Upgradeable Proxy와 운영 보안

도입

Upgradeable proxy는 "나중에 고칠 수 있는 편리한 배포 방식"이 아니다. 사용자가 계속 같은 주소를 호출하게 두고, 그 주소가 바라보는 코드 해석기를 바꾸는 운영 권한이다. 스테이블코인에서는 이 권한이 mint, freeze, pause, fee, permit, cross-chain minting 정책을 한 번에 바꿀 수 있기 때문에 단순 개발 편의가 아니라 최고 위험 권한으로 다뤄야 한다.

이번 강의의 목표는 proxy 패턴 이름을 외우는 것이 아니다. 업그레이드가 실제 서비스에서 어떤 evidence를 요구하는지, 어떤 검증이 빠지면 잔액과 권한이 망가지는지, 운영팀이 어떤 순서로 승인하고 감시해야 하는지를 문서로 만들 수 있어야 한다.

학습 목표

• proxy, implementation, admin, initializer, monitoring을 분리해 설명한다.
• storage layout 변경이 잔액, allowance, nonce에 미치는 영향을 추적한다.
• Transparent Proxy, UUPS, beacon의 운영 책임 차이를 비교한다.
• 업그레이드 제안서와 사후 smoke test를 release gate로 작성한다.

개념 설명

1. Proxy를 세 개의 객체로 나누어 본다

Upgradeable contract를 볼 때 "컨트랙트 하나"라고 생각하면 사고가 난다. 사용자가 호출하는 주소, 실제 로직 코드, 업그레이드 권한자가 분리되어 있기 때문이다.

OpenZeppelin Upgrades Plugins는 deployProxy와 upgradeProxy 과정에서 구현체 배포, proxy 생성, initializer 실행, upgrade safety 검증을 지원한다. 하지만 플러그인이 있다고 해서 운영 책임이 사라지는 것은 아니다. production에서는 "도구가 통과했다"와 "서비스가 안전하다"를 분리해서 증거를 남겨야 한다.

2. 주소는 같아도 코드 해석은 바뀐다

proxy의 핵심은 delegatecall이다. 사용자는 proxy 주소를 호출하고, proxy는 implementation 코드를 실행하지만 상태는 proxy storage에 남긴다. 그래서 V2가 같은 storage slot을 다르게 해석하면 기존 잔액, allowance, nonce, role 값이 다른 의미로 읽힌다.

이 구조에서 업그레이드 리뷰는 새 implementation 코드 리뷰만으로 끝나지 않는다. proxy 주소 기준으로 기존 상태가 유지되는지, signer nonce가 유지되는지, 이미 발급된 permit/authorization이 예상대로 처리되는지, indexer가 같은 contract address의 ABI 변경을 따라갈 수 있는지까지 확인해야 한다.

3. Storage layout은 잔액표의 좌표계다

다음처럼 V1이 배포되어 있다고 하자.

V2에서 bool paused를 맨 앞에 추가하면 "변수 하나를 추가한 것"처럼 보이지만 proxy storage 해석은 달라진다.

이런 변경은 테스트넷에서 "transfer 한 번 성공"으로 발견되지 않을 수 있다. 그래서 upgrade review에는 반드시 storage layout diff가 들어가야 한다. 새 변수는 기존 storage 뒤에 붙이고, upgradeable base contract의 storage gap이나 namespace 규칙을 사용하는 이유도 이 때문이다.

4. Initializer는 배포 스크립트가 아니라 보안 경계다

upgradeable contract는 constructor가 proxy storage에 적용되지 않는다. 초기 상태는 initializer로 설정해야 하며, initializer는 한 번만 실행되어야 한다. parent contract가 있다면 parent initializer도 빠짐없이 호출해야 한다.

OpenZeppelin 문서는 upgradeable contract에서 initializer 패턴과 _disableInitializers() 사용을 강조한다. 강의에서는 이 내용을 "코딩 문법"이 아니라 "운영자가 초기 권한을 증명하는 방식"으로 받아들여야 한다.

5. Transparent, UUPS, beacon은 권한 위치가 다르다

세 패턴의 차이는 이름보다 "누가 upgrade logic을 가지고 있는가"로 이해하면 된다.

