해커들은 더 이상 코드만을 노리는 것이 아니라 사람을 노리고 있습니다. 이 인터뷰에서 Cantina(Spearbit) 의 GTM 책임자인 샤론 이데구치는 기존 사이버 보안에서 Web3로의 전환 과정을 되돌아보고, 공격자들이 어떻게 초점을 바꾸고 있는지 분석하며, 그 어느 때보다 빠르게 발전하는 업계에서 기업을 보호하기 위해 그녀의 팀이 새로운 보안 프레임워크를 구축하는 이유를 설명합니다.
Web3에 대한 여러분의 여정을 공유해 주시겠습니까?
저는 샤론 이데구치입니다. 칸티나에서 영업 전략 업무를 담당하고 있습니다. 기업 고객, 신기술, 그리고 기관 및 전통 금융 부문의 고객을 위한 맞춤형 제품 개발에 집중하고 있습니다. 제 업무는 전적으로 보안에 집중되어 있습니다. 지금까지 사이버 보안, 특히 Web2 관련 업무를 담당해 왔습니다. 오랜 기간 전통적인 사이버 보안 업무를 수행하며 CrowdStrike 및 기타 일상적인 보안 운영과 유사한 업무를 담당했습니다.
시간이 지남에 따라 시장이 Web3로 빠르게 전환되는 것을 보고 이것이 기술의 미래임을 깨달았습니다. 기존의 Web2 기반을 벗어나 사이버 보안이 어떤 모습일지 알아보고 싶었습니다. 그 결정이 Cantina로 이어졌고, 그 이후로 Web3 보안 분야에서 일해 왔습니다.
Cantina와만 독점적으로 거래하는 데 따른 고객의 주요 이점은 무엇입니까?
약 4년 전 Cantina를 설립했을 당시, 저희는 세계 최고의 보안 인재들이 보안 프로젝트에 참여하도록 장려하는 데 집중했습니다. 하지만 해당 분야의 많은 고숙련 연구원들이 보안 분야에는 참여하지 않는다는 사실을 알게 되었습니다. 그 이유는 자율성이 부족하고 의미 있는 프로젝트를 선택하거나 프로토콜에 깊이 기여할 능력이 부족했기 때문입니다.
연구자들에게 자율성을 부여하는 모델을 구축했고, 그 결과는 매우 좋았습니다. 현재 저희 네트워크는 모든 코딩 언어, 체인, 생태계, 그리고 틈새 전문 지식을 아우르는 인재들로 구성되어 있습니다. 고객이 보안 관련 요청을 보내오면, 저희는 단순히 자격을 갖춘 사람을 찾는 데 그치지 않고, 스마트 컨트랙트 보안 감사, 버그 바운티, 운영 보안, 사고 대응, 웹2 테스트 등 어떤 분야든 그 업무에 가장 적합한 인재를 찾아드립니다.
Web2 보안 분야에서도 일하셨는데, Web3만의 주요 트렌드나 특징은 무엇인가요?
가장 큰 차이점 중 하나는 Web3의 영구적인 특성과 중개자가 없다는 것입니다. Web2에서는 위험을 완화하거나 손실을 복구하는 데 도움을 주는 제3자가 있는 경우가 많습니다. Web3에서는 자금이 도난당하면 일반적으로 사라집니다. 다중 서명 보호 또는 거래 일시 중지와 같은 적절한 보안 조치가 없으면 복구가 거의 불가능합니다.
또 다른 핵심 요인은 Web3의 구조가 물리적 보안 위협에 대한 인센티브를 제공한다는 것입니다. 공격자는 개인을 직접 공격할 수 있는데, 이는 Web2에서는 훨씬 드문 일입니다. 따라서 Web3에서는 보안팀을 포함한 운영 보안 활동이 필수적입니다.
시간 경과에 따른 보안 전략의 성공을 측정하기 위해 어떤 지표를 사용하시나요?
가장 명확한 지표는 고객이 서비스를 받은 후 악용 사례를 경험했는지 여부입니다. 그 외에도, 보안 태세 개선이 자금 조달 기회, 파트너십, 그리고 전반적인 성장에 어떤 영향을 미치는지 측정합니다. 강력한 보안이 회사의 재무 성과, 사용자 신뢰, 그리고 장기적인 성공에 어떻게 기여하는지 종합적으로 분석합니다.
비기술적 리더십 팀에게 높은 수준의 보안 위험에 대해 어떻게 교육하시나요?
저는 스토리텔링과 실제 사례를 활용합니다. 예를 들어, 리더십 팀에게 잘 알려진 해킹 사례를 안내합니다. 회사에 어떤 보안 조치가 마련되었고, 무엇이 부족했으며, 그 결과는 어떠했는지 설명합니다. 리더십 팀은 기술적인 세부 사항보다는 데이터 손실, 고객 자금 손실, 평판 손상 등 잠재적인 영향에 더 관심을 갖습니다. 보안 위험을 가시적인 결과로 정의하면 보안에 투자하는 것이 왜 중요한지 이해하는 데 도움이 됩니다.
팀들이 여전히 과소평가하고 있는 스마트 계약의 새로운 공격 벡터에는 어떤 것들이 있나요?
Web3가 시작된 이래 대부분의 보안 예산은 스마트 컨트랙트에 투자되었습니다. 팀들은 감사, 경진 대회, 버그 바운티, 동료 검토에 수백만 달러를 지출합니다. 공격자들은 이를 인지하고 Web2 구성 요소 및 운영 취약점과 같이 보안 수준이 낮은 영역으로 초점을 옮기고 있습니다. 최근 많은 공격이 스마트 컨트랙트 외부에서 발생했습니다.
