온체인 보안에 대해 얼마나 알고 계신가요? 일반인이 암호화된 자산을 위한 방화벽을 어떻게 구축하나요?

Mint Ventures ｜2025-04-03 12:00

이 문서에서는 구체적인 보안 사고부터 모든 사람이 주의해야 할 보안 원칙, 그리고 전체 산업의 개발 규모에 이르기까지 모든 것을 다룹니다.

진행자: Alex , Mint Ventures의 연구 파트너

게스트: 블록체인 보안 회사 BlockSec의 CEO인 Zhou Yajin

녹화시간 : 2025.3.28

면책 조항: 이 팟캐스트에서 논의된 내용은 게스트의 기관의 견해를 대변하지 않으며, 언급된 프로젝트는 어떠한 투자 조언도 구성하지 않습니다.

BlockSec의 서비스 범위 및 대상 고객

알렉스: 이번 에피소드에서는 모든 사람과 밀접한 관련이 있는 주제인 암호화된 세계의 보안에 관해 이야기해보겠습니다. 우리는 실제 위험에 직면하기 전까지는 뉴스에 나오는 보안 사고의 희생자가 되지 않을 것이라고 생각하는 경우가 많습니다. 암호화 여정을 시작하기 전에 자산을 위한 방화벽을 구축하고 안전한 환경에 투자하는 방법은 필수 과목입니다. 이 팟캐스트에서는 블록체인 보안 회사 BlockSec의 저우 야진(Zhou Yajin)을 초대하여 암호화 보안이라는 주제에 대해 이야기해 보겠습니다. 저우 선생님, 안녕하세요.

저우야진: 안녕하세요 여러분, 저는 저우야진입니다. 저는 현재 BlockSec의 CEO입니다. 저는 저장대학에서 사이버공간 보안 분야의 연구원으로도 활동하고 있습니다. 여러분을 만나서 매우 기쁩니다.

알렉스: 좋아요, 오늘은 본론으로 들어가죠. 많은 청취자분들께서는 블록체인 보안 회사와 보안 서비스에 대해 잘 모르실 것 같습니다. 저우 씨, 먼저 BlockSec에 대해 소개해 주세요. 어떤 서비스를 제공하시나요? 어떤 종류의 사람과 기관이 당신의 고객이 될 것인가?

저우야진: 네, BlockSec은 Web3 보안 회사입니다. 저희는 2021년에 우 교수님과 제가 공동으로 창립했습니다. Web3의 보안에 대해 이야기할 때, 가장 먼저 떠오르는 것은 아마도 보안 감사일 것입니다. 실제로 BlockSec의 사업 범위는 보안 감사에만 국한되지 않습니다. 또한 당사는 다양한 보안 제품과 서비스도 제공합니다. 구체적으로 서비스는 세 가지 주요 부문으로 나눌 수 있습니다. 첫 번째 섹션은 온체인 프로토콜의 보안이라고 합니다. 온체인 프로토콜은 DeFi, NFT 또는 기타 활동을 수행하기 위해 블록체인에 배포된 스마트 계약입니다. 이러한 계약의 보안은 어떻게 보장되어야 할까? BlockSec은 보안 감사 서비스와 보안 모니터링 제품을 제공합니다. 두 번째로 우리가 더욱 우려하는 부분은 자산의 보안입니다. 소위 자산 담보란 사용자가 보유하고 있는 자산을 말합니다. 예를 들어, 이러한 자산은 자체 계약 지갑에 보관되거나 일부 온체인 프로토콜에 투자됩니다. 이러한 사용자 자산의 보안을 보장하는 것 역시 BlockSec이 제공하는 서비스 중 하나입니다. 세 번째 부분은 규정 준수와 감독입니다. 우리는 점점 더 많은 전통 금융 기관이 암호화폐 산업에 진출하고 있다는 것을 발견했습니다. 최근 미국 내 전통 은행들이 암호화폐를 포함한 일부 스테이블코인 자산을 블록체인에 발행했다는 소식이 전해졌습니다. 여기에는 국경 간 지불 산업에 진출하는 암호화폐도 포함됩니다. 실제로, 이러한 전통적인 금융 기관이 이 산업에 진출한 이후, 감독 측면에서 어려운 문제가 발생했습니다. 규제 기관은 감독 방법을 몰랐고, 이들 기관은 규정을 준수하는 방법을 몰랐습니다. 따라서 우리는 규제 기관이 암호화폐 산업에 진출하는 업체를 감독하는 데 도움을 주거나, 암호화폐 산업에 진출하는 기존 기관이 규정을 준수하도록 돕고 있습니다. 이것이 우리 사업의 세 가지 영역입니다.

우리의 고객은 광범위한 분야를 아우릅니다. 누구나 떠올릴 수 있는 것은 체인 상의 분산형 금융이나 기타 서비스(예: 체인 상의 대출 플랫폼, 분산형 거래 플랫폼)를 제공하는 프로젝트 당사자입니다. 이 프로젝트 당사자는 우리의 고객입니다. 우리는 체인에 스마트 계약을 배포하기 전에 일부 보안 감사를 실시하고, 보안 관점에서 개발한 스마트 계약을 검토하여 보안 취약점이 있는지 확인하는 데 도움을 줄 수 있습니다. 보안상의 허점이 있는 경우 적절한 시기에 수정해야 합니다. 동시에, 해당 프로토콜이 체인에 배포되면 해당 프로토콜의 보안 위험을 모니터링하기 위한 7×24시간 모니터링 플랫폼도 보유하게 될 것입니다. 보안 위험이 발생하면 당사 플랫폼은 즉시 프로토콜에 알리고 위험과 공격을 자동으로 차단합니다. 따라서 체인에 스마트 계약을 구축하는 개발자와 프로젝트 당사자가 당사의 대표적인 고객입니다. 두 번째 일반 고객 유형은 자산을 소유한 사람으로, 계약 지갑에 자산을 일부 보유하고 있거나, 이러한 고액 자산 고객이 체인의 일부 계약에 투자할 수 있습니다. 당사의 서비스와 제품은 그들이 투자하는 프로토콜의 보안을 더 잘 모니터링하는 데 도움이 될 수 있습니다. 동전의 양면처럼, 프로토콜 프로젝트의 관점에서, 우리는 그들이 프로토콜의 보안을 개선하는 데 도움을 줄 수 있습니다. 프로토콜에 투자하는 순자산이 많은 고객의 관점에서, 우리는 그들이 투자한 프로토콜의 보안을 모니터링하도록 도울 수 있습니다. 그가 투자한 프로토콜에 공격과 같은 보안 위험이 생기면, 그는 가능한 한 빨리 자금을 인출할 수 있어야 합니다. 세 번째 유형의 고객은 제가 방금 언급한 감독 및 규정 준수입니다. 이러한 유형의 고객은 주로 일부 규제 기관입니다. 예를 들어, 홍콩 증권선물위원회는 실제로 우리의 고객입니다. 해외의 법집행기관도 있다. 디지털 통화와 관련된 범죄를 수사해야 할 때, 증거 추출, 자금 추적 등의 조사 활동을 원활하게 하기 위해 당사의 도구와 플랫폼을 사용해야 합니다. 이것이 기본적으로 우리의 전반적인 사업이며 우리 고객의 범위입니다.

