웹3 보안은 작년부터 지금까지 모멘텀이 확대되면서 그 중요성이 부각됐다. 보안 위험이 크다는 것은 암호화폐 산업에 큰 장애물이었다. 다양한 웹3 사이버 보안 감사 업체들이 악의적 행위의 증가에 대응하기 위해 나름의 역할을 하고자 나서는 것도 그런 맥락에서다.
웹3를 둘러싼 기술이 연일 헤드라인을 장식하고 화제를 불러일으키고 있다. 기업들이 앞다퉈 웹3가 가져다주는 기회를 붙잡으려고 몰려드는 가운데 수십억달러 규모의 자본이 웹3로 유입되고 있는 것이다. 약세장이었던 지난해만 해도 웹3 스타트업은 70억달러(약8조6940억) 이상의 투자금을 끌어모았다.
엄청난 규모의 자금을 사용할 수 있게 되면서 개발자들은 웹3로 사업을 구축하는 데 필요한 자원을 손에 거머쥐었다. 그러나 이를 틈탄 불법 행위와 현금 흐름의 악용 사례도 생겨났다.
따라서 질문은 다음과 같다: 웹3는 과연 ‘안전’한가?
웹3 보안에 대한 의구심
웹3의 기본적인 아이디어는 사용자에게 제어 권한을 돌려주는 것이다. 하지만 이는 보안과 충돌한다. 사람은 실수하기 마련이다. 따라서 이전의 세계에서는 사람의 실수로 인한 문제를 방지하기 위해 시스템을 구축했다. 은행 제도가 좋은 예다. 다양한 기관이 2FA(Two-factor Authentication, 이중 인증)를 시행하고 있는 것도 그런 연유에서다.
악덕 행위자들이 접근 코드를 뚫고 들어가더라도, 은행은 소유자가 아닌 다른 사람이 로그인하거나 타인의 돈에 접근하려고 하는 경우 이를 감지할 수 있는 사기행위 방지를 위한 탐지 시스템을 갖추고 있다. 다시 말해 계정을 잠궈버리는 것이다. 사기행위로부터 현금을 보호하기 위한 보안 계층이 존재한다는 얘기다.
반면, 웹3 거래는 ‘키가 있어야 코인이 안전하다'(원래는 ‘Not your keys, not your coins’이라는 표현으로 제 3자가 나의 자금을 가지고 있는 경우 내게 제어권이 없다는 뜻-역주)’, ‘키가 있어야 NFT가 안전하다’는 식으로 홍보하고 있지만, 되돌릴 수가 없다.
웹2 vs 웹3 보안, 어떻게 다를까?
일반적으로 웹2에서 플랫폼이 해킹당했을 때 최악의 경우는 개인 정보를 잃는 것이다. 신용카드 번호, 주소, 이름이 인터넷에 유출되는 것처럼 말이다. 하지만 신용카드 회사는 분실된 카드를 사용중지시키고, 새로운 카드를 발급하고, 도난당한 경우 환불할 수 있다.
웹2에서도 해킹이 많이 발생하지만, 이러한 해킹은 일반적으로 심각성이 덜하고 파급 효과도 크지 않다. 하지만 웹3에서 해킹이 일어나면 수천 명이 자신의 자산에 영구적으로 접근할 수 없게 된다. 그만큼 파괴적이라는 얘기다.
대부분의 보안 조치는 2FA 및 특정 규정 준수 단계 구현과 같은 거버넌스에서 비롯된다. 웹3의 핵심은 거버넌스가 없다는 것, 즉 탈중앙화되었다는 것이다. 엄격한 규정과 규칙이 필요한 보안의 필수요건과는 정반대다.
과거 암호화폐 사업체 및 플랫폼들이 이같은 행동을 촉진하기 위한 조치를 취했지만, 해커들은 계속적으로 헤드라인을 장식하고 있다. 비인크립토가 그 내막을 밝히기 위해 여러 다양한 보안기업들과 연락을 시도했다.
기세등등한 웹3 해킹
비오신(Beosin), 비들러(Buidler)DAO, 리걸(Legal)DAO, 풋프린트(Footprint)가 공동 작성한 ‘2022년 글로벌 웹3 보안 & AML 보고서’를 보면, 지난해 웹3에는 167건 이상의 심각한 수준의 공격이 있었으며 이로 총 36억달러(약4조4700억원)에 달하는 손실이 발생했다. 이는 2021년 대비 47.4% 증가한 수치다.
구체적으로 보면, 단 한 번의 공격으로 보안 사고 10건에서 1억달러 이상의 손실이 발생했고, 21건의 보안 사고의 손실이 1천만달러에서 1억달러에 달했기 때문에 재정적으로 상당한 타격을 입은 셈이다. 더욱 충격적인 사실은 작년 상반기에만 웹3 프로젝트의 해킹 및 악용에 20억달러(약 2조4800억원) 이상의 피해가 발생했으며, 이는 2021년 전체를 합친 것을 훌쩍 뛰어넘는 금액이다.
악의적 행위의 증가에 대응해 웹3 보안 업체들은 이를 제거하기 위한, 최소한 줄이기 위한 조치를 취하고 있다. 비인크립토가 DAO 출범을 공식화한 대표적인 웹3 사이버보안 감사업체들 중 하나로부터 얻은 정보는 다음과 같다.
해킹 강력 대응을 위한 조치들
많은 웹3 프로젝트가 시작되는 가운데, 대부분의 운영자들은 잠재적 해킹에 대한 대응책을 고심해왔고, 일부는 보안 기업의 지원을 받아 성과를 내고 있다.
사이버보안 기업 해켄(Hacken)의 경우 2022년까지 매출이 166% 증가했으며 신규 고객 537명을 확보했다. 해켄이 감사한 스마트 계약의 해킹 건수는 ‘제로(0)’였다. 올해 이 기업의 주요 목표 중 하나는 해켄 지분 소유자와 해켄 토큰(HAI) 보유자의 이익을 통합하는 방법을 찾는 것이며, hDAO의 생성은 이 여정의 시작을 나타낸다.
또한 보안 업체들은 암호화폐를 처음 접하는 사람들에게 기본적인 보안 규칙을 가르쳐주기 위해서 신뢰할 수 있는 웹3 공공재 커뮤니티(public goods community)인 ‘트러스트 아미’(Trust Army)를 설립하기로 했다. 이를 통해 웹3에서는 최초로 권한을 갖추고 자율적 및 제품 지향적이며, 고도로 전문화된 사이버 보안 조직으로 사회에 실질적인 변화를 가져올 수 있는 길을 마련하고자 한다.
요약정리하자면 보안은 올해 뿐만 아니라 웹3의 향후 발전에 지대한 역할을 할 것이다. 이 영역을 지원하는 다양한 플랫폼의 경우는 더욱 그렇다. 게임에서부터 워너뮤직그룹(WMG)과 같은 음악 엔터테인먼트 기업에 이르기까지 모두가 힘을 합쳐 웹3 영역에 진출했다. 특히 많은 직원들이 웹3 영역에서 작업하기 위해 직업을 전환하기도 했다. 이처럼 흥미롭고 수익성이 좋은 공간을 안전하게 만들어야 할 이유가 하나 더 생긴 것이다.
이 점은 꼭 기억하기 바란다. 블록체인 산업의 안전한 공간은 단속할 기회를 찾고 있는 규제 당국과도 ‘밀접한 관련이 있다는 것’을.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.