🌉심화

심화 · 크로스체인

비트코인, 이더리움, 수많은 Layer 2와 기관용 체인까지. 체인은 계속 늘어났다. 그런데 각 체인은 자기 장부만 안다. 이더리움 노드는 비트코인 장부를 검증하지 않고, 그 반대도 마찬가지다. 은행으로 치면, 행간 송금망이 없어서 각자 폐쇄 원장만 운영하는 상황이다.

이 챕터의 질문

서로의 장부를 모르는 두 블록체인 사이에서, 중개자를 신뢰하지 않고 자산을 주고받을 수 없을까?

자산을 옮기는 그림 자체는 단순해요. 원본 체인에 자산을 잠그고, 상대 체인에서 그만큼 발행하면 돼요. 진짜 어려운 건 그다음이에요. 상대 체인이 "원본 체인에 정말 잠겼다"를 어떻게 믿느냐예요.

크로스체인 기술의 역사는 바로 이 검증을 신뢰에 덜 의존하는 쪽으로 줄여온 흐름이에요. 누군가를 믿는 방식에서, 직접 검증하는 방식으로, 끝내 수학으로 증명하는 방식으로요.

① 믿는다공증인·페더레이션② 직접 검증한다라이트 클라이언트·릴레이③ 증명한다ZK 브리지각 단계가 신뢰해야 하는 대상검증인 집단상대 체인 합의수학트러스트리스(탈중앙성) 강해짐온체인 비용·구현 복잡도 커짐
크로스체인의 역사는 검증을 신뢰에 덜 의존하는 쪽으로 줄여온 흐름이다. 트러스트리스로 갈수록 안전하지만, 온체인 비용과 구현 복잡도는 커진다

1. 믿는다: 공증인·페더레이션

가장 단순한 답이에요. 신뢰할 수 있는 제3자, 또는 여러 검증인 그룹이 한 체인의 사건을 관찰하고 다른 체인에서 행동을 취해요. 단일 주체일 수도 있고, 멀티시그 기반의 페더레이션(연합)일 수도 있어요.

구현이 단순하고 빠른 게 장점이에요. 대신 그 검증인 집단을 신뢰해야 하니, 거기가 보안의 약점이 돼요. 초기 거래소 연동이나 페더레이티드 브리지가 여기 해당해요.

2장에서 본 멀티시그·MPC가 보통 이 검증인들의 키 관리에 쓰여요. 1장의 "단일 신뢰 지점" 문제가 크로스체인에서 되살아나는 지점이기도 해요. 빠르고 싸지만, 결국 그 집단이 무너지면 끝이거든요.

2. 직접 검증한다: 라이트 클라이언트·릴레이 (Light Client·Relay)

신뢰 집단을 없애려면, 상대 체인을 내가 직접 검증하면 돼요. 대상 체인의 스마트 컨트랙트 안에 상대 체인의 라이트 클라이언트(Light Client, 경량 클라이언트) 를 구현해서, 블록 헤더와 머클 증명을 직접 확인하는 방식이에요.

3장에서 본 블록 해시 연결 구조 덕에, 전체 장부 없이 헤더만으로도 "이 트랜잭션이 그 블록에 포함됐다"를 검증할 수 있어요. 외부 신뢰가 거의 필요 없어 가장 트러스트리스(Trustless)에 가깝죠. 대신 온체인 검증 비용(가스)이 크고 구현이 복잡해요. 대표적으로 Cosmos의 IBC, BTC Relay, NEAR Rainbow Bridge가 있어요.

여기서 릴레이어(Relayer) 의 역할을 오해하기 쉬운데, 릴레이어는 블록 헤더와 머클 증명을 전달만 해요. 진위 판단은 라이트 클라이언트 컨트랙트가 직접 하기 때문에, 릴레이어가 거짓 데이터를 넣어도 검증에서 걸러져요. 그래서 릴레이어 자체는 신뢰하지 않아도 되고, 신뢰의 뿌리는 상대 체인의 합의에 있어요.