암호화 보안을 위한 3가지 팁

알렉스: 알겠어요. 저우 교수는 고객 유형, 고객의 요구 사항, 그리고 업계 전체에 대한 개요에 대해 설명했습니다. 두 번째 질문은 개인 투자자에게 더 적합할 수 있습니다. 특히, 청취자 중 다수가 Web3에 대해 막 배우고 투자를 시도하고 있기 때문입니다. 암호화폐 투자 분야에 막 입문한 친구가 있고, 여러분이 암호화폐 보안 서비스에 종사하고 있다는 것을 알고 있다면, 암호화폐 보안에 관해 세 가지 제안을 해주세요. 당신이라면 그에게 어떤 세 가지 제안을 하시겠습니까?

저우야진: 아주 좋은 질문입니다. 친구들은 종종 나에게 안전에 관한 조언을 구합니다. 그들도 이 산업에 진출하고 싶어하지만, 많은 사람들이 위험에 직면하는 것 같다는 말을 들었습니다. 우리는 이런 농담을 한 적이 있습니다. 암호화폐 세계에 들어가서 피싱이나 사기를 당하지 않는다면, 이 분야의 고위층이 될 수 없을 거라는 겁니다. 물론 이건 농담이지만, 이 업계에는 정말 많은 위험이 있다는 걸 알 수 있어요. 제가 세 가지 제안을 한다면, 첫 번째는 누구나 떠올릴 법한 개인 키 보호에 대한 것입니다. 암호화폐 분야에서 자금을 소유하고 있다는 것을 어떻게 증명하나요? 실제로 개인 키는 계정 소유권을 증명하는 데 사용됩니다. 개인 키는 숫자로 구성된 문자열일 뿐이며, 어떤 식으로든 사용자의 개인 신원과 연관이 없습니다. 이러한 숫자열이 사라지거나 유출되면 다른 사람이 귀하와 마찬가지로 귀하의 자금을 통제할 수 있게 됩니다. 이는 우리의 현실 세계와는 매우 다릅니다. 실제로 은행 비밀번호가 유출되면 은행에 전화해 계좌를 동결해 다른 사람이 돈을 인출하지 못하도록 할 수 있습니다. 하지만 암호화폐 세계에서는 개인 키가 유출되더라도 개인 키를 가진 사람은 제한 없이 귀하의 계좌에서 자금을 이체할 수 있습니다. 일반적으로 개인 키를 보호하는 방법은 여러 가지가 있습니다. 예를 들어, 개인 키를 보호하기 위한 하드웨어 지갑, 계약 지갑, 모바일 앱 등이 있습니다. 각 방법에는 실제로 장단점이 있습니다. 제 개인적인 경험과 주변의 보안 전문가들의 전반적인 경험을 종합해 보면, 기본 원칙은 개인 키의 니모닉을 적어서 금고에 보관하는 것입니다. 이 금고가 집에 있든 은행에 있든 잘 보관하고 평소처럼 옮기지 마세요. 기본적으로는 사용할 필요가 없습니다. 그런 다음 하드웨어 지갑이나 휴대폰 등 상대적으로 신뢰할 수 있는 장치를 사용하여 개인 키를 저장하세요. 이 휴대전화는 전용 장치여야 합니다. 다른 작업에는 사용하지 마세요. 귀하의 디지털 자산을 관리하는 데에만 사용됩니다. 이것이 첫 번째 제안입니다. 두 번째 제안은 체인에서 거래할 때 보안과 위험을 인식하는 것입니다. 본질적으로, 여러분이 기억해야 할 것은 한 가지뿐입니다. 무료 점심이란 없다는 것입니다. 우리는 체인에서 거래를 수행할 때 사용자가 피싱 위험에 매우 많이 직면한다는 것을 발견했습니다. 우리가 잘 알고 있는 암호화폐 업계의 많은 KOL과 OG가 피싱 공격을 받고 많은 돈을 잃었습니다. 알려지지 않은 웹사이트에서 소위 에어드랍 보상을 받기 위해 지갑을 연결하라고 요청하는 경우 이때는 더욱 조심하고 안전에 주의해야 합니다. 세 번째 제안은 암호화폐에 대한 기본적인 지식이 필요하다는 것입니다. 기본 지식은 암호화폐의 권한 부여 개념을 말합니다. 이것은 전통적인 금융과는 다릅니다. 예를 들어 USDT나 USDC와 같은 디지털 자산을 소유하고 있다면 온체인 서명을 통해 계약이나 다른 사용자에게 자산을 승인할 수 있으며, 이러한 승인은 지갑을 통해 이해할 수 없는 이상한 것들에 서명하는 것만으로 달성할 수 있습니다. 따라서 지갑 서명을 할 때, 승인된 거래에 대해 이해하지 못하거나 속아서 서명을 하면 다른 사람이 귀하의 모든 디지털 자산을 사용할 수 있습니다. 따라서 지갑에 서명할 때 실수로 이러한 거래에 서명하지 않도록 권한 부여에 대한 기본적인 이해가 필요합니다. 요약하자면, 기본적인 제안은 다음과 같습니다. 첫째, 자신의 개인 키를 보호하는 것입니다. 몇 가지 실용적인 방법을 제시하겠습니다. 두 번째는 체인상 거래를 수행할 때 항상 주의하고, 보안을 의식하며 피싱을 피하는 것입니다. 세 번째는 Crypto의 인증 메커니즘에 대한 기본적인 이해를 갖는 것입니다. 이렇게 하면 실수로 승인된 거래에 서명하지 않게 됩니다.

알렉스: 사실 제 주변에는 순자산이 많은 친구들이 꽤 있는데, 그들도 업계의 원조나 베테랑이에요. 논리적으로 말하면, 그들은 모두 당신이 언급한 것과 같은 보안 인식을 어느 정도 갖추고 있지만, 매년 주변의 대형 투자자들이 강도 피해를 입었다는 소식을 듣습니다. 업계에는 전문 해커가 당신을 표적으로 삼는다면 그는 당신의 지갑에 돈이 있다는 것을 안다는 말이 있습니다. 만약 그가 이용 가능한 모든 자원을 사용한다면, 당신이 탈출하기는 어려울 것입니다. 이 진술이 의미가 있다고 생각하시나요? 정말 그럴까?

저우야진: 아주 좋은 질문이네요. 사실, 보안 문제, 특히 암호화폐 보안과 관련된 문제는 본질적으로 불균형적인 대립입니다. 지갑에 충분한 자산이 있으면 쉽게 타깃 공격의 표적이 될 수 있습니다. 일단 당신이 누군가의 타깃 공격의 표적이 되면 그들은 사회 공학적 자원, 기술적 자원 또는 기타 자원을 동원하여 표적의 일상적인 행동 패턴, 생활 습관 등을 기반으로 공격 방법을 설계할 것입니다. 이런 상황에서 100% 확신할 수는 없지만, 다른 사람들이 당신과 싸우기 위해 많은 자원을 동원했고 당신에게는 오직 자신만 있기 때문에 당신이 스스로를 방어하는 것은 매우 어렵습니다. 그래서 그것은 매우 비대칭적인 대립이죠. 이런 상황에서 제가 생각하기에 기본 원칙은 우선 중국인들 사이에 '재산을 노출해서는 안 된다'는 말이 있습니다. 즉, 자신의 자산을 공개해서는 안 되고, 개인의 오프라인 신원과 온체인 자산 신원 간의 관계를 공개해서는 안 된다는 뜻입니다. 두 번째 요점은 아무리 순자산이 많은 사용자라 하더라도 다른 사람에 의해 자산이 유출되었을 수 있으므로 가능한 한 자산을 고립시켜야 한다는 것입니다. 즉, 일상생활에서 주로 운용하는 자산은 전용 지갑에 최대 10만 위안 정도만 보관할 수 있습니다. 만약 다른 사람이 당신을 표적으로 삼는다면, 그들이 당신에게서 빼앗을 수 있는 금액은 최대 10만 위안뿐입니다. 다른 대규모 자산은 거의 사용하지 않는 지갑에 넣어 두는 것이 좋습니다. 이러한 자산을 사용해야 하는 경우 보안 전문가의 도움을 받아 보다 나은 운영 절차와 사양을 검토하고, 이를 통해 매우 큰 위험을 피해야 합니다.

