인터뷰 | 스테이블코인 보안은 시간과의 경쟁입니다: Immunefy CEO

Immunefi의 CEO인 미첼 아마도르는 보안 회사들이 스테이블코인에서 발생하는 수십억 달러 규모의 다음 공격을 막기 위해 어떤 노력을 하고 있는지 설명합니다.

암호화폐가 주류로 자리 잡으면서 스테이블코인은 온체인 경제의 금융 근간으로 자리 잡고 있습니다. 하지만 자본 끊임없이 유입되고 있음에도 불구하고, 이러한 시스템을 뒷받침하는 보안 인프라는 여전히 위험할 정도로 미흡합니다.

웹3 보안 회사 이뮤네피(Immunefi)의 CEO 미첼 아마도르(Mitchell Amador)는 우리가 "시간과의 경쟁"에 있다고 생각합니다. 이 인터뷰에서 그는 스테이블코인 시스템 내부에 숨겨진 진짜 위험과 대부분의 기관이 향후 수십억 달러 규모의 공격에 대비하지 못하는 이유를 설명합니다.

Crypto.news: 스테이블코인의 보안 수준은 현재 어느 정도인지 말씀해 주시겠습니까?

미첼 아마도르: 우리는 마치 새로운 세상에 들어선 것 같습니다. 지난 몇 년간 사용해 온 보안 조치가 실제로 효과가 있었는지 이제야 비로소 알아가기 시작한 것입니다.

한편으로는, 오랫동안 대규모 스테이블코인 해킹 사건이 발생하지 않았습니다. 초기 DeFi 해킹 사건이나 실리콘 밸리 은행 붕괴 당시 USDC의 디페깅(depegging)과 같은 문제를 돌이켜보면, 이러한 사건들은 심각한 사건들이었지만, 그 이후로는 그만한 규모의 해킹 사건이 발생하지 않았습니다.

사람들은 스테이블코인의 보안에 대해 꽤 긍정적으로 생각하고 있습니다. 하지만 사실 우리는 스테이블코인의 보안성이 실제로 안전한지 잘 모릅니다. 예를 들어, MakerDAO, 아베(AAVE), Compound 같은 플랫폼에서 자신감을 느끼는 데 얼마나 오랜 시간이 걸렸는지 생각해 보세요. 사용자들이 그러한 신뢰를 쌓는 데는 수년이 걸렸습니다. 스테이블코인, 특히 탈중앙화 스테이블코인은 이러한 프로토콜보다 아직 덜 성숙했습니다.

우리는 향후 몇 년 안에 시스템에 1조 달러 규모의 스테이블코인 유동성을 추가하려고 합니다. 진짜 질문은 이렇습니다. 우리는 과연 그 엄청난 가치를 치명적인 실패 없이 흡수할 준비가 되어 있을까요? 저는 아직 그 답을 모른다고 생각합니다. 어쩌면 힘든 과정을 거쳐야 알게 될지도 모릅니다.

CN: 해킹 위험은 구체적으로 어떤가요?

MA: 제가 가장 우려하는 위험은 바로 그것입니다. 우리는 금융 불안정 사태, 즉 디페깅, 레버리지 언와인드, 심지어 구제 금융까지 목격해 왔고, 우리는 이를 어떻게 관리해야 할지 잘 알고 있습니다. 하지만 해킹에는 항상 블랙스완이라는 변수가 존재합니다.

스테이블코인을 겨냥한 대규모 해킹은 모든 암호화폐의 합법성을 훼손할 수 있습니다. 수천억 달러에 영향을 미치는 스마트 계약 취약점이나 다른 프로토콜을 구동하는 핵심 스테이블코인 자산의 버그를 상상해 보세요. 이는 공상과학 소설이 아닙니다. 실제로 가능한 일입니다.

Immunefi의 관점에서 볼 때, 저희가 감사하는 프로젝트의 90% 이상이 심각한 취약점을 가지고 있습니다. 여기에는 스테이블코인 시스템도 포함됩니다. 다행히 저희는 많은 진전을 이루었습니다. 몇 년 전만 해도 저희가 협력했던 거의 모든 프로젝트가 몇 년 안에 보안 침해를 경험했습니다. 하지만 지금은 그 비율이 절반에도 미치지 못합니다. 여전히 높은 수준이지만, 개선된 것입니다.

그럼에도 불구하고, 우리는 사실상 아직 준비되지 않은 코드에 전체 생태계를 걸고 있는 셈입니다. 그리고 압박 속에서 테스트해 보기 전까지는 정확히 알 수 없습니다. 저는 이를 카운트다운 시계와 같다고 생각합니다. USDC나 테더 USDT(USDT) 와 같은 스테이블코인이 배포되는 순간부터 치명적인 공격의 위험은 줄어들기 시작합니다.

