기사 작성자: 0x9999in1
기사 출처: MetaEra
최근 MetaEra 홍콩 존이 '홍콩의 새로운 암호화 정책 2주년 기념' 시리즈로 시작되었습니다. 이 행사의 중요한 부분은 '고급 대화: 웹 3.0의 영향력 있는 리더'입니다. in Hong Kong". 이번 호에서 인터뷰한 사람들은 CertiK의 공동 창업자인 Gu Ronghui입니다.
캐릭터 소개
Gu Ronghui, 컬럼비아 대학교 컴퓨터 과학 교수이자 CertiK의 공동 창립자. 그는 싱가포르 통화청(MAS)의 국제 기술 자문 위원회 회원이자 홍콩 정부의 3세대 인터넷(Web3.0) 개발 태스크 포스의 회원입니다. Gu Ronghui는 칭화 대학교에서 학사 학위를 취득하고 2016년 예일 대학교에서 컴퓨터 공학 박사 학위를 받았습니다. 동시에 Gu Ronghui는 운영 체제, 소프트웨어 보안 및 공식 검증 분야의 전문가이며 CertiKOS의 주요 설계자이자 개발자이기도 합니다.
하이라이트
●홍콩은 여전히 Web3 사업을 시작하기에 가장 좋은 곳 중 하나라고 생각합니다. 중국인에게는 홍콩이 최고의 창업 기지가 아닐까 생각합니다.
●우리는 보안이 전체 프로젝트 수명주기에 수반되어야 한다고 믿으며 초기 단계부터 온라인, 체인, 화폐, 성숙한 운영까지 사용자와 동행하기를 희망합니다.
●업계나 프로젝트 당사자가 CertiK의 보안 감사를 통과한 후 프로젝트에 보안 문제가 전혀 없을 것이라고 생각하는 것을 원하지 않습니다.
●CertiK이 하는 일은 모든 것을 공개하고 투명하게 만드는 것입니다.
●개방적이고 투명한 정보는 확실히 CertiK에게는 양날의 검이지만 업계에서는 확실히 긍정적인 결과입니다.
●규제정책의 가장 중요한 세 가지 포인트는 통제, 가시성, 집행입니다.
●홍콩의 Web3 개발은 초기 허니문 시기를 지나 이제 노동 시기로 접어들고 있습니다.
●CertiK는 이러한 불공정한 대결 속에서 해커들과 24시간 맞서 싸울 것이며, 수년간의 싸움 끝에 승률을 보장하기 위해 최선을 다할 것입니다.
인터뷰 전문
MetaEra: CertiK는 작년 8월 홍콩 Cyberport에 정착했습니다. 귀하의 개인적인 경험에 대해 이야기하고 여전히 홍콩에서 Web3의 발전을 기다리고 있는 실무자와 프로젝트에 대한 관련 지침과 제안을 제공할 수 있습니까?
구롱후이: 홍콩은 이미 2023년 1월에 일부 관련 정책을 도입한 것으로 기억합니다. 당시에는 모두가 관망하는 상태에 있었다고 느꼈습니다. CertiK는 홍콩 초청을 받고 Chen Maobo 이사를 만나 Web3 금융 정책에 대한 자신의 견해를 밝혔는데, 이를 통해 홍콩 정부가 Web3 개발에 대해 매우 자신감을 갖고 있음을 느꼈습니다.
우리가 홍콩에 CertiK 회사를 설립하기 시작한 것은 바로 그때였습니다. 그 동안 Web3에 대한 미국의 태도는 SEC가 12건이 넘는 소송을 잇달아 제기할 정도였습니다. 모두가 Web3에 대한 미국의 태도와 정책이 매우 불분명해졌다고 느꼈고, 그래서 많은 사람들이 방향을 돌렸습니다. 아시아에 주목하세요. 아시아의 주요 금융 중심지는 싱가포르와 홍콩입니다. 홍콩에서 초청을 받았을 때 저는 당시 싱가포르 통화청(MAS)의 국제기술자문위원회 위원이기도 했습니다. 그리고 싱가포르 국부펀드 테마섹 펀드가 FTX에 투자했기 때문에 FTX 사태 이후 싱가포르 정책이 Web3에 대해 주저하기 시작했다고 생각합니다.