가장 인상적인 보안 사고 3가지

알렉스: 그렇군요. 정말 중요한 조언이네요. 귀하의 경력 중 가장 인상 깊었던 보안 사고 세 가지를 공유해 주시겠습니까? 그것은 여러분 자신의 경험일 수도 있고, 친구의 경험 또는 여러분이 직접 관찰한 것일 수도 있습니다.

저우야진: 저희가 직접 참여했고 깊은 인상을 받은 몇 가지 보안 사고 사례를 공유해드리겠습니다. 제가 기억하는 첫 번째 사례는 2023년 2월 10일경으로, 플래티퍼스 프로토콜이라는 체인의 프로토콜이 공격을 받았을 때였습니다. 다양한 기능을 갖춘 대출 플랫폼입니다. 이 프로토콜에는 보안 취약점이 있는데, 해커가 이를 이용해 900만 달러에 가까운 자산을 훔쳤습니다. 이 사건이 나에게 깊은 인상을 남긴 이유는 해커가 플래티퍼스 프로토콜을 공격할 때 실수를 했기 때문입니다. 스마트 계약을 공격할 때는 스스로 스마트 계약을 개발해야 합니다. 스마트 계약은 스스로 작동할 수 있는 일련의 코드로 이해될 수 있습니다. 해커가 공격할 때, 그는 자신만의 공격 계약을 구축하고, 이 공격 계약으로 전체 공격 프로세스가 완료됩니다. 하지만 공격자도 인간이고, 인간은 실수를 한다는 사실을 우리 모두 알고 있습니다. 그는 공격용 스마트 계약을 작성하는 과정에서 실수를 했고, 계약에 악용될 수 있는 취약점이 있었습니다. 이 취약점을 악용해 공격 계약에 저장된 자금을 추출할 수 있는데, 이 자금은 Platypus 프로토콜을 공격하여 얻은 자금이기도 합니다. 보안 회사로서 우리는 항상 체인에서 발생하는 공격을 추적하고 있으며, 체인에서 발생하는 이러한 공격을 처음부터 감지할 수 있는 공격 탐지 엔진 세트를 보유하고 있습니다. 우연히, 오리너구리가 공격을 받았을 때, 우리는 그것을 즉시 감지했습니다. 우리는 이 보안 사고를 독립적으로 분석하여 공격의 원인이 무엇인지, 취약점이 어디에 있는지 등을 알아볼 것입니다. 동시에, 프로젝트 당사자에게 연락하여 문제를 해결하고 해결하는 방법을 알려드리겠습니다. 이 과정에서 우리는 해커의 취약점을 발견하였고, 프로젝트 당사자에게 이를 악용할 수 있다고 알렸습니다. 그런 다음 우리는 프로젝트 당사자와 협력하여 공격자의 계약에서 950만 달러 중 240만 달러인 공격 자금을 추출하는 일련의 코드를 개발했습니다. 이는 블록체인 보안 역사상 처음으로 해킹 백(hack back)이라 불리는 사건으로, 블록체인의 허점을 이용해 훔친 자금을 추출해 프로젝트 당사자에게 반환하는 것을 의미합니다. 이것은 특히 흥미로운 대결이었고, 저는 매우 감명을 받았습니다.

알렉스: 당신은 이전에도 플래티퍼스와 협력적인 관계를 맺었나요, 아니면 이 사건 이후에야 소통을 시작했나요?

저우야진: 사실 우리는 전에는 아무런 협력 관계도 없었고, 이 사건이 일어난 후에야 연락을 하게 됐어요. 보안 사고 처리 프로세스 전체를 자세히 설명해 드리겠습니다. 우리 회사는 내부적으로 보안 공격 엔진을 보유하고 있습니다. 보안 사고가 발생하면 당사 엔진에서 즉시 경보를 보내고, 사내 비상 대응팀이 함께 사고를 분석합니다. 먼저, 어떤 프로토콜이 공격을 받고 있는지 살펴보고, 그런 다음 체인상 트위터나 그 외 다양한 수단을 통해 프로젝트 당사자에게 연락을 시도하겠습니다. 오리너구리의 경우, 우리는 이전에는 연락처 정보를 알지 못했습니다. 우리는 트위터를 통해 프로젝트 당사자에게 연락하여 전체 공격 이유를 분석하도록 도왔습니다. 프로젝트 당사자가 공격을 받은 이유를 모르는 경우가 많았기 때문입니다. 어쨌든 계약서에 있던 돈은 사라졌지만 그 이유는 불분명하다. 이때, 분석을 도와줄 보안 회사가 필요합니다. 분석 후에는 프로토콜을 어떻게 복구할 것인가가 문제입니다. 원인이 분명한 경우 취약점을 수정해야 합니다. 패치를 적용하는 방법, 패치를 적용한 후에 안전한지 여부, 도난당한 자금을 추적하는 데도 저희와 같은 보안 회사의 도움이 필요합니다. 우리는 비상 대응 프로세스 전반에 걸쳐 프로젝트 당사자와 협력할 것입니다. 특히 이번 사건과 관련하여, 우리는 이전에 이 프로젝트와 전혀 접촉한 적이 없었지만, 다행히 처리 과정에서 적절한 시기에 그에게 연락하여 자금의 일부를 회수할 수 있었습니다. 사실, 많은 경우 우리는 공격을 발견했지만 프로젝트 당사자와 연락하지 못했습니다.