상대 체인블록 헤더 + 트랜잭션블록 헤더+ 머클 증명릴레이어 (Relayer)데이터만 전달검증 안 함 · 신뢰 불필요제출검증하는 체인라이트 클라이언트(Light Client) 컨트랙트✓ 헤더·머클 증명 직접 검증상대 체인 합의만 신뢰전달자(릴레이어)는 신뢰하지 않는다. 컨트랙트가 상대 체인 합의로 직접 검증
릴레이어는 블록 헤더와 머클 증명을 전달만 한다. 진위는 검증하는 체인의 라이트 클라이언트 컨트랙트가 직접 확인하므로, 릴레이어를 신뢰하지 않아도 된다

이 "직접 검증"을 가장 강하게 밀어붙인 사례가 L2 브리지예요. Layer 2 챕터에서 본 L1↔L2 자산 이동인데, 별도 중계자 없이 L1이 자기 위에 올라간 L2의 상태를 직접 검증해요(사기 증명 또는 유효성 증명으로). 같은 "브리지"라는 이름이라도, 검증인에 의존하는 방식과 L1이 상대 체인의 상태를 직접 검증하는 방식은 신뢰 가정이 완전히 다르기 때문에, 후자가 훨씬 더 강한 보안을 제공해요.

L1 메인넷L2 (Rollup)입금 (L1 → L2)L1 브리지에 Lock원본 자산을 잠금잠긴 만큼만발행L2에서 Mint (발행)L2용 토큰 생성출금 (L2 → L1)L2에서 Burn (소각)L2용 토큰 파기L1이 직접 검증 후잠금 해제L1에서 Unlock잠겼던 원본 반환중계자 신뢰 불필요: L1이 L2 상태를 증명으로 직접 검증
L2 브리지도 Lock & Mint / Burn & Unlock 구조는 같다. 다만 중계자에게 맡기는 대신 L1이 L2 상태를 직접 검증한다(사기·유효성 증명). 믿어야 할 대상이 줄어 더 안전하다

3. 증명한다: ZK 브리지

라이트 클라이언트는 안전하지만 무거웠어요. 그 보안을 유지하면서 비용을 낮추는 게 ZK 방식이에요. 프라이버시·Layer 2 챕터에서 본 영지식 증명으로, 상대 체인의 상태를 효율적이면서도 트러스트리스하게 검증해요.

"상대 체인이 이 상태였다"는 걸 작은 증명 하나로 압축해서 제출하면, 받는 쪽은 그 증명만 수학적으로 검증하면 돼요. 라이트 클라이언트의 보안성을 유지하면서 온체인 비용을 낮추는 차세대 방식으로 주목받고 있어요. Polyhedra zkBridge, Succinct 등이 있어요.

4. 자산은 실제로 어떻게 옮겨지나

검증 방식이 "믿어도 되나"를 푼다면, 실제로 자산을 옮기는 건 별개의 메커니즘이에요. 크게 네 가지예요.

메커니즘방식특징
락앤민트 / 번앤릴리즈원본 잠그고 래핑 토큰 발행, 돌아올 땐 소각 후 해제가장 널리 쓰임 (예: WBTC)
유동성 풀양쪽 풀 간 스왑으로 처리, 래핑 자산 없음즉시성 좋음 (Stargate, Hop)
아토믹 스왑 (HTLC)해시락+타임락으로 원자적 교환완전 트러스트리스, 범용성 낮음
사이드체인 양방향 페그메인체인↔사이드체인에 페그 설정Liquid, RSK

가장 흔한 건 락앤민트예요. 원본 체인에 자산을 잠그고(Lock), 상대 체인에서 그만큼 래핑 토큰을 발행(Mint)해요. 돌아올 때는 래핑 토큰을 소각(Burn)하고 원본을 풀어줘요(Release). 잠긴 만큼만 발행되니 총량이 보존돼요.