우리는 홍콩 Cyberport에 정착하기로 결정했고 Web3 기업가에 대한 지원이 매우 충분하며 정기적인 활동을 조직하는 것뿐만 아니라 프로젝트를 인큐베이션하는 등 많은 소통을 했습니다. 전체 과정을 통해 저는 홍콩이 Web3를 개발하려는 홍콩 정부의 결의와 함께 홍콩 고유의 독특한 지위를 가지고 있음을 느낄 것이며 Web3 기업가 정신을 위한 매우 좋은 기반이 될 것이라고 느낄 것입니다.
다른 Web3 실무자들에게 조언을 해주고 싶다면 홍콩은 여전히 Web3 비즈니스를 시작하기에 가장 좋은 곳 중 하나라고 생각합니다. 중국인에게는 홍콩이 최고의 창업 기지가 아닐까 생각합니다. 첫째, 정책적 지원이 있고, 둘째, 선전을 지원함으로써 재정적 인재뿐만 아니라 많은 고급 프로그래머와 개발자를 채용할 수 있습니다. 셋째, 점점 더 많은 관련 회사가 채용되고 있습니다. 또한 정착을 통해 모든 사람이 더 나은 것을 찾을 수 있습니다. 파트너 또는 고객. 또한, 홍콩에서 사업을 시작하고 싶은 기업가가 있다면 최대한 빨리 Cyberport에 문의하시기 바랍니다. CertiK는 현재 Cyberport와 협력하고 있으며 일부 보안 인증서를 제공하고 Cyberport의 창업 지원 기금 신청을 도와드릴 수 있습니다.
또한, 홍콩 금융 규제 기관은 CertiK의 권장 사항을 채택하고 스테이블 코인에 대한 규제 프레임워크를 강화했습니다. 이는 홍콩 정부가 정책을 개선하기 위해 업계의 모든 측면에서 전문적인 제안, 아이디어 및 목소리를 들을 수 있음을 의미합니다. 지방정부 중에서는 홍콩정부가 이 점에 있어서 가장 최선을 다했다고 생각합니다.
MetaEra: 홍콩은 또한 새로운 암호화 정책에 따라 많은 Web3 프로젝트를 유치했습니다. 이러한 프로젝트는 블록체인 보안을 어떻게 생각합니까? 중국어권 지역의 기업가들은 암호화 보안에 대해 서구 세계의 기업가들과 다른 견해를 가지고 있습니까?
Gu Ronghui: 저희는 Web3 보안 분야에 종사하고 있으며, Web3 보안 분야에서도 선도적인 기업이라고 할 수 있습니다. 우선, 대부분의 실무자에게 안전은 중요합니다. 어떤 회사나 창업자에게 프로젝트의 안전이 중요한지 묻는다면 그는 분명히 매우 중요하다고 말할 것입니다! 하지만 프로젝트의 보안을 어떻게 향상시킬 수 있으며, 프로젝트의 보안에는 어떤 측면이 포함됩니까? 이에 대한 비용을 지불할 의향이 있습니까? 답변이 비교적 모호하고 일반적이라 다들 보안이 매우 중요하다고 생각하지만, 구현에 있어서는 여전히 상당한 저항이 있다는 느낌을 받습니다.
첫째, 모두가 그럴 필요가 없다고 생각합니다. 프로젝트가 안전하고 공격받지 않을 것이라고 생각하는 것은 항상 행운입니다. 이런 식으로 프로젝트 보안을 무시하기 쉽습니다. 둘째, 보안 측면에서 블록체인 보안에는 정확히 무엇이 포함됩니까? 블록체인 프로젝트 당사자로서 그는 어떤 종류의 보안 보호를 제공해야 합니까? 사실 대부분의 프로젝트 당사자들은 이에 대해 잘 모릅니다. 과거에는 코드 감사에 대해 더 많이 들어보셨을 것입니다. 그 중 일부는 코드 감사에 대한 합의로 이어진 CertiK의 확고한 옹호 때문이었습니다. 즉, 내부 직원이 프로젝트 코드를 테스트한 후에는 그렇게 해야 합니다. 외부 조직에서 독립적으로 수행하는 보안 감사입니다.
