ERC-8004: AI 에이전트가 서로를 신뢰하는 메커니즘의 설계 사상

AI 에이전트끼리 대화하게 만드는 메커니즘은 이미 갖춰져 있다. Google의 A2A(Agent-to-Agent, 에이전트끼리 직접 상호작용하기 위한 프로토콜)나, Anthropic 유래의 MCP(Model Context Protocol, 모델에 외부 도구 및 데이터를 연결하는 규격)가 그것이다. 둘 다 구현이 널리 진행되고 있다.

하지만 이것들이 규정하고 있는 것은 "어떻게 말할 것인가"일 뿐, "눈앞의 에이전트가 누구이며, 신뢰해도 좋은가"에 대해서는 아무것도 결정하지 않았다. 처음 만난 상대에게 일을 맡겨도 될지를 에이전트는 어떻게 판단해야 하는가. 이 공백을 채우려는 것이 ERC-8004(Trustless Agents, 2026년 1월에 Ethereum mainnet에서 가동된 규격)이다.

이 기사는 ERC-8004의 사양을 처음부터 설명하지 않는다. 대신, "만약 내가 낯선 에이전트끼리 신뢰를 확립하는 메커니즘을 제로 베이스에서 설계한다면 무엇이 필요할까"를 독자와 함께 구성해 나간다. 그 후에, 내가 내놓은 답과 ERC-8004의 실제 선택을 대조해 나간다. 다 읽을 때쯤이면 ERC-8004의 사양에 나열된 용어들이 "스스로 도출한 개념에 붙여진 이름"이 되어 있을 것이다.

1. 처음 만난 에이전트를 신뢰하려면 무엇이 필요한가

구체적인 상황부터 시작하자. 당신이 운용하고 있는 에이전트가 처음 만나는 다른 에이전트에게 번역 태스크를 외주 주려고 한다. 상대에 대해서는 아무것도 모른다. 이름도, 과거도, 누가 만들었는지도 모른다.

여기서 잠시 멈춰서 생각해 보길 바란다. 무엇이 있다면, "이 에이전트에게 맡겨도 좋다"라고 판단할 수 있을까.

아마 가장 먼저 필요해지는 것은, 그 에이전트가 과거에 다른 누구와 어떤 거래를 했고 어떻게 평가받았는지에 대한 이력일 것이다. 여러 의뢰인이 "10번 부탁했는데 10번 모두 정확했다"라고 말한다면 맡길 마음이 생긴다. 이것이 첫 번째 요소, 과거 평가의 축적이다.

하지만 곧바로 다음 의문이 생긴다. 그 평가 자체가 조작된 것이 아니라고 어떻게 믿을 수 있는가. 에이전트가 스스로 가짜 의뢰인을 100개 만들어내어 자신에게 만점을 주는 것은 기술적으로 간단하다. 따라서 두 번째 요소로, 평가가 진짜라고 믿을 수 있는 근거가 필요하다.

여기에 한 단계가 더 있다. 평가는 결국 의뢰자의 주관이다. "만족했다"와 "결과물이 객관적으로 옳다"는 별개의 문제이기 때문이다. 그래서 세 번째 요소로, 이해관계가 없는 제삼자가 용역과 대가의 타당성을 검증해 주는 메커니즘이 있다면 강력할 것이다.

여기까지에서 많은 사람은 세 가지를 꼽고 만족한다. 하지만 결정적인 전제 하나가 빠져 있다.

위의 세 가지는 모두 "이 에이전트"를 모호함 없이 지칭할 수 있다는 것을 암묵적으로 전제하고 있다. "10번 모두 정확했다"라고 말할 때, 그 10번이 동일한 에이전트에 대한 것이라고 무엇을 가지고 보증할 것인가. 상대를 일의적으로 지칭하는 이름이 우선 없다면, 평가도 검증도 공중에 붕 뜬다.

이는 놓치기 쉬운 맹점이지만, 인류는 역사적으로 같은 순서를 밟아왔다. 중세 상인이 낯선 상대와 거래를 시작했을 때, 가장 먼저 정비된 것은 상인 길드(Merchant Guild)에 대한 등록이었으며, 신용장이었다. "누구인가"를 고정하는 제도는 평판의 교환보다 나중에, 그러나 필수적인 것으로 등장했다. 식별이 평판에 앞서는 것이 아니라, 평판이 쌓이고 나서야 비로소 "식별을 고정할 필요성"을 절감하게 된다는 순서다.

정리하자면, 낯선 에이전트끼리 신뢰를 확립하려면 최소한 다음 네 가지가 필요하다.

