임준오 체인라이트 리드 인터뷰
올해부터 새로운 사이버 범죄 많아질 것 웹3 핵심 기술' 영지식증명, 범죄 타겟 우려 강세장 도래…보안·감사에 더욱 신경 써야 "2024년은 가상자산(암호화폐), 블록체인 프로젝트를 대상으로 한 사이버 범죄나 버그 발생에 각별한 주의가 필요한 시기입니다. 저희는 보안 감사를 통해 웹3에서 프로젝트들이 완벽한 사업을 이어나갈 수 있도록 돕고자 합니다"사이버 보안 회사 티오리(Theori)의 웹3 보안 전문 브랜드 체인라이트(Chainlight)의 임준오 리드는 5일 블루밍비트와의 인터뷰에서 올해의 목표를 이같이 밝혔다.
특히 올해부터는 웹3 업계에서 완전히 새로운 사이버 범죄들이 발생할 수 있다는 전망이다. 영지식증명(Zero-Knowledge Proof, ZKP)과 같은 떠오르는 기술의 프로토콜들이 범죄의 대상이 될 수 있어 유의해야 한다고 봤다.
웹3 핵심 기술로 떠오른 '영지식증명'…본격 범죄 타겟 우려
임 리드는 "사실 여태까지 웹3와 가상자산 업계에서의 해킹이라 하면 보통 탈중앙화금융(디파이, Defi)나 브릿지 등 취약한 부분을 공격하는 경우가 대부분이었으나, 2024년부터는 완전히 새로운 형태의 사이버 범죄가 일어날 가능성이 생겼다"라며 "작년부터 웹3에서 핵심으로 떠오른 ZKP 프로토콜이 그 대상이 될 경우 많은 문제가 될 수 있다"라고 말했다.지난해에는 ZKP를 사용한 프로토콜들이 개발되고 있던 단계라면, 올해부터는 이들이 대량의 TVL(총 예치금)을 보유하고 있고, 유저들의 진입도 확대된 상황이기 때문이다. ZKP는 거래 상대방에게 어떠한 정보를 제공하지 않고도 자신이 해당 정보를 가지고 있다는 사실을 증명하는 기술로, 웹3 산업으로의 전환에서 기초 기술로 알려져 있다.
임 리드는 "ZKP의 특성으로 인해 모든 결괏값은 사용자가 입력한 값에 의해 결정되는데, 만약 ZKP가 사이버 범죄의 타겟이 된다면 공격 시점에 해당 프로토콜과 상호작용한 이용자들 모두가 피해를 입는 상황이 일어날 수 있다"라고 설명했다.
더불어 기존 웹2 사업체들이 웹3로의 전환을 도모할 때 ZKP 기술이 핵심이 되는 만큼 ZKP에 어떤 결함이나 취약점이 있는지 잘 살펴야 한다고 강조했다.
임 리드는 "최근 웹2 사업체들에도 ZKP가 도입되고 있는 데 여전히 오류가 많이 발생하고 있다"라며 "설계가 잘 되어 있지 않은 ZKP는 사업에 도움이 되기보다 오히려 큰 리스크를 발생시킬 수 있다"고 지적했다. 이어 "기업들이 ZKP를 도입해 사업성을 끌어올리고 투명성을 강화하려는 시도는 좋지만, 보안과 감사를 통해 완벽한 프로토콜을 만드는 것이 선제조건이 되어야 한다"고 덧붙였다.
강세장 도래한 웹3 업계…보안과 감사에 더욱 신경써야
또한 임 리드는 블록체인과 가상자산 업계에서 보안은 더욱 중요해질 것이라고 강조했다. 그는 "프로젝트에 돈이 많이 몰릴 수록 해커나 범죄자 등의 공격은 더욱 거세진다"라며 "특히 웹3는 웹2와 달리 감독하는 기관의 숫자가 적고 현금화가 쉬운 만큼 주요 먹잇감이 될 수 있다"고 우려했다.개발자(빌더) 측면에서 감사의 중요성에 대해서도 언급했다. 임 리드는 "빌더들 입장에서는 이런 강세장이 왔을 때 빠르게 프로젝트를 출시하고 싶어하는 것이 당연하다"면서도 "진행을 빠르게 하다보면 어쩔 수 없이 놓치는 부분이 발생할 수 있는데 감사를 통해 완벽한 프로젝트를 내놓는 것이 프로젝트에도 고객에게도 긍정적인 측면이 많다"고 말했다.
체인라이트는 현재 업비트, 대체불가능토큰(NFT) 마켓플레이스 '블러(Blur)', zk싱크(zkSync), 계정추상화 업체 바이코노미(Biconomy) 등 웹3 업체들의 보안 감사를 맡고 있다. 특히 버그 바운티 활동을 통해 'zk싱크'와 옵티미즘(OP) 기반 탈중앙화금융 '퍼페튜얼 프로토콜'의 취약점을 찾아내 19억 달러가 넘는 규모의 피해를 예방하기도 했다. 투자자들에게 특정 플랫폼들의 취약점을 알려주기 위한 플랫폼 '디지털 에셋 리스크 트랙커(Digital Asset Risk Tracker, Dart)'도 운영 중이다.