두 번째 사례도 꽤 흥미로운데, 역시 2023년에 일어났습니다. 중국 청취자분들은 이 사례가 ParaSpace라는 프로젝트와 관련이 있어서 더 익숙하실 겁니다. ParaSpace는 Bored Ape를 담보로 제공하고 다른 자산을 빌리는 데 사용할 수 있는 NFT입니다. 저는 많은 중국 OG가 실제로 Bored Ape NFT를 보유하고 있다는 것을 알고 있습니다. 이 프로토콜은 실제로 보안 취약점이 있고 2023년 3월에 공격을 받았습니다. 저는 그것이 베이징 시간으로 오전이나 정오 무렵이었다는 것을 분명히 기억합니다. 시스템에서 첫 번째 경고를 발행하면, 먼저 프로젝트 당사자에게 연락하여 원인을 분석합니다. 하지만 우리 시스템에서 발생한 첫 번째 공격 거래가 체인에서 되돌려진 것을 발견했습니다. 되돌리기는 공격자가 공격할 때 거래 수수료가 충분하지 않아 공격 거래가 체인에 성공적으로 업로드되지 못했음을 의미합니다. 하지만 그의 공격에 대한 거래 행위와 흔적은 체인상에서 노출되었습니다. 저희 시스템은 실패했지만 다시 체인에 올라간 거래인 역거래도 감지할 수 있습니다. 이는 우리 엔진이 이를 공격 거래라고 판단하는 능력입니다. 판단을 내린 후, 공격 거래의 동작을 시뮬레이션하고 동일한 공격 거래를 자동으로 생성하는 방법을 생각해냈습니다. 다만, 이 공격은 따옴표로 묶어야 하고, 거래에 있는 수익 주소를 우리의 주소로 바꿔야 합니다. 이런 식으로 우리는 현재 위험에 처해 있는 계약상의 자금을 구출하여 우리의 안전한 계좌에 넣은 후, 프로젝트 당사자에게 연락하여 자금을 반환받을 수 있습니다. 이는 악당의 칼이 곧 쓰러질 것 같지만, 어떤 이유에서인지 첫 번째 시도가 실패했다는 것과 비슷합니다. 또한 사전에 자금을 인출하는 동일한 방법을 사용해 볼 수도 있습니다. 이렇게 하면 공격자가 두 번째로 공격을 시도할 때 프로토콜에 자금이 없어서 공격이 실패하게 됩니다. 이 아이디어가 떠오른 후로 우리는 실제로 이 과정을 빠르게 자동화할 수 있는 내부 시스템을 구축했습니다. 그런 다음 자동으로 "공격" 거래를 생성하여 체인에 게시하고 ParaSpace 프로토콜에서 500만 달러의 자산을 인출했습니다. 그런 다음 우리는 프로젝트 당사자에게 연락하여 자금을 반환해 달라고 요청했습니다. 이건 사실 매우 흥미로운 일이에요. 이는 역사상 가장 큰 규모이다. 우리는 이를 구출이라고 부르는데, 이는 체인에서 자금을 절약하기 위한 조치를 의미합니다. 이러한 구출이 없었다면 그들의 자산은 약탈당했을지도 모릅니다.

하지만 이번 보안 사고는 실제로 우리에게 많은 생각을 하게 만들었습니다. 보안에는 많은 도덕성, 윤리적 문제가 관련되어 있기 때문입니다. 예를 들어, 우리가 공격을 관찰한 후 프로토콜에 따라 자금을 인출하더라도 그것은 본질적으로 공격 거래입니다. 공격자의 행동을 시뮬레이션합니다. 비록 좋은 의도로 자금을 인출하여 프로젝트 당사자에게 돌려주었다 하더라도, 엄밀히 말하면 여전히 공격입니다. 여기에는 규정 준수와 안전 윤리 문제가 포함됩니다. 당시 우리는 나쁜 사람이 좋은 사람을 칼로 찌르는 것을 보면 그것을 막으려 노력해야 할지, 아니면 그냥 넘어가야 할지 고민했습니다. 저는 도덕적, 안전윤리적 문제가 있긴 하지만, 이를 막기 위한 조치를 취하는 것이 우리의 선택이라고 생각합니다. 이 사건 이후, 우리는 방금 이야기했던 것처럼 체인을 해킹하는 것만으로는 체인의 보안을 구할 수 없다는 것을 깊이 깨달았습니다. 프로젝트 소유자는 가능한 한 빨리 자신이 직면한 보안 위험에 대해 알아야 합니다. 그는 프로젝트가 공격을 받았다는 사실을 알고 있어야 하며, 그런 다음 몇 가지 자동화된 운영 전략을 구성할 수 있어야 합니다. 이러한 보안 사고가 발생하면 당사 시스템은 공격이 성공하지 못하도록 프로토콜을 자동으로 일시 중지할 수 있다고 알려줍니다. 이는 공격을 방지하고 사용자의 자금을 절약할 뿐만 아니라, 보안 윤리적 위험도 피할 수 있습니다. 이것이 바로 두 사건 이후 우리가 개발한 Phalcon 공격 모니터링 및 차단 제품의 아이디어 전부입니다. 이건 제가 기억하는 두 번째 주요 보안 사건이에요.

알렉스: 저는 그때 이 보안 사고를 알아차린 것 같아요. 방금 보호 공격에 대해 언급하셨는데요. 자세히 물어보고 싶은 것이 있습니다. 방금 언급한 복귀 공격이 발생한 후에는 보호 공격을 실행할지 여부를 결정하기 위해 내부 논의와 결정이 필요합니다. 사건을 발견한 시점부터 자금을 보호하기로 결정한 시점까지 얼마나 많은 시간이 지났나요?

저우야진: 매우 빨랐습니다. 우리가 처음 그것에 대해 알게 된 때부터 완성하기까지 걸린 시간은 불과 몇 분뿐이었습니다. 회사에서는 매우 완벽한 보안 처리 프로세스를 구축해 놓았기 때문에 보안 문제에 대해 알아내자마자 즉시 논의하고 결정을 내립니다. 결정이 내려진 후에는 자동화된 도구가 있어서 작업을 신속하게 처리할 수 있습니다.

알렉스: 알겠어요.