계약이 더욱 복잡해지고 기능이 추가될수록 위험도 증가합니다. 한편, 저희는 보안 인프라 개선을 위해 끊임없이 노력하고 있습니다. 버그 바운티, 방화벽, AI 기반 취약점 스캐너, 블랙리스트 도구 등이 그 카운트다운에 "시간을 더하는" 역할을 하고 있습니다.

경쟁은 이렇습니다. 치명적인 해킹이 발생하기 전에 이러한 시스템을 충분히 빨리 보호할 수 있을까요?

지금 우리는 그 경쟁의 한가운데에 있습니다. 어쩌면 해낼 수도 있습니다. 대규모 실패가 발생하지 않을 만큼 충분히 안전해질 가능성도 있습니다. 하지만 아직은 확신할 수 없습니다. 앞으로 2년이 매우 중요할 것입니다.

CN: 스테이블코인의 스마트 계약 취약점의 가장 큰 원인은 무엇입니까?

MA: 위험 요소는 대부분의 DeFi 앱과 유사하지만 몇 가지 차이점이 있습니다. 대부분의 스테이블코인은 탈중앙화되어 있지 않기 때문에 거버넌스 관련 문제는 발생하지 않습니다. 하지만 두 가지 주요 취약점 유형이 있습니다.

코드 위험 — 스마트 컨트랙트는 조작에 취약한 방식으로 작성될 수 있습니다. 수학적 오류, 잘못된 상환 로직, 오라클 오용 등, 이 모든 것이 대규모 공격으로 이어질 수 있습니다. 초기 스테이블코인 해킹 사건 중 일부가 바로 이러한 방식으로 발생했습니다.

접근 제어 — 많은 스테이블코인은 중앙 집중화되어 있어 발행자가 통제하는 채굴이나 환매와 같은 특권적인 기능이 존재합니다. 누군가 이러한 제어 기능을 침해하면 전체 시스템이 붕괴될 수 있습니다. 누군가 실수로 300조 달러 상당의 PYUSD를 채굴했던 페이팔(PayPal) 사건을 기억하실지도 모릅니다. 무해한 실수였지만, 그 사건은 어떤 일이 일어날 수 있는지를 보여줍니다.

재정적 위험은 실재합니다. SVB 위기 당시 서클(Circle) 에서 이를 확인할 수 있었습니다. 부실 담보 때문이 아니라 유동성 압박 때문입니다. 환매가 폭주하면 자산이 기술적으로는 정상 상태라 하더라도 "뱅크런(채권단기매각)" 사태가 발생할 수 있습니다.

법적 위험 또한 증가하고 있습니다. 정부는 개입할 수 있고, 또 개입할 것입니다. 하지만 이는 스마트 계약의 관점에서 "보안" 문제가 아니라, 더 광범위한 안전 문제입니다. 이러한 문제를 관리하려면 완전히 다른 툴셋이 필요합니다.

CN: 기관과 은행들이 당신이 설명한 위험을 이해하고 있다고 생각하시나요?

아마도르: 그렇지는 않아요. 재정적, 법적 위험은 이해하죠. 그게 그들의 세계니까요. 하지만 코드 위험에 관해서는 대부분 그저 두려워할 뿐이에요.

그들은 자신들이 너무 깊이 빠져 있다는 것을 알고 있습니다. 배우려고 노력하고, 암호화폐 네이티브 팀을 고용하고, Privy나 Bridge 같은 인프라 스타트업을 인수하고 있습니다. 하지만 대부분은 여전히 ​​안전하다고 느끼지 못합니다. 스마트 컨트랙트 악용을 자신들이 해결할 수 없는 낯선 문제로 여기고, 그들의 생각이 옳습니다.

그들은 키 관리와 접근 제어에 더 익숙하며, 이는 기존 프로세스에 적합합니다. 하지만 암호화 스택을 더 깊이 파고들면 그들에게는 낯선 영역이 됩니다.

CN: 그들이 더 빨리 움직이도록 설득하는 것은 무엇일까?

MA: 포모(FOMO) 입니다. 바로 그것입니다. 그들에게는 사업적 근거, 즉 놓치고 싶지 않은 중요한 기회가 필요합니다. 그러면 그들은 위험을 이해하는 데 투자할 것입니다. 바로 이 부분에서 Immunefi가 도움을 드립니다. 이러한 기관들이 스스로를 안전하게 보호할 방법을 찾도록 돕는 것입니다.

CN: 스마트 계약 위험을 관리하기 위해 오늘날 암호화폐 프로젝트는 실제로 무엇을 해야 할까요?

MA: "기본적으로 안전"을 목표로 삼아야 합니다. 그것이 바로 목표입니다. 현재 퍼징, 형식 검증, AI 기반 정적 분석 등 강력한 도구들이 있으며, 이 중 상당수는 Immunefi에서 개척해 왔습니다. 하지만 도입률은 여전히 ​​저조합니다. 대부분의 팀은 감사와 버그 바운티를 일회성 체크리스트로 취급하고 있습니다. 이는 충분하지 않습니다.