• 그 에이전트를 일의적으로 지칭할 수 있는 **식별자(Identifier)**가 존재할 것
• 그 에이전트가 과거에 어떻게 평가받아 왔는지에 대한 **평판(Reputation)**이 축적되어 있을 것
• 그 평판이 조작되지 않았다고 믿을 수 있는 **진위성의 근거(Proof of Authenticity)**가 있을 것
• 이해관계가 없는 제삼자가 개별 실행을 검증하는 **검증 메커니즘(Validation Mechanism)**이 있을 것

여기서 비로소 ERC-8004의 용어를 붙인다. ERC-8004는 이 중 식별·평판·검증의 세 가지를 세 개의 독립된 on-chain registry(온체인 등록부)로서 구현하고 있다. Identity Registry가 "누구인가"를, Reputation Registry가 "어떻게 평가받아 왔는가"를, Validation Registry가 "개별 실행이 올바랐는가"를 담당한다. 남은 하나, 평판의 진위성은 독립된 registry를 갖지 않고 Identity와 Reputation의 설계 그 자체에 녹아들어 있다. 왜 독립된 층으로 만들지 않았는지는 이후 섹션에서 복선으로 작용할 것이므로, 여기서는 일단 남겨두겠다.

다음 절부터는 이 세 가지를 하나씩 다시 설계해 나갈 것이다. 우선, 가장 간과하기 쉬웠던 "식별자 (Identifier)"부터 시작한다. 이를 블록체인 상에서 구현한다면 어떤 성질을 가져야 할까.

2. "누군가"를 어떻게 고정할 것인가 — identity의 성질

전 절의 마지막에서 질문을 하나 남겼다. 에이전트를 유일하게 가리키는 식별자를 블록체인 상에서 구현한다면 어떤 성질을 가져야 하는가.

먼저 소박한 후보들을 나열해 보자. 이메일 주소는 어떠한가? 이는 발행처의 이메일 서버에 의존하며, 운영자가 계정을 중단하면 사라진다. 호스트 네임도 마찬가지로, 도메인 관리자나 레지스트라 (Registrar)가 박탈할 수 있다. 그렇다면 인간이 읽을 수 있는 이름 그 자체는 어떠한가? 이는 충돌이 발생한다. 같은 이름을 자처하는 다른 에이전트를 막을 수단이 없기 때문이다.

이들에게 공통적으로 부족한 것은, "그 에이전트만이 해당 식별자의 소유자임을 증명할 수 있다"는 성질이다. 제삼자가 박탈할 수 없고, 타인이 사칭할 수 없어야 한다. 여기까지 범위를 좁히면 답은 거의 하나로 수렴한다. 특정 비밀키 (Private Key)를 가진 자만이 만들 수 있는 서명 (Signature)으로 식별자의 지배를 증명하는 형태다. 이는 Ethereum이 처음부터 채택하고 있는 발상으로, "주소 (키의 공개 측)가 곧 아이덴티티 (Identity)이다"라는 사고방식 그 자체이다.

하지만 이것만으로는 한 가지 곤란한 점이 있다. 비밀키는 아무리 주의하더라도 확률적으로 언젠가는 유출된다. 유출되는 순간 식별자째로 탈취되어, 그때까지 쌓아온 평판 (Reputation)이 타인의 것이 된다면 설계로서 너무나 취약하다. 그래서 다음의 요구사항이 나온다. 식별자 자체는 고정한 채, 인증에 사용하는 키는 교체할 수 있어야 한다는 것이다. 평판을 쌓아가는 대상인 "이름"과 본인성을 증명하는 "키"는 별개의 층으로 분리되어 있어야 한다.

여기까지 식별자의 골격은 보였다. 하지만 또 하나의 무거운 논점이 남아 있다. 그 식별자는 양도할 수 있어야 하는가.

양도할 수 있어야 한다는 측과 양도할 수 없어야 한다는 측 양쪽 모두에 타당한 논거가 있다.

양도할 수 없어야 한다는 측은 이렇게 말한다. 식별자가 매매될 수 있다면, 높은 평판을 축적한 식별자를 다른 사람이 구매하여 그 평판을 그대로 이어받은 채 운영할 수 있게 된다. 평판은 "내부의 사람"이 행한 행동의 기록이어야 하는데, 식별자가 내부의 사람으로부터 분리되어 평판 세탁 (Reputation Laundering)이 성립되어 버리는 것이다. 식별자는 영혼처럼 그 주체로부터 떼어낼 수 없는 것, 이른바 소울바운드 (Soulbound, 양도할 수 없는 것)여야 한다고 주장한다.

양도할 수 있어야 한다는 측은 이렇게 말한다. 에이전트를 운영한다는 사업은 현실에서 매매된다. 소프트웨어는 제작자나 운영자가 바뀌는 것이 일반적이며, 식별자를 양도 가능한 자산으로 만든다면 가치 있는 식별자를 육성하는 데 경제적 동기가 생긴다. 사업째로 식별자를 승계할 수 없는 편이 오히려 부자연스럽다고 주장한다.

이 대립은 2022년 Vitalik이 soulbound에 관한 논고를 발표한 이래로 결론이 나지 않았다. Ethereum 전체에 걸쳐 이어지는 미결된 논쟁인 것이다.

