투자자를 위한 프라이빗 멀티시그 지갑을 출시했고, 온체인 분석가 ZachXBT가 PPOI 기능을 활용해 비텐서(Bittensor) 해킹 사건의 자금 흐름을 추적하는 데 성공하면서, 레일건의 규제 준수성과 보안성이 실제 사례를 통해 입증되고 있다.

모네로 (Monero)

[Not ZK] Ring Signatures + RingCT

백엔드: Bulletproofs

모네로는 2014년에 출시된 OG격의 프라이버시 코인으로, 모든 트랜잭션을 익명 처리하는 것을 기본으로 한다. 이를 위해 모네로는 링 시그니처(Ring Signatures), 링CT(Ring Confidential Transactions, RingCT), 스텔스 주소(Stealth Addresses) 기술들을 통해 송신자, 수신자, 거래 금액을 네트워크상에서 완전히 숨긴다. 여기서의 링 시그니처와 링CT는 그 자체로 영지식 기술은 아니지만 2018년부터 RingCT에 영지식 기술의 일종인 'Bulletproofs'(영지식 범위 증명)를 도입하여, 증명 크기를 80% 줄이고 수수료를 획기적으로 낮췄다. 사용자들의 프라이버시를 위해 영지식 기술과 링 시그니처 기술을 상호 보완적인 형태로 조합하여 사용하는 것이다.

하지만 2025년 8월, 모네로는 심각한 네트워크 보안 위협에 직면했다. 아이오타(IOTA) 공동창립자가 이끄는 큐빅(Qubic) 마이닝 풀이 모네로 전체 해시레이트의 51%를 일시적으로 장악하며 재조직 공격(reorganization attack)을 시도한 것이다. 물론 큐빅 측에서는 이 공격이 악의성은 없는 공격이었다고 했지만, 이로 인해 모네로 가격은 단기간에 19% 하락했다. 다행히 커뮤니티와 일부 채굴자들의 반발로 큐빅 풀의 해시 레이트 비중이 35% 수준으로 감소하면서 위협은 진정되었고, 네트워크는 곧 안정을 되찾았다.

이 사건 직후 크라켄(Kraken) 등 주요 거래소들은 보안을 강화하기 위해 모네로 입금 서비스를 일시 중단했다. 이후 재개된 입금에는 무려 720회 블록 확인(약 24시간 소요)이 필요하도록 정책이 변경되었다. 결국 이번 사태는 모네로의 탈중앙화된 보안 구조의 중요성을 다시 한번 부각시켰다. 단일 채굴 풀의 과도한 영향력이 가져올 수 있는 위험이 명확히 드러난 동시에, 커뮤니티의 신속한 대응과 네트워크의 회복력은 프라이버시 코인으로서 모네로의 자율적 생태계를 입증하는 계기가 되었다.

벨덱스 (Beldex)

[WIP] zk-SNARKs

프론트엔드: R1CS

백엔드: 타원곡선 페어링

벨덱스는 링 시그니처와 스텔스 주소를 활용해 트랜잭션의 익명성과 프라이버시를 보장하는 크립토노트(CryptoNote) 프로토콜 기반의 프라이버시 중심 L1 블록체인이다. 2018년 출시된 이후, 초기 작업증명(PoW) 방식에서 지분증명(PoS) 합의 알고리즘으로 전환해 효율성과 확장성을 높였다. 또한 BChat(익명 메신저), BelNet(분산형 VPN), Beldex Browser(프라이버시 브라우저) 등 자체 프라이버시 디앱 생태계를 구축하며, 점차 프라이버시 인터넷 인프라로 발전하고 있다.

2022년 1월에 설립된 벨덱스 리서치 랩스(Beldex Research Labs)는 현재 zk-SNARKs를 사이드체인에 구현하는 연구를 진행 중으로, 익명 트랜잭션의 크기를 줄이고 프라이버시를 강화하는 데 초점을 맞추고 있다. 2025년 현재 개념화와 개발 단계로, zk-SNARKs를 통해 벨덱스의 'programmable confidentiality' 비전을 실현할 전망이다. 최근에는 AI와 완전동형암호(FHE) 기술을 통합하여 데이터 보호와 보안성을 한층 강화하는 시도도 진행 중이다.

5.1.4 디파이 (DeFi)

라이터 (Lighter)

PLONK

프론트엔드: PLONKish + Poseidon2 Hash Function

백엔드: FRI

Source: DefiLlama

라이터는 이더리움 L2 기반의 탈중앙화 무기한 선물 거래소(Perp DEX)로, CEX 수준의 빠른 거래 성능과 디파이의 탈중앙성을 결합하는 것을 목표로 한다. 일반적인 zkVM 대신 맞춤형 영지식 회로를 활용해 중앙 지정가 주문서(CLOB)의 주문 매칭, 청산, 리스크 관리 등 모든 과정을 온체인에서 검증한다는 점이 특징이다. 이를 통해 MEV와 시세 조작을 최소화하면서도 수천 TPS의 처리 속도와 밀리초 단위의 지연 시간을 구현했다. 라이터는 a16z 등 주요 투자자로부터 투자를 유치했으며, ‘하이퍼리퀴드(Hyperliquid) 킬러’로 불리며 2025년 9월 퍼블릭 메인넷을 정식 출시했다.

라이터는 PLONK 기반의 zk-SNARKs를 활용한 ZK 롤업 아키텍처를 통해 이더리움을 정산 레이어로 사용하면서도 주문 매칭 및 청산의 효율성을 극대화했다. 특히, Poseidon2 해시 함수를 적용한 독자적인 하이브리드 ‘오더북 트리(Order Book Tree)’ 구조는 가격과 시간 사이의 우선순위를 정교하게 인코딩하여 효율적인 주문 관리를 가능하게 한다.

이 같은 기술적 기반 위에서, 라이터는 리테일 트레이더에게 수수료 0원의 혜택과 최대 25배의 레버리지를 제공하면서, 사용자 자산은 이더리움 L1에 안전하게 보관하여 보안성과 상호운용성을 강화했다. 리스크 관리는 자동 디레버리징(Auto-Deleveraging, ADL) 대신 Lighter Liquidity Pool (LLP)와 보험 기금을 통해 이뤄진다. 또한, 거래량, PnL(손익), 포지션 유지 등을 기준으로 보상하는 S1(종료), S2(진행 중) 포인트 프로그램을 운영하여 초기 유동성과 사용자 참여를 성공적으로 확보하고 있다.

2025년 10월 21일 기준, 라이터는 메인넷 출시 후 TVL 11억 달러, 일일 거래량 40억 달러를 초과하며 하이퍼리퀴드를 위협하는 강력한 성과를 보이고 있다. 특히 10월 20일, 비탈릭 부테린이 라이터를 영지식 기술의 실제 적용 사례로 직접 언급하며 '하이퍼스케일' 가능성과 극도로 낮은 증명 비용($0.0001/tx)을 강조해 커뮤니티의 폭발적인 관심을 받았다.

엣지엑스 (edgeX)

zk-STARKs (StarkEx)

프론트엔드: ARI

백엔드: FRI

엣지엑스는 2023년에 설립된 이더리움 L2 기반의 탈중앙화 파생상품 거래소(Perp DEX)로, 앰버 그룹(Amber Group)의 인큐베이팅을 통해 CEX 수준의 거래 속도와 깊은 유동성을 제공하는 것을 목표로 한다. 현재까지 “모두를 위한 유동성(Liquidity for All)”이라는 미션 아래에서 거래 서비스 제공에 중점을 두고 있으며, 누적 거래량 3,550억 달러를 돌파하며 빠르게 성장 중에 있다.

엣지엑스는 zk-STARKs 기반의 스타크웨어(StarkWare) StarkEx 엔진을 통해 20,000 TPS에 달하는 초당 거래 처리량과 낮은 지연 시간을 구현하여 CEX급의 성능, 거래 무결성, 그리고 프라이버시를 동시에 확보했다. 또한, MPC 지갑, 소셜 로그인 등을 통한 간편한 온보딩, 그리고 전문 트레이더를 위한 서브 계정 시스템을 지원하여 양방향 포지션 및 헷징 전략 관리가 용이하다는 특징을 가지고 있다.

2025년 6월부터 도입되어 현재는 Week 22가 끝난 ‘edgeX Open Season’ 포인트 프로그램을 통해 예치금과 거래량이 급증했으며, 특히 월 거래량은 130억 달러에 달한다. 또한, TGE가 아직 되지 않은 Perp DEX 중 수수료 수익(2025 10월 기준, 5,200만 달러) 1위를 기록하는 등 시장의 주목을 받고 있다.

dYdX v4

zk-STARKs

프론트엔드: AIR

백엔드: FRI

dYdX v4는 탈중앙화 파생상품 거래소(Perp DEX)인 기존 dYdX 디파이 플랫폼 기능에 zk-STARK 기술을 더해서 업그레이드 된 버전이다. 2024년 초에 이더리움 L2였던 v3에서 자체 체인으로 마이그레이션한 v4는, zk-STARK를 통해 거래 프라이버시를 보장하면서도 중앙 지정가 주문서(CLOB) 방식으로 CEX 수준의 속도와 가스비 없는(gasless) 거래를 구현했다. 11월에는 솔라나 현물 거래 출시를 앞두고 일일 거래량 2억 달러 이상을 달성하며 성장세를 보이고 있다.

지케이피투피 (ZKP2P)

zk-SNARKs (Groth16)

프론트엔드: R1CS

백엔드: 타원곡선 페어링

지케이피투피는 중앙화된 거래소나 별도의 KYC 절차 없이, 벤모(Venmo), 리볼트(Revolut) 등 기존 결제 시스템을 이용해 법정화폐와 암호화폐를 직접 교환(온오프램프)할 수 있도록 설계된 P2P 프로토콜이다. 이더리움의 프라이버시 전담 조직인 PSE(Privacy Stewards of Ethereum) 팀 등의 그랜트 지원으로 개발되었으며, 베이스, 솔라나를 포함한 20개 이상의 체인을 지원한다. 판매자가 암호화폐를 에스크로에 예치하면 구매자가 법정화폐를 송금하고, 이 거래가 증명되면 암호화폐가 전달되는 방식으로 작동한다. 플랫폼 수수료가 없고 0.5~1% 수준의 낮은 스프레드와 60초 이내의 빠른 처리 속도를 장점으로 내세운다.

