오리지널

CertiK Gu Ronghui 교수와의 독점 인터뷰: 누가 "감독자"를 감독해야 합니까?

avatar
CertiK
10-09
이 기사는 기계로 번역되었습니다
원문 표시

영화 '국가 공공의 적'에는 이런 대사가 나옵니다: "누가 감시하는 사람들을 감시할까요?" Web3.0 생태계가 발전함에 따라 암호화폐 산업에 자금이 계속 유입되고 있지만, 동시에 해커들이 온체인 취약점을 공격해 직접적인 이익을 얻을 수 있게 되었습니다. 반면에 프로젝트 측은 공격을 받으면 대응 수단이 거의 없어, 때로는 불법적으로 얻은 이익을 되돌려받기 위해 포상금을 제공하는 것 외에는 다른 방법이 없습니다.

이에 따라 관련 보안 기업들이 등장했습니다. 이들은 단순히 코드 보안을 감사하는 것 외에도 때로는 "화이트 해커"로 불리며 능동적으로 보안 취약점을 발견합니다. 그중 선두주자인 CertiK의 기업가치는 약 20억 달러에 달합니다. CertiK의 감사를 통과하는 것이 어떤 새로운 프로젝트에 대한 커뮤니티의 평가 기준이 되기도 합니다. 그러나 앞서 언급한 질문으로 돌아가면, 감시자를 누가 감시할 것인가? 이 문제는 CertiK이 향후 겪게 될 논란의 단초가 되었습니다.

올해 6월, CertiK은 미국 암호화폐 거래소 크라켄(Kraken)에서 심각한 보안 취약점을 발견했고, 이를 두고 논란이 일었습니다. DeThings는 CertiK 공동 창립자인 Gu Ronghui 교수와 크라켄 사건에 대한 대응과 보안 기업의 자체 감독 문제 등에 대해 인터뷰했습니다.

DeThings: 크라켄 사건에 대해 어떻게 생각하시나요?

Gu Ronghui 교수: 크라켄과의 논란 발단은, CertiK 연구팀이 화이트 해커 활동 중 크라켄 플랫폼에서 심각한 보안 취약점을 발견했고, 이를 신속히 크라켄에 알려 취약점을 조치할 수 있도록 했습니다. 그러나 의사소통 과정에서 일부 문제가 발생하면서 논란이 일었습니다. 우리는 이에 대한 자세한 내용을 공식 웹사이트에 공지했으니 참고하시기 바랍니다.

DeThings: "화이트 해커"라는 용어에 대해 어떻게 생각하시나요?

Gu Ronghui 교수: "화이트 해커"라는 용어에 대한 통일된 정의는 없지만, 일반적으로 우리는 선의의 테스트, 조사 및/또는 보안 취약점이나 결함 수정을 위해 컴퓨터에 접근하는 행위를 화이트 해커의 행동으로 간주합니다. 이러한 활동은 개인이나 대중에게 피해를 주지 않는 방식으로 수행되며, 획득한 정보는 주로 관련 기기, 시스템 또는 온라인 서비스의 보안 강화나 이용자 보호를 위해 사용됩니다.

CertiK 내부에도 엄격한 화이트 해커 강령이 있으며, 2020년 이래 개인이나 대중의 이익을 해치지 않는 선에서 70회 이상의 화이트 해커 활동을 수행했습니다. 그 과정에서 수이(SUI)의 최고 버그 바운티를 받기도 했습니다. 또한 CertiK의 감사 작업과 연계해 Web3.0 커뮤니티에 4,000건 이상의 보안 사고를 보고하고, 총 11만 5천 개 이상의 코드 취약점을 발견하여 3,600억 달러 이상의 디지털 자산을 잠재적 손실로부터 보호했습니다.

DeThings: 현재 시장 상황을 어떻게 평가하시며, 향후 보안 분야의 중점은 무엇이라고 보시나요?

Gu Ronghui 교수: 현재 블록체인 보안 분야는 빠르게 발전하고 있으며, 특히 Web3.0과 Web2.0이 교차하는 지점의 보안 리스크 관리가 업계의 초점이 되고 있습니다. 블록체인 기술 적용이 확대됨에 따라 보안 취약점과 공격 수법도 계속 진화하고 있으며, DeFi, NFT, 크로스체인 상호운용성 등 다양한 분야에 영향을 미치고 있습니다.

현재 Web3.0의 보안 압박은 프로젝트 기술 취약점뿐만 아니라 일반적인 사이버 보안 리스크, 예를 들어 개인정보 보호, 피싱 공격 대응, 전통적인 금융사기 등에서도 발생하고 있습니다.

오늘날에도 개인 키 보안은 Web3.0 영역이 직면한 주요 과제 중 하나입니다. CertiK의 2023년 통계에 따르면, 개인 키 유출로 인한 재무적 손실이 전체 블록체인 보안 사고 손실의 절반 가까이를 차지했습니다.