하지만 3~4년 전 DeFi가 처음 시작되었던 2020년에는 모두가 서서히 코드 감사의 중요성을 깨달았습니다. 지난 몇 년 동안 일부 프로젝트에서는 비용이 많이 들기 때문에 일부 코드에 대해서만 보안 감사를 수행했습니다. 코드. 실제로 여기에는 오해가 있습니다. 코드가 변경되면, 심지어 몇 줄의 코드가 변경되더라도 새로운 취약점과 새로운 공격 기회가 발생할 수 있습니다. 이 현상은 오늘날까지도 여전히 합의에 이르지 못하고 있습니다. 즉, 프로젝트의 모든 코드와 모든 버전은 보안 감사를 받아야 합니다.
한 단계 더 나아가 코드 보안 감사는 블록체인 보안의 일부일 뿐입니다. 전체 블록체인의 보안에는 개인 키 관리, 비스마트 계약 부분의 보안, 스마트 계약 상호 작용이 포함됩니다. 예를 들어 일부 프로젝트에는 노드 보안도 포함됩니다. 예를 들어 기업이 지갑을 사용하는 경우 다중 서명 지갑이든 MPC 지갑이든 이러한 지갑에 대한 솔루션은 안전합니까? 실제로 위에서 언급한 사항은 모두 코드 감사 범위를 초과했지만 이러한 부분의 보안을 위해 많은 프로젝트 당사자는 설계와 보호가 완전히 제로, 거의 줄무늬에 가깝습니다. 이 경우 많은 공격이 더 이상 스마트 계약의 보안만 사용하지 않는다는 것을 알게 될 것입니다. 우리는 Cyberport와 협력하여 기업가와 기업가에게 보안 교육을 제공하는 보안 교육을 시작한 다음 시험과 인증서가 있을 것입니다. 발급됩니다. 이 인증서를 취득하면 Cyberport의 자금 지원을 신청할 수 있습니다. 지원금을 주면 적어도 도난당하거나 버려지는 일은 피할 수 있기 때문입니다.
MetaEra: 중국어권 기업가들은 암호화 보안에 대해 서구 세계의 기업가들과 다른 견해를 가지고 있습니까?
Gu Ronghui : 전체적인 견해는 여전히 동일합니다! 2021년 이전에는 모두가 안전에 그다지 관심을 기울이지 않았습니다. 2021년 이후에는 모두가 안전에 더 많은 관심을 가지기 시작했습니다. 그러나 약간의 미묘한 차이가 있을 수 있습니다. 서양의 기업가는 안전과 관련하여 위험을 감수하려는 의지가 약간 덜한 반면, 중국어 동부 지역의 기업가는 자신의 프로젝트가 위험을 무릅쓰고 있다고 느끼는 것 같습니다. 안전 문제 없음. 또 다른 점은 우리가 서양 프로젝트의 허점을 지적할 때 상대적으로 개방적이라는 것입니다. 중국어권 프로젝트를 접하면 문제를 지적하면 그들은 저항할 것입니다. 프로젝트나 코드에는 문제가 없지만 CertiK가 지적한 문제는 프로젝트에 해를 끼칩니다. 물론 제가 언급한 상황 역시 매우 드문 경우입니다. 하지만 보안 감사의 목적은 문제를 발견하고 해결하도록 돕는 것이라고 말하고 싶습니다.
MetaEra: 최근 CertiK의 슬로건에 변화가 생겼습니다. 이러한 업그레이드를 위해 어떤 고려 사항이 사용되었나요? CertiK는 토큰 스캔 및 지갑 스캔과 같은 보안 도구를 커뮤니티에 무료로 출시합니다. 보안 회사로서 CertiK는 C-end 사용자에게 더 많은 에너지를 쏟을 것입니까?
Gu Ronghui: 먼저 슬로건에 대해 이야기해 보겠습니다. 이전 슬로건은 "Web3 세계 보호"였습니다. 이제 슬로건은 "전체 Web3 여정 향상"입니다.