이러한 거래 방식은 zkEmail 라이브러리를 사용한 영지식 증명 기술을 활용하여 가능하다. 사용자가 오프체인(예: 리볼트)에서 법정화폐를 송금하면 해당 결제의 유효성을 증명하는 영지식 증명(proof)을 생성하는데, 이 증명은 송금액, 수취인, 통화 종류 등 필수 정보만을 확인하며, 이름이나 은행 계좌 같은 민감한 개인정보는 블록체인에 기록하지 않는다. 스마트 컨트랙트가 이 영지식 증명을 검증하면 에스크로에서 암호화폐가 자동으로 구매자에게 전달되어, 사용자의 프라이버시를 강력하게 보호하면서도 신뢰할 수 있는 거래를 보장한다.

ZKP2P는 최근 자동화 및 구성 가능성을 대폭 향상시킨 V3를 베이스 네트워크에 출시하여, 사용자 경험과 유동성 공급(LP) 관리를 개선했다. V2 운영 기간 동안 일일 거래량 $100k 이상, 10,000건의 영지식 증명 정산을 달성했으며, V3 출시 직후에는 리볼트 JPY(일본 엔화) 지원을 추가하며 글로벌 서비스 확장에 속도를 내고 있다.

5.1.5 게임 및 NFT

다크 포레스트 (Dark Forest)

zk-SNARKs (Groth16-like)

프론트엔드: R1CS

백엔드: 타원곡선 페어링

소설 ‘삼체’에 등장하는 어둠의 숲 이론(Dark Forest Hypothesis)을 떠올리게 하는 이름의 이 게임은, 세계 최초의 완전 탈중앙화 실시간 전략(RTS) 게임이다. 이 게임의 핵심은 zk-SNARK 기술을 활용해 ‘정보가 불완전한 전쟁터’를 구현한 데 있다. 플레이어는 노시스 체인(Gnosis Chain) 상의 광활한 우주에서 자신의 행성 위치와 이동 경로를 암호학적으로 숨긴 채, 탐험과 정복을 이어간다. 모든 행동은 온체인에서 검증 가능하게 처리되며, 플러그인 시스템을 통해 AI 봇이나 커스텀 클라이언트를 자유롭게 활용할 수 있다.

다크 포레스트는 커뮤니티 중심으로 유지되다가 최근 어드벤처 레이어(Adventure Layer)에서 AI 에이전트와 결합된 버전으로 리부트되었다. 또한, 인곤야마(Ingonyama)와의 기술 협력을 통해 Groth16 프로버를 5~10배 향상시키는 등, 실시간 프라이버시 증명을 강화하며 영지식 게임 시장에서의 입지를 공고히 하고 있다.

5.1.6 상호운용성 (Interoperability)

유니온 빌드 (Union Build)

유니온 빌드는 영지식 증명을 활용해 신뢰 최소화된 크로스체인 상호운용성을 구현하는 모듈러 L1 블록체인 프로토콜이다. 2024년 12월, 유니온 빌드는 Gumi Cryptos Capital과 Longhash Ventures가 주도한 1,200만 달러 규모의 시리즈 A 투자를 유치했으며, 이전 400만 달러 시드 라운드를 포함해 총 1,600만 달러의 누적 자금을 확보했다.

유니온 빌드는 블록체인 파편화 문제 해결을 목표로, 영지식 증명을 통해 IBC와 MoveVM 같은 대안 가상머신(AltVM)을 지원한다. $U 토큰으로 운영되는 이 네트워크는 이더리움 롤업과 IBC를 결합한 ‘보편적 정산 레이어(Universal Settlement Layer)’로 기능하며, 2025년 현재 50개 이상의 프로토콜 통합을 달성했다. 또한 2025년 9월 4일, 메인넷을 성공적으로 론칭하며 신뢰가 필요 없는 크로스체인 메시징 시대를 열었다. 메인넷 출시 직전인 8월 27일, 베이스(Base) 네트워크 지원을 발표하며 이더리움 생태계로의 접근성도 한층 강화했다.

5.2 새로운 시대를 위한 인프라

5.2.1 영지식 가상 머신(zkVM)과 하드웨어 가속

암호학 지식이 없는 개발자도 일반 프로그래밍 언어로 작성한 코드를 영지식 기술로 증명할 수 있게 만드는 '보편적 검증 엔진'인 영지식 가상 머신(zkVM)을 제공하거나 이에 활용되는 하드웨어의 가속을 제공하는 생태계 프로젝트들이다.

SP1 — 석싱트 (SP1 — Succinct)

SP1 zkVM

프론트엔드: RISC-V 기반 AIR

백엔드: FRI + 타원곡선 페어링

SP1은 석싱트 랩스(Succinct Labs)가 개발한 RISC-V 기반 범용 영지식 가상머신으로, 개발자들이 러스트(Rust)나 기타 LLVM 호환 언어로 작성한 코드를 별도의 암호화 전문 지식 없이 영지식 증명으로 변환할 수 있도록 지원한다. SP1은 탈중앙화된 석싱트 증명자 네트워크(Succinct Prover Network)와 결합되어 이더리움, 이더리움 L2, 맨틀(Mantle) 등 다양한 블록체인에서 사용되며, 완전한 EVM 호환성을 제공한다.

SP1의 기술적 기반은 RISC-V 아키텍처다. 이는 2010년 UC 버클리에서 개발된 개방형 명령어 집합 구조로, 표준화된 설계, 낮은 전력 소모, 높은 확장성과 보안성을 갖춘 것이 특징이다. 특히 2025년 5월 공개된 ‘하이퍼큐브(Hypercube)’ 아키텍처는 SP1의 성능을 비약적으로 향상시켰다. 기존에는 60개의 RTX 4090 GPU가 필요했지만 이를 최적화해 16개의 RTX 5090 GPU만으로 이더리움 블록의 99.7%를 12초 이내에, 95.4%를 10초 이내에 증명하는데 성공했다. 이 성능 향상은 ZK 롤업 비용을 최대 10배 절감하고 실시간 증명(RTP, Real-Time Proofs)에 한층 가까워졌다는 의미다. 이어서 2025년 7월 도입된 SP1-CC는 ZK 코프로세서(Co-processor)를 활용해 스마트 컨트랙트 호출을 증명하며 온체인 연산 비용을 크게 낮췄다.

2025년 10월 9일, 석싱트는 네더마인드(Nethermind) 및 이더리움 재단과 협력해 SP1 하이퍼큐브의 64비트 RISC-V 제약 조건에 대한 ‘형식 검증(Formal Verification)’을 완료해 수학적 무결성을 입증했다. 이후 11월 업데이트에서는 ‘근접 격차 추측(Proximity Gap Conjectures)’에 대한 의존성을 완전히 제거해 해시 기반 범용 zkVM 가운데 최초로 이 가정에서 벗어났다. 이는 기존 해시 기반 zkVM들이 의존하던 수학적 가정이 최근 연구에서 잘못된 것으로 드러난 점을 반영한 조치로, 잠재적 위험 요소를 근본적으로 차단했다. 여기에 TEE 보호를 더한 SP1-2FA 기능도 도입해 보안 계층을 강화했다.

조만간 SP1 하이퍼큐브는 오픈 소스로 제공될 예정이며, 석싱트 증명자 네트워크와 OP Succinct는 물론 향후 아비트럼(Arbitrum) 통합에도 적용되어 비용, 성능, 보안성을 획기적으로 개선할 예정이다.

피코 프리즘 — 브레비스 (Pico Prism — Brevis)

Pico Prism zkVM

프론트엔드: RISC-V 기반 AIR

백엔드: FRI + 타원곡선 페어링

피코 프리즘은 브레비스가 개발한 zkVM으로, 이더리움의 ‘실시간 증명(RTP, Real-Time Proofs)’을 소비자급 하드웨어에서 구현하는 것을 목표로 한다. 2025년 10월 15일 발표된 이 기술은 복잡한 스마트 컨트랙트 실행, 암호 연산, 상태 전이 등을 수학적으로 증명해 이더리움의 스케일링을 최대 100배 확장하고, 검증 속도를 스마트폰 수준으로 낮추는 것을 지향한다. 피코 프리즘은 이더리움 재단의 10초 이내 증명, 하드웨어 비용 10만 달러 이하와 방향을 같이하며, 이 목표에 가장 근접한 성과를 보여 비탈릭 부테린의 지지를 받았다. 블록체인 업계는 피코 프리즘이 이더리움의 ‘기가가스(Gigagas)’ L1 목표(초당 10,000 TPS) 달성에 기여할 것으로 기대하고 있다.

피코 프리즘은 모듈러 아키텍처를 기반으로 증명 과정을 에뮬레이션 단계와 계층적 재귀 증명 단계로 분리한다. 이 구조에서 GPU는 대규모 연산과 증명 생성을 담당하고, CPU는 설정 및 관리 역할에 집중한다. 이러한 역할 분리를 통해 병렬 파이프라인 효율을 극대화했으며, 단일 머신에서 다중 GPU 및 다중 노드 환경으로의 확장이 가능하도록 설계되었다. 덕분에 피코 프리즘은 이더리움 메인넷 수준의 증명 규모를 처리할 수 있다.

성능 측면에서 피코 프리즘은 2025년 9월 1일 기준, 45M 가스 한도의 EVM 블록 중 96.8%를 10초 이내(평균 6.9초)에 증명하는 데 성공했다. 이 실험은 RTX 5090 GPU 64개(약 12만 8천 달러 규모)를 활용해 진행됐다. 64개의 하이엔드 GPU 구성은 아직 진짜 ‘소비자급 하드웨어’와는 거리가 있지만, 피코 프리즘은 경쟁 기술인 석싱트(Succinct)의 SP1 하이퍼큐브(Hypercube) 대비 50% 낮은 비용, 71% 빠른 증명 속도, 3.4배의 성능 우위를 입증했다. 향후 피코 프리즘은 RTX 5090 GPU 16개 이하, 하드웨어 비용 10만 달러 미만, 전력 10kW 이하로 전체 블록의 99%를 10초 이내에 증명하는 것을 목표로 하고 있다.

에어벤더 — 지케이싱크 (Airbender — zkSync)

Airbender zkVM

프론트엔드: RISC-V 기반 AIR

백엔드: FRI

에어벤더는 지케이싱크(Matter Labs)가 개발한 zkVM으로, 소비자급 하드웨어에서 이더리움 실시간 증명을 구현하는 것을 목표로 한다. 2025년 6월 Permissionless 컨퍼런스에서 공개된 이 기술은 복잡한 스마트 컨트랙트 실행과 블록 검증, 상호운용성 등을 수학적으로 증명해 지케이싱크 체인의 처리량을 최대 100배까지 늘리고, 증명 비용을 트랜잭션당 $0.0001 수준까지 낮추는 것을 지향한다.

