6월 11일, 세계 최고의 Web3 및 AI 서밋인 Proof of Talk에서 CertiK의 최고사업책임자(CBO)인 제이슨 지앙이 Innerworks의 CEO 겸 공동 창립자인 올리버 콰이, Hacken의 CPO인 데니스 이바노프와 함께 Web3 프로토콜의 신뢰 구축이라는 주제의 원탁 토론에 초대되어 Web3 프로젝트에 대한 실질적이고 지속 가능한 신뢰를 구축하는 방법에 대해 논의했습니다.
보안 감사가 점차 마케팅 언어로 자리 잡으면서, Web3 프로젝트는 어떻게 감사 워싱을 피하고 미래에 대한 보안 신뢰를 구축할 수 있을까요?
제이슨 지앙은 이 포럼에서 현재 업계에 심각한 감사 미화 현상이 존재한다고 직설적으로 지적했습니다. 즉, 일부 프로젝트는 감사 보고서만 공개하는 것만으로도 안전하다고 주장합니다. 보고서의 시의성, 범위 또는 결과와 관계없이 감사 보고서는 안전 표시로 사용됩니다.
그는 높은 수준의 정적 코드 검증조차도 보안 모델의 일부일 뿐이라고 지적했습니다. 이는 필수적이지만 충분하지는 않습니다. 실제로 많은 위험이 감사 이후에 발생합니다. 예를 들어, 업그레이드 가능한 계약으로 인해 감사 이후 새로운 공격 영역이 생기거나, 거버넌스 메커니즘에서 벗어나거나, 외부 계정(EOA)이 관리하는 관리 기능이 손상될 수 있으며, 이로 인해 감사 중 가정이 실패할 수 있습니다.
게다가 정적 분석의 역량을 넘어서는 위험도 존재합니다. 오라클, 크로스체인 브리지, 유동성 변화, 구성 가능성과 같은 요소는 모두 새로운 동적 종속성을 가져올 것입니다.
따라서 제이슨 장은 감사를 받았다는 것이 안전하다는 것을 의미하지 않는다고 강조했습니다.
CertiK의 모듈식 실시간 보안 모델
이러한 과제를 해결하기 위해 제이슨 지앙은 CertiK이 적극적으로 구축하고 옹호하고 있는 구성 가능하고 지속적인 검증 및 신뢰 메커니즘에 대해 자세히 설명했습니다.
첫째, CertiK은 온체인 감사 증명 메커니즘 구축을 적극적으로 추진하고 있습니다. 즉, 감사 보고서는 암호화되어 체인에 저장되며, 계약별 바이트코드의 해시에 바인딩됩니다. CertiK은 이 메커니즘이 업계 표준이 되도록 최선을 다하고 있습니다.
둘째, 실시간 보안 모니터링 및 위험 평가입니다. CertiK은 Skynet 플랫폼을 통해 계약 상호작용 행위(플래시 대출, 권한 상승 등), 볼트(vault) 행위, DAO 거버넌스 위험 요소(제안서 삽입 등), 그리고 토큰 이코노미의 비정상적인 변동을 동적으로 모니터링할 수 있습니다. 이러한 데이터는 실시간 위험 프로필을 생성하고 사용자에게 지속적인 보안 상태 피드백을 제공할 수 있습니다.
세 번째는 지속적인 검증 프로세스를 구축하는 것입니다. CertiK은 전체 개발 수명 주기(CI/CD)에 보안 검사를 통합합니다. 여기에는 코드 변경 시 차등 퍼즈 테스트, 시뮬레이션된 공격 모델 테스트(예: MEV 로봇, 샌드위치 공격) 활용, 그리고 거버넌스 또는 업그레이드 이벤트 발생 시 새로운 감사 프로세스 실행이 포함됩니다.
넷째, AI 지원 감사 및 협업 검증을 모색하고 있습니다. CertiK은 사전 감사 검토 및 대규모 안티패턴 식별을 위한 AI 모델을 개발하고 있습니다. 이를 통해 인간 감사자는 프로토콜의 핵심 로직, 엣지 시나리오 및 프로토콜 컨텍스트 분석에 집중할 수 있게 되어 인간-기계 협업을 통한 대규모 보안 보증을 달성할 수 있습니다.
프로토콜 설계: 신뢰의 구조적 기반
제이슨 지앙은 프로토콜 설계가 사용자 신뢰에 미치는 영향에 대해 이야기하면서 많은 위험이 코드 취약점이 아니라 아키텍처 가정으로부터 발생한다고 강조했습니다. 그는 특히 권한, 제어 권한, 업그레이드 메커니즘에 대한 불분명한 가정이 신뢰에 영향을 미치는 중요한 요소라고 언급했습니다.
그는 신뢰에 대한 몇 가지 주요 디자인 벡터의 구체적인 영향을 분석했습니다.
