“블록체인 보안감사의 일관성을 지키기 위해선 정부의 역할이 중요합니다.”
제이슨 차오 서틱 COO는 지난 6일 서울 중구에서 디센터와 만나 블록체인 보안감사의 법제화가 필요하다고 강조했다. 블록체인 보안감사와 관련해 어떠한 규제도 없는 현재로선 블록체인 프로젝트에 대한 감사를 완벽히 진행하더라도 허점이 뚫릴 위험이 크다는 설명이다.
차오 COO는 “감사를 부분적으로만 진행하고 나서 프로젝트 전체에 대한 감사를 받은 것처럼 알리거나 업데이트를 한 후 감사를 다시 받지 않는 등 다양한 사례를 봤다”며 “감사 결과 공개 의무가 없다보니 프로젝트가 공개를 원하는 분야의 점수만 공개하는 문제도 있다”고 덧붙였다.
글로벌 주요 웹3 보안감사 업체 서틱은 프로젝트 출시 이전과 이후를 걸쳐 라이프사이클 전반의 모니터링을 강화하는 방식으로 이같은 보안 위험에 대응하고 있다. 연중 24시간 활성화된 온체인 데이터 실사·평가 플랫폼 ‘스카이넷’이 대표적이다. 서틱은 스카이넷에서 스마트컨트랙트의 변화를 감지하면 해당 프로젝트에 연락을 취해 추가적인 감사가 필요한지 검증한다. 이외에도 위험 거래를 사전에 감지하는 리스크 관리·컴플라이언스 플랫폼 ‘스카이인사이트’도 운영 중이다. 시스템만으로 감지하기 어려운 인적 위험 요소들은 인터뷰나 배경 조사 등으로 보완하기도 한다.
그러나 자율규제만으로는 완벽한 감사가 이뤄지기 힘들다는 게 차오 COO의 지적이다. 그는 “블록체인 프로젝트의 스마트컨트랙트는 모두에게 공개돼 있기 때문에 누구든 코드를 배우고 공격할 수 있는 등 보안 위험이 더욱 크지만 전통적인 웹2 기업들과 달리 감사 제도가 의무화돼있지 않다”고 짚었다. 특히 서로 다른 2개의 블록체인을 연결하는 브릿지 프로젝트를 보안 취약점으로 지목했다. 그는 “처리하는 거래량이 매우 많은 것이 첫 번째 문제”라며 “또한 2개의 프로토콜을 연결해야 하기 때문에 프로토콜이 복잡하고 보안 방지를 위한 시스템이 갖춰지지 않은 경우가 대부분"이라고 설명했다. 그는 "정부 차원에서 블록체인 보안감사에 일관된 기준을 빠르게 정립할 필요가 있다"고 지적했다.
미국 뉴욕에 본사를 두고 있는 서틱이 최근 아시아 시장으로 눈길을 돌리고 있는 것도 같은 맥락이다. 미국에 비해 상대적으로 가상자산 친화적인 아시아태평양 지역(APEC)이 보다 명확한 규제를 두고 있다는 설명이다. 그는 “APEC에선 수준 높은 프로젝트가 여럿 나오고 있고 특히 한국의 가상자산 시장은 전세계 3위 규모로 전세계에서 가상자산 투자자가 가장 많은 국가 중 하나”라며 “최근 코드(CODE) 얼라이언스에 참여하는 등 한국 시장 진출을 본격화하고 있다"고 밝혔다.
- 김정우 기자
- woo@decenter.kr