우리는 운영 보안, 24시간 연중무휴 사고 대응, 관리형 SOC 팀과 같은 서비스를 통해 팀이 이러한 불균형을 해소하도록 돕고 있으며, 조직의 전체 공격 영역을 포괄하고 있습니다.
AI나 자동화가 Cantina 리뷰의 일부를 대체할 수 있을까요? 아니면 인간의 전문성은 대체할 수 없을까요?
확실히 하이브리드 접근 방식입니다. 경쟁 플랫폼의 스팸을 제거하고 동료 평가에 맥락을 추가하는 등의 작업에 이미 AI를 광범위하게 활용하고 있습니다. AI는 알려진 취약점과 패턴을 식별하는 데 탁월하여 초기 평가 프로세스를 가속화합니다.
하지만 공격자들 또한 창의적이며 AI를 점점 더 적극적으로 활용하고 있습니다. AI가 인간보다 더 지능적이고 창의적이 될 때까지는 새로운 위협에 대응하기 위해 인간의 전문성이 항상 필요할 것입니다. 미래는 AI의 지원과 숙련된 연구자들의 조합이 될 것입니다.
전통적인 감사를 넘어 전문적인 평가를 만들게 된 계기는 무엇입니까?
저희는 고객의 요구에 부응하여 Web3 SOC 프레임워크를 개발했습니다. 자산운용사와 VC(벤처캐피털) 회사들은 저희에게 Web3 기업에 대한 실사를 요청하여 보안 및 재무 리스크를 평가해 달라고 요청했습니다.
Web3 관련 위험을 정량화할 표준화된 방법이 없다는 것을 깨달았습니다. SOC 2나 ISO와 같은 기존 규정 준수 프레임워크는 Web3 고유의 위협을 다루지 못합니다. 따라서 Web3 기업들이 자금을 확보하고 파트너십을 구축하는 동시에 기존 금융 기관이 Web3를 안전하게 활용하는 방법을 이해할 수 있도록 새로운 표준을 개발했습니다.
이 프레임워크는 현재 업계 최고 기업들과의 협업을 통해 구축되었으며, 전 세계 전통 금융 및 자산 운용사들의 주목을 받고 있습니다.
지금 어떤 혁신적인 보안 방법론을 실험하고 있나요?
AI는 주요 초점입니다. 수년간 축적된 버그 데이터를 활용하여 코드 분석을 개선하고 보안 검토를 더욱 빠르고 비용 효율적으로 수행하는 AI 도구를 개발하고 있습니다. 또한 버그 바운티 분류를 개선하여 효율적이고 실행 가능한 방식으로 운영하고 있습니다.
버그 바운티나 Web3 SOC 프레임워크처럼 저희 서비스의 상당수는 고객 요구에서 직접 비롯됩니다. 오늘날 저희는 AI 기반 코드 분석을 보안 프로세스를 더욱 효율적이고 효과적으로 만드는 다음 단계로 보고 있습니다.
Cantina의 로드맵을 공유해 주시겠어요? 앞으로 추가될 기능도 있나요?
저희의 최신 프로그램은 24시간 연중무휴 사고 대응을 통한 운영 보안입니다. 기존 금융권은 오랫동안 SOC 팀과 모니터링 도구에 의존해 왔지만, Web3는 이에 뒤처져 있습니다.
저희는 전 Coinbase 위협 인텔리전스 전문가들과 함께 웹 2.0, 웹 3.0, 물리적 자산 및 디지털 자산 전반에 걸쳐 공격 표면을 종합적으로 평가하는 프로그램을 구축했습니다. 이 프로그램이 구축되면, Hypernative, Blockaid, Guardrails, Hexagate 등의 도구를 24시간 모니터링하는 숙련된 분석가를 통해 실시간으로 위협에 대응할 수 있는 관리형 보안관제센터(SOC) 서비스를 제공합니다.
이 프로그램은 이미 상당한 관심을 얻었으며, 앞으로는 팀이 처음부터 안전하게 빌드할 수 있도록 돕는 AI 기반 코드 분석 도구를 출시하는 데 주력할 예정입니다.
마지막으로, Web3 스타트업이 창립 초기부터 로드맵에 보안을 구축하는 데 대해 어떤 조언을 해주시겠습니까?
보안에 대해 일찍부터 생각하세요. 감사 단계까지 미루는 팀은 종종 지연, 추가 감사, 그리고 때로는 전체 제품 설계를 재구축해야 하는 상황에 직면합니다. 처음부터 보안에 투자하면 시간과 비용을 절약할 수 있습니다.
AI 기반 코드 분석, 제3자 동료 검토, 그리고 보안 검토 준비 체크리스트와 같은 리소스 활용을 권장합니다. 외부 전문가의 의견을 정기적으로 수렴하면 취약점을 조기에 파악하는 데 도움이 됩니다.
코드 외에도, 스타트업은 Web2와 Web3 모두의 전체 공격 영역을 평가해야 합니다. 저희는 모든 단계의 기업이 위험을 사전에 해결할 수 있도록 지원하는 서비스를 제공합니다. 보안을 최우선으로 하는 문화를 조기에 구축하면 장기적인 성공을 거둘 수 있습니다.
Cantina를 활용한 디지털 자산 생태계 보안 게시물이 Metaverse Post 에 처음 게재되었습니다.