업그레이드 가능성과 불변성 측면에서, 프로젝트가 업그레이드 기능을 유지해야 하는 경우 다중 서명 제어가 필수적이며, 시간 지연이 있는 온체인 거버넌스 메커니즘과 결합되어야 합니다. 동시에, 커뮤니티에 명확한 거부권이 부여되어야 합니다. 이를 통해 소수의 외부 계정(EOA)이 주요 권한을 통제하는 것을 방지하여 탈중앙화의 약속을 지킬 수 있습니다.
모듈화 및 오픈 소스 측면에서 핵심 알고리즘, 재무 관리, 거버넌스 모듈과 같은 핵심 구성 요소는 분리되어 설계되어야 합니다. 각 모듈은 복잡한 종속성으로 인한 위험을 줄이기 위해 독립적인 테스트 및 검증을 지원해야 합니다. 투명한 장애 보호 메커니즘(예: 시간 잠금, 일시 중단 가능 계약, 퓨즈 메커니즘)에는 숨겨진 긴급 권한이 이러한 메커니즘을 무시하는 것을 방지하기 위한 명확한 비상 프로세스가 수반되어야 합니다.
마지막으로, 거버넌스 관행은 완전히 온체인(on-chain)에 적용되고 감사 가능해야 합니다. 누가 어떤 업그레이드 권한을 가지고 있는지, 업그레이드 프로세스는 어떻게 작동하는지, 그리고 시간 제한은 어떻게 설정되는지 명확하게 공개되어야 합니다. 이러한 방식으로만 거버넌스는 이론적인 수준에 머무르지 않고 진정으로 구현될 수 있습니다.
Web3 신뢰 공식: 신뢰 = 코드 + 행동 + 문화 + 규정 준수
신원 보증이 부족한 고도로 분산화된 환경인 Web3의 고유한 과제에 직면하여, 제이슨 지앙은 신뢰를 구축하기 위한 공식을 제안했습니다. 신뢰 = 코드 + 행동 + 문화 + 규정 준수입니다.
그는 프로토콜이 얻는 신뢰는 코드의 품질뿐만 아니라 압박 속에서 프로젝트의 행동 패턴에도 달려 있다고 지적했습니다. 그중에서도 몇 가지 핵심 조치가 매우 중요합니다.
첫째, 프로젝트는 버그 바운티 프로그램을 구현하고 유지해야 합니다. 이 메커니즘이 충분한 자금 지원, 신속한 대응, 그리고 효율적인 지급을 보장하는지는 프로젝트의 운영적 성숙도와 투명성 및 개방성에 대한 의지를 직접적으로 반영합니다.
둘째, 보안 사고가 불가피한 경우, 프로젝트는 투명하고 상세하며 기술적으로 엄격한 리플레이 보고서를 공개해야 합니다. 보고서는 사고의 근본 원인을 설명하고, 실수를 명확히 인정하며, 영향을 평가하고, 개선 방안을 제시해야 합니다. 이러한 대응은 위기 상황에서도 제도적 신뢰를 구축할 수 있습니다.
또한, 프로젝트는 시간이 지남에 따라 회복탄력성을 입증해야 합니다. 여기에는 급격한 시장 변동을 견뎌내고, 보안 위협에 신속하고 투명하게 대응하며, 새로운 공격에 지속적으로 적응할 수 있는 능력이 포함됩니다. 제이슨 지앙은 암호화폐 세계에서 1년은 기존 산업에서 8년과 같습니다. 6년 동안 안정적으로 운영되어 온 프로젝트는 50년의 신뢰를 얻은 것과 같습니다.라고 결론지었습니다.
Proof of Talk Summit의 원탁 토론에는 업계 최고 보안 전문가들이 한자리에 모였습니다. 참석자들은 Web3 신뢰의 초석을 재정립하고 지속 가능한 발전을 촉진하기 위해서는 다방면에서 심도 있는 협력이 이루어져야 한다는 데 동의했습니다. 여기에는 기반 기술 혁신, 프로토콜 설계 최적화, 그리고 프로젝트 동작에 대한 장기적인 검증이 포함됩니다. 이러한 맥락에서 CertiK의 실시간 모듈형 보안 모델과 코드 + 동작 + 문화 + 규정 준수 신뢰 프레임워크 지지는 업계의 중요한 발전 방향을 제시했습니다.
웹3 보안 기업인 CertiK은 보안으로서의 감사에서 서비스로서의 보안으로 전환하며 업계를 선도해 왔습니다. CertiK은 전체 라이프사이클 제품, 커뮤니티 협업, 그리고 AI 기술을 통해 웹3 구축자들에게 신뢰할 수 있고 안전하며 투명한 기반을 지속적으로 제공할 것입니다.