그렇다면 CertiK가 4,700명의 고객에게 서비스를 제공하고 150,000개의 보안 취약점을 발견했으며 40개 이상의 대규모 취약점을 보고한 이유에 대해 이야기하고 싶습니다. 하지만 C측, 개발자 커뮤니티 등에서는 지난 몇 년 동안 커뮤니티에 대한 피드백이 충분하지 않다고 생각합니다.
"Web3 World 보안"은 처음부터 우리의 가장 간단한 아이디어, 즉 Web3 산업 전체와 세계를 보호하고자 하는 것입니다. 그래서 저는 스스로에게 묻습니다. 우리 고객은 어디에 있습니까? 우리 커뮤니티는 어디에 있나요? 사실 이 슬로건은 잘 반영되지 않고 있습니다. 우리의 비전이 거대해지고 하나의 산업과 하나의 세계가 되면서 때로는 특정 커뮤니티, 특정 고객, 특정 C-end 사용자를 무시하기도 합니다. 그래서 저는 새로운 슬로건에 "Your Web3 Journey"를 추가했습니다. 업계의 개인과 커뮤니티를 우리의 생각에 담아 더 이상 거시적인 세계가 아닌 더욱 구체적으로 만들기를 바랍니다.
둘째, 많은 고객은 보안이 온라인에 접속하기 전 일회성 보안 감사라고 생각하고 이를 특정 시점의 서비스로 간주할 것입니다. 그러나 우리는 보안이 전체 프로젝트 수명주기에 수반되어야 한다고 믿습니다. 초기 단계부터 온라인, 온체인, 온코인, 그리고 성숙한 단계의 운영까지 사용자와 동행하기를 바랍니다.
셋째, 슬로건 업그레이드를 위해 보안은 단지 공격을 예방하는 것만이 아니라고 믿습니다. 이제 보안 분야를 넘어 많은 서비스를 제공하고 현장에서도 접하고 있는 CertiK를 포함하여 전체 라이프사이클에 걸쳐 프로젝트 당사자에게 힘을 실어주고 있습니다. 범보안의. 범보안 분야 외에도 고객에게 "Design Review" 컨설팅 서비스도 제공합니다. TON 퍼블릭 체인을 예로 들면, 우리는 초기에 코드 감사와 공식 검증을 수행했으며, 이후에는 성능 테스트와 커뮤니티 구축을 도왔습니다.
따라서 CertiK의 사명을 더 잘 정의하고 CertiK의 제품과 서비스를 더 잘 정의하기 위해 CertiK의 슬로건을 업그레이드했습니다. 새 슬로건에는 프로젝트 당사자, 거래소, 지갑 및 C-end 사용자가 포함됩니다. Token Scan 및 Wallet Scan과 같은 도구는 완전히 무료입니다. 목적은 우리를 지원하는 커뮤니티에 환원하고 커뮤니티에 힘을 실어주는 것입니다.
MetaEra: 많은 스타트업 Web3 프로젝트는 공식 PR에서 CertiK 보안 감사를 통과했다고 강조할 것입니다. "CertiK 보안 감사 통과"가 업계 표준이 된 것 같습니다. 그래서 일부 프로젝트 당사자는 이 측면을 홍보한다고 생각하십니까? 자신이 보유한 프로젝트의 장점과 장점을 바탕으로 사용자는 "CertiK 감사를 통과한 프로젝트는 좋은 프로젝트이고, CertiK 감사를 통과하지 못한 프로젝트는 좋은 프로젝트가 아니다"라는 고정관념으로 육성될 수 있습니다. 이 현상에 대해 어떻게 생각하시나요?
Gu Ronghui: 우선, 많은 프로젝트에서 CertiK 보안 감사 통과를 프로젝트의 보너스 포인트로 여기고 이를 프로젝트의 장점으로 홍보하는 것을 보고 매우 기쁩니다. 이는 분명히 우리의 작업, 기술, 브랜드를 인정하는 것이며, 이에 상관없이 좋은 일입니다.
하지만 가장 큰 오해에 대해서도 이야기하고 싶습니다. 우리는 업계나 프로젝트 당사자가 CertiK의 보안 감사를 통과한 후 프로젝트에 보안 문제가 전혀 없을 것이라고 생각하지 않기를 바랍니다.