그렇다면 ERC-8004는 어느 쪽을 선택했을까. 사양은 식별자를 ERC-721의 NFT, 즉 양도 가능한 것으로 구현했다. tokenId가 agentId (에이전트 번호)가 되고, 해당 NFT를 소유한 주소가 조작 권한을 가지며, agentURI라고 불리는 필드가 능력이나 접속처를 적은 오프체인 (Off-chain) 등록 파일을 가리킨다. 앞서 분리가 필요하다고 언급한 "키의 교체"는, 별도로 서명된 결제용 지갑의 메타데이터를 업데이트하는 메커니즘으로 마련되어 있다. 정리하자면, ERC-8004의 식별자는 세 개의 층으로 나뉘어 있다. tokenId는 불변의 이름이며, 인증에 사용하는 지갑은 교체할 수 있고, 소유권은 NFT로서 이전할 수 있다.

여기서 트레이드오프 (Trade-off)를 살펴본다. 사양은 soulbound를 채택하지 않았다. 이는 "평판 세탁의 리스크를 받아들이는 대신, 에이전트 사업을 매매 가능한 자산으로 만든다"는 도박이다. 다만, 평판 세탁에 대해 완전히 무방비한 것은 아니다. NFT의 이전 이력은 체인 상에 남기 때문에, 읽는 이는 "이 식별자는 최근 다른 소유자에게 넘어갔다"는 것을 인지할 수 있다. 은폐가 불가능하다는 점만이 유일한 제어 장치다. 설계자는 평판 세탁을 금지하는 대신, 이를 가시화한 상태에서 판단을 읽는 이에게 맡기는 쪽을 택했다고 읽을 수 있다. 이 설계는 X나 Instagram이 계정 표시 이름의 변경 "사실"은 표시하지만, 과거의 계정 이름은 현재 표시하지 않는 설계와 유사하며, 레퓨테이션 (Reputation)과 프라이버시의 균형, 그리고 평판의 비영속성을 통한 신진대사 촉진의 균형을 맞추고 있다고도 할 수 있다.

그리고 이 선택은 곧바로 다음의 질문을 불러일으킨다. 식별자 (Identifier)를 양도할 수 있다면, 운영 주체가 바뀌었을 때 그때까지 쌓아온 평판은 도대체 누구의 것인가. 평판은 식별자에 붙어 있는 것인가, 아니면 다른 어딘가에 저장되어 있는 것인가. 다음 절에서는 이 부분을 깊이 파고든다.

3. 평판은 누구에게 쌓이는가 — 비즈니스 (business)와 에이전트 (agent)의 분리

앞 절의 마지막에 남겨둔 질문을 좀 더 구체화해 보자. 어떤 에이전트 A가 3년에 걸쳐 천 건의 높은 평가를 쌓아왔다고 가정하자. 어느 날 운영자가 은퇴하고, A의 식별자 (NFT)를 다른 인물 B가 매수하여 동일한 이름과 평판 그대로 운영을 이어간다. 이때 새로운 의뢰인 C는 A가 쌓은 천 건의 평가를 그대로 믿어도 괜찮은 것일까.

여기서 잠시 멈춰 서길 바란다. 많은 사람은 이 장면에서 무언가 석연치 않은 느낌을 받을 것이다. 만약 B가 A의 평판을 고스란히 물려받을 수 있다면, "평판이 높기 때문에 신뢰할 수 있다"라는 연결 고리가 너무나 쉽게 끊어져 버리기 때문이다.

이 위화감을 해소하기 위한 논리로서, 우선 하나의 가설을 세울 수 있다. 애초에 "평판"은 단일한 덩어리가 아닐지도 모른다는 가설이다. 사업으로서의 평판과 에이전트 그 자체의 평판은 서로 다른 곳에 저장되어 있다고 나누어 생각하는 것이다. 브랜드, 고객 기반, 제공해 온 서비스의 실적과 같은 사업의 평판은 확실히 사업과 함께 이전될 수 있다. 반면, 에이전트 그 자체의 평판은 해당 에이전트가 무엇을 최적화하려고 해왔는지, 즉 목적 함수 (Objective Function)나 행동 이력에 저장되어 있으며, 이는 떼어낼 수 없다. 하나의 에이전트 아래에 이전 가능한 사업이나 금전적 가치가 여러 개 매달려 있는 구조 (일대다 구조)를 고려하면, 매달려 있는 것들은 양도 가능하더라도 에이전트 자신의 평판은 양도 불가능하다고 정리할 수 있다. 여기까지는 상당히 깔끔하게 나누어져 있는 것처럼 보인다.