원본 체인상대 체인입금 (peg-in)브리지 컨트랙트에 Lock원본 자산을 잠금 (예: BTC)잠긴 만큼만발행 지시대응 자산 Mint (발행)래핑 토큰 생성 (예: WBTC)출금 (peg-out)대응 자산 Burn (소각)래핑 토큰 파기 (예: WBTC)소각 증명 확인 후잠금 해제원본 체인에서 Unlock잠겼던 원본 자산 반환총량 보존: 잠긴 만큼만 발행, 소각 없이는 못 푼다
입금은 원본을 잠그고 상대 체인에 발행(Lock & Mint), 출금은 소각 후 잠금 해제(Burn & Unlock). 잠긴 만큼만 발행되어 총량이 보존된다 (예: WBTC)

신뢰가 필요한 정도로 따지면 정반대 끝에 아토믹 스왑(HTLC) 이 있어요. 락앤민트가 발행을 맡는 주체(수탁기관·브리지)를 믿어야 한다면, 아토믹 스왑은 중개자도 래핑 토큰도 없이 두 당사자가 서로 다른 체인의 자산을 원자적으로(둘 다 성사 또는 둘 다 취소) 맞교환해요. 누구를 믿을 필요가 없는 방식이에요.

HTLC(Hashed Timelock Contract) 는 두 가지 잠금장치를 써요. 해시락은 비밀값 s를 아는 사람만 자산을 가져가게 하고(컨트랙트에는 해시값 H(s)만 공개), 타임락은 기한 안에 아무 일도 없으면 자산을 원래 주인에게 자동 반환해요. 철수가 s를 공개해 상대 자산을 가져가는 순간, 그 s가 체인에 드러나 상대도 자산을 가져가요. 완전히 트러스트리스하지만, 양쪽이 동시에 온라인이어야 하고 1:1 상대를 직접 찾아야 해서 범용성이 떨어져요. 라이트닝 네트워크가 이 원리를 써요.

Bitcoin 체인Ethereum 체인철수비밀값 s 생성해시 H(s) 계산① BTC 잠금BTC Lock (HTLC)조건: H(s) 일치 + TimelockH(s) 공개 (s는 비밀)영희같은 H(s) 사용② ETH 잠금ETH Lock (HTLC)조건: H(s) 일치 + Timelock③ 철수가 s 공개ETH 수령④ 영희가 공개된 s로BTC 수령s가 공개되는 순간 양쪽이 동시에 성사: 둘 다 성사 또는 둘 다 무산한쪽이 멈추면 Timelock 만료 후 각자 원래 자산 자동 환불제3자 중개인 없이 두 체인에서 직접 교환 (HTLC: Hashlock + Timelock)
비밀값 s와 해시락 H(s)로 묶인 교환. 둘 다 성사되거나 둘 다 무산된다(Atomic). 멈추면 Timelock이 자동 환불한다

5. 토큰을 넘어: 범용 메시지 패싱

지금까지가 "자산"을 옮기는 이야기였다면, 한 단계 위에는 토큰뿐 아니라 임의의 데이터와 함수 호출까지 체인 간에 전달하는 인프라가 있어요. 범용 메시지 패싱이에요.

이 레이어는 앞에서 본 검증 방식들(공증인·라이트 클라이언트·ZK)을 내부적으로 채택해서 동작해요. 그 위에서 크로스체인 DeFi나 NFT 같은 복합 애플리케이션을 만들 수 있고요. LayerZero, Wormhole, Axelar, Chainlink CCIP, Cosmos IBC 등이 여기 속해요.

애플리케이션크로스체인 DeFi · NFT · 거버넌스토큰 + 데이터 + 함수 호출 전달범용 메시지 패싱LayerZero · Wormhole · Axelar · CCIP · IBC검증을 내부적으로 채택검증 방식공증인 · 라이트 클라이언트 · ZK
범용 메시지 패싱은 토큰뿐 아니라 데이터와 함수 호출까지 전달하는 상위 레이어다. 검증은 앞의 방식들을 내부적으로 채택해 처리한다

마무리: 무엇을 신뢰할 것인가

크로스체인의 핵심 트레이드오프는 보안(탈중앙성) ↔ 비용 ↔ 속도/범용성의 삼각관계예요. 공증인 방식은 빠르고 싸지만 신뢰 의존이 크고, 라이트 클라이언트와 ZK는 가장 안전하지만 무거워요. 실제 브리지들은 보통 이 방식들을 조합해서 써요.

검증 방식신뢰 대상비용·복잡도
공증인·페더레이션검증인 집단 (멀티시그·MPC)낮음
라이트 클라이언트·릴레이상대 체인 합의만높음
낙관적(Optimistic)감시자 + 이의 제기 기간중간 (출금 지연)
ZK 브리지수학검증은 가벼움
📚 참고자료 보기