모든 진지한 프로젝트에서 해야 할 일은 다음과 같습니다.

AI 취약점 감지(PR 검토): 병합하기 전에 모든 새 코드 줄을 자동으로 + 사람이 스캔합니다.

감사: 수십 명 또는 수백 명의 해커가 코드를 검토하는 전통적인 감사와 감사 경쟁.

버그 바운티: 위험에 처한 금액에 따라 의미 있는 보상을 제공합니다.

모니터링 솔루션: 배포 후 실시간 위협 감지.

방화벽: 악성 거래가 실행되기 전에 이를 블록 계약 수준의 "바운서"입니다.

이 풀 스택을 실행하면 피해가 발생하기 전에 악용 사례를 포착할 수 있는 다섯 번의 기회가 주어집니다. 하지만 방화벽을 사용하는 프로젝트는 1%도 채 되지 않고, AI 취약점 도구를 사용하는 프로젝트는 10%도 채 되지 않습니다. 이는 엄청난 격차이며, 해결 가능한 문제입니다.

CN: 언어 설계나 아키텍처와 같이 계약을 더 안전하게 만드는 다른 요소가 있습니까?

MA: 네, 하지만 앱에 따라 다릅니다. 계약이 단순할수록 항상 더 안전합니다. 그렇기 때문에 이더리움 요청 사항(ERC)-20 계약은 해킹당하는 경우가 거의 없습니다. 규모가 작고, 보안성이 뛰어나며, 검증이 잘 되어 있기 때문입니다. 로직이 복잡할수록 감수해야 할 위험도 커집니다.

업그레이드 가능성 또한 중요한 요소입니다. UX 유연성은 향상되지만, 백도어가 생기기도 합니다. 이상적으로는 사용자만 사용하는 것이 좋지만, 악용되는 사례도 많이 목격했습니다. 그럼에도 불구하고 오늘날 대부분의 프로젝트는 도입에 따른 비용 절감의 가치가 있기 때문에 업그레이드 가능성을 선택합니다.

CN: 마지막으로, 아무도 충분히 이야기하지 않는 중요한 문제는 무엇입니까?

MA: 물론입니다. 가장 큰 맹점 중 하나는 프로토콜 책임에 관한 것입니다. 온체인 시스템으로 더 많은 자금이 유입됨에 따라 법적 환경이 빠르게 변화할 것입니다. 언젠가 누군가는 "무언가가 고장 났을 때 누가 책임을 져야 할까요?"라고 질문할 것입니다. 아직 명확한 답은 없지만, 곧 나올 것이고, 프로토콜의 구축 및 관리 방식을 근본적으로 바꿀 것입니다.

제가 생각하는 또 다른 점은 암호화폐 문화가 얼마나 크게 변하고 있는가 하는 것입니다. 금융으로 변하고 있죠. 여러분도 느낄 수 있습니다. 초기 개발자들은 이념가들이었습니다. 탈중앙화와 개방형 시스템을 진정으로 믿었던 사람들이었죠. 이제 우리는 이 분야에 매우 다른 접근 방식을 취하는 금융 전문가들의 물결을 보고 있습니다. 이것이 반드시 나쁜 것은 아니지만, 정신을 바꾸고 있으며, 그러한 변화가 장기적인 결과를 가져올지는 아직 알 수 없습니다.

그리고 가역성 문제도 있습니다. 기관들이 온체인으로 이동함에 따라 현재 대부분의 퍼블릭 체인에는 존재하지 않는 기능들을 요구하게 될 것입니다. 그중 하나가 바로 거래 취소 기능입니다.

더 많은 체인, 어쩌면 주요 체인들까지도, 특히 허가형 또는 준허가형 환경에서 이러한 기능을 제공하기 시작할 것이라고 생각합니다. 이는 기존 금융 시스템과 더욱 유사하게 작동하는 새로운 차원의 블록체인 인프라, 즉 열린 세상으로 연결되는 벽으로 둘러싸인 정원을 만들어낼 것입니다.

이 모든 것은 사람들이 간과하고 있는 것과 연결됩니다. 바로 암호화폐 보안이 곧 전성기를 맞이할 것이라는 점입니다. 오늘날에도 여전히 저평가되고 있지만, 펀드부터 DAO, 은행에 이르기까지 모든 주요 참여자가 결국 온체인 레일에 의존하게 될 것이라는 점이 분명해지고 있습니다.

즉, 그들 모두 심각한 보호가 필요하다는 뜻입니다. 우리는 보안 인프라의 대규모 폭발이 시작되는 시점에 서 있다고 생각합니다. 아무도 그것이 어떤 모습일지 제대로 예상하지 못하고 있습니다.