하지만 이 분리는 그 자체에 의해 반증된다. 사업의 운영자가 바뀌면 사업 또한 반드시 바뀌기 때문이다. 운영자의 영향을 전혀 받지 않는 사업이란 현실에 존재하지 않는다. 그렇다면 에이전트와 그 소유자 또는 소유물, 연결된 금전적 가치는 사실 그렇게 깔끔하게 분리될 수 없다. 앞서 말한 "깔끔하게 나누어져 있다"는 것은 깊이 파고들면 무너지고 만다. 더 나아가 에이전트의 소유물이 바뀌면 에이전트 자체 (개체)도 반드시 변질된다. 이 문제는 개체와 그 속성 정보의 불가분성이라는, 예로부터 답이 없었던 영원한 질문을 투영하고 있으며, 테세우스의 배 (모든 부품을 교체한 배를 같은 배라고 할 수 있는가라는 고전적인 동일성 패러독스)와 같은 구조를 띠고 있다. 카모노 초메이의 『호조키 (方丈記)』 서두도 같은 내용을 다른 언어로 말하고 있다. "가는 강물은 끊임없이 흘러, 결코 원래의 물이 아니다. 고인 물에 떠다니는 물거품은 생겼다 사라지기를 반복하며, 오래 머무는 법이 없다." 강이라는 이름은 연속되지만, 그곳을 흐르는 물은 단 한 순간도 같지 않다. 에이전트의 동일성 또한 이와 조금도 다를 바 없는 구조를 가지고 있다.

에이전트가 모델이라고 할 때, 가중치 (Weight)를 아주 조금 미세 조정했다면 그것은 같은 에이전트인가. 목적 함수의 표현이 조금 바뀌었다면 어떠한가. 어느 날 아키텍처 (Architecture)가 통째로 다른 것으로 교체되었지만 행동은 이전과 다르지 않다면 어떠한가. 어디에도 명확한 선을 그을 수는 없다. 그나마 그을 수 있는 것은 "같은 에이전트이지만, 조금 변화한 에이전트다"라는 정도의 표현뿐이다.

그렇다면 결론은, 동일성은 외부로부터 확률적으로만 확인할 수 있다는 지점에 도달한다. 여러 특징을 조금씩 조합하여, 전체로서 "아마도 같은 주체일 것이다"라는 확신도를 쌓아 올릴 수밖에 없다. 이는 새로운 이야기가 아니라, 현실의 인간 본인 확인 (Identity Verification)이 이미 그렇게 이루어지고 있다. 인간은 소유하고 있는 것, 생체 정보, 기억이나 지식을 조합하여 본인성을 확인한다. 그중 어느 하나를 취하더라도 궁극적으로는 확률적이다. 지문조차 복제될 가능성이 있다. 단일한 "진리의 근원"은 존재하지 않으며, 여러 신호 (Signal)로부터 확신도를 쌓아 올리고 있을 뿐이다.

여기서 ERC-8004의 입장과 연결된다. 이 사양은 "이 에이전트는 과거의 저 에이전트와 동일하다"라고 보증하는 것을 처음부터 떠맡지 않는다. 대신 식별자(Identifier)인 NFT와 그 이전 이력, 능력을 기술한 등록 파일, 쌓여온 평가, 제삼자의 검증 기록이라는 복수의 시그널 (Signal)을 제공한다. 그리고 그것들을 어떻게 가중치를 두어 "신뢰해도 좋은가"를 확률적으로 판단할지는 읽는 이에게 맡긴다. 전절에서 언급한 "이전 이력이 체인 위에 남는다"라는 성질도 바로 이 복합 시그널 중 하나로서 작용하고 있다. 사양의 해답은 동일성을 프로토콜 내부에서 판정하지 않는 것, 그리고 시그널을 노출시킨 상태에서 확신도의 계산을 소비자 측에 넘기는 것이다. 이는 인간이 인간의 본인성 (Personhood)에 대해 이미 취하고 있는, 확률적이고 복합적인 태도 그 자체이다.

이러한 태도에는 대가가 따른다. 높은 평판을 가진 식별자는 구매될 수 있으며, 구매자는 "지울 수는 없지만 보이는" 이력과 함께 그것을 승계한다. 읽는 이는 그 이력을 스스로 가중치 있게 다뤄야 하는 노력을 감수해야 한다. 그러면 당연히 다음 질문이 생긴다. 복수의 평가 시그널을 도대체 어떻게 하나의 사용 가능한 판단으로 모아야 하는가. 다음 절에서는 이 집약 그 자체가 안고 있는 까다로움을 파헤친다.

4. 평판을 어떻게 집약할 것인가 — trilemma

전절의 마지막에서 질문을 남겼다. 복수의 평가 시그널을 어떻게 하나의 사용 가능한 판단으로 모아야 하는가.

구체적인 숫자로 생각해 보자. 어떤 에이전트에게는 의뢰자가 100명 있고, 5단계 평가의 평균이 4.5였다. 다른 에이전트는 의뢰자가 3명이고, 평균이 4.8이었다. 당신의 에이전트는 어느 쪽에 일을 맡겨야 할까.