CertiK이 곧 발표할 2024년 3분기 보안 보고서에 따르면, 개인 키 유출과 피싱 공격이 이번 분기 최대 재무적 손실의 원인으로 나타났습니다. 이는 개인 키 관리 강화, 다중 서명, 다자간 계산 등 기술 도입이 시급함을 보여줍니다.

또한 Web3.0이 빠르게 발전하면서 많은 Web3.0 애플리케이션이 클라우드 스토리지, DNS 서비스 등 Web2.0 인프라에 의존하게 되어, DNS 하이재킹, 피싱 등 Web2.0 특유의 공격에 노출되고 있습니다. 이러한 혼합형 공격으로 인해 보안 관리의 복잡성이 가중되고 있습니다.

종합해보면, 향후 블록체인 보안 분야의 중점은 다음 두 가지라고 봅니다:

1. Web2.0 인프라에 대한 의존도를 낮추기 위해 Web3.0은 신원 인증, 데이터 저장, 거버넌스 시스템 등 탈중앙화 인프라 구축과 보급을 가속화해야 합니다. CertiK도 Web2.0과 Web3.0의 보안 연계를 위한 기술 지원과 CertiK Ventures를 통한 관련 유망 프로젝트 육성에 힘쓰고 있습니다.

2. AI 기반 딥 포크 기술로 인해 점점 더 복잡해지는 피싱 공격에 대응하기 위해, 지능형 보호 메커니즘과 사용자 보안 교육에 대한 투자가 필요합니다. CertiK은 Token Scan, Wallet Scan 등 무료 보안 도구를 제공하고 CertiK Quest를 통해 사용자의 보안 지식 향상을 지원하고 있습니다.

DeThings: 일종의 "감시자"로서 CertiK 자신은 어떻게 감시를 받고 있나요?

Gu Ronghui 교수: 블록체인 분야의 "감시자"인 보안 기업으로서, 우리 자신도 Web3.0 구성원들에 대한 투명성을 높여야 합니다. 우리는 탈중앙화된 방식으로 Web3.0 보안 기업에 대한 감독이 이루어지기를 희망합니다. CertiK은 업계 최초로 완전한 감사 보고서 공개를 통해 감사 결과의 투명성을 유지하고 있습니다.

커뮤니티 사용자, 보안 기관, 개별 화이트 해커 등 다양한 이해관계자가 우리의 감사 보고서를 열람하고 감독할 수 있습니다. CertiK Skynet 플랫폼에서 누구나 CertiK의 감사 보고서를 확인할 수 있으며, 문제를 발견하면 CertiK에 직접 피드백할 수 있습니다.

또한 CertiK은 전 세계 Web3.0 규제 기준을 엄격히 준수하고 있으며, 제3자의 검증과 감독을 받고 있습니다. CertiK은 Web3.0 보안 감사 기업 중 가장 많은 규제 인증을 받은 기업으로, 고객 데이터와 자사 시스템의 최고 수준 보안을 위해 엄격한 조치를 취하고 있습니다.

이는 "고객 이익 최우선"이라는 우리의 사명을 실천하는 것이자, 사용자 자산 보호에 대한 우리의 의지를 보여줍니다. 우리는 Web3.0 커뮤니티의 감독과 국가 규제 요구 준수가 보안 기업의 투명성과 책임성을 확보하는 핵심이라고 믿습니다.

DeThings: 각국 정부의 규제 강화 배경에서 보안의 의미는 무엇이라고 보시나요?

Gu Ronghui 교수: 각국 정부가 블록체인 규제를 강화하는 상황에서 보안은 다음과 같은 측면에서 핵심적인 역할을 합니다:

1. 신뢰 제고: 규제 준수를 위해서는 투명성과 책임성이 필요한데, 보안 메커니즘은 플랫폼이 법규를 준수하도록 보장하여 사용자와 기관의 블록체인 시스템에 대한 신뢰를 높입니다. 정부 규제에는 주로 자금세탁 방지와 고객 확인(KYC) 등이 포함되며, 거래 추적성과 정보 수집이 중요해집니다.

2. 시스템 리스크 감소: 규제 환경에서 보안 메커니즘은 금융 리스크와 해킹으로 인한 자산 손실과 같은 시스템 리스크를 줄일 수 있습니다. 보안 프로토콜, 스마트 컨트랙트 감사, 피싱 방어 등의 수단이 블록체인 네트워크의 안정성과 지속가능성을 보장하는 핵심입니다.

3. 규제 준수 혁신 촉진: 보안은 규제 준수의 기반이 되며, 보안 기능 강화를 통해 영지식 증명 등의 기술을 활용해 데이터 프라이버시와 규제 요구 사항의 균형을 이루는 등 탈중앙화 기술의 규제 준수 혁신을 이끌 수 있습니다.

전 세계적으로 규제가 점점 더 엄격해짐에 따라, CertiK도 규제 준수에 매우 중요한 역할을 하고 있습니다. 저 개인적으로도 싱가포르 통화청의 국제 기술 자문위원회와 홍콩 Web3.

DeThings: 현재 이 분야에서 어떤 문제점이 있으며 어떻게 해결할 수 있습니까?