저우야진: 세 번째 사례는 최근 모두가 주의를 기울여야 할 바이비트 보안 사건입니다. 2월에는 15억 달러의 자산이 도난당했습니다. 이번 공격은 지금까지 보안 업계에서 발생한 단일 보안 사고로는 가장 큰 손실이었으며, 손실 규모는 제가 앞서 언급한 두 가지 보안 사고와는 매우 다릅니다. 이전 두 건의 보안 사고는 모두 계약상의 허점으로 인해 발생했지만, 바이비트의 보안 사고는 실제로 스마트 계약상의 허점과는 아무런 관련이 없습니다. 우리는 이것을 긴 신뢰 사슬이라고 부릅니다. 이렇게 많은 자금과 긴 신뢰 사슬이 있는 시스템에서 공격자는 사회 공학적 공격을 통해 가장 약한 연결 고리를 찾아낸 후 공격을 완료했습니다. 구체적으로, Bybit은 SAFE라는 스마트 계약 지갑을 사용하여 이를 관리합니다. SAFE는 다중서명 지갑입니다. 동시에 세 사람이 있어야 열 수 있는 자물쇠라고 생각하면 됩니다. 오직 그때에야 자물쇠를 열고 안에 있는 자금을 꺼낼 수 있습니다. 이 잠금은 그러한 계약 지갑을 제공하는 프로젝트에 의해 만들어졌습니다. SAFE 지갑 개발자, SAFE 프로토콜을 운영하는 사람, SAFE 지갑을 사용할 때 브라우저의 UI 인터페이스를 포함하여 이 시스템의 신뢰 체인은 매우 길다는 것을 알 수 있습니다. SAFE 지갑을 운영하는 사람, 즉 3개의 키를 보유한 Bybit 직원이 있거나 자금을 운영하는 권한이 있는 사람도 있습니다. 그는 컴퓨터 브라우저나 하드웨어 지갑을 통해 SAFE 지갑을 작동해야 합니다. 여기에는 많은 측면이 관련되어 있음을 알게 될 것입니다. 보안에 대해 말할 때 보안 공격과 방어의 어려움은 방어할 때 시스템에 단점이 없어야 한다는 것입니다. 왜냐하면 시스템의 보안 수준은 시스템에서 가장 짧은 보드에 따라 달라지기 때문입니다. 공격자는 시스템에서 잘 구축된 부분에 침입할 필요가 없습니다. 그는 단지 귀하의 시스템에서 가장 약한 지점을 찾아 그 지점을 통해 공격을 개시하여 전체 프로세스를 완료하기만 하면 됩니다. Bybit의 경우 전체 공격 과정은 다음과 같습니다. 우선, 스마트 계약의 지갑인 Bybit SAFE 지갑에 많은 자산이 들어 있다는 사실을 발견했기 때문에 이것이 타깃형 공격일 가능성이 있습니다. 그들이 선택한 대상은 SAFE 지갑의 개발자입니다. 앞서 말했듯이 결국 누가 운영하든 자산을 운영하려면 SAFE가 제공하는 UI 인터페이스, 즉 웹사이트를 거쳐야 하기 때문입니다. 사회 공학이나 다른 방법을 통해 개발자의 컴퓨터에 침입해 개발자가 SAFE 웹사이트에 악성 코드를 배포하도록 한 다음, 누군가가 SAFE 웹사이트에 접속해 지갑을 작동시켰을 때 보이는 작동 방식이 체인의 실제 작동 방식과 일치하지 않는 경우가 있는데, 일반 사용자는 이 사실을 모른다면 어떨까요? 예를 들어, 일반 사용자가 은행 APP에서 작업할 때, 은행 APP에서 100위안이 이체된 것을 보지만 실제로는 900위안이 이체됩니다. 하지만 저는 이 APP에서 본 것이 100위안이 이체된 것이기 때문에 그것을 알 수 없습니다. APP 개발자나 SAFE 지갑 개발자의 시스템에 침투해 지갑 운영자가 보는 운영 인터페이스가 실제 행동 규칙과 일치하지 않게 만들면 전체 공격 프로세스를 완료할 수 있습니다. 실제로 이런 방식으로도 이루어집니다. 그러면 개발자 권한을 어떻게 얻을 수 있을까요? 전체 공격 과정은 사회 공학적 공격을 통해 완료되었습니다. 이 경우 SAFE 개발자가 해킹당하더라도 실제로는 다른 기회가 있습니다. 예를 들어, 지갑에서 서명 시 어떤 서명된 거래인지 알려주고, 그 거래 내용이 웹사이트에 표시된 거래 내용과 일치하지 않는다면, 실제로 가능성이 있습니다. 과거에는 많은 은행에 U형 실드가 있었습니다. 경험이 있으시다면 U자형 쉴드의 버튼을 누르면 500위안이 이체된다는 정보가 디스플레이 화면에 나오는 걸 보실 겁니다. U-쉴드 장치에서 확인할 수 있습니다. 실제로 이 문제는 해결됩니다. 제 앱이 공격을 받더라도 앱은 100위안을 이체했다고 알려주지만, 마지막에 확인을 하려고 하면 U 실드는 500위안을 이체했다고 알려주어 불일치를 발견하게 됩니다. 특히 Bybit의 경우, 사용자의 서명 지갑에 이렇게 향상된 알림 기능이 있다면 실제로 이런 공격을 예방할 수 있습니다. 하지만 불행히도 이 경우에는 서명 하드웨어 지갑의 성능이 그다지 좋지 않았습니다. SAFE의 UI가 해킹된 후, 악의적인 업그레이드 거래가 서명되었고 공격자는 지갑을 인수하고 15억 달러를 훔쳤습니다. 그래서 이건 제게 깊은 인상을 남긴 일이었습니다. 이 사건이 우리에게 알려준 한 가지 사실은, 많은 양의 자금을 다룰 때는 교차 검증이 필요하다는 것입니다. 단일 공급업체나 단일 지점이 말하는 내용은 믿을 수 없습니다. 단일 공급업체나 단일 인터페이스를 통해 정보를 전달하는 경우, 해당 인터페이스가 손상되면 시스템 링크가 사라집니다. 그러므로 교차 검증이 필요합니다. 당신이 보는 것이 제3자의 관점에서 사실인지 확인하는 데 도움을 줄 제3자가 있어야 합니다. 이런 경우 위험을 더욱 줄일 수 있습니다.

사회복지사의 공격을 목격하다

알렉스: 방금 말씀하신 경우에는 "소셜 엔지니어링 공격"이라는 용어가 있습니다. 아마도 모든 청취자가 이 개념의 의미를 이해하지는 못할 수도 있습니다. 설명해 주실 수 있나요?

저우야진: 사회공학적 공격의 전체 이름은 사회공학적 공격입니다. 이 공격 방법은 기술적인 수단을 활용하지 않고 귀하의 업무 습관, 대인 관계, 직무 책임 등을 활용하여 귀하를 상대로 일련의 공격 방법을 설계하는 것입니다. 제가 직접 경험한 사회복지사 공격 사례를 하나 들겠습니다. 그러면 모두가 더 쉽게 이해할 수 있을 겁니다. BlockSeo의 CEO로서 저는 종종 두 가지 범주로 분류되는 정보를 받습니다. 첫 번째 범주는 팟캐스트, 컨퍼런스, 인터뷰 참여 초대입니다. 두 번째 범주는 투자 기관으로, 고객에게 연락하여 투자 기회에 대해 알려드립니다. 저는 한번은 회사 이메일 계정을 통해 이메일을 보낸 사람을 만난 적이 있는데, 그 내용은 자신이 투자 기관에서 근무하며 투자 기회에 대해 논의하고 싶다고 말했습니다. 우리의 보안 감각은 매우 강합니다. 우리는 그의 이메일과 도메인 이름을 살펴보고, 가끔 그의 회사 웹사이트와 투자 프로필을 살펴보기 위해 배경 조사를 실시합니다. 약간의 배경 조사를 거친 후, 이곳은 전에 들어본 적은 없지만 매우 존경받는 조직이라는 것을 알게 되었기 때문에 캘린더에서 그곳과 약속을 예약했습니다. 하지만 이때 처음으로 이상한 현상이 일어났음을 알게 될 것입니다. 캘린더에서 회의 일정을 예약해도 회의 링크는 제공되지 않습니다. 회의 일정을 잡을 때는 보통 줌, 구글 미트 또는 다른 회의 소프트웨어에 접속합니다. 하지만 그는 약속 장소만 알려주고, 만남의 링크는 알려주지 않았습니다. 미팅 시간이 되면 그에게 이메일을 보내서 이미 미팅이 있다고 말하고, 미팅 링크를 보내달라고 부탁하세요. 그는 당신에게 즉시 회의 링크를 보낼 것입니다. 링크를 클릭하면 이상한 것을 보실 겁니다. 소프트웨어를 다운로드하라는 내용입니다. 이때 경험이 부족하고 다가올 회의에 대해 불안감을 느낀다면, 그는 당신의 불안감을 이용해 이메일을 통해 계속해서 당신을 재촉하고, 이메일로 폭격을 가할 것입니다. 여러분은 이 기회를 놓치지 않으려고 주저하지 않고 소프트웨어를 설치할 수도 있지만, 사실 그것은 여러분의 컴퓨터에 저장된 개인 키를 훔치는 악성 구성 요소가 있는 화상 회의입니다. 이건 제가 경험한 실제 사회공학적 공격이에요. 그러니까 공격자는 내가 회의 전 느끼는 불안감을 이용해 회사 내에서의 내 지위와 직무 책임을 표적으로 삼았다는 걸 알 수 있죠.

알렉스: 며칠 전에 업계에서 많은 주목을 받은 이벤트를 봤어요. 어떤 의정서의 창시자는 오프라인 파티에 참석했을 때 약 10분간 휴대전화를 놓쳤고, 휴대전화 지갑에 있던 수백만 위안 상당의 돈이 도난당했다고 말했습니다. 이 공격이 그의 휴대전화가 없는 동안 발생했다고 가정할 때, 이것도 일종의 사회 공학적 공격일까요?