스테이블코인 checkout 시스템에서 단일 payment escrow만 업그레이드한다면 Transparent 또는 UUPS가 후보가 된다. 여러 merchant별 proxy가 같은 로직을 공유한다면 beacon도 검토할 수 있지만, beacon owner와 영향 범위를 더 강하게 제한해야 한다.

6. Stablecoin에서 위험한 변경은 기능보다 상태와 권한이다

아래 변경은 "기능 추가"처럼 보이지만 실제로는 결제, 정산, compliance, indexer를 동시에 흔든다.

강의 과제에서는 이 표를 release checklist로 바꾼다. 각 행마다 "테스트 이름", "증거 링크", "승인자", "실패 시 rollback 또는 pause 조건"을 붙이면 운영 문서가 된다.

코드로 확인하기

앞의 보안 기준을 코드와 테스트로 확인한다. 함수가 어떤 전제를 세우고, 테스트가 어떤 실패 조건을 고정하는지 함께 읽는다.

컨트랙트UUPSUpgradeable + _authorizeUpgrade 가드

OZ UUPS 패턴에서는 implementation 자신이 upgrade 권한을 검사한다. _authorizeUpgrade에 timelock·multisig를 그대로 박는다.

01import {UUPSUpgradeable} from "@openzeppelin/contracts-upgradeable/proxy/utils/UUPSUpgradeable.sol";02import {AccessControlUpgradeable}03  from "@openzeppelin/contracts-upgradeable/access/AccessControlUpgradeable.sol";0405contract StablecoinV2 is UUPSUpgradeable, AccessControlUpgradeable {06    bytes32 public constant UPGRADER_ROLE = keccak256("UPGRADER_ROLE");0708    function initialize(address admin) public initializer {09        __AccessControl_init();10        __UUPSUpgradeable_init();11        _grantRole(DEFAULT_ADMIN_ROLE, admin);12    }1314    function _authorizeUpgrade(address newImpl) internal override onlyRole(UPGRADER_ROLE) {15        // UPGRADER_ROLE 은 production 에서 timelock + multisig 주소만 가져야 함16        // 추가 가드: newImpl 이 EOA 가 아닌지, 등록된 implementation registry 에 있는지 검증 가능17    }18}

컨트랙트Storage gap 으로 미래 변수 추가 자리 비워두기

upgrade 시 새 state 변수를 추가하려면 layout이 호환되어야 한다. 부모 컨트랙트마다 __gap 을 두면 storage 충돌을 피한다.

01abstract contract StablecoinStorageV1 {02    mapping(address => uint256) internal _balances;03    mapping(address => mapping(address => uint256)) internal _allowances;04    uint256 internal _totalSupply;05    mapping(address => uint256) public nonces;0607    // V2 이상에서 새 변수 추가 시 이 gap 을 사용한다 — 절대 변수 순서 변경 금지08    uint256[46] private __gap;09}1011contract StablecoinV2 is StablecoinStorageV1 {12    mapping(address => bool) public isFrozen; // V2 에서 추가, __gap[45] 자리 사용13    bool public paused;14}

운영Storage layout diff 검증 (CI)

forge inspect storageLayout을 V1·V2에서 비교해 변수 순서·타입 변경을 차단한다. 또는 OZ Upgrades plugin의 validateUpgrade로 자동 검증.

01forge inspect src/StablecoinV1.sol:StablecoinV1 storageLayout > layout/v1.json02forge inspect src/StablecoinV2.sol:StablecoinV2 storageLayout > layout/v2.json0304# OZ Upgrades plugin (Hardhat) — V1→V2 호환성 자동 검증05npx hardhat upgrades:validate --reference StablecoinV1 --new StablecoinV20607# 또는 storage-layout-diff 라이브러리 사용08npx storage-layout-diff layout/v1.json layout/v2.json --fail-on conflict

운영업그레이드 절차 — timelock + 사후 smoke test

정상 업그레이드는 propose → wait → execute 3단계. 긴급 패치는 별도 multisig 경로 + 강제 사후 공지.