에이벤더는 모듈러 아키텍처를 바탕으로 증명 과정을 에뮬레이션 단계와 재귀적 zk-STARK 증명 단계로 나누어 처리한다. GPU는 대규모 연산과 증명 생성에 집중하고, CPU는 설정 관리에 초점을 맞춘 구조다. 이 역할 분리는 병렬 파이프라인 효율을 크게 높였고, 단일 머신에서 다중 GPU나 다중 노드 환경으로 쉽게 확장할 수 있게 했다.

성능 측면에서는 2025년 11월 21일에 단일 머신에서 RTX 5090 GPU 두 개만으로 이더리움 L1 EVM 블록을 완전 증명하는데 성공했다. 이는 약 $4K 규모의 장비와 1kW 전력으로 이뤄낸 성과이며, 이전에 필요했던 64 GPU 구성 대비 32배 줄인 기록이다. 이 결과는 EthProofs Day 데모에서 공개되었다. 앞으로 에어벤더는 RTX 5090 GPU 1개 이하, 총 비용 $5K 미만, 전력 1kW 이하라는 조건으로 전체 블록의 99.9%를 10초 이내에 증명하는 목표를 세우고 있다.

리스크 제로 (RISC Zero)

zk-STARKs with Groth16 Recursion

프론트엔드: AIR + R1CS

백엔드: FRI + 타원곡선 페어링

리스크 제로는 RISC-V 아키텍처 기반의 범용 zkVM으로, 러스트(Rust)와 C++로 작성된 임의의 프로그램을 실행할 수 있다. 이를 통해 블록체인의 확장성, 상호운용성, 보안성을 강화하는 것을 목표로 한다. 2021년에 설립된 리스크 제로는 a16z와 베인 캐피털 크립토(Bain Capital Crypto) 등으로부터 총 5,200만 달러 이상의 투자를 유치했으며, 현재는 오픈소스 프로젝트로 운영되고 있다.

2025년 4월 출시된 R0VM 2.0은 이전 버전 대비 7~10배의 성능 향상을 이루었으며, GPU 증명 및 가속기 회로(accelerator circuits)를 통해 ZK 롤업, 코프로세서, 브릿지 등에 실시간 증명을 지원한다. 특히 2024년 zkVM 1.2 버전에서 도입된 '애플리케이션 정의 프리컴파일(precompiles)' 기능은 개발자가 커스텀 로직을 플러그인할 수 있게 해, 증명 생성 속도를 2~5배 향상시켰다.

2025년 10월에는 Ligero Inc.와 협력해 클라이언트 측 ZK 증명 시스템을 RISC Zero 스택에 통합, 다계층 재귀 증명을 구현했다. 또한 12만 달러 규모의 GPU 클러스터를 오픈소스로 공개하여, 12초 이내의 실시간 증명을 누구나 사용할 수 있도록 만들며, zkVM 벤치마크에서도 계속해서 경쟁을 이어나가고 있다.

지스크 (ZisK)

ZisK zkVM

프론트엔드: RISC-V 기반 AIR

백엔드: PIL2 (FRI 기반)

지스크는 폴리곤 랩스(Polygon Labs)에서 진행되던 zkEVM 개발 프로젝트가 2025년 6월 독립 프로젝트로 분리된 뒤 본격적으로 구축된 프로덕트로, 이더리움 블록을 실시간으로 증명하는 것을 목표로 하고 있다. 폴리곤 공동 창립자 다리오 바일리나(Dario Baylina)가 주도하며, 러스트, C++, Go 등 고수준 언어로 작성된 프로그램을 검증 가능한 방식으로 실행할 수 있게 한다.

지스크는 모듈러 아키텍처를 사용해 증명 과정을 트레이스 생성 단계와 분산 증명 생성 단계로 분리해 처리한다. 증명 생성은 zk-STARKs 증명 기반의 PIL2 모듈이 담당하며, gRPC 코디네이터를 통해 여러 GPU와 노드가 함께 작업할 수 있다. 이 설계는 128비트 양자 저항성을 유지하면서 병렬 처리 효율을 크게 높여 단일 노드에서 클러스터로 손쉽게 확장할 수 있다는 점이 강점이다.

성능 면에서는 2025년 10월 28일 기준으로 이더리움 메인넷의 모든 블록을 실시간으로 증명하는 데 성공했다. 24개의 GPU 구성(3개 노드에 RTX 5090 8개씩)을 활용해 평균 7.68초의 증명 시간을 기록했고, 전체 블록의 95% 이상을 10초 안에 처리했다. 이 결과는 공식 발표를 통해 공개되었으며 지스크는 향후 지연 시간 단축, 하드웨어 요구사항 완화, 오케스트레이션 강화 등을 목표로 하고 있다. 안정성은 오픈제플린(OpenZeppelin)의 보안 감사로 보완했다.

사이식 (Cysic)

사이식은 영지식 증명을 이용하여 ‘컴퓨트파이(ComputeFi)’ 이니셔티브로 가져가고 있는 탈중앙화 컴퓨팅 네트워크로, 초기에는 영지식 증명 가속 ASIC 칩 개발에 주력했다. 하지만 2025년 10월 백서 업데이트를 통해 중앙화된 클라우드(AWS 등)의 한계를 극복하고 유휴 하드웨어를 토큰화하는 '개방적이고 검증 가능하며 소유 가능한 자원'으로 전환하는 것을 목표로 하고 있다. 폴리체인(Polychain), 해시키(HashKey) 등으로부터 1,200만 달러의 투자를 유치한 사이식은 GPU와 ASIC을 활용한 'Proof-as-a-Service'를 제공하며, 컴퓨팅 병목을 해결하는 웹3의 핵심 인프라로 자리매김하고 있다.

사이식의 핵심은 GPU와 ASIC을 모두 지원하는 'Dual Hardware Approach'와 하드웨어/워크로드(AI, ZK, HPC 등)에 구애받지 않는 범용성이다. 네트워크는 PoW나 PoS가 아닌 'Proof of Compute (PoC)' 합의 메커니즘을 통해 운영되며, PoC는 참여자들이 실제 컴퓨팅 작업을 수행하고 그 성능을 입증함으로써 네트워크의 합의를 이루는 방식이다. 스테이킹과 검증된 성능에 따라 $CYS와 $CGT 듀얼 토큰으로 보상을 지급하고 슬래싱으로 신뢰성을 보장한다.

Source: Cysic

9월에 시작된 테스트넷 3단계(Phase III)는 하루 7백만 건 이상의 증명을 처리하며 성공적으로 운영 중이며, 118,000명 이상의 증명자와 200,000명 이상의 검증자가 참여해 13백만 건 이상의 트랜잭션을 처리하는 등 네트워크의 안정성과 확장성을 입증하고 있다. 또한, 석싱트 증명자 네트워크와 협력을 통해 C1 ASIC 칩과 GPU 클러스터를 배포하여 증명 비용을 10배 절감하는 성과를 거두었다. 사이식은 2025년 4분기 메인넷 론칭 및 TGE를 예정하고 있으며, 론칭 후 체인 및 컨트랙트 감사 완료, 하드웨어 노드 통합, 거버넌스 투표 플랫폼 구축을 통해 컴퓨트파이 생태계를 강화하고, 실시간 이더리움 증명과 AI 런치패드를 지원하는 에코시스템 빌딩을 추진할 계획이다.

5.2.2 증명자 네트워크 (Prover Network)

연산 시간이 많이 소요되는 영지식 증명 생성 작업을 더 빠르고 효율적으로 처리하기 위해 전문화된 다수의 참여자(증명자)에게 분산하여 수행하도록 설계된 시스템을 제공하는 생태계 프로젝트들이다.

석싱트 증명자 네트워크 — 석싱트 (Succinct Prover Network — 석싱트)

Source: Succinct

석싱트 증명자 네트워크는 2025년 8월 메인넷을 론칭한 석싱트 랩스(Succinct Labs)가 개발한 탈중앙화 영지식 증명 네트워크로, 블록체인, AI, 게임 등 다양한 애플리케이션이 글로벌 프로버 풀(Prover Pool)을 통해 증명 생성을 요청할 수 있는 분산형 마켓플레이스 역할을 한다. 이 네트워크는 PROVE 토큰을 기반으로 운영되며, 증명 생성 과정을 탈중앙화함으로써 기존 중앙화 인프라가 가진 비효율, 지연, 상호운용성 문제를 해결하는 것을 목표로 한다.

석싱트 네트워크는 스테이킹과 입찰 메커니즘을 통해 경쟁을 유도해 비용과 대기 시간을 줄인다. 또, 일반 프로그래밍 언어를 지원하는 SP1 zkVM을 통합해 개발자들이 기존 기술 스택을 그대로 활용하면서 영지식 증명을 쉽게 구현할 수 있게 해 효율성과 접근성을 크게 높였다. 특히 2025년 10월 8일, SP1의 하이퍼큐브(Hypercube) 엔진에 TEE와 GPU를 결합한 프라이빗 증명(Private Proving) 기능이 추가되면서, 입력 데이터의 프라이버시를 보장할 수 있게 되었다.

또한 사이식(Cysic)과의 협력을 통해 ZK-ASIC(C1 칩)을 통합함으로써, 증명 속도를 100배 이상 향상시켰다. 여기에 맨틀과 옵티미즘과의 협업을 통해 ‘OP Succinct’ 업그레이드를 진행, 대규모 TVL 지원, 높은 확장성, 강력한 보안성을 확보했다. 석싱트는 이러한 기술을 바탕으로 연산의 자산화 개념을 확산시키며, 실시간 영지식 증명 시대를 여는 역할을 하고 있다. 앞으로 영지식 생태계의 성장과 함께 디파이, AI 등 다양한 분야에서의 채택이 가속화될 것으로 기대되고 있다.

바운드리스 증명자 네트워크 — 리스크제로 (Boundless Prover Network — RISC Zero)

Source: Boundless

바운드리스 증명자 네트워크는 리스크제로가 인큐베이팅한 탈중앙화 영지식 컴퓨트 마켓플레이스로, 베이스(Base) 메인넷을 위에서 운영된다. 핵심은 PoVW(Proof of Verifiable Work) 메커니즘으로, 기존의 무의미한 퍼즐 기반 작업(PoW) 대신 실제로 유용한 영지식 증명 생성 연산을 수행한 증명자(Prover)에 대해 ZKC 토큰으로 보상을 지급한다. 누구나 별도의 허가 없이 증명자로 참여할 수 있으며, 롤업, 브릿지, 디파이 등 다양한 블록체인 애플리케이션에 범용 영지식 컴퓨팅 파워를 공급하는 것을 목표로 한다.