우선, CertiK의 보안 감사와 프로젝트 보안 사이에는 큰 격차가 있습니다. 보안 감사와 프로젝트 측 보안에는 실제로 보안 감사가 아닌 부분이 많이 포함되어 있습니다.
둘째, CertiK는 보안 감사를 위해 코드의 일부 또는 코드 버전의 일부만 얻을 수 있는 경우가 많으므로 전체 코드 기반에 대해 보장할 수 있는 방법이 없습니다.
셋째, Turing과 다른 과학자들의 연구는 코드 조각이 100% 안전하다는 것을 보장하는 일반적인 방법이 없다는 것을 보여주었습니다. 따라서 보안 감사를 통과했다고 해서 코드가 100% 안전하다는 의미는 아닙니다. 그러나 CertiK의 보안 감사는 프로젝트 당사자가 보안에 큰 중요성을 부여한다는 것을 보여줍니다. 이를 위해서는 프로젝트 당사자가 프로젝트의 전반적인 보안을 개선하기 위해 시간과 비용을 지출하고 심지어 출시를 연기해야 합니다. 또한, CertiK의 보안 감사는 프로젝트의 보안을 크게 향상시킬 수 있습니다.
이러한 관점에서 볼 때 CertiK의 보안 감사를 통과하는 것은 실제로 프로젝트 측면에서 이점이 될 수 있습니다. 하지만 우리는 그것을 고정된 사고로 전환하고 싶지 않으며, 이는 프로젝트 측면과 CertiK 모두에 반발 효과를 줄 수 있습니다. 그래서 사실관계가 무엇인지 끊임없이 설명하고 있으며, 저희를 알아봐주신 프로젝트 당사자들과 업계에 다시 한 번 감사의 말씀을 드립니다.
MetaEra: CertiK은 올해 크라켄 사건을 겪었습니다. 양측의 의견이 서로 다른 상황은 모두가 잘 알고 있을 것입니다. 그렇다면 홍보 위기의 관점에서 이 사건이 CertiK에 어떤 성장 영감과 실질적인 영향을 미쳤습니까?
구롱휘: 이 사건의 인기는 우리의 상상을 훨씬 뛰어넘었습니다. 사건이 일어난 지 몇 달이 지났는데, 이 사건을 되돌아보면 몇 가지 분명한 결과가 있습니다.
첫째, Kraken에 심각한 취약점이 나타났습니다. CertiK는 취약점을 발견하고 Kraken에 신속하게 통보하여 취약점을 수정했으며 궁극적으로 사용자 손실을 초래하지 않았습니다. Kraken 자체는 이것이 역대 가장 심각한 교환 취약점일 수 있음을 인정할 것이며 CertiK는 취약점을 발견하고 해결하도록 도왔습니다. 결과를 보면 이는 업계 전체에 있어서 큰 승리라고 할 수 있습니다.
둘째, 만약 우리가 이를 다시 경험하게 된다면, CertiK는 100번이든 1,000번이든 사용자 손실을 방지하기 위해 원래 의도를 바꾸지 않고 가능한 한 빨리 Kraken에 보고할 것입니다. 할 일을 할 것입니다.
그러나 같은 사안에 대해 양측의 견해가 다를 경우, 양측이 각자의 의견을 주장했던 이전 상황보다 더 나은 해결 방법이 있어야 한다고 써틱은 믿고 있다.
MetaEra: "업계의 검객"으로서의 역할에서 블록체인 보안 기관과 블록체인 평가 기관은 모두 문제에 직면하게 될 것입니다. 모든 Web3 프로젝트를 공정하게 처리할 수 있을 만큼 전문적인지 어떻게 보장할 수 있을까요? CertiK는 이를 어떻게 효과적으로 처리합니까?
구롱휘: 이 문제는 2020년부터 우리를 괴롭히고 동시에 고민해 왔습니다. 탈중앙화 이전에는 아마존, 알리바바, 텐센트에 돈을 투자했는데, 이는 이들 대기업에 대한 신뢰를 바탕으로 한 것이지만, 우리는 이들 대기업이 중앙집중화된 기관이라고 생각하므로 탈중앙화가 필요하다고 생각합니다. 그러나 탈중앙화 이후 일반 사용자는 코드를 이해할 수 없으며 CertiK는 모든 사람에게 이 코드가 안전하고 신뢰할 수 있다고 말합니다. 그런데 이때 CertiK가 센터가 될까요?
