"2024년은 가상자산(암호화폐), 블록체인 프로젝트를 대상으로 한 사이버 범죄나 버그 발생에 각별한 주의가 필요한 시기입니다. 저희는 보안 감사를 통해 웹3에서 프로젝트들이 완벽한 사업을 이어나갈 수 있도록 돕고자 합니다"
사이버 보안 회사 티오리(Theori)의 웹3 보안 전문 브랜드 체인라이트(Chainlight)의 임준오 리드는 5일 블루밍비트와의 인터뷰에서 올해의 목표를 이같이 밝혔다.
특히 올해부터는 웹3 업계에서 완전히 새로운 사이버 범죄들이 발생할 수 있다는 전망이다. 영지식증명(Zero-Knowledge Proof, ZKP)과 같은 떠오르는 기술의 프로토콜들이 범죄의 대상이 될 수 있어 유의해야 한다고 봤다.
지난해에는 ZKP를 사용한 프로토콜들이 개발되고 있던 단계라면, 올해부터는 이들이 대량의 TVL(총 예치금)을 보유하고 있고, 유저들의 진입도 확대된 상황이기 때문이다. ZKP는 거래 상대방에게 어떠한 정보를 제공하지 않고도 자신이 해당 정보를 가지고 있다는 사실을 증명하는 기술로, 웹3 산업으로의 전환에서 기초 기술로 알려져 있다.
임 리드는 "ZKP의 특성으로 인해 모든 결괏값은 사용자가 입력한 값에 의해 결정되는데, 만약 ZKP가 사이버 범죄의 타겟이 된다면 공격 시점에 해당 프로토콜과 상호작용한 이용자들 모두가 피해를 입는 상황이 일어날 수 있다"라고 설명했다.
더불어 기존 웹2 사업체들이 웹3로의 전환을 도모할 때 ZKP 기술이 핵심이 되는 만큼 ZKP에 어떤 결함이나 취약점이 있는지 잘 살펴야 한다고 강조했다.
임 리드는 "최근 웹2 사업체들에도 ZKP가 도입되고 있는 데 여전히 오류가 많이 발생하고 있다"라며 "설계가 잘 되어 있지 않은 ZKP는 사업에 도움이 되기보다 오히려 큰 리스크를 발생시킬 수 있다"고 지적했다. 이어 "기업들이 ZKP를 도입해 사업성을 끌어올리고 투명성을 강화하려는 시도는 좋지만, 보안과 감사를 통해 완벽한 프로토콜을 만드는 것이 선제조건이 되어야 한다"고 덧붙였다.
개발자(빌더) 측면에서 감사의 중요성에 대해서도 언급했다. 임 리드는 "빌더들 입장에서는 이런 강세장이 왔을 때 빠르게 프로젝트를 출시하고 싶어하는 것이 당연하다"면서도 "진행을 빠르게 하다보면 어쩔 수 없이 놓치는 부분이 발생할 수 있는데 감사를 통해 완벽한 프로젝트를 내놓는 것이 프로젝트에도 고객에게도 긍정적인 측면이 많다"고 말했다.
체인라이트는 현재 업비트, 대체불가능토큰(NFT) 마켓플레이스 '블러(Blur)', zk싱크(zkSync), 계정추상화 업체 바이코노미(Biconomy) 등 웹3 업체들의 보안 감사를 맡고 있다. 특히 버그 바운티 활동을 통해 'zk싱크'와 옵티미즘(OP) 기반 탈중앙화금융 '퍼페튜얼 프로토콜'의 취약점을 찾아내 19억 달러가 넘는 규모의 피해를 예방하기도 했다. 투자자들에게 특정 플랫폼들의 취약점을 알려주기 위한 플랫폼 '디지털 에셋 리스크 트랙커(Digital Asset Risk Tracker, Dart)'도 운영 중이다.
진욱 블루밍비트 기자 wook9629@bloomingbit.io
<블록체인·가상자산(코인) 투자 정보 플랫폼(앱) </strong>'블루밍비트'에서 더 많은 소식을 받아보실 수 있습니다>
관련뉴스