01# 1) implementation 배포만 (proxy 변경 X)02forge create src/StablecoinV2.sol:StablecoinV2 --rpc-url $RPC --private-key $DEPLOY_KEY0304# 2) timelock 에 upgrade 제안 (24h delay)05cast send $TIMELOCK \06  "schedule(address,uint256,bytes,bytes32,bytes32,uint256)" \07  $PROXY 0 $(cast calldata "upgradeTo(address)" $NEW_IMPL) \08  0x0 0x0 86400 \09  --private-key $PROPOSER_KEY --rpc-url $RPC1011# 3) 24h 후 execute (multisig)12cast send $TIMELOCK \13  "execute(address,uint256,bytes,bytes32,bytes32)" \14  $PROXY 0 $(cast calldata "upgradeTo(address)" $NEW_IMPL) \15  0x0 0x0 --private-key $EXECUTOR_KEY --rpc-url $RPC1617# 4) 사후 smoke test — proxy 주소에서 V2 함수 호출 확인18cast call $PROXY "version()(string)" --rpc-url $RPC19cast call $PROXY "totalSupply()(uint256)" --rpc-url $RPC2021# 5) Upgraded 이벤트 확인 + 모니터링 알림 발송

강의 포인트

실무 예시

운영7. 업그레이드 제안서는 코드 diff보다 넓어야 한다

업그레이드 제안서에 들어갈 최소 항목은 다음과 같다.

정상 업그레이드는 timelock과 사전 공지를 둔다. 긴급 패치는 시간을 줄일 수 있지만, 그 대신 더 강한 사후 공시, 더 좁은 변경 범위, 더 명확한 pause/rollback 조건이 있어야 한다. 긴급이라는 말은 검증 생략권이 아니라 영향 범위를 좁혀야 한다는 뜻이다.

8. Upgrade 직후 확인할 smoke test

실행이 끝났다면 "transaction 성공"만 보지 않는다. proxy 주소 기준으로 서비스가 계속 맞게 동작하는지 확인한다.

이 smoke test는 수동 체크리스트로만 남기지 말고 가능한 범위에서 스크립트로 만들어야 한다. 그래야 새벽 incident에서도 사람이 기억에 의존하지 않는다.

흔한 오해와 실패 시나리오

실습 과제

1. 컨트랙트업그레이드 제안서 검수표 작성: stablecoin proxy 업그레이드 제안서에 포함해야 할 storage layout, selector, role, initializer, event, rollback 항목을 표로 정리한다.
2. 운영Proxy 업그레이드 runbook 작성: normal upgrade와 emergency patch를 분리해 승인자, timelock, 실행 transaction, 사후 smoke test, 사용자 공지 조건을 작성한다.
3. 컨트랙트[OPS] V2 storage 사고 시나리오 분석: V1의 balances/allowances/nonces 앞에 새 변수를 추가한 V2가 배포되었다고 가정하고, 어떤 상태가 손상되는지와 사후 조치 절차를 설명한다.

완료 기준

1. proxy, implementation, admin, initializer, monitoring의 책임을 분리해 설명했다.
2. storage layout diff와 initializer 검증 절차를 작성했다.
3. Transparent Proxy, UUPS, beacon의 운영 책임 차이를 비교했다.
4. 정상 업그레이드와 긴급 패치의 승인/실행/복구 절차를 분리했다.
5. 업그레이드 직후 proxy 주소 기준 smoke test 목록을 만들었다.

근거 자료

• Upgradeable Proxy 운영보안: 02-보안-테스트/08-Upgradeable-Proxy-운영보안.md
• OpenZeppelin Upgrades Plugins: https://docs.openzeppelin.com/upgrades-plugins
• OpenZeppelin: Upgrading smart contracts: https://docs.openzeppelin.com/contracts/5.x/learn/upgrading-smart-contracts
• OpenZeppelin: Proxy API: https://docs.openzeppelin.com/contracts/5.x/api/proxy
• OpenZeppelin: Writing Upgradeable Contracts: https://docs.openzeppelin.com/upgrades-plugins/writing-upgradeable
• Safe Guards: https://docs.safe.global/advanced/smart-account-guards