바운드리스 네트워크의 또 다른 강점은 담보(Collateral) 및 슬래싱(Slashing) 시스템이다. 증명자는 증명 작업을 수행하기 위해 ZKC 토큰을 담보로 락업해야 하며, 증명 실패 시 담보의 50%는 소각(burn)되고, 나머지 50%는 다음 프로버를 위한 바운티(bounty)로 전환된다. 또한, 증명 요청자는 ETH, USDC 등 다양한 토큰으로 증명 비용을 지불할 수 있지만, 증명자는 반드시 ZKC를 담보로 사용해야 하므로, 네트워크 사용량이 곧 ZKC의 수요 증가로 직결된다.

2025년 9월 15일, 바운드리스는 베이스 메인넷에서 공식 론칭했으며, 초기 2,500명 이상의 증명자로 시작해 현재는 리스크제로 zkVM 기반으로 2,700명 이상이 참여하고 있다. 이를 통해 강력한 네트워크 효과와 처리 용량 확장성을 입증했다. 이후 바운드리스는 구글 클라우드(Google Cloud)와의 협력, 페르마(Fermah) 프로버 네트워크 통합 등 전략적 파트너십을 강화하며 인프라 확장에 속도를 내고 있다.

페르마 (Fermah)

페르마는 범용 영지식 증명 마켓플레이스로, 영지식 증명을 모든 컴퓨팅의 기본 인프라로 만드는 것을 목표로 한다. 2024년 9월 공개된 이 탈중앙화 네트워크는 증명이 필요한 ‘시커(Seekers, 요청자)’와 GPU, FPGA 등 컴퓨팅 자원을 제공하는 ‘증명자(Prover)’를 연결한다. 핵심 엔진인 ‘페르마 매치메이커(Fermah Matchmaker)’가 이 매칭 과정을 효율적으로 중개해, AI, 디파이 등 다양한 분야에서 저렴하고 빠른 증명 생성을 가능하게 한다.

페르마의 가장 큰 강점은 범용성(Universal)과 중립성(Credibly Neutral)이다. 특정 시스템에 종속되지 않으며, RISC Zero, SP1 같은 zkVM은 물론, zkEVM, Groth16 등 다양한 영지식 증명 시스템을 폭넓게 지원해 개발자에게 높은 유연성과 선택권을 제공한다. 또한 민감한 데이터를 프라이버시 침해 없이 위임할 수 있는 구조로 설계되어 디파이 및 zkML(영지식 머신러닝) 분야에 최적화되어 있다.

2024년 3월, 지케이싱크(ZKsync)와의 파트너십을 통해 증명 생성의 분산화와 비용 절감을 실현했으며, a16z의 CSX와 Lemniscap 주도로 520만 달러의 투자를 유치하며, 영지식 생태계의 주요 병목인 증명 생성 인프라 문제를 해결하는 플랫폼으로 주목받고 있다.

5.2.3 검증자 네트워크 (Verifier Network)

영지식 증명에 대한 검증은 증명 생성보다는 자원이 덜 들지만, 이 부분에서도 더욱 더 높은 효율화를 위한 생태계 프로젝트들이 활동 중이다.

지케이베리파이 (zkVerify)

지케이베리파이는 호라이즌 랩스(Horizen Labs)가 개발한 모듈형 L1 블록체인으로, 영지식 증명의 검증 작업만을 전담하도록 설계된 특화 네트워크다. 2025년 9월 30일 메인넷을 론칭한 지케이베리파이는 1초 미만의 빠른 검증 속도와 기존 L1 대비 90% 이상 낮은 비용을 차별점으로 내세우고 있으며, zk-SNARKs, zk-STARKs 등 다양한 증명 시스템을 지원해 범용적인 호환성을 갖추었다. 또한, 사이식(Cysic)의 C1 칩을 통한 하드웨어 가속으로 성능을 극대화했다.

지케이베리파이 네트워크에서 VFY 토큰은 수수료 지불, NPoS(지명 지분증명) 스테이킹, 거버넌스 참여 등에 사용된다. 이더리움과 베이스(Base)를 포함한 멀티체인 환경을 지원하며, 이미 ApeChain, Ankr(80개 이상 체인 RPC), Phala(TEE) 등과 통합되어 AI, 게임, DePIN 등 다양한 분야로 생태계를 빠르게 확장하고 있다.

얼라인드 레이어 (Aligned Layer)

얼라인드 레이어는 아이겐클라우드(EigenCloud)의 AVS로 작동하는 영지식 증명 검증 전용 레이어로, 이더리움 메인넷에서 영지식 증명을 빠르고 저렴하게 처리하는 것을 목표로 한다. 특히, 개별 증명의 검증을 ~250K gas 수준의 낮은 비용으로 신속하게 처리하며, ‘증명 집계 서비스’를 통해 재귀 증명을 활용, 수천 개의 증명을 단일 배치로 묶어 한 번에 검증함으로써 이더리움의 가스 한계 문제를 해결한다.

얼라인드 레이어의 주요 강점은 범용성과 보안성이다. SP1, RISC Zero, Groth16 등 다양한 영지식 증명 시스템을 모두 지원하며, 52개 이상의 탈중앙화된 운영자가 참여해 2/3 합의 및 슬래싱 메커니즘을 통해 강력한 보안을 보장한다. 또한 $ALIGN 토큰은 증명 검증 수수료 결제와 네트워크 보안 스테이킹에 사용되며, 개발자는 모듈러 ZK 스택과 CLI 도구를 통해 5분 이내에 증명 검증 기능을 통합할 수 있다. 2025년 10월 기준, 얼라인드 레이어는 ‘ZK Arcade’를 출시하며 개발자 접근성을 강화했고, 지케이싱크, 페르마 등 40개 이상의 파트너십을 확보하며 검증 인프라로 빠르게 성장하고 있다.

5.2.4 ZK 코프로세서 및 데이터 인프라

외부에서 복잡한 연산을 수행하고 이에 대한 결과는 블록체인의 스마트 컨트랙트가 관리하게 하는 검증 가능한 컴퓨팅에 필요한 생태계 프로젝트들이다.

브레비스 (Brevis)

브레비스는 영지식 증명 기반의 오프체인 컴퓨팅 플랫폼으로, 스마트 컨트랙트가 복잡한 연산을 처리하고 온체인 데이터에 낮은 비용으로 접근할 수 있도록 하는 ‘인피니트 컴퓨트 레이어(Infinite Compute Layer)’를 목표로 한다. 이를 위해 브레비스는 ZK 코프로세서(Co-processor) 개념을 활용하고 있으며, 이는 디앱이 L1 블록체인의 보안성을 유지한 채, 복잡한 연산을 오프체인에서 효율적으로 수행하고, 그 결과에 대한 영지식 증명만을 온체인에 제출하도록 설계되어 있다. 이 과정에서 브레비스가 개발한 zkVM인 피코 프리즘(Pico Prism)이 증명 생성을 담당하게 된다.

a16z, Dragonfly 등 주요 투자자의 지원을 받은 브레비스는 ZK 기술을 활용해 신뢰 가능한 데이터 처리와 검증을 구현, 블록체인의 확장성 한계를 근본적으로 해결하는 것을 목표로 한다. 현재 팬케이크스왑(PancakeSwap), 오일러 파이낸스(Euler Finance) 등 20개 이상의 프로토콜과 통합되어, 동적 수수료 계산, 장기 기여도 기반의 유동성 보상 최적화, AI 추론 등 데이터 중심의 고급 로직 구현에 활용되고 있다. 특히, 브레비스는 비탈릭 부테린과 이더리움 재단 연구진으로부터 공개적인 지지를 받으며 영지식 생태계 내에서 큰 주목을 받고 있다.

현재 브레비스는 커뮤니티 확장을 위한 ‘Proving Grounds’ 포인트 캠페인을 진행 중이며, 1단계(소셜 태스크)가 활발히 진행 중이고, 11월 3일부터는 ZK 코프로세서를 직접 사용하는 온체인 미션(2단계)이 시작될 예정이다. 향후 토큰 출시(TGE)와 함께 디파이, AI, 게임 등 다양한 분야에서 온체인 데이터 인텔리전스를 제공하는 핵심 인프라로 자리매김할 전망이다.

헤로도터스 (Herodotus)

헤로도터스는 이더리움 기반의 영지식 증명 인프라 프로젝트이자 데이터 액세스 미들웨어로, 스마트 컨트랙트가 L1, L2, 그리고 앱체인의 온체인 데이터를 신뢰성 있게 조회하고 활용할 수 있도록 설계되었다. 핵심은 저장 증명(Storage Proofs)으로, 이를 통해 데이터의 무결성과 신뢰성을 보장한다. 이 구조는 디파이의 지불 능력 증명(Solvency Proof), 복잡한 크로스체인 상호작용, 데이터 기반 오프체인 연산 등 다양한 시나리오를 안전하게 지원한다.

헤로도터스는 스타크웨어(StarkWare)의 SHARP(Shared Prover) 시스템 위에 구축되었으며, ‘아틀랜틱(Atlantic)’ API를 통해 영지식 증명 생성 및 검증 서비스를 제공한다. 이를 통해 이더리움 생태계에서 ZK 코프로세서(Co-processor)로서의 역할을 수행하고 있다. 또한 HDP(Herodotus Data Processor)는 오프체인 데이터를 처리한 뒤, 그 결과를 영지식 증명 형태로 온체인에 제출하는 ZK 코프로세서로, SP1 zkVM과 통합된 HDP-SP1 버전을 통해 성능을 최적화했으며, 빠르고 신뢰성 있는 데이터 검증을 지원한다.

2025년 10월 기준, 헤로도터스는 이더리움 재단과 협력해 영지식 증명의 실시간 적용(Core Program Brasil)을 추진 중이며, 사이식(Cysic), 스크롤(Scroll), 지케이싱크(zkSync) 등 주요 프로젝트와 파트너십을 확대하고 있다.

5.2.4 zkTLS

zkTLS는 웹 트래픽의 데이터 암호화, 서버 인증, 무결성을 보장하는 인터넷 보안 프로토콜 TLS(Transport Layer Security)의 구조적 한계를 영지식 증명으로 보완하려는 기술적 접근이다.