솔직히 말해서, CertiK는 지난 2년 동안 업계에서 많은 논란을 겪었고, 우리는 이를 회피하지 않을 것입니다. 왜 이렇게 논란이 많은 걸까요? 우리를 비난하는 사람이 이렇게 많나요? CertiK이 중앙집권화됐다고 다들 느끼기 때문일 수도 있고, CertiK이 과연 합리적이고 공정한지 의문이 들 것이다.
우리도 이러한 문제에 대해 고민하고 있으며, CertiK가 단독으로 블록체인 보안을 트랙으로 전환했다는 보고가 있습니다. 우리는 이런 무거운 책임을 어떻게 해야 할까?라고 생각했습니다. 당시 CertiK가 내린 선택은 모든 보안 감사 보고서를 공개하고 자체 웹사이트에 업로드하는 것이었습니다. 그러나 이러한 보고서는 너무 전문적이어서 많은 사용자가 여전히 이러한 보고서를 스카이넷 데이터로 정제하여 시각화 패턴을 제공하지 못했습니다. 모두가 볼 수 있도록. CertiK가 하는 일은 모든 것을 개방적이고 투명하게 만드는 것입니다.
이 결정은 당시 회사 내부는 물론 파트너사, 심지어 투자기관 모두의 강력한 반대에 부딪혔습니다. CertiK는 모든 보안 감사 보고서를 공개하기 때문에 보안 사고가 발생할 때마다 모두가 보안 문제가 CertiK와 관련이 있다고 생각할 것입니다. 하지만 지금까지 어떤 보안업체도 감히 모든 정보를 공개하지 못하고 있습니다. 한번 공개되면 숨길 수도 없고, 문제가 발생해도 도망갈 수도 숨길 수도 없기 때문입니다.
공개적이고 투명한 정보는 확실히 CertiK에게는 양날의 검이지만 업계에서는 확실히 긍정적인 결과입니다. CertiK에게는 양날의 검이더라도 업계에는 긍정적일지라도 CertiK에서는 이를 확고히 실천한다는 것이 우리의 원칙입니다. 2020년부터 지금까지 CertiK는 항상 원래의 목표를 유지해 왔습니다. 프로젝트 팀에 문제가 있어도 CertiK는 질책을 받았고 우리 모두는 부정적인 영향을 받았습니다. 오늘부터 매일 우리는 보안 사고 보고서를 웹사이트에 공개합니다.
MetaEra: 다양한 국가와 지역에서 가상자산과 관련된 정책과 규제가 도입되면서 법 집행기관과 정부에서는 보안 문제에 더욱 주목하고 있습니다. CertiK은 현재 어떤 지역과 국가와 협력하고 있나요? Web3 분야의 향후 보안 이슈의 주요 측면은 무엇입니까?
구롱휘: 먼저 다양한 측면의 협력에 대해 말씀드리겠습니다.
우선 저는 홍콩 정부의 3세대 인터넷(Web3.0) 개발 태스크포스의 회원이고, CertiK 최고보안책임자(CSO) 리강 교수도 이 그룹의 회원입니다. 홍콩 재무국(금융 서비스 및 재무국)과 홍콩 통화 당국(홍콩 통화 당국)이 주도하는 "협의 요약 - 홍콩의 스테이블코인 발행자를 위한 규제 시스템 구현을 위한 입법 제안"과 같이 CertiK도 두 가지 추천을 했습니다. 싱가포르에서는 MAS(Monetary Authority of Singapore)의 국제 기술 자문 위원회(International Technical Advisory Committee)의 회원이기도 합니다. 11명의 회원 중 저는 Web3 업계의 유일한 사람입니다.
또한 CertiK는 일본 엔화 스테이블코인에 대한 규정 준수 정책 초안 작성에 참여했으며 일본 금융청(FSA)에 계약 준수 및 해커 모니터링에 대한 조언을 제공했으며 말레이시아 디지털 경제 공사(MDEC)에도 공동으로 참여했습니다. CertiK은 한국의 Metaverse 및 Web3 관련 정책 문서 초안 작성을 위해 서울 및 부산시와 MOU를 체결하고 관련 협력을 시작했습니다.
