뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
CertiK은 Web3 보안 분야에서 가장 영향력 있는 기업 중 하나로, 스마트 계약 감사를 비롯한 블록체인 보안 솔루션을 제공하며 빠르게 성장하고 있다. CertiK은 블록체인의 신뢰성과 보안을 강화하기 위한 정형 검증(formal verification) 기술을 활용하며, 사이버 공격이 빈번한 Web3 환경에서도 안전한 생태계를 구축하는 데 집중하고 있다.
토큰포스트는 CertiK의 창립자이자 CEO인 Ronghui Gu와의 인터뷰를 통해 CertiK의 설립 배경, Web3 보안의 핵심 과제, 그리고 블록체인 보안이 나아갈 방향에 대해 심층적으로 논의했다. 또한 DeFi, DePIN, DeSci와 같은 신흥 Web3 트렌드 속에서 발생하는 보안 위협과 CertiK이 이에 대응하는 방식에 대한 인사이트도 공유했다.
이번 인터뷰에서는 Web3와 Web2 보안의 차이점, 스마트 계약 보안의 중요성, 그리고 AI와 블록체인 기술이 융합되는 환경에서의 새로운 보안 과제들이 소개됐다. 또한 Web3 보안 규제의 방향성, 스마트 계약과 블록체인 시스템의 발전, 그리고 안전한 Web3 생태계를 만들기 위한 실질적인 조언이 소개됐다.
Q. 본인 소개와 CertiK에 대해 소개해주세요.
저는 Ronghui Gu이며, CertiK의 창립자이자 CEO입니다. 또한, 컬럼비아 대학교의 컴퓨터 공학 교수로 재직 중입니다 제 연구 분야는 사이버 보안과 정형 검증에 중점을 두고 있습니다. CertiK은 2017년에 설립했으며, 스마트 계약 보안 감사를 전문으로 하는 회사이자 현재 CertiK은 시장에서 가장 큰 Web3 사이버 보안 기업으로 자리 잡았습니다.
Q. Web3 분야에 관심을 가지게 된 계기가 궁금합니다. 또한, CertiK을 창설하게 된 계기 역시 이야기 해주세요.
제 연구는 WEB3 분야에 초점이 맞춰져 있었고, 2016년에 큰 연구 돌파구를 마련했습니다. 저희는 세계 최초로 완전 검증된 멀티프로세서 OS 커널인 CertiKOS를 개발했는데, 이는 해커 공격에 저항할 수 있고, 기본적으로 버그가 없는 시스템으로 입증되었습니다. 이 기술은 미군에서 사용되었고, Landshark라는 차량에 탑재되었습니다. 같은 해, 이더리움 생태계에서 큰 공격이 발생했는데, 이를 DAO 공격이라고 합니다. 이 사건으로 인해 수억 달러에 이르는 재정적 손실이 발생했죠. 이에 따라 사람들은 스마트 계약의 문제를 해결할 수 있는 새로운 기술과 혁신적인 접근법을 찾기 시작했습니다. 이 과정에서 이더리움 팀이 저희에게 연락을 해왔고, 이 과정에서 이더리움 팀이 저희에게 연락을 해왔고, 스마트 계약 보안을 위한 기술에 대한 수요와 시장의 규모가 매우 크다는 것을 알게 되었습니다. 그래서 저희는 CertiK을 설립하게 되었고, 블록체인 생태계에서 스마트 계약 보안을 개선하기 위해 연구 성과와 기술을 활용하는 데 초점을 맞추고 있습니다.
Q. 일부 독자들에겐 사용하시는 용어가 다소 어렵게 느껴질 수 있을 것 같습니다. Web2와 Web3 보안의 가장 큰 차이는 무엇인가요?
좋은 질문이네요. 전통적인 Web2 보안 방식과 같죠? 핵심은 시스템에서 비정상적이거나 악의적인 행동을 감지하는 것입니다. 그런 다음, 악성 거래를 격리하거나 제한하는 등의 방식으로 대응하는 거죠. 악성 트랜잭션을 차단하거나 무력화하는 방식은 매우 어렵습니다. Web3 공간에서는 이러한 방식의 보호가 특히 더 도전적인데요, 블록체인은 누구도 멈출 수 없는 세계 컴퓨터와 같습니다. 악성 트랜잭션을 발견하더라도 이를 멈출 방법이 없으며, 악성 트랜잭션을 발견하더라도 이를 멈출 방법이 없으며, 사실상 아무도 이를 차단할 수 없습니다. 스마트 계약에 대해서도 마찬가지입니다. 스마트 계약은 블록체인 위에서 실행되는 프로그램으로, 몇 가지 독특한 특징을 가지고 있습니다. 현실 세계의 계약처럼, 스마트 계약은 한 번 서명되고 배포되어 모든 당사자가 동의하면 이후에는 변경할 수 없습니다. 또한, 스마트 계약은 보통 상당한 금액의 자산을 보유하고 있으며, 그 규모는 때로 수억 달러에 이를 수 있습니다. 그리고 합의를 이끌어내기 위해 스마트 계약은 오픈 소스 형태로 공개됩니다. 이는 해커들이 스마트 계약의 소스 코드를 읽고, 취약점을 찾아내어 악용할 수 있다는 의미입니다. 이러한 악성 트랜잭션은 발생하더라도 아무도 이를 막을 수 없기에, Web3 공간에서의 보안은 매우 도전적입니다. 그리고 Web3 공간에는 정말 많은 디지털 자산이 연결되어 있습니다.