저우야진: 네, 저는 그것이 일종의 사회공학적 공격이라고 생각합니다. 하지만 우리가 일반적으로 이해하는 사회공학적 공격은 아닙니다. 이 경우에는 그의 휴대전화가 일정 시간 동안만 그에게서 멀어졌기 때문입니다. 물론, 다른 사람이 그를 초대하거나 접근하는 주된 목적은 휴대전화를 뺏는 것일 수 있지만, 휴대전화를 받은 후 휴대전화 잠금을 해제하고 자금을 꺼내는 방법은 실제로 매우 강력한 기술 지원이 필요합니다.

블록체인 프로토콜과 상호 작용할 때의 보안 원칙

알렉스: 알겠어요. 우리는 방금 대표적인 주요 보안 사고에 관해 이야기했습니다. 이제 우리와 같은 일반인이 블록체인 프로토콜과 상호 작용하는 시점으로 돌아가 보겠습니다. 말씀하신 대로, 이전에 진행했던 프로젝트 중 상당수가 Defi 프로토콜이었고, 저희 중 다수도 체인에서 상호작용할 때 Defi 프로토콜을 사용합니다. Defi 프로토콜이나 다른 프로토콜을 사용할 때 따라야 할 보안 원칙이 있나요? 저는 일반 사용자 대부분이 코드를 읽을 능력이 없고, 심지어 서명된 정보도 읽지 못할 수도 있다고 생각합니다. 이런 경우 어떻게 하면 이러한 위험을 최소화할 수 있을까요?

저우야진: 일반 사용자가 온체인 거래를 하려면 먼저 프로젝트 당사자에 대한 배경 조사를 해야 한다고 생각합니다. 저는 이것이 매우 중요하다고 생각합니다. 소액의 자본으로 체인사업에 투자하고 시도해보고 싶다면 괜찮을 수도 있습니다. 하지만 당신이 매우 진지하고 온체인 프로토콜에 투자하고 싶어하는 투자자라면, 자본 규모가 비교적 크기 때문에 프로젝트 당사자에 대한 보다 철저한 실사를 실시해야 할 수도 있습니다. 여기서의 실사는 기본적으로 다음과 같은 수준으로 나눌 수 있습니다. 첫 번째 단계는 이 프로젝트의 창립자가 누구인지, 그리고 그가 익명인지 여부를 밝히는 것입니다. 왜냐하면 일부 온체인 프로토콜은 익명 프로토콜 프로젝트이기 때문입니다. 프로토콜의 품질을 알아야 하며, 대중적으로 알려진 창립자가 누구인지, 그리고 그가 프로젝트를 견고하게 만든 이력이 있는지 알아야 합니다. 이건 매우 중요해요. 즉, 먼저 계약서 자체의 구성과 설립자의 신원에 대한 배경 조사를 해야 합니다. 두 번째는 프로젝트 당사자 자체의 기술적 역량에 대한 배경 조사를 해야 한다는 것입니다. 해당 프로젝트가 주요 보안회사에서 감사를 받았는지 확인할 수 있습니다. 방금 말씀하신 대로, 많은 사용자는 기술 및 코드를 이해하지 못하고, 감사 보고서를 이해하지 못할 수도 있지만, 감사 보고서를 꺼내어 핵심 요점만 검토할 수 있습니다. 예를 들어, 어떤 회사가 감사를 실시했으며, 회사의 평판은 어떻고, 보고서에 핵심적인 보안 허점이 있었나요? 보고서에서 핵심적인 보안 취약점이 발견되었다고 해서 반드시 프로토콜이 안전하지 않다는 것을 의미하는 것은 아닙니다. 오히려 보안 회사가 더욱 주의를 기울여 몇 가지 보안 취약점을 발견했으며, 이를 통해 프로젝트의 전반적인 보안 위험이 줄어들 수 있음을 의미합니다. 우리는 이 문제를 변증법적으로 살펴봐야 합니다. 프로젝트 당사자에 대한 배경 조사를 마친 후에는 기본적으로 점진적인 접근 방식을 취해 상호 작용해야 합니다. 한꺼번에 많은 돈을 투자하지 마세요. 여전히 위험이 높을 수 있습니다. 또 다른 것은 공격 모니터링, 도구 및 플랫폼 등 전문적인 보안 도구를 사용해야 한다는 것입니다. 많은 자본이 있다면, 투자하는 프로토콜의 보안 위험을 항상 알고 있어야 합니다. Phalcon 플랫폼과 같은 일부 플랫폼을 통해 투자하는 프로토콜의 전반적인 보안을 모니터링할 수 있습니다. 자본금이 적은 사용자의 경우, 온체인 거래를 할 때 가장 주의해야 할 위험은 피싱이라고 생각합니다. 결국, 프로토콜이 공격을 받을 확률은 비교적 낮지만, 일반 사용자가 체인에 있는 경우 언제든지 체인상 피싱 및 권한 부여와 같은 위험이 발생할 수 있습니다. 이러한 위험을 예방하려면 너무 탐욕스러워서는 안 됩니다. 하늘에서 아무것도 떨어지지 않을 테니까요. 상호작용을 할 때, 해당 웹사이트가 공식 웹사이트인지, 모방 웹사이트인지 확인하세요. 공식 웹사이트인지 확인하는 방법으로는 여전히 특정 정보 수집 및 구성 역량이 필요할 수 있습니다. 물론, 보안 도구를 사용하여 피싱 웹사이트를 식별할 수도 있습니다. 이렇게 하면 어느 정도의 위험을 피할 수 있다.

알렉스: 사건을 발견했어요. 며칠 전 바이낸스는 많은 프로젝트의 토큰을 삭제했습니다. 바이낸스가 제공할 수 있는 운영이 기준을 충족하지 못한다고 말하며 삭제했기 때문입니다. 그러자 프로젝트 당사자 측에서는 여러 가지 문제로 인해 앞으로 프로젝트를 운영하지 않고 준포기 상태로 전환할 것이라고 밝혔습니다. 그러면 이 사용자가 1~2년 전에 DeFi 프로토콜을 사용했다고 가정해 보겠습니다. 현재 이 프로토콜을 담당하는 사람은 없으며, 코드를 업그레이드할 권한이 있는 사람이 누구인지 아무도 모릅니다. 이러한 특정한 경우, 업그레이드 권한이 제대로 관리되지 않으면 해커나 숨겨진 동기를 가진 사람에게 권한이 넘어갈 수도 있습니다. 이전 승인을 취소하지 않을 경우, 지갑에 있는 자금은 이러한 후속 영향으로 위협을 받게 됩니다.

저우야진: 네, 가능합니다. 특히 방금 말씀하신 대로, 사용자가 자신의 자금을 어떤 프로토콜에 승인했는데, 이러한 프로토콜과 스마트 계약이 더 이상 유지되지 않는 경우, 승인을 취소하지 않으면 실제로 보안 위험이 발생할 수 있습니다. 이 문제에 대한 해결책으로, 우리는 일반 사용자가 자신의 권한을 정기적으로 검토하는 것을 항상 권장해 왔습니다. 사용하지 않는 권한을 취소할 수 있습니다. 많은 사용자는 자신이 어떤 프로젝트를 승인했는지 알지 못할 수 있습니다. 우리는 인증 진단 도구라는 도구를 개발했습니다. 주소를 입력하면 해당 주소에 어떤 프로토콜이 허가되었는지 알려드립니다. 우리는 많은 사용자가 실제로 수십 개의 프로토콜을 승인했으며 그 중 많은 프로토콜이 현재 비활성화되어 있음을 발견했습니다. 이러한 비활성 프로토콜과 보안이 업그레이드되지 않은 프로토콜은 보안 취약점을 가질 수 있습니다. 보안상의 허점이 있는 한, 다른 사람이 귀하가 승인한 프로토콜의 허점을 통해 귀하의 자금을 이체할 수 있으며, 이는 실제로 매우 큰 위험입니다.