위 내용은 CertiK가 규정 준수 관련 규정 준수 정책 문서 초안 작성을 돕기 위해 아시아 정부와 협력한 내용 중 일부입니다.
2023년부터 아시아와 미국을 포함한 전체 Web3 산업 트렌드는 현물 ETF 채택 및 기타 주류 내러티브 등 규정 준수가 될 것입니다. 규정 준수의 이점은 더 많은 사용자가 참여할 수 있고, 전통 산업의 더 많은 사용자가 참여할 수 있다는 것입니다.
다양한 정부의 정책은 스테이블 코인에서 시작되어야 합니다. 이 과정에서 CertiK는 여러 곳의 정책 개발을 촉진하고 정부 차원에서 Web3를 더 잘 이해할 수 있도록 노력합니다. 이해하지 못하면 두려움으로 이어질 수 있기 때문입니다. 이해하면 CertiK의 역할인 Web3를 천천히 받아들일 수 있습니다.
규제 정책의 가장 중요한 세 가지 포인트는 통제, 가시성, 시행입니다. 따라서 정부가 규정 준수에 대해 이야기하기 시작하면 즉시 보안에 대해 이야기해야 합니다. 안전 문제가 해결되지 않기 때문에 눈에 보이지 않고 통제할 수 없는 상황이 발생하게 됩니다. 따라서 이제 온체인 거래에 점점 더 많은 관심이 쏠리고 있으며 이것이 그 이유 중 하나입니다.
MetaEra: Web3 분야의 향후 주요 보안 이슈는 무엇입니까?
Gu Ronghui: 저는 다음과 같은 네 가지 측면이 있다고 생각합니다.
첫째, 코드 보안;
둘째, 스마트 계약과의 상호 작용과 같은 코드 이외의 프로젝트 보안;
셋째, 개인 키 관리;
넷째, 거래가 안전한지, 대화형 자산이 도난당하는지 등의 상대방 위험입니다.
현재 우리는 두 가지 추세를 볼 수 있습니다. 첫째, 전통적인 은행이 Web3 산업에 진입하면 보안 문제가 더욱 두드러질 것입니다. 둘째, 소매 초보자가 Web3 산업에 막 진입하면 지갑 개인 키를 잘 보관할 수 없고 판단할 수 없습니다. 프로젝트인가, 프로젝트인가? 새 슬로건의 "귀하"는 Web3 보안에 대해 잘 모르는 이 두 그룹을 포함하고 이들이 보안을 더 잘 보장할 수 있도록 돕기 위한 것입니다.
MetaEra: 글로벌하게 생각하고 홍콩에 집중하세요. CertiK는 또한 홍콩의 Web3 개발을 위한 제안을 하고 있습니다. CertiK의 제안은 홍콩 재무국과 홍콩 통화청이 발행한 안정적인 통화 감독을 위한 입법 제안에 채택되었습니다. 귀하가 관찰한 바에 따르면 홍콩의 Web3 개발은 어느 단계에 이르렀습니까?
Gu Ronghui: 홍콩의 Web3 개발은 초기 밀월기를 지나 이제 진통기에 접어들고 있습니다. 우리는 첸모포 장관의 연설과 잇따른 정책 지지 등 홍콩 정부의 조기 결단을 보았습니다. 정책 수립 과정에서 홍콩 정부는 업계와 소통하고 업계 제안을 폭넓게 경청했습니다. 정책이 매력적이어서 많은 기업이 홍콩으로 몰려들었습니다. 이것이 바로 제가 허니문 기간이라고 부르는 시기입니다.
허니문 기간이 지나면 기업은 비즈니스와 시장을 발전시키기 시작합니다. 이러한 단계에 진입하는 것은 본질적으로 도전과 어려움이 가득한 실제 사용자와 시장이 필요합니다.