지케이패스 (zkPass)

지케이패스는 zkTLS 기반의 분산 오라클 프로토콜로, 사용자의 민감한 웹2 데이터를 실제 노출 없이 온체인에서 검증 가능한 영지식 증명으로 변환하여 웹2와 웹3를 잇는 프라이버시 브릿지 역할을 한다. 특히, 모바일 기기에서도 1초 이내에 증명을 생성할 수 있어, 소셜 계정 소유권, 금융 기록 등을 디파이, KYC 등에서 안전하게 활용할 수 있다.

2025년 10월 기준, 지케이패스는 바이낸스 랩스(Binance Labs), 애니모카(Animoca) 등으로부터 총 1,500만 달러 투자를 유치했으며, KaitoAI Capital에서 1억 달러 FDV로 200만 달러 규모의 IDO를 10월 27일부터 시작할 예정이다. 또한, 12월 TGE와 2025년 1분기 zkTLS 프로토콜 업그레이드를 앞두고 있으며, 25개 이상의 파트너십을 바탕으로 '검증 가능한 인터넷(Verifiable Internet)' 구축과 zkTLS 생태계 표준화를 통해 디파이 및 AI 데이터 온보딩을 주도할 계획이다.

리클레임 프로토콜 (Reclaim Protocol)

리클레임 프로토콜은 zkTLS 기술을 활용해 은행 거래 내역, 소셜 미디어 활동, API 출력 등 웹2 데이터를 중앙화된 중개자 없이 직접 영지식 증명으로 변환하는 플랫폼이다. 데이터 소유자는 민감한 원본을 노출하지 않고 블록체인 상에서 검증만 허용할 수 있어, 기존 KYC, 신원 증명 솔루션의 프라이버시 취약점과 높은 비용 문제를 근본적으로 해결한다.

2025년 10월, 리클레임 프로토콜은 Devconnect 컨퍼런스(이더리움 재단 주최)에서 프라이버시 앱 쇼케이스에 참여해 레일건(RAILGUN), 0xbow.io, 파일벌스(Fileverse) 등과 함께 결제, 신원 검증, VPN 등 실생활 프라이버시 솔루션을 강조하며 주목을 받았다. 또한, 폴드(Fold) 앱과 협력해 인도 EPF(Employees' Provident Fund) 패스북 트래킹 기능을 출시, 웹2 금융 데이터를 zkTLS로 안전하게 블록체인에 통합하는 실증 사례를 선보였다. 2025년 10월 10일 Biometric Update에서 시각 자료 없이 웹사이트 데이터를 검증하는 시연을 통해 생체 인식과 데이터 검증 분야에서의 잠재력도 부각시켰다.

프리머스 랩스 (Primus Labs)

프리머스 랩스(Primus Labs)는 프라이버시 중심의 데이터 인프라 프로젝트로, zkTLS와 zkFHE를 통해 웹2의 민감한 데이터(예: 은행 잔고, 소셜 미디어 활동)를 웹3 애플리케이션과 안전하게 연결한다. 이를 통해 데이터 유출 없이도 검증 가능한 데이터 경제를 구축하는 것을 목표로 한다.

프리머스 랩스는 zkTLS 기술을 구현하기 위해 2025년 10월 분산 네트워크 ‘AlphaNet’을 공식 런칭했다. 이 테스트넷에서는 랜덤으로 선택된 노드가 TEE 내에서 웹 세션 데이터를 캡처하고 영지식 증명을 생성한다. 이를 통해 중앙화나 노드 간 공모의 위험을 제거하고, 신뢰 가능한 데이터 검증 메커니즘을 제공한다.

2025년 프리머스 랩스는 Phala(TEE 보안), Nillion(프라이빗 오라클), Artela(검증 가능한 AI 에이전트) 등과 주요 파트너십을 체결하며 생태계를 빠르게 확장했다. 또한 Devconnect에서 ‘zkTLS Day’를 주최하며, 디파이 신용 점수, eKYC, RWA 검증 등 다양한 분야로 기술 응용을 확대하고 있다.

5.3 블록체인 인프라를 넘어설 가능성의 씨앗들

블록체인 생태계 내에서 성장한 영지식 기술은 이제 블록체인 인프라를 넘어 더 넓은 디지털 세계의 문제를 해결할 가능성을 보여주고 있다.

5.3.1 신원 증명 (Decentralized Identity, DID)

영지식 기술을 활용하여 개인 정보를 공개하지 않고 특정 자격을 증명하여 디지털 신원의 프라이버시를 보호하는 역할을 한다.

월드코인 (Worldcoin)

Semaphore — Groth16 기반 프론트엔드: R1CS 백엔드: 타원 곡선 페어링

월드코인은 AI 시대에 인간과 봇을 구별하기 위해 만들어진 디지털 신원 시스템으로, 사용자가 ‘고유한 인간(Unique Human)’임을 증명할 수 있는 디지털 ID인 World ID를 발급한다. 여기서 영지식 기술로, 사용자가 자신의 개인 정보를 공개하지 않고도 “나는 인증된 인간이다”라는 사실을 암호학적으로 증명할 수 있게 한다.

월드코인은 이더리움 기반의 영지식 프로토콜인 세마포어(Semaphore)를 통합해, 사용자가 ‘인증된 인간 그룹’의 구성원임을 신호 전송을 통해 익명으로 증명할 수 있도록 지원한다. 사용자가 어떤 디앱에서 인간임을 증명해야 할 때, 세마포어 프로토콜은 사용자가 머클 트리에 포함된 구성원임을 증명하는 영지식 증명을 생성한다. 이때 사용자가 머클 트리의 어떤 구성원인지는 공개되지 않기 때문에, 완전한 익명성을 유지한 채로 “나는 인간이다”라는 사실만 증명할 수 있다. 이를 통해 디앱 접근, 온라인 투표, 봇 방지 광고 등 다양한 영역에서 프라이버시를 보호하는 인증 수단으로 활용된다.

2025년 10월 기준, 월드코인은 ZKP 기술을 확장해 월간 활성 사용자 500만 명 이상을 지원하고 있으며, 특히 2025년 7월에는 석싱트 랩스(Succinct Labs)와 협력해 모든 트랜잭션을 영지식으로 증명하는 ZK 롤업 ‘World Chain’을 출시하면서, 확장성과 비용 효율성을 크게 높였다.

키링 네트워크 (Keyring Network)

키링 네트워크는 영지식 증명 기술을 기반으로 한 디파이 규제 준수 플랫폼으로, 기관 투자자들이 전통 금융(TradFi)과 디파이 생태계를 안전하게 연결할 수 있도록 설계되었다. 2022년에 설립된 키링 네트워크는 2024년 3월 600만 달러의 시드 투자를 유치하며 주목받았으며, 기존 KYC 데이터를 영지식 증명으로 변환해, 기관이나 개인의 민감한 정보를 노출하지 않고도 AML(자금세탁방지) 등 각종 규제 요구사항을 충족할 수 있게 한다. 이를 위해 ‘zkVerified’ 시스템을 활용하며, 이를 통해 사용자의 신원 정보를 공개하지 않고도 규제 준수 여부를 안전하게 증명할 수 있다.

또 다른 주요 구성 요소인 ‘Keyring Connect’는 ZK-KYC 도구로, 바이낸스 같은 기존 플랫폼의 인증 데이터를 재사용해 3시간 이내 신속한 온보딩과 화이트리스트 등록을 가능하게 한다. 이를 통해 RWA(실물자산) 토큰화, B2B 결제 자동화 등 다양한 기업용 솔루션도 지원한다.

2025년 10월 현재, 키링 네트워크는 이더리움 메인넷에 ‘zkVerified Vaults’를 출시하며 이더리움 재단과 협력 중이다. 흥미로운 점은 이 볼트의 초기 수수료를 토네이도 캐시 개발자 법적 방어 기금에 기부함으로써, ‘준법과 프라이버시의 균형’이라는 철학을 상징적으로 드러내고 있다. 또한 2025년 6월에는 아발란체 네트워크에서 오일러 파이낸스, 피스(Pyth) 등과 함께 ‘zkVerified Markets’를 성공적으로 론칭했다.

라리모 (Rarimo)

UltraGroth — Groth16 기반

프론트엔드: R1CS

백엔드: 타원 곡선 페어링

라리모는 영지식 증명 기술을 기반으로 한 디지털 아이덴티티 프로토콜로, 사용자의 소셜 아이덴티티를 탈중앙화하고 프라이버시를 보호하는 것을 목표로 한다. 라리모의 ‘프리덤 툴(Freedom Tool)’은 생체 여권 데이터를 활용해 사용자가 개인 정보를 전혀 공개하지 않고도 유권자 자격이나 시민권(Proof-of-Citizenship) 등을 익명으로 증명할 수 있게 하는 영지식 투표 시스템이다. 이 시스템은 Bionetta(프라이버시 앱), ZK Graph(소셜 그래프) 등과 연동되어 검열이 심한 환경에서도 프라이버시를 지킬 수 있는 생태계를 지향한다.

라리모는 비탈릭 부테린의 지지를 받아 250만 달러 규모의 비전 라운드 투자를 유치했으며, ‘프리덤 툴’은 오픈소스 프로젝트로 강화되어, 러시아와 조지아의 반정부 인사들이 민주주의 운동(익명 투표)에 실제로 활용하면서 국제적인 주목을 받고 있다. 또한, OpenAI의 Sora와의 연계를 통해 영지식 증명 기반의 디지털 초상권(Likeness) 보호용 AI 레지스트리를 제안하는 등 활용 범위를 AI 윤리와 디지털 권리 영역으로 확대하고 있다.

지케이미 (zkMe)

zk-SNARKs (Groth16)

프론트엔드: R1CS

백엔드: 타원 곡선 페어링

지케이미는 영지식 증명 기술을 활용해 프라이버시를 보장하는 신원 인증을 제공하는 탈중앙화 네트워크이다. 지케이미의 ‘신원 오라클 네트워크(Identity Oracle Network)’는 오프체인 ID 데이터와 웹 API를 스마트 컨트랙트에 안전하게 연결함으로써, 블록체인에 종속되지 않는 확장형 신원 솔루션을 제공한다. 이를 통해 지케이미는 다양한 체인과 애플리케이션에서 프라이버시 중심의 인증을 구현할 수 있다.