알렉스: 알겠어요. 상호작용의 안전성에 대한 또 다른 질문이 있습니다. 과거에 공격을 받은 DeFi 프로토콜이든 다른 프로토콜이든, DEX에 대한 도난 및 공격 건수는 대출이나 스테이킹에 대한 것보다 상대적으로 높지 않은 것으로 나타났습니다. 이것이 두 가지 프로토콜의 스마트 계약 유형과 관련이 있나요? 아니면 다른 이유가 있을까?

저우야진: 맞는 말씀이에요. 상대적으로 DEX의 보안 위험은 다른 대출, 수익 농사 및 일부 금융 파생상품 프로토콜보다 낮습니다. 우선, DEX의 전반적인 프로토콜은 비교적 간단하며, 체인 상에서 DEX의 프로토콜은 xy=k와 같은 상수곱입니다. 물론, Uniswap V3는 약간 다르지만, 그 기본 핵심은 상수 제품 공식입니다. 첫째, 프로토콜이 간단하고 둘째, 이미 아주 좋은 참고 사례가 있는 Uniswap이 있습니다. 많은 DEX가 Uniswap에서 포크되었으므로 체인에 DEX를 배포하려면 간단한 수정만 하면 됩니다. 전반적인 보안 위험 수준이 낮아질 것입니다. 그러나 대출, 수익 농사, 기타 레버리지 대출과 더 복잡한 기능을 갖춘 일부 프로토콜의 경우 프로토콜 자체의 설계는 비교적 복잡합니다. 예를 들어, 대출 플랫폼을 구축한다면, 원칙적으로는 제가 자산 A를 투자하고 자산 B를 대출하는 것처럼 들립니다. 제가 자산 전체의 건전성을 통제하는 한, 모든 것이 괜찮을 것입니다. 하지만 예를 들어 담보로 지원하려는 자산의 유형, 자산 가격 변동, 레버리지를 지원하려는 경우 사용자가 돈을 갚더라도 전반적인 건전성이 유지되도록 어떻게 항상 보장할 수 있을까요? 프로토콜 자체의 복잡성이 상대적으로 높기 때문에 이러한 프로토콜이 공격을 받을 확률이 더 큽니다. 제 생각에는 이것이 첫 번째 이유인 것 같습니다. 두 번째 이유는 DEX 자체가 돈을 저장하지 않는다는 것입니다. 물론 DEX에 있는 돈은 유동성 공급자가 제공합니다. 즉, 당신이 유동성을 제공한 돈이 DEX에 예치되는 것입니다. 실제로 DEX를 사용하는 경우, 스왑만 하고, 토큰 A를 넣으면 토큰 B가 즉시 반환되므로 자산은 DEX 풀에 들어가지 않습니다. DEX 풀이 공격을 받아도 대부분 유저는 돈을 잃지 않지만, 유동성을 제공하는 유저는 손실을 입게 됩니다. 하지만 대출 플랫폼과 다른 플랫폼에서는 상황이 다릅니다. 귀하의 자산은 실제로 그곳에 투자되어 있으며, 담보가 과도하게 설정되어 있습니다. 좀 더 복잡한 프로토콜이 있는 경우, 그 안에 많은 사용자 자산이 보관될 것입니다. 공격을 받은 후, 피해를 입은 사용자 그룹의 규모는 비교적 클 것입니다. 두 번째 이유는 다음과 같습니다.

그리고 DEX가 과거에 공격을 받은 적이 있다는 사실도 알게 됐습니다. 공격을 받은 이유는 비교적 간단하다. 우선, DEX의 위험 노출은 실제로 권한 부여에 있습니다. 스왑을 원할 경우 DEX 라우팅 계약에 자신의 토큰을 인증해야 합니다. 라우팅 계약은 돈을 저장하지 않지만, 라우팅 계약에 임의의 실행 취약점이 있는 경우 DEX에 권한을 부여한 모든 사용자의 자금이 빼앗길 가능성이 있습니다. 우리는 가장 큰 손실을 초래한 DEX 취약점이 주로 이 유형이라는 것을 발견했지만, 이 유형은 비교적 쉽게 감지할 수 있습니다. 감사자가 비교적 자격을 갖추고 있다면 실제로 발견하기가 매우 쉽습니다.

알렉스: 그럼 방금 언급하신 권한 부여 취약성의 경우, 감사 회사가 DEX가 그런 임의의 실행 권한을 가지고 있다는 것을 발견하면 일반적으로 감사 회사는 이것이 불합리하다고 조언하거나 보고서를 공개할 때 모든 사람에게 이 사실을 상기시키나요?

저우야진: 그렇습니다. 이것은 허점일 것이고, 불합리할 것입니다. 보안 회사가 이를 감사하면, 이는 매우 심각한 취약점이므로 이를 수정해야 합니다.

블록체인 보안산업의 현황과 잠재력

알렉스: 좋아요, 우리는 방금 보안 공격과 방어에 대해 많이 이야기했고, 개인 자산의 보안을 보호하는 방법에 관한 몇 가지 구체적인 문제도 이야기했습니다. 오늘의 마지막 질문은 블록체인 보안 산업의 상황에 대한 질문입니다. 말씀하신 대로 2021년과 2022년에는 DeFi가 많아지기 때문에 블록체인 보안 산업의 고객 수도 매우 많아질 것입니다. 그렇다면 올해 현재 보안산업의 규모는 어느 정도입니까? 개발 현황과 수익 수준은 어떠한가?

저우야진: 아주 좋은 질문입니다. 우리는 블록체인 보안 산업에 종사하고 있기 때문에 회사를 더욱 발전시키기 위해서는 항상 산업의 현재 단계와 한계가 어디인지 알아야 합니다. 현재로서는 실제로 블록체인 보안 산업 전체의 시가총액이 얼마인지에 대한 인정된 데이터는 없습니다. 하지만 일부 온라인 보고서나 자체 계산에 따르면, 블록체인 보안의 전체 산업 규모는 연간 약 30억 달러에 달한다고 합니다. 이 규모는 실제로 전통적인 사이버보안 산업에 비하면 상대적으로 작습니다. 예를 들어, 2024년에는 기존 사이버 보안 규모가 약 1,000억 달러에 이를 것으로 예상됩니다. 실제로 1,000달러와 30억 달러 사이에는 큰 격차가 있습니다. 저는 이것이 전체 산업의 현재 개발 상태와 관련이 있다고 생각합니다. 왜냐하면 블록체인 보안은 본질적으로 블록체인 산업에 서비스를 제공하는 안전한 제품과 서비스이기 때문입니다. 실제로 블록체인 산업 전체는 아직 초기 단계에 있습니다. 예를 들어, 그 전에 비교적 좋은 발전이 있었던 시기는 Defi Summer 때였는데, 그때는 새로운 혁신이 몇 가지 들어왔습니다. Defi Summer 금융 혁신 붐이 지난 지 1~2년 동안은 특별히 좋고 더 혁신적인 것들이 나오지 않아서, 전체 블록체인 산업의 규모가 실제로 2022년에 최고 TVL에 도달했습니다. 당시 전체 블록체인 보안의 최고 TVL 수준은 1,770억 달러, 즉 1,000억 달러가 넘었던 것으로 기억합니다. 하지만 오늘, 이 프로그램에 참여하기 전에 데이터를 살펴보았습니다. 현재 TVL은 990억으로, 최고치의 절반보다 약간 높은 수준입니다. 결과적으로 우리 블록체인 산업의 발전은 병목 현상에 부딪힌 것 같습니다.