Q. 그렇다면 CertiK의 접근 방식이 다른 Web3 보안 기업들과 차별화되는 점은 무엇인가요?
좋은 질문이네요. 우선, CertiK은 저희의 연구 결과를 기반으로 설립되었다는 점을 말씀드리고 싶습니다. 앞서 언급한 정형 검증(formal verification) 기술을 예로 들 수 있는데, 이는 소프트웨어의 특정 속성을 수학적으로 증명하는 방법입니다. 이러한 방식은 스마트 계약이나 블록체인에서 발생할 수 있는 문제들에 효과적으로 대응할 수 있는 강력한 도구라고 할 수 있습니다. 예를 들어, 특정 속성을 증명할 수 있다면, 미래에 변경이 불가능하더라도 안전하게 배포할 수 있다는 것이죠. 하지만 솔직히 말씀드리면, 복잡한 스마트 계약이나 블록체인 자체를 다룰 때 정형 검증을 적용하는 것은 쉽지 않습니다. 매우 복잡한 속성을 검증하는 것은 어려운 과제이기 때문입니다. 그래서 저희는 정적 분석 도구(static tools), 동적 분석 도구(dynamic tools), 그리고 모니터링 도구와 같은 다양한 보조 도구들을 개발해야 했습니다 그리고 Web3 산업의 빠른 변화 속도에 맞춰 이러한 기술들을 발전시켜 나가야 합니다. 결국 CertiK의 강점은 저희 연구진과 엔지니어들의 기술적 역량, 그리고 기술 축적뿐만 아니라, 고객 수와 시장 점유율에서도 나타납니다. 많은 고객들과 코드 베이스를 다루면서, 저희 기술은 더욱 발전하고 정교해지고 있습니다.
Q. 현재 Token Scan, Wallet Scan같은 무료 보안 도구와 Skynet에 대한 설명과, 교육 프로그램을 무료로 제공하는 이유는 무엇일까요?
암호화폐와 블록체인에서 가장 중요한 것은 광범위한 채택이라고 생각합니다. 더 많은 사람들이 이 새로운 기술과 혁신을 받아들이고, 이를 통해 혜택을 누릴 수 있기를 바랍니다. 하지만 일반 사용자들에게는 이러한 기술의 작동 방식이나 코드에 대한 이해가 쉽지 않습니다. 이 생태계를 신뢰하고 안전하게 참여하는 것이 어렵게 느껴질 수 있죠. 저희는 이러한 우려를 해소하고, 사용자가 암호화폐 관련 활동에 안전하게 참여할 수 있도록 돕는 것이 중요하다고 생각합니다. 이를 위해 저희는 Skynet Quest와 같은 교육 프로그램을 제공하고 Token Scan 및 Wallet Scan 같은 무료 도구를 개발해 제공하고 있습니다. 예를 들어, Token Scan을 통해 사용자는 투자하려는 토큰에 백도어(backdoor)가 있는지 여부를 확인할 수 있습니다. Wallet Scan은 사용자들이 자신의 지갑이나 주소와 관련된 위험 요소를 이해하도록 돕고, 잠재적인 온체인 리스크를 피할 수 있도록 지원합니다.
Q. B2B 기업의 경우 보안이 필수적이라는 점은 인지하고 있지만, 비용 문제로 인해 우선순위를 두는 것을 망설이는 기업이 여전히 많습니다. 이러한 태도는 비용 지연을 초래하고, 결과적으로 경쟁력에 영향을 미치기도 합니다. 기업들이 이러한 문제에 어떻게 접근해야 한다고 보시나요? 또한, 비용, 보안, 효율성 간의 균형을 맞추기 위한 조언을 해주실 수 있을까요?