주력 서비스인 zkKYC는 중앙화된 데이터 저장소 없이도 FATF(자금세탁방지 국제기구) 기준을 충족하는 KYC를 가능하게 한다. 또한 ‘Accredited Investor Credential(zkPoAI)’ 기능을 통해 사용자는 민감한 금융 정보를 공개하지 않고도 미국의 규제 요건을 충족했음을 증명할 수 있어, RWA(실물자산) 토큰화 및 디파이 참여를 보다 안전하게 할 수 있다. 2025년 10월 현재, 지케이미는 폴리곤, BNB Chain, TON을 포함한 30개 이상의 블록체인을 지원하고 있으며, 사용자는 ‘Identity Hub’를 통해 신원 정보를 관리하고, XP(포인트) 시스템을 통해 네트워크 활동에 따른 보상을 받을 수 있다.

지케이 패스포트 (zkPassport)

PLONK

프론트엔드: PLONKish

백엔드: KZG

지케이 패스포트는 웹3 환경에서 프라이버시를 최우선으로 하는 디지털 ID 솔루션이다. 사용자는 이름이나 나이 같은 민감한 개인정보를 공개하지 않고도 본인 인증을 할 수 있다. 지케이 패스포트는 스마트폰 앱을 통해 전자여권이나 국가 ID의 NFC 칩을 스캔하고, 이 데이터를 PLONK 기반의 영지식 증명 기술과 Noir 언어 기반 회로로 사용자 기기 내에서 로컬 처리한다. 이렇게 생성된 증명은 외부 서버로 전송되지 않아, 데이터 유출 위험을 원천적으로 차단한다. 이를 통해 전통적인 KYC(본인인증) 시스템의 취약점을 보완하고, 시빌(Sybil) 공격을 방지하는 것을 목표로 한다.

현재 지케이 패스포트는 120개 이상의 국가 ID를 지원하며, 아즈텍(Aztec) 테스트넷에 통합되어 실제로 노드 운영자의 인간성 증명(Sybil 저항성)을 검증하는 데 활용되고 있다. 또한 ID 도용과 AI 위조를 방지하기 위해 생체 인식(얼굴 매칭) 기능도 도입 중이다.

셀프 프로토콜 (Self Protocol)

zk-SNARKs

프론트엔드: R1CS

백엔드: 타원곡선 페어링

셀프 프로토콜(Self Protocol)은 프라이버시를 보호하는 오픈소스 신원 인증(ID) 프로토콜로, 사용자가 민감한 개인정보를 공개하지 않고도 자신의 신원이나 속성(예: 나이, 국적)을 증명할 수 있게 한다. 이 프로토콜은 174개국 이상의 전자여권(ePassport)을 모바일 앱의 NFC 스캔으로 연결하며, zk-SNARKs 기반의 영지식 증명 기술을 활용한다. 사용자가 여권을 스캔하면 데이터는 기기 내에서만 처리되고, “18세 이상”처럼 특정 조건의 충족 여부만 포함된 영지식 증명이 생성된다. 이 방식은 데이터 유출 위험을 제거하고, Sybil(시빌) 공격 방지, 에어드랍 보호, 소셜 미디어에서의 ‘인간 인증’ 등 다양한 영역에서 활용된다.

셀프 프로토콜은 2025년 2월, 셀로(Celo)의 핵심 기여자들이 오픈 패스포트(OpenPassport) 프로젝트를 인수하며 탄생했다. 핵심 기능은 ‘Pass’(영지식 검증)과 ‘Connect’(전화번호-지갑 연결)이며, 사용자의 프라이버시를 해치지 않는 웹3 신원 인프라를 지향한다. 2025년 하반기에는 개발자 생태계 확장을 위한 ‘ZK Residency’ 프로그램을 운영하며, 10월 말 터키 국가 ID 통합을 발표하는 등 기술 범위를 지속적으로 확장하고 있다. 또한 구글 클라우드(Google Cloud)와의 통합을 통해 ZK ID 기술의 웹3 및 AI 분야 적용을 가속화하고 있다.

5.3.2 zkML (검증 가능한 AI)

모듈러스 랩스 (Modulus Labs)

모듈러스 랩스는 머신러닝(ML) 모델의 실행 결과를 영지식 증명을 통해 온체인에서 검증 가능하게 만드는 영지식 머신러닝(zkML) 연구 프로젝트다. 2022년에 설립된 모듈러스는 AI의 블랙박스 문제를 해결하고, 블록체인 상에서 신뢰할 수 있는 AI 결과를 제공하며, 프라이버시를 보호하는 것을 목표로 한다.

핵심 기술인 ‘ZKTorch’ 컴파일러는 파이토치(PyTorch) 머신러닝 모델을 영지식 증명 형태로 변환해, 개발자들이 기존 머신러닝 모델을 디파이, 게임, 디지털 아트 등 온체인 환경에 손쉽게 통합할 수 있도록 지원한다. 특히 모듈러스 랩스는 2024년 12월에 월드코인(Worldcoin)의 모기업인 Tools for Humanity(TFH)에 인수되어, TFH의 AI 보안 및 암호화 연구 역량 강화에 기여하고 있다. 또한 2023년에 공개된 자체 벤치마크 결과는 zkML 기술 발전의 주요 이정표로 평가받았으며, 2025년에는 미국 특허청(USPTO)의 기술 인용 사례로 언급되는 등 산업 전반에서 영향력을 확대하고 있다.

기자 (Giza)

zk-STARKs

프론트엔드: AIR

백엔드: FRI

기자는 개발자들이 AI 모델의 추론 결과를 온체인에서 검증 가능하게 하는 zkML(영지식 머신러닝) 플랫폼이자 영지식 기반 실행 레이어다. 2023년에 설립된 기자는 CoinFund 등으로부터 300만 달러의 투자를 유치했으며, ‘LuminAIR’ zkML 프레임워크를 2025년 6월에 도입하고 ‘Orion’(Circle STARK proofs 기반)을 통해 AI 에이전트를 디파이 생태계에 도입하는 것을 목표로 하고 있다.

기자 생태계는 GIZA 토큰을 중심으로 운영되며, ‘Swarms’(AI 에이전트 네트워크)와 ‘Pulse’(원클릭 AI 배포 도구) 같은 기능을 제공한다. 이를 통해 AI 에이전트의 연산 무결성을 보장하면서, AI 프라이버시 코인 및 DeAI 서사의 핵심 프로젝트로 주목받고 있다.

제 6장. 패러다임의 끝에 있는 레스토랑: 영지식의 최전선

영지식 증명은 이제 단일 기술을 넘어, 자체적인 연구 동향과 시장 경제를 형성하는 하나의 독립된 '기술 패러다임'으로 자리 잡고 있다. 이 패러다임의 최전선에서는 영지식 기술의 더 나은 발전을 위한 노력이 이루어짐과 동시에, 시장에서는 새로운 경제 모델이 탄생하고 있다.

6.1 영지식 패러다임의 최전선

6.1.1 하드웨어 가속

영지식 증명 생성 비용은 기술 대중화를 가로막는 가장 큰 장벽으로 꼽힌다. 이를 해결하기 위해 기존에의 GPU 기반 처리를 넘어 영지식 연산 전용 ASIC 칩 개발 경쟁이 전세계적으로 치열해지고 있다. 이는 영지식을 단순한 소프트웨어 기술이 아닌, 반도체 산업과 결합된 거대 인프라 산업으로 변화시키고 있다.

실제 연구 사례로는, FPGA와 GPU를 활용해 영지식의 핵심 연산인 NTT(Number Theoretic Transform)와 MSM(Multi-Scalar Multiplication)를 가속하는 성과가 발표되었으며, PipeZK 논문과 UniZK 논문은 특정 영지식 증명 아키텍처에 최적화된 하드웨어 설계가 기존 CPU 대비 수백 배에서 수천 배의 성능 향상을 달성할 수 있음을 입증했다.

또한 이스라엘의 인곤야마(Ingonyama)와 미국의 울베타나(Ulvetanna) 같은 스타트업들은 영지식 연산 가속 전용 반도체 칩 개발에 착수하며 시장을 선도하고 있다. 이러한 하드웨어 발전은 증명 생성 시간을 획기적으로 단축시켜, 영지식 기술의 경제성과 실용성을 크게 향상시킬 것으로 기대된다.

6.1.2 알고리즘 연구

폴딩 스킴(Folding Schemes)과 같은 재귀 증명은 영지식의 효율성을 획기적으로 개선했다. 이처럼 영지식 증명 시스템의 특정 구성 요소를 최적화하거나 기존 영지식 기술들의 한계점들을 차근차근 해결해 효율화 시키려는 연구들이 계속되고 있다.

GENES: GENES는 R1CS 병합(merging) 기반으로 여러 개의 증명을 하나로 결합하는 방식의 재귀 증명 구조를 제안한다. 특히, 기존 zk-SNARKs 기반의 재귀 증명 시스템은 일반적으로 각 회차마다 CRS(Common Reference String) 등 초기 설정이 필요했는데, GENES는 이러한 한계를 해결한다. 이러한 접근은 L1 블록체인 설계나 영지식 기반 확장 시스템에서 의미 있는 진전을 이끌어낼 수 있다.

DUPLEX: 기존 lookup 인수(lookup argument), 예를 들어 Plookup은 영지식 증명에서 테이블 내 특정 값의 존재 여부나 다중 값 검증을 효율적으로 수행하기 위한 기법으로, 주로 제한된 테이블 크기나 단순한 연산 구조를 다루는 데 초점을 맞췄다. 최근 연구들은 이러한 제약을 넘어, 더 복잡한 테이블 연산과 대규모 데이터셋을 효율적으로 처리할 수 있는 새로운 방법을 제시하고 있는데, 특히 DUPLEX에서는 RSA 암호 기반 구조를 결합해 lookup 인수의 효율성과 확장성을 동시에 개선한 설계를 제안한다. 이러한 스킴이 실용화되면, 복잡한 암호학적 해시 함수나 테이블 기반 로직이 포함된 스마트 컨트랙트 및 zkVM 연산을 보다 낮은 증명 비용으로 처리할 수 있게 되어, 영지식 증명의 실용성을 크게 확장시킬 것으로 기대된다.