하지만 동시에 우리는 이 산업에서 새로운 잠재력을 발견했습니다. 즉, 전통적인 금융 기관이 이 산업에 천천히 진입하고 있다는 것입니다. 전통적인 금융 기관이 이 산업에 진입하고 있다는 몇 가지 신호가 있습니다. 예를 들어, 전통적인 은행은 체인에서 스테이블코인을 발행하고 있으며 이는 규정을 준수하는 것입니다. Stripe와 같은 전통적인 결제 서비스 제공업체가 암호화폐 결제를 지원하고 있습니다. 일부 국경 간 결제는 기존 국경 간 전자 상거래가 겪는 결제 문제를 해결하기 위해 암호화폐를 사용합니다. 따라서 2021년과 2022년에 TVL에서 새로운 최고치를 촉발한 DeFi Summer와 같은 혁신은 없었지만, 현실적인 시나리오가 필요한 기존 금융 기관과 상인들이 이 산업에 진입하고 있으며, 이들이 진입한 후에는 전체 산업에 규정 준수를 가져올 것입니다. 산업이 더 크게 성장하려면 규제 프레임워크와 시스템을 준수하면서 발전해야 합니다. 저는 이런 기회가 지난 1, 2년 안에 찾아올 것이라고 생각합니다. 따라서 일반적으로 블록체인 보안의 전체 산업 규모는 아직 비교적 작고 초기 단계에 있습니다. 하지만 전통적인 금융 기관의 진입과 더욱 강화된 감독 및 규정 준수로 인해 이 분야의 폭발적 성장 잠재력은 여전히 비교적 크다고 생각합니다. 이는 제가 관찰한 바입니다.

최고 보안 회사의 해자

알렉스: 알았어요. 저는 2021년과 2022년에 블록체인 보안 회사, 특히 스마트 계약 감사를 수행하는 회사가 매우 수익성이 높은 것 같다는 강한 인상을 받았습니다. 심지어 몇몇 유명한 보안 회사조차도 고객이 대기열을 건너뛰고 더 빠른 감사를 받을 수 있게 해준다면 그것은 특권이라고 생각할 것입니다. 주요 보안 회사의 주요 강점은 무엇이라고 생각하시나요?

저우야진: 여러 가지 점이 있을 것 같습니다. 첫 번째는 브랜드와 신뢰에 관한 것입니다. 특히 보안 감사는 실제로 매우 강력한 브랜드 인지도가 필요한 서비스입니다. 방금 시장이 좋아졌을 때 감사가 매우 인기가 있어서 기다리는 데 시간이 오래 걸릴 수도 있다고 언급하셨는데요. 사실, 이는 오늘날의 선도적인 보안 감사 회사에서도 여전히 그렇습니다. 프로젝트 당사자가 감사를 위해 왔을 때 즉시 인적 자원을 활용할 수 있는 것은 아닙니다. 브랜드 효과가 있는 주요 보안업체들은 여전히 공급이 수요를 초과하는 상태에 있습니다. 그래서 저는 해자가 브랜드와 신뢰라고 생각합니다. 블록체인 보안 산업에서 더 나은 브랜드 이미지를 구축하고, 브랜드에 대한 신뢰를 구축하는 것은 매우 중요합니다. 이 신뢰가 사용자, 프로젝트 당사자 또는 다른 참여자로부터 오는지는 중요하지 않습니다. 두 번째는 안전한 혁신 기술의 필요성입니다. 블록체인 보안 문제를 해결하고 보안 감사를 실시하는 것 외에 보완해야 할 다른 솔루션이 정말 없는 걸까요? 보안 감사는 프로젝트의 스마트 계약이 체인에 배포되기 전에 보안 검토를 수행하는 문제만 해결할 수 있습니다. 그러나 프로젝트가 실제로 시작된 후 프로젝트 당사자가 매개변수를 변경할 수 있으며, 일부 일일 구성을 수행할 수도 있습니다. 대기열이나 비용 문제로 인해 일일 업그레이드는 감사되지 않습니다. 즉, 스마트 계약이 배포된 후에는 다양한 이유로 많은 보안 문제가 발생합니다. 이러한 문제를 해결하려면 보안 감사에만 의존할 수 없습니다. 이러한 문제를 해결하려면 혁신적인 보안 기술과 제품이 필요합니다. 이 부분이 제가 BlockSec과 다른 블록체인 보안 작업의 매우 다른 점이라고 생각하는 부분입니다. 프로토콜이 온라인으로 전환되기 전에 스마트 계약 보안을 위한 보안 감사 서비스를 제공하는 것 외에도, 스마트 계약이 온라인으로 전환된 후에 공격을 모니터링하고 차단할 수 있는 플랫폼도 갖추고 있습니다. 또한, 이 회사는 지능형 감사와 공격 모니터링을 모두 갖추고 스마트 계약의 전체 수명 주기를 포괄할 수 있는 세계 유일의 블록체인 보안 회사입니다. 이건 매우 중요해요. 이 시장에서 사용자가 문제를 실제로 해결하는 데 도움이 되는 안전하고 혁신적인 기술과 제품이 있어야 합니다. 세 번째 사항은 규정 준수, 규제, 지정학적 영향입니다. 암호화폐 산업은 궁극적으로 대규모 개발 기회를 확보하기 위해 규정을 준수하고 규제를 받아야 합니다. 모든 사람이 이러한 견해에 동의하는 것은 아니지만, 우리는 이 산업에서 오랜 세월을 보내왔고, 이 산업이 발전하려면 태양 아래서 규제 및 규정 준수 시스템이 구축되어야 하며, 이를 통해 기존의 자본을 이 산업으로 유치할 수 있어야 한다는 것을 우리는 알고 있습니다. 이런 상황에서는 규정을 준수하고 규제를 충족하는 제품과 서비스를 미리 준비하세요. 규정 준수 및 규제 제품 서비스를 위해서는 업계의 규제 정책과 규정 준수 요구 사항을 비교적 깊이 이해해야 하며, 이를 제품으로 전환할 수 있어야 합니다. 지정학적 영향이라고 불리는 또 다른 측면은 일부 지역이 공급업체를 선택할 때 실제로 몇 가지 지정학적 고려 사항을 고려한다는 것입니다. 예를 들어, 홍콩의 규제 기관은 미국 외 공급업체의 제품을 선호할 수 있습니다. 따라서 규제 정책 준수에 대한 깊은 이해가 있고, 더 나은 제품을 보유하고, 어느 정도 지정학적 영향력도 가질 수 있다면, 이것이 블록체인 보안 회사의 강점이라고 생각합니다.

알렉스: 알겠습니다. 오늘은 구체적인 보안 사고부터 모든 사람이 주의해야 할 보안 원칙, 그리고 전체 산업의 개발 규모까지 다양한 관점에서 암호화 보안에 대해 논의해보겠습니다. 오늘 우리 쇼에 와서 이러한 통찰력을 공유해 주신 저우야진 씨, 진심으로 감사드립니다. 앞으로 더욱 관련 있는 주제에 대해 이야기할 수 있는 기회가 있었으면 좋겠습니다.

저우야진: 고맙습니다, 알렉스.