여기서 잠시 멈춰 서길 바란다. 많은 사람은 즉답하지 못하고 조금 망설일 것이다. 그리고 그 망설임의 정체는 "4.5와 4.8은 애초에 비교할 수 있는 숫자인가"라는 의구심에 있다. 건수가 다르고, 평가한 사람이 다르며, 평가된 맥락이 다르다. 똑같은 "5단계 평균"이라는 얼굴을 하고 있어도, 두 숫자는 같은 운동장에 올라와 있지 않다.

그렇다면 어떻게 집약해야 운동장에 올릴 수 있을까. 소박한 책략들을 차례로 없애 나가 보자.

첫 번째 책략은 모든 평가를 동등하게 취급하여 평균을 내는 것이다. 하지만 이는 즉시 파탄 난다. 에이전트가 가짜 의뢰자를 100개 만들어내어 자신에게 만점을 준다면, 평균은 얼마든지 올라갈 수 있다. 한 표의 무게가 모두 같다면, 표를 양산할 수 있는 자가 승리한다. 이는 Sybil 공격 (Sybil Attack, 가짜 identity를 대량으로 만들어 다수인 것처럼 가장하는 공격)이라 불리는, 평판 시스템의 고전적인 패배 방식이다.

두 번째 책략은 평가자의 신뢰도로 가중치를 두는 것이다. 신뢰할 수 있는 평가자의 한 표는 무겁게, 정체를 알 수 없는 평가자의 한 표는 가볍게 만든다. 직관적으로는 옳다. 학술 논문의 peer review (동료 검토)에서 "누가 검토했는가"가 결론의 무게를 결정하는 것과 같은 발상이다. 그런데 이 책략은 또 다른 병폐를 부른다. "누구의 평가를 무겁게 볼 것인가"를 결정하는 순간, 신뢰받는 평가자에게 권위가 집중되고, 그 평가자에게 높게 평가받은 자가 더욱 신뢰를 모으는 정적 피드백 (Positive Feedback)이 돌기 시작한다. 강한 자가 점점 더 강해지고, 신규 진입자는 평가의 입구에 영원히 설 수 없게 된다. 일본으로 치면 골동품이나 예술 분야의 "감식가", 혹은 가문 중심의 제도(家元制度)가 그러하다. 무언가를 정통이라고 인정하는 권위가 기존의 가문에 집중되어, 외부에서 온 자는 그 가문의 인정을 거치지 않는 한 운동장에조차 올라올 수 없다. 가중치 부여는 공정함을 위한 장치처럼 보이지만, 구조적으로는 권력의 고정 장치가 된다.

세 번째 책략은 아예 집약을 포기하고 모든 생(raw) 평가를 그대로 보여주는 것이다. 하지만 이 역시 막다른 길이다. 수신자는 그것을 다 처리할 수 없다. 그리고 더 본질적인 문제가 있다. 평가 시스템의 존재 가치는 바로 집약 그 자체에 있다. 다수의 평가를 하나의 판단으로 접어주기 때문에 의미가 있는 것이며, 접는 것을 포기한다면 그것은 더 이상 평판 시스템이 아니라 그저 평가 데이터의 더미에 불과하다.

세 가지 책략은 각각 다른 방향으로 무너진다. 도식화하면 다음과 같다.

평판 집약 trilemma
(A) 동등하게 집약
Sybil 공격으로 즉사
...

여기서 일어나고 있는 것은 "중립적이며 만인이 납득할 수 있는 집약 규칙은 존재하지 않는다"라는, 훨씬 더 뿌리 깊은 불가능성이다. 다수의 선호를 하나로 묶는 규칙은 반드시 어딘가의 공정성을 배신한다는 사회적 선택 이론 (Social Choice Theory, Arrow의 불가능성 정리로 대표되는 선호 집약의 한계를 둘러싼 이론)이 보여준 것과 같은 냄새가 나는 문제다. 평판의 집약은 기술의 문제처럼 보이지만, 그 바닥은 사회적 선택의 문제와 맞닿아 있다.

그렇다면 ERC-8004는 이 trilemma(트릴레마)를 어떻게 해결했을까. 답은, 해결하지 않았다는 것이다. 사양(Specification)은 집약 규칙을 스스로 내부에 갖지 않는다. 집약을 사양의 외부로 밀어냈다. 체인(Chain) 위에 올리는 것은 가공되지 않은 평가(점수와 태그)와 상세 정보를 가리키는 포인터뿐이다. "누구의 평가를 믿을 것인가"는 평가를 읽어오는 측이 clientAddresses(신뢰하는 평가자 주소의 집합)로서 명시적으로 지정하지 않으면, 요약조차 돌아오지 않도록 설계되어 있다. 가중치 부여도, 집약 알고리즘도, 집약기 자체의 신뢰성도, 모두 사양의 바깥쪽, 즉 off-chain(오프체인)의 평판 집약 서비스가 각자의 방식대로 해결할 영역으로 남겨두었다.