네, 정말 중요한 질문입니다. 사실, 이 문제는 저뿐만 아니라 CertiK, 전체 업계에 오랜 고민거리였습니다. 2017년과 2018년, ICO 붐이 일어났던 시절을 되돌아보면, 많은 암호화폐 기업들이 보안이 중요하다고 말은 했지만, 실제로 사이버 보안을 위해 충분한 예산을 할당하지 않았습니다. 일부 기업들은 우리에게는 코드 리뷰를 담당하는 시니어 엔지니어나 사내 보안 전문가가 있다는 식으로 말하며 보안에 대한 투자를 소홀히 했죠. 그러다 2020년 DeFi 열풍이 불면서, 점점 더 많은 기업들이 외부 보안 회사나 CertiK과 같은 감사 회사와 협력해야 할 필요성을 인식하기 시작했습니다. 이는 주로 커뮤니티의 압박에 의해 이루어졌습니다. 많은 사용자가 DeFi 프로토콜에 참여하면서, 코드의 신뢰성을 알 수 없었기 때문에 프로젝트 측에 코드 감사를 요구한 것입니다. 물론, 이는 긍정적인 변화였지만, 여전히 많은 프로젝트가 코드 감사를 단순히 "도장" 정도로만 생각하는 경우가 많습니다. 예를 들어, 예산 문제로 코드의 일부만 감사하거나, 특정 버전만 감사를 받은 뒤 이후 스마트 계약의 새로운 버전을 개발하면서도 추가 감사를 생략하는 경우가 있습니다. 하지만 사이버 보안은 하나의 전체적인 시스템으로, 단 하나의 약점만으로도 큰 재앙으로 이어질 수 있습니다. 따라서 이러한 접근 방식은 최선의 방안이 아닙니다. 현재 시장 상황은 과거보다 개선되었지만, 여전히 교육과 인식 개선이 필요합니다. 프로젝트 소유자들이 모든 버전의 코드와 코드 전체를 반드시 감사해야 한다는 점을 깨닫게 하고, 사용자들에게도 코드 감사를 단순한 도장이 아닌 지속적이고 동적인 과정으로 이해하도록 교육해야 합니다. 이를 위해 저희는 Skynet을 출시했습니다. Skynet은 기존 감사 보고서를 보완하며, 사용자들에게 어떤 코드가 감사되었고 감사되지 않았는지, 그리고 보안 점수는 잠재적인 보안 위험에 대한 개인적인 아이디어를 제공합니다.
Q. 그렇다면, DePIN(탈중앙화 인프라 네트워크)와 DeSci(탈중앙화 과학)이 부상하고 있으며, Ai의 통합과 Web3가 규제 체계에 편입되는 흐름에서 어떤 보안 과제가 새로 발생할까요?
DeSci는 현재 CZ, Vitalik 등 주요 인물들에 의해 주목받으며 매우 뜨거운 주제입니다. 저도 태국에서 열린 DEFCON에서 이 주제를 접했는데요. 현재까지는 DeSci 자체가 새로운 보안 위험을 초래하지는 않았습니다. 그러나 DePIN과 AI는 확실히 많은 도전 과제를 안겨주고 있습니다. 예를 들어, DePIN은 네트워크 보안을 보호하기 위해 많은 IoT 기기에 의존합니다. 그런데 우리는 여러 DePIN 기기에서 취약점을 발견했습니다. 이는 스마트 계약이나 블록체인 정보에서 발생하는 취약점과는 다른 유형의 문제입니다. IoT 기기 자체가 취약성을 가지고 있는 경우가 많습니다. 게다가 대부분의 DePIN 네트워크는 동일하거나 유사한 버전의 물리적 기기를 공유합니다. 이러한 기기에 치명적인 취약점이 존재하면, 해커들이 이를 악용해 네트워크 전체를 마비시키거나 마비시키거나 51% 공격을 실행할 가능성이 있습니다. 이는 매우 위험한 상황입니다. 문제는, 현재 많은 DePIN 네트워크 제공자들이 이러한 위험성을 제대로 인식하지 못하고 있다는 점입니다. 대부분의 IoT 기기가 이들 네트워크 제공자가 아닌 다른 제조업체에 의해 생산되고 있어, 네트워크 제공자들이 하드웨어 위험에 대한 완전한 통제권을 가지지 못하고, 심지어 이를 충분히 이해하지 못하고 있는 경우도 많습니다. 저희는 DePIN 네트워크에서 많은 취약점을 발견하고 네트워크 제공자들에게 이 문제를 알리고 있지만, 여전히 충분한 관심을 기울이지 않고 있는 상황이라고 생각합니다.