MetaEra: 구교수님, 캠퍼스에서 사회로 이동하시고, 블록체인 보안에 중점을 두고 보안 회사를 설립하셨는데요, 이러한 전환(교내를 벗어나 Web3 사업을 시작하는 것)에 어떤 기회가 있나요? 또한, CertiK의 창립 의도는 무엇이었나요? 지금까지 변경된 사항이 있나요?
Gu Ronghui: CertiK의 탄생 과정에 대해 말씀드리겠습니다. CertiK의 이름은 2016년 CertiK의 또 다른 창립자인 Shao Zhong 교수와 함께 CertiKOS를 개발한 것입니다. 이것은 세계 최초의 종합적인 형식 검증, 해킹 방지 및 공격 방지 운영 체제 커널입니다. 이는 당시로서는 획기적인 기술이었으며 업계에서도 큰 반향을 불러일으켰고, 나 또한 이 연구 결과를 바탕으로 컬럼비아 대학교에서 교수직을 맡게 되었습니다.
먼저 수학적 방법을 사용하여 코드의 보안을 증명하는 공식 검증에 대해 이야기해 보겠습니다. 현재 가장 높은 보안 표준을 충족할 수 있지만 비용도 매우 높고 시간도 오래 걸립니다. 따라서 이전에는 매우 핵심적이고 중요한 영역에서만 사용할 수 있었으며 대규모 애플리케이션을 구현하기가 어려웠습니다. 2016년에는 CertiKOS의 검증 작업을 완료하여 정식 검증이 적용 단계에 이르렀음을 입증하기도 했습니다.
2016년에는 또 다른 사건이 발생했다. 이더리움의 DAO가 공격을 받았는데, 이는 가장 큰 보안 공격 중 하나로 꼽힌다. 코드에 허점이 있기 때문에 누구나 블록체인 보안이 매우 어렵다고 생각합니다. 일단 해커가 공격하면 누구도 이러한 거래를 막을 수 없습니다. 따라서 코드 뒤에 숨은 자산이 수천만 달러, 심지어 수억 달러에 달할 수 있기 때문에 모두가 코드가 최대한 안전하기를 바랍니다. 그러한 기회 속에서 우리의 기술과 시장의 요구가 잘 맞아떨어졌고, CertiK가 탄생하게 되었습니다. CertiK는 스마트 계약 감사에 공식 검증을 적용하고 업계 전체의 프로젝트 코드 보안을 향상시키려는 것이 우리 설립의 원래 의도입니다.
개발 과정은 매우 어렵고, 현재 우리가 직면하고 있는 가장 큰 과제는 여전히 보안에 대한 대중의 인식입니다. 2017년부터 2020년까지 모두가 안전이 중요하다고 생각했지만 누구도 안전을 위해 아무것도 하지 않거나 안전작업에 시간과 에너지를 쏟으려는 사람은 없었습니다. 2020년까지 업계 실무자들은 최소한 스마트 계약 감사가 필요하다고 생각하며, 그 밖에도 충분한 관심을 받지 못한 보안 문제가 많이 있습니다.
또한 Web3 산업은 매우 빠르게 발전하고 있으며 기술 업데이트 및 반복도 매우 빠르게 진행되고 있으며 매달 새로운 용어, 새로운 개념, 새로운 기술이 등장하면 현재 CertiK는 더욱 두드러질 것입니다. 상대적으로 높은 시장 점유율을 위해서는 Cover의 전체 기술 스택과 생태계가 필요하며 이 프로세스는 상당히 피곤합니다.
또한, CertiK의 개발 과정에서 우리는 기술적이지 않은 많은 문제와 심지어 일부 분쟁에 직면해야 했습니다. 우리의 상대인 해커를 포함해 해커들은 업계에서 가장 약한 기업을 찾아 공격할 수도 있다. CertiK을 경호원으로 활용한다면 CertiK는 동시에 4,700명의 고객을 보호해야 하는데, 해커들이 어디서부터 공격을 시작할지는 알 수 없다. 솔직히 말해서 이 공격과 방어는 동등하지 않습니다. 하지만 우리는 이러한 불공정한 대결 속에서 24시간 내내 해커들과 싸워야 하며, 승률을 최대한 보장하기 위해 수년간 해커들과 싸워야 하는 일이지만 우리의 초심은 변하지 않았습니다.