6.1.3 그 외 연구

Poseidon2b: 포세이돈은 Keccak-256 등 기존 해시 함수보다 영지식 증명 시스템에서 훨씬 효율적으로 작동하도록 설계된 해시 알고리즘이다. 이 알고리즘은 2023년에 소수 필드(prime field) 환경에 최적화된 ‘Poseidon2’로 업그레이드되며, 제약 조건(constraints)을 크게 줄이는 성능 개선을 이뤘다. 이어 2025년 10월에는 한 단계 더 발전한 ‘Poseidon2b’가 공식 발표되었는데, 바이너리 확장 필드(binary extension field)에 특화된 구조를 채택해, Binius와 같은 바이너리 기반 영지식 시스템에서 증명 크기와 생성 속도를 획기적으로 향상시킬 수 있다. 이로 인해 이더리움은 ZK 롤업 및 L1 레벨의 증명 효율성 극대화를 목표로, 포세이돈 계열 해시 함수로의 마이그레이션을 검토 중이다. 이는 2025년 2월 비탈릭 부테린이 제안한 바 있지만, 펙트라 업그레이드에 해당 제안(EIP-5988)이 포함되지는 않았다.

FairZK: 머신러닝 모델이 공정성(fairness) 조건을 만족한다는 사실을 영지식 증명으로 입증하는 것은 실제 응용에서 매우 실용적인 가치가 있다. 예를 들어, 알고리즘이 특정 집단에 불리하게 작동하지 않는다는 점을 모델의 변수나 학습 데이터 공개 없이 증명할 수 있다면, 신뢰성과 프라이버시를 동시에 확보할 수 있다. FairZK는 머신러닝 모델의 공정성 조건을 수학적으로 표현할 수 있는 바운딩(bounding) 기법을 제안하고, 이를 효율적인 영지식 증명의 형태로 증명하는 시스템을 구현했다. 주목할 점은 4,700만 개 파라미터 규모의 대형 모델까지 처리 가능하며, 기존 방식 대비 수 배에서 수천 배 빠른 증명 속도를 달성했다는 것이다. 이러한 접근은 영지식 기술이 단순히 AI의 정당성과 투명성 확보를 넘어, 규제 준수 및 책임성 있는 AI 시스템 구축을 위한 핵심 기술로 발전할 가능성을 보여준다.

FibRace: 영지식 증명 생성은 전통적으로 서버나 고성능 장비 중심의 작업으로 인식되어 왔다. 그러나 FibRace는 이러한 통념을 깨고, 모바일 환경에서 실시간 증명 생성이 가능한지를 검증한 실험적 연구다. 이 프로젝트는 스마트폰 사용자가 상대적으로 연산이 간단하고 적은 피보나치 수의 증명을 직접 생성하고 경쟁하는 형태의 대규모 벤치마크 실험으로 진행되었다. 그 결과, 대부분의 최신 스마트폰이 5초 이내에 증명을 완성할 수 있음이 확인되었다. 이 연구는 “사용자 단말에서 직접 증명 생성이 가능하다”는 사실을 실증함으로써, 경량 클라이언트 중심의 ZK 애플리케이션이 현실적으로 구현 가능한 방향임을 제시한 중요한 이정표로 평가된다.

6.2 영지식 기술으로 인한 새로운 경제적 패러다임

영지식 기술은 이제 블록체인 확장성 해결책을 넘어, '신뢰'를 프로그래밍하고 검증할 수 있는 새로운 컴퓨팅 패러다임으로 발전해 나가고 있다. 이러한 변화는 세 가지 핵심 동향인 벤처 캐피털(VC) 투자, 개발자 저변, 그리고 '증명'과 '검증'이 가치화되는 전문 시장의 등장으로 확인할 수 있다.

6.2.1 미래 인프라에 대한 확신: VC 투자의 중심 이동

영지식 시장의 성장을 가장 명확하게 보여주는 지표는 역시나 자본의 흐름이다. 벤처 캐피털은 이제 영지식 기술을 단일 애플리케이션(예: ZK-rollup)이 아니라, 미래 디지털 상호작용의 핵심 인프라로 인식하고 있다. 그 결과, 투자 흐름은 애플리케이션 레이어를 넘어 zkVM, 영지식 하드웨어 가속, 코프로세서 등 더 깊은 인프라 레벨로 이동하고 있다.

2020년대 초반까지만 해도 ZK 스타트업 투자는 연구개발 단계의 소규모 자금 유치에 그쳤다. 그러나 2021~2022년을 기점으로 ZK 롤업 중심의 본격적인 자금 유입이 시작되며, 2022년 한 해에만 약 13억 5천만 달러가 투자되었다.

2023년 크립토 시장이 전반적으로 조정을 겪는 동안에도 영지식 분야의 인프라 투자는 약 2억 달러 수준으로 꾸준히 이어졌고, 2024년부터는 zkVM, ZK 하드웨어 가속, 코프로세서 등 핵심 인프라 레이어로 자금이 집중되는 흐름이 뚜렷해졌다.

실제 2025년 들어 영지식 관련 프로젝트에 유입된 VC 자금은 3분기 기준 32억 달러 이상에 달하며, 2020년 이후 누적 투자는 110억 달러를 넘어섰다. 이 중 60% 이상이 최근 2년 사이에 집중된 것으로, 시장의 중심축이 ‘영지식 애플리케이션’에서 ‘영지식 인프라’로 이동하고 있음을 보여준다.

이 흐름은 개별 사례에서도 확인된다. 2024년 사이식(Cysic)은 영지식 하드웨어 가속 인프라 구축을 위해 1,200만 달러를 유치했으며, 스타크웨어(StarkWare), 지케이싱크(zkSync), 아즈텍 네트워크(Aztec Network) 등 주요 프로젝트들도 zkVM, 모듈러 생태계 확장, 하드웨어 통합 등 인프라 중심의 방향으로 전환하고 있다.

결국 VC들은 영지식을 단순한 ‘확장 솔루션’이 아니라, 미래 블록체인과 디지털 컴퓨팅의 기반 구조로 인식하기 시작했다. 크립토 자본시장이 회복세를 보이는 가운데, 영지식 기술은 그중에서도 가장 전략적이고 장기적인 투자 분야로 자리 잡았다.

6.2.2 기술 성숙과 개발자 저변을 통한 질적 도약

영지식 기술로의 막대한 자본 유입은 단순히 프로젝트 수의 증가로 끝나지 않았다. 자본은 곧 인적 자본, 즉 숙련된 개발자의 유입으로 이어졌고, 이는 영지식 기술 전반의 질적 성숙을 이끌었다. 이제 영지식은 소수 암호학자의 연구 영역을 넘어, 구체적인 개발 도구와 프레임워크를 갖춘 실질적인 기술 산업으로 자리 잡았다.

Source: Electric Capital

2024년 Electric Capital 개발자 리포트에 따르면, 영지식 생태계의 월간 활동 개발자 수는 2,054명으로 2023년 정점 이후 안정화 단계에 접어들었다. 이는 둔화가 아닌 성숙의 신호다. 전체 개발자의 40%인 823명이 풀타임으로 활동하고 있으며, 이는 단기 유행에 흔들리지 않는 지속 가능한 핵심 인력층이 형성되었음을 의미한다. 시장 조정기에도 유지되는 이 개발자 기반은 영지식 기술이 일시적 트렌드가 아닌 장기적인 기술 축으로 자리 잡았음을 보여준다.

Source: Electric Capital

수치 역시 이러한 성숙을 입증한다. 영지식 기반 온체인 배포 건수는 2020년 40건에서 2024년 639건으로 16배 이상 증가했다. 개발자 수는 안정세를 보이지만, 생산성과 실용성은 폭발적으로 향상된 것이다. 이는 영지식 기술이 연구 중심 단계를 벗어나, 25개 이상의 영지식 증명 프레임워크를 기반으로 한 ‘실제 적용 가능한 인프라 기술’로 도약했음을 의미한다. 특히 스타크넷(Starknet), 지케이싱크 에라(zkSync Era) 등 주요 L2에서 꾸준히 활동하는 코어 개발자 그룹은 이러한 변화가 일시적인 성장세가 아니라, 지속 가능한 발전 단계에 들어섰음을 뒷받침한다.

6.2.3 '신뢰'의 상품화: 증명 및 검증 시장의 탄생

영지식 기술의 발전은 ‘역할의 분리’라는 새로운 변화를 가져왔다. 이제 영지식 증명을 생산(Proving)하는 과정과 이를 소비(Verification)하는 과정이 분리되면서, ‘서비스형(as-a-Service)’ 증명 시장이 등장해 빠르게 성장하고 있다. 코러스원(Chorus One)의 2025년 보고서는 이 새로운 경제 모델이 이미 현실적으로 작동하고 있음을 보여준다.

2024년 5억 8천만 건 수준이던 롤업 중심의 증명 트랜잭션은 2025년(3분기 기준) 44억 건으로 늘며, 불과 1년 사이 7.6배 증가했다. 이는 롤업뿐 아니라 130개 이상의 범용 앱과 인프라 프로젝트가 시장에 진입하면서 증명 수요가 폭발적으로 늘어난 결과다. 영지식 기술은 이제 특정 블록체인에 종속된 부가 기능이 아니라, 독립적인 모듈형 산업으로 성장했다는 점을 보여준다.

검증 시장은 이제 막 초기 공개 단계에 들어섰다. zkVerify, Aligned Layer 등 주요 프로젝트들이 본격적인 운영을 시작하면서, 아직 전년 대비 성장률 등 거시 지표를 논하기에는 이르다. 그러나 이들이 내놓은 초기 운영 데이터만으로도 시장의 잠재력은 충분히 입증되고 있다.

Source: zkverify.io

예를 들어, Aligned Layer는 이미 초당 1,000건 이상의 증명(Proof)을 처리하고 있으며, zkVerify는 테스트넷 단계에서만 600만 건 이상의 증명을 검증했다. 두 프로젝트 모두 Arbitrum, ApeChain 등 주요 L2 및 애플리케이션과 통합을 진행 중이며, 이더리움 L1 대비 90~91% 수준의 검증 비용 절감 효과를 입증했다. 결국, 증명과 검증의 분리와 서비스화는 ‘신뢰(trust)’ 자체가 상품화되는 새로운 경제 질서의 출현을 의미한다.

6.3 블록체인을 넘어서

빠르게 성장 중인 영지식 기술은 이제 블록체인이라는 ‘샌드박스’를 벗어나, 디지털 세계의 신뢰를 구축하는 범용 기술로 나아가고 있다. 영지식의 본질은 프라이버시를 지키면서도 데이터와 연산의 무결성을 수학적으로 증명하는 기술이라는 점에 있다. 이 근본적인 가치 덕분에 영지식 기술은 블록체인 생태계를 넘어, 디지털 산업 전반으로 확장될 잠재력을 보여주고 있다.