구용휘 교수: 기술 스택의 발전과 영지식 증명(ZK) 기술의 부상으로 인해 Web3.0 보안의 기술적 복잡성이 크게 증가했습니다. CertiK는 zkWasm과 협력하여 zkWasm에 대한 포괄적인 형식적 검증을 성공적으로 완료했습니다. 이는 업계 최초이자 현재까지 유일한 시도입니다. 우리는 이러한 포괄적인 검증 방법이 향후 업계의 표준 관행이 될 것으로 생각합니다. 현재 관련 기술이 논문으로 작성 중이며, 논문 발표 후 이 기술이 업계에 더 큰 영향을 미칠 것으로 예상됩니다. 기술 스택 발전에 따른 과제에 직면하여 개인 또는 소규모 감사 팀이 충분한 지원을 제공하기 어려울 수 있습니다. CertiK는 형식적 검증을 계속 추진하고 향후 합의 프로토콜의 보안 형식적 검증 서비스를 제공할 계획입니다.

보안 감사의 필요성은 업계에서 공감대가 형성되고 있지만, 보안에 어느 정도 투자해야 하는지에 대해서는 명확한 답변이 없습니다. 예를 들어, 어떤 프로젝트는 부분 코드만 감사에 제출할 수 있지만, 위험이 발생하면 우리가 감사한 범위를 벗어날 수 있습니다. 코드 보안은 정적인 측면에 불과하며, 우리는 프로젝트의 각 단계에서 심층적인 보안 검사를 수행해야 합니다. 특히 배포 전에 중요합니다. 또한 개인 키 관리와 노드 서비스 보안도 매우 중요하며, 이는 프로젝트의 다양한 단계에서 면밀히 검토해야 할 핵심 요소입니다.

따라서 내부 시스템의 반복 및 업데이트에 대해 단일 감사관이 감사 프로세스를 표준화하기는 어렵습니다. CertiK는 대규모 언어 모델(LLM)과 코드 분류 기술을 통해 코드 유형에 따라 다른 감사 방법을 적용합니다. 각 방법에는 테스트, 형식적 검증, 단계별 감사 등 특정 도구가 해당됩니다. 이를 통해 각 단계에서 감사 가능한 결과를 얻고 보고서에 명확히 표시할 수 있습니다. 우리의 목표는 단순히 문제를 발견하는 것을 넘어, 감사 프로세스 전체를 제공하여 고객이 각 단계를 이해할 수 있도록 돕는 것입니다.

현재 블록체인 보안 서비스는 주로 B2B 시장에 집중되어 있지만, C2C 보안 수요도 매우 강합니다. 예를 들어 사용자는 자신의 지갑에 위험한 토큰이 있는지, 위험한 주소와 상호작용했는지, 숨겨진 공격 위험이 있는지 등을 알아야 합니다. CertiK는 C2C 사용자를 대상으로 서비스를 제공하고자 합니다. 이 분야는 더 큰 도전과제가 있지만, 대규모 사용자에게 서비스를 제공하여 자산 보안을 보장하고자 합니다.

DeThings: Web2.0과 비교할 때 Web3.0 보안 분야의 발전 상황은 어떠합니까?

구용휘 교수: Web2.0에 비해 Web3.0 보안 분야가 더 복잡합니다.

한편으로 많은 Web3.0 애플리케이션이 여전히 Web2.0 인프라에 의존하므로 Web2.0의 중앙화 결함의 영향을 받기 쉽습니다. 또한 Web2.0과 Web3.0이 융합되면서 불법 분자들이 전통적인 피싱 공격을 새로운 기술과 결합할 기회를 제공하여 더 복잡한 사기 유형이 생겨났습니다.

다른 한편으로 Web3.0 기술은 아직 발전 중이며 스마트 계약에 취약점이 있어 해커 공격에 노출될 수 있습니다. Web2.0과 달리 Web3.0의 특징은 공개성과 투명성이지만, 이는 스마트 계약이 블록체인에서 실행되어 배포 후 변경하기 어렵다는 것을 의미합니다. 해커가 취약점을 악용하면 Web2.0 네트워크보다 더 큰 피해가 발생할 수 있습니다.

따라서 Web3.0 세계의 보안이 매우 중요합니다. 프로젝트와 사용자의 안전을 위해 프로젝트 측은 커뮤니티 구축의 책임을 져야 하며, 팀과 프로젝트 지원자의 이익을 보호해야 합니다. 보안 회사인 CertiK는 프로젝트의 전 단계에 걸친 보안 요구사항을 해결할 수 있는 종합적인 보안 솔루션을 제공해야 한다고 생각합니다. 또한 모든 사용자를 대상으로 보안 지식을 보급하고 사용하기 쉬운 자체 보안 도구를 제공하여 Web3.0의 모든 구성원에게 보안 수단을 제공해야 합니다.

원문 링크: https://m.dethings.com/app/h5/#/pages/common/topicDetail/topicDetail?id=10704

면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트