이는 언뜻 보기에 "규격임에도 불구하고 가장 중요한 부분을 아무것도 결정하지 않았다"라고 비춰질 수 있다. 하지만 호의적으로 읽는다면 이렇게도 말할 수 있다. 집약 규칙을 사양에 고정하면 그 규칙이 유일한 정통이 되고, 프로토콜 자체가 특정 가치 판단에 종속된다. 의도적으로 결정하지 않음으로써 토대는 중립적으로 유지되며, 여러 집약기가 각기 다른 방식으로 경쟁하는 시장이 열린다. 결정하지 않는 것이 여기서는 설계 판단인 것이다.

그렇다고는 해도, 이 답변은 아직 평판의 영역 내에 머물러 있다. 평판은 결국 의뢰자의 주관이 모인 것이다. "만족했다"라는 평가를 아무리 정교하게 집약하더라도, "그 개별 결과물이 객관적으로 옳았는가"에는 도달할 수 없다. 그렇기에 ERC-8004에는 평판과는 별개로 또 하나의 층(Layer)이 필요하다. 다음 절에서는 왜 제삼자에 의한 검증이 독립된 층으로서 필요한지를 파헤쳐 본다.

5. 왜 제삼자 검증이 별도로 필요한가 — Reputation(평판)과 Validation(검증)

전절까지 평판의 집약에 대해 끊임없이 논해 왔다. 여기서 소박한 의문이 생길 것이다. 평판이 어느 정도 기능한다면 그것으로 충분하지 않은가? 왜 ERC-8004는 평판과는 별개로 "검증"이라는 세 번째 층을 굳이 세우는 것인가.

먼저 평판만으로는 돌아가지 않는 상황을 하나 들어보겠다. 어떤 에이전트가 지난 3년 동안 천 건의 거래에서 높은 평가를 유지해 왔다고 가정하자. 하지만 오늘 당신이 의뢰한 번역이 치명적으로 오역되어 있다면 어떨까? "평판이 높다"는 사실은 "지금 받은 이 결과물이 옳다"는 것을 무엇 하나 보장하지 않는다. 실력이 좋은 의사라도 특정 한 번의 진단을 틀릴 수 있다. 종합 성적과 개별 건의 정확성은 별개의 문제다.

반대의 경우도 성립한다. 어떤 개별 출력이 제삼자의 검사를 통해 "객관적으로 옳다"고 확인되었다 하더라도, 그것이 "이 에이전트와 지속적으로 거래할 가치가 있는가"까지는 알려주지 않는다. 단 한 번의 정답이 다음 정답을 약속하지는 않는다.

즉, 평판과 검증은 서로 다른 두 가지 질문에 답하고 있다. 나란히 놓고 보면 그 성질의 차이가 명확해진다.

구분	평판 (Reputation)	검증 (Validation)
입도 (Granularity)	다수의 거래를 집약한 종합	개별 태스크 한 건
...	...	...

이 보완 관계는 금융 현장을 안다면 익숙할 것이다. 트레이더를 고용할 때 지난 3년의 통산 성적(평판에 해당)만으로는 판단할 수 없다. 그 성적이 제대로 된 약정 집행을 통해 얻어진 것인지는 개별 거래의 집행 감사(검증에 해당)를 확인하지 않으면 알 수 없기 때문이다. 반대로 개별 약정이 최선 집행을 따랐다고 확인되더라도, 장기적인 전략에 베팅할 가치가 있는지는 통산 성적을 확인하지 않으면 알 수 없다. 일본의 제조업에 비유하자면, 노포가 오랜 세월 쌓아온 노렌(暖簾, 종합적인 신용)과 납품할 때마다 제삼자가 한 품목씩 수행하는 검품(개별적인 객관 검사)이 각각 별개의 역할로 둘 다 필요하다는 구도와 겹친다. 한쪽만으로는 거래 상대방으로서의 신뢰가 구축되지 않는다.

그렇다면 ERC-8004는 이 검증층을 어떻게 구현했을까. 사양은 검증을 의뢰하는 창구(validationRequest)와 검증자가 결과를 반환하는 창구(validationResponse)를 마련하고, 결과를 0에서 100 사이의 수치로 나타낸다. 하나의 검증 요청에 대해 여러 검증자가 응답해도 좋으며, 동일한 요청에 단계적으로 확신도가 다른 응답을 겹칠 수도 있다. "우선적인 확인"과 "확정적인 확인"을 태그로 구분하는 식의 사용법이다.

다만 여기서도 ERC-8004는 핵심적인 부분을 결정하지 않는다. 검증자가 누구인지, 어떤 경제적 동기로 정직하게 검증하는지, 부정직한 검증자를 어떻게 처벌할지는 사양의 외부에 놓여 있다. 검증의 내용, 즉 재실행(Re-execution)을 통해 대조할 것인지, 영지식 증명(Zero-Knowledge Proof)으로 확인할 것인지, 신뢰 실행 환경(TEE)의 증명서를 사용할 것인지와 같은 점도 사양은 지정하지 않는다. 전절의 집약과 완전히 동일한 태세다. 사양은 검증의 "창구"만을 표준화하고, 검증의 "내용"과 "경제"는 외부에서 경쟁하게 만든다.