6.3.1 '신뢰'가 필요한 모든 산업으로의 확장

영지식 기술의 다재다능함은 이제 블록체인을 넘어 다양한 산업으로 스며들고 있다. “데이터를 드러내지 않고도 진실을 증명할 수 있다”는 점은 AI, 금융, 헬스케어 등 데이터의 신뢰성과 프라이버시가 동시에 요구되는 분야의 난제를 해결할 열쇠로 작용할 수 있다.

• AI와 로보틱스 – 동작 무결성과 책임 증명: 영지식은 자율주행차나 로봇이 수집한 민감한 센서 데이터를 공개하지 않으면서도, “경로 계획이 안전 규정을 준수했는가”를 증명할 수 있게 한다. 사고 발생 시, 로봇 제조사나 운영자는 영업기밀에 해당하는 알고리즘이나 주행 데이터를 공개하지 않고도 “시스템이 올바르게 작동했다”는 사실을 입증할 수 있다. 이는 AI 시스템의 책임성과 신뢰를 확보하는 실질적인 도구가 된다.

• 금융 – 프라이버시와 규제 준수의 공존: 금융 분야에서 영지식은 기밀성과 규제 준수라는 상충된 요구를 동시에 해결한다. JP모건(JPMorgan)은 Kinexys(구 Onyx) 프로젝트를 통해, 고객의 개인 금융 정보를 공개하지 않고도 자금세탁방지(AML) 규정을 준수했음을 증명하는 시스템을 구현 중이다. 이는 규제 친화적인 프라이버시 금융이라는 새로운 영역을 열고 있다.

• 헬스케어 – 프라이버시 보호와 데이터 공유의 균형: 의료 분야에서는 영지식이 민감한 환자 데이터를 보호하면서도 데이터 활용을 가능하게 한다. 환자는 자신의 전체 의료기록을 공개하지 않고도 “특정 질병의 가족력이 없음”을 증명할 수 있으며, 연구기관은 “이 데이터셋은 실제 1만 명의 환자 데이터에 기반함”을 검증받을 수 있다. 2025 HIMSS 연구는 이러한 접근이 의료 데이터 공유의 윤리적·법적 문제를 해결할 수 있는 실질적 방법으로 주목받고 있음을 보여준다.

• 저널리즘과 민주주의 – 진실성의 증명: 영지식은 정보의 신뢰성을 보장하는 새로운 방식으로 활용되고 있다. 언론사는 취재원을 보호하면서도 보도의 진실성을 증명할 수 있고, 이미지나 영상의 촬영 시점, 위치, 편집 이력을 증명함으로써 딥페이크 검증에 대응할 수 있다. 실제로 스위스 등 일부 국가는 영지식 기반 전자 투표 시스템을 시범 도입해, 투명성과 익명성을 동시에 확보하는 실험을 진행 중이다.

6.3.2 블록체인을 넘어서는 경제적 가치

영지식 기술이 블록체인 생태계를 넘어 확장된다면, 시장은 블록체인에 종속된 형태에서 벗어나 독립적인 성장 곡선을 그릴 수 있다. 다시 말해, 영지식 산업은 ‘디커플링’을 통해 블록체인 산업보다 빠르게 성장할 잠재력을 확보하게 된다.

시장 성장률 비교를 했을 때 이러한 변화를 살짝 엿볼 수 있다. 2025년 MarketsandMarkets 보고서에 따르면, 블록체인 시장은 2030년까지 연평균 64.2%의 성장률이 예상된다. 반면 코러스원(Chorus One)의 2025년 보고서는 영지식 시장이 같은 기간 연평균 68%(9억 7천만 달러 → 13억 4천만 달러)의 성장을 기록할 것으로 전망한다. 4% 차이이지만, 이는 영지식 기술이 더 이상 블록체인에만 국한되지 않고 AI, 보안 컴퓨팅, 데이터 프라이버시 등 다른 산업군으로 확장되고 있음을 시사한다.

이 흐름을 뒷받침하는 근거로 반에크(VanEck)의 전망을 들 수 있다. 보고서는 2030년까지 AI 관련 크립토 프로젝트의 연간 수익 규모가 기본 시나리오 기준 약 102억 달러에 이를 것으로 예상한다. 특히 성장 동력 중 하나로 영지식 기술을 지목하며, AI 분야의 저작권·데이터 무결성·시스템 안전성(Safety) 문제 해결에 핵심적인 역할을 할 것으로 평가했다. 이 가운데 ‘안전성’ 부문만 약 11억 달러 규모로 추산된다.

이처럼 영지식 기술은 AI 도입에 필수적인 ‘신뢰 인프라(Trust Infrastructure)’로 자리매김하고 있으며, 그 영향력은 앞으로 더욱 커질 것으로 보인다. 장기적으로 영지식 시장은 블록체인의 성장 궤도에서 완전히 분리되어, 자체적인 수요 구조와 경제 논리를 갖춘 독립 시장으로 발전할 것이다.

결국 영지식 기술은 독립적인 시장 규모를 형성할 뿐 아니라, AI, 금융, 헬스케어 등 대규모 산업 전반에서 신뢰 기반의 디지털 상호작용을 가능하게 하는 촉매제로 작동할 것이다. 이러한 흐름은 영지식이 ‘신뢰의 상품화(Commodification of Trust)’를 가속화하고 있음을 보여준다.

제 7장. 잘 지내, 그리고 모든 영지식 증명들에게 고마워!

오랫동안 현실 적용의 기회를 기다려온 영지식 기술에게 블록체인은 서로에게 너무나 잘 맞는 파트너였다. 중개자 없이 신뢰를 구축하고, 모든 과정을 반복 검증해야 하는 이 극한의 환경은 1985년 MIT 연구실에서 태어난 아이디어가 실세계로 들어오는 운명의 무대가 되었다. 그 속에서 우리는 확장성 한계를 돌파한 ZK 롤업과 개인의 자유를 지켜내는 프라이버시 프로토콜을 직접 목격할 수 있었다. 영지식은 이 혹독한 시험대를 통과하며, 수십억 달러 규모의 가치를 지키는 산업 기술로 자리 잡았다.

그러나 영지식 기술의 여정은 더 이상 블록체인 안에서만 머물지 않는다. 이 인큐베이터 속에서 충분히 단련된 기술은 더 넓은 디지털 세상을 향해 나아갈 준비를 마쳤다. 블록체인은 영지식 기술의 가능성을 입증한 ‘첫 번째 킬러 앱’이었지만, 결코 최종 목적지는 아니었다. 영지식의 본질은 “정보를 드러내지 않고 진실을 증명하는 능력”이며, 이는 신뢰가 필요한 모든 디지털 상호작용에 적용될 수 있는 보편적 원리이기 때문이다.

오늘날 zkVM, 증명 및 검증 네트워크 등을 통해 영지식 기술은 블록체인을 넘어 ‘신뢰’ 자체를 생산하는 거대한 신뢰 공장(Trust Factory) 으로 진화하고 있다. 여기에 2025년에만 32억 달러가 넘는 VC 자본이 유입되며, 이러한 기술 혁신이 견고한 산업 인프라로 자리 잡도록 뒷받침하고 있다. 단단해진 기술적 기반과 풍부한 자본을 바탕으로 영지식 기술은 이제 헬스케어와 금융 등 다양한 분야의 산업과 융합할 준비를 하고 있다.

이제 영지식 기술이 향할 다음 무대는 다가오는 AI와 로봇의 시대다. 머지않아 우리는 인간의 직접적인 개입 없이 스스로 판단하고 행동하는 자율적 에이전트(Autonomous Agent)들과 공존하게 될 것이다. 그 시기의 우리의 질문은 다음과 같을 것이다. “우리가 통제하지 않는 이들의 행동을 무엇으로 신뢰할 것인가?”

• 자율주행차는 어떻게 “모든 안전 규정을 준수했다”는 사실을 증명할 수 있을까?

• AI 의사는 의료 알고리즘을 공개하지 않고도 “최신 의학 가이드라인을 따랐다”는 점을 어떻게 보장할 수 있을까?

• AI 금융 에이전트는 독점적인 투자 전략을 공개하지 않으면서, "내부자 정보나 시장 교란 행위 없이 공정한 규정 내에서만 거래를 실행했다"는 것을 어떻게 증명할 수 있을까?

이 질문들에 대한 유일한 수학적 해답은 바로 영지식 증명이다. zkML을 비롯한 영지식 기술은 AI와 로봇의 모든 의사결정과 행동을 ‘검증 가능한 로그’로 만들어내며, 판단 근거와 책임 소재를 명확히 하는 사회적 안전장치(Societal Fail-safe)로 발전하고 있다. 이는 곧 영지식 기술이 디지털 세계를 넘어 물리적 현실의 신뢰까지 확장되고 있음을 의미한다.

물론 이런 미래가 저절로 찾아오는 것은 아니다. 영지식 기술이 보편적 인프라로 자리 잡기 위해서는 여전히 넘어야 할 높은 산들이 앞에 놓여 있다:

• 복잡성의 장벽: 난이도가 높을수록 신뢰가 소수 전문가에게 집중되는 ‘새로운 중앙화’ 위험이 따른다.

• 성능과 보안의 트레이드오프: 단 하나의 결함이 전체 신뢰를 무너뜨릴 수 있다.

• 검증의 한계: 영지식은 계산의 정직성을 보장할 뿐, 그 판단의 윤리까지 규정하지는 못한다.

• 규제의 역설: 정보 은닉의 권한이 사회적 통제와 충돌하게 된다.

따라서 영지식 기술을 단지 ‘블록체인 확장 솔루션’으로 바라보던 시각에서 벗어나야 한다. 우리가 마주하는 산들은 이 기술의 한계가 아니라, 이제 막 시작된 새로운 패러다임이 풀어나가야 할 다음 챕터에 가깝다. 복잡성을 낮추고, 보안을 표준화하며, 기술 철학을 사회적 합의와 조율하는 과정이 영지식 생태계를 더 단단하게 만드는 과정이 될 것이다.

영지식 증명은 디지털 시대에 우리가 ‘진실’을 다루는 방식을 다시 쓰는 ‘새로운 신뢰의 문법(A New Grammar of Trust)’으로 자리하게 될 것이다. 1985년 MIT 연구실의 순수한 호기심에서 출발한 이 아이디어는 이제 잃어버린 프라이버시를 되찾고, 신뢰를 재구성하며, 비효율의 벽을 허무는 기반 기술(Foundational Technology)로 성장하고 있다.

그리고 우리는 지금, 그 거대한 전환의 여정 위에 서 있다.