여기까지 오면, 한 가지 의문이 무시할 수 없게 된다. 식별도, 평판의 집약도, 검증의 내용도, 모조리 "외부에서 하라"고 한다면, ERC-8004는 도대체 무엇을 결정한 규격인가. 다음 절에서는 이 글에서 가장 무거운 질문으로 들어간다.

6. ERC-8004는 결국 무엇을 결정했는가 — thin protocol의 철학과 취약성

전 절의 마지막에서 무시할 수 없는 의문에 도달했다. 식별도, 평판의 집약도, 검증의 내용도, ERC-8004는 모조리 외부에 위임했다. 그렇다면 사양(specification)은 도대체 무엇을 결정했는가. 애초에 이렇게 호출 측(caller)에 모든 것을 위임하는 규격에, 규격으로서의 의미가 있는가.

이 의문은 옳다. 우선 그것을 인정하는 것이 성실한 태도라고 생각한다. ERC-8004를 읽어 내려갈수록 "핵심적인 부분을 아무것도 결정하지 않았다"는 인상은 오히려 강해진다. 그 위화감은 착각이 아니다.

결정한 것과 결정하지 않은 것을 나열하면 윤곽이 분명해진다.

ERC-8004가 결정한 것	ERC-8004가 결정하지 않은 것
식별	식별자의 네임스페이스(namespace)와 소유 형식
...	...

결정한 것은 형식과 인터페이스(interface)뿐이다. 가치 판단은 단 하나도 들어있지 않다.

이것은 새로운 설계가 아니다. Ethereum의 기축 토큰 규격인 ERC-20도 파고들면, 잔액을 정수로 보유하는 것과 소유자의 합의로 잔액을 옮기는 것, 이 두 가지 인터페이스만을 결정했을 뿐이다. 가격을 어떻게 매길지, 얼마를 발행할지, 누구에게 과세할지와 같은 가치 판단은 아무것도 가지고 있지 않다. 그럼에도 ERC-20은 전 세계의 토큰이 올라타는 토대가 되었다. 그렇게 된 것은 규격이 뛰어나서라기보다, 충분히 많은 구현(implementation)과 이용이 뒤따라 네트워크 효과(network effect)가 발생했기 때문이다.

뒤집어 말하면, 충분한 채택이 이루어지지 않는다면 형식뿐인 규격은 아무에게도 사용되지 못한 채 죽는다. 역사에는 잘 만들어졌음에도 아무도 사용하지 않은 표준이 무수히 많다. 형식만을 결정하는 규격은 뛰어난 설계이기 이전에 하나의 도박이다. 대박이 나거나, 죽거나. 일본의 화폐사로 비유하자면 한사츠(藩札, 번에서 발행한 지폐)에 가깝다. 한사츠라는 종이 자체는 아무것도 결정하지 않는다. 번(藩) 내부라는 한정된 신용 네트워크의 범위 내에서만 통용될 뿐, 그 밖에서는 종잇조각이었다. 엔화가 전국적인 화폐가 된 것은 종이의 질이 아니라 채택의 범위에 의한 것이다. ERC-8004가 엔화가 될지 한사츠로 끝날지는 본고를 집필하는 시점에서는 아직 알 수 없다. 메인넷(mainnet)에서 움직이기 시작한 지 채 4개월이 되지 않았기 때문이다.

그렇다면 왜 굳이 아무것도 결정하지 않는 설계로 했는가. 여기에 호의적으로 읽어야 할 핵심이 있다. 집약 규칙을 사양 안에 고정하면 그 규칙이 유일한 정통이 되고, 규격 자체가 특정 가치 판단에 점령당한다. 굳이 빈 상태로 남겨둠으로써 토대는 중립을 유지하고, 그 위에서 여러 해석기(interpreter)가 각기 다른 방식으로 경쟁할 수 있다. 형식만을 결정하고 가치 판단을 비워두는 것은 Ethereum이 EVM을 통해 수행한 것과 같은 계보에 있다. 토대는 정책을 갖지 않으며, 정책은 그 위에서 경쟁한다. 결정하지 않는 것이 여기서는 사상이다.

다만, 이 사상에는 성실하게 적어두어야 할 허점이 있다. "누구의 평가를 믿을 것인가"를 읽는 이가 매번 clientAddresses로 직접 지정하는 것은 현실적으로 너무 무겁다. 따라서 반드시 누군가가 "신뢰할 수 있는 평가자 기본 리스트(default list)"를 제공하게 된다. 그리고 그 기본 리스트를 제공하는 자가 사실상의 권력자가 된다. 사양은 권력을 중앙에 두지 않으려 했으나, 한 단계 위의 레이어에 권력자의 의자를 살며시 마련해 버린 셈이다. 4장에서 본 마태 효과(Matthew effect)는 프로토콜 내부에서는 회피된 것처럼 보이지만, 프로토콜 외부에서 다른 얼굴을 하고 재발한다. 중립적인 토대는 그 위에 반드시 중립적이지 않은 층을 불러들인다. 이는 평판 시스템이 몇 번이고 거쳐 온 길이다.

추상적인 논의는 여기까지 하겠다. 식별자의 등록부터 평가의 기록까지를 실제로 직접 수행하는 구체적인 절차는 이 에세이의 범위를 벗어나므로 별도의 글에 맡기겠다. 다음 절에서는 마지막으로, 지금까지의 설계가 안고 있는 문제들을 숨기지 않고 나열하며 이 글을 맺겠다.

7. 남겨진 문제

지금까지 식별부터 검증까지 ERC-8004를 읽어왔다. 마지막으로 아직 아무도 풀지 못한 문제들을 나열해 둔다. 설계의 좋고 나쁨은 해결된 것보다, 무엇이 해결되지 못한 채 남아있는지에 대해 얼마나 정직한가에 따라 결정된다.

첫째로, Sybil의 재귀가 있다. 평판의 집약을 외부 집약기에 위임한 이상, "그 집약기를 믿어도 되는가"라는 질문이 남는다. 집약기의 신뢰성을 또 다른 평판으로 측정하려 한다면, 그 평판을 위한 집약기가 또 필요하다. 신뢰를 위임하는 대상을 하나 외부로 내보낼 때마다, 동일한 질문이 하나씩 외부에서 재발한다. 어딘가에서 인간이 직접 "이것은 믿는다"라고 말하며 말뚝을 박지 않는 한, 이 재귀는 멈추지 않는다.

둘째, 검증자의 경제(Economics of Validators)가 비어 있다. 제5장에서 보았듯이, 사양(Specification)은 검증의 입구만을 결정했을 뿐, 검증자가 누구인지, 왜 정직하게 검증하는지, 부정행위에 대해 어떻게 처벌받는지는 외부에 두었다. 재실행(Re-execution)을 담보금으로 묶는 계층과 부정직한 검증자를 슬래싱(Slashing)하는 계층이 아래에서 성장하지 않는다면, Validation Registry는 입만 있고 내용은 움직이지 않는 빈 그릇으로 남을 것이다.

셋째, 체인을 넘나드는 평판(Reputation)이 수렴되지 않는다. 에이전트는 여러 체인에 각각 등록될 수 있으며, 평판은 기본적으로 체인별로 폐쇄된다. 동일한 행동을 하는 동일한 에이전트가 체인이 다르다는 이유만으로 서로 다른 평판을 갖게 된다. 그 개별적인 것들을 하나로 묶는 책임 또한 외부에 맡겨져 있다.

넷째, 이것은 기술이 아닌 윤리의 문제이지만, 식별자(Identifier)를 양도 가능하게 만든 이상 평판 세탁(Reputation Laundering)은 구조적으로 사라지지 않는다. 제2장에서 보았던 "이전 기록은 남지만 과거 이름은 나타나지 않는다"라는 제동 장치는 악용을 불가능하게 만드는 것이 아니라, 단지 가시화할 뿐이다. 수많은 전투를 거친 평판을 가진 식별자를 구매하여 승계하는 행위가 언제 "정당한 사업 승계"가 되고, 언제 "사칭"이 될 것인가. 사양은 그 경계선을 긋지 않는다.

이토록 많은 허점을 나열한 뒤에도, 여전히 물어야 할 것이 있다. 그렇다면, 이 얇고 미완성된 토대에는 왜 가치가 있는가?

답은 소거법으로 나온다. 이러한 허점들을 사양 내부에서 메우려 한다면, 메우는 방법 그 자체가 하나의 가치 판단이 되며, 그 가치 판단이 유일한 정통으로서 모두에게 강제된다. 집약 규칙(Aggregation Rules)을 채워 넣으면 그 규칙에 올라탈 수 없는 평판관은 배제된다. 검증 경제를 고정하면 그 경제에 맞지 않는 검증은 배제된다. 허점을 메운 완성품은 완성됨과 동시에 이미 어딘가에 편향되어 있다. 중립적인 토대는 정의상 미완성인 상태로만 존재할 수 있다. ERC-8004에 가치가 있다면, 그것은 많은 것을 결정했기 때문이 아니라, 결정하지 않고 남겨둔 허점 위에서 서로 경쟁하는 신뢰의 계층이 성장할 여지를 남겨두었기 때문이다.

단, 이것은 설계의 올바름에 대한 증명이 아니다. 도박이다. 충분한 수의 에이전트와 의뢰인이 이 토대에 올라타고, 허점을 메우는 계층이 외부에서 실제로 성장할지는 본고를 집필하는 시점에서는 아무도 알 수 없다. 번전(藩札, 지역 화폐)으로 끝날 것인가, 엔화(Yen)가 될 것인가. 독자가 이 결말을 낙관도 비관도 아닌, 미결 상태로 손에 쥐고 돌아가 준다면 이 글의 역할은 다한 것이다.