
보안 분야의 집단 지성 - 커뮤니티 주도 보상금 및 감사 시장
저자: Ray, IOSG Ventures
서론
블록체인은 대규모 컴퓨터 시스템으로서 현재의 시스템 복잡성은 5년 전 수준을 훨씬 뛰어넘었으며, 인프라 모듈화는 더욱 정교해졌고, 애플리케이션 계층의 스마트 계약 로직은 점점 더 풍부해지며 계약 간 상호작용도 매우 빈번해졌다. 무엇보다 중요한 것은 블록체인이 관리하는 자산 규모가 이미 상당히 커졌다는 점이다. 이에 따라 최근 블록체인 보안 커뮤니티에서는 보안 주기(보안 사이클)에 대한 논의가 활발히 이루어지고 있다. (2017년과 비교하면 당시 사람들은 보안이라고 하면 개발자가 계약 코드를 작성한 후 이더리움 재단 친구에게 한 번만 검토받고 기본적인 테스트 정도만 하는 수준이었지만 지금은 그와 전혀 다르다.)

전체 블록체인 프로그램의 보안 생애주기(테스트, 제3자 감사, 사후 모니터링 및 업데이트 감사를 포함) 동안 버그 바운티 커뮤니티는 게임 이론과 집단 작업 방식을 통해 화이트햇 해커들이 프로젝트 팀의 코드를 마지막으로 검토하도록 유인하는 일종의 안전장치 역할을 한다. 일부 스마트 계약 보안 전문가는 이를 '최후의 방어선'이라 부르기도 하지만, 나는 버그 바운티와 감사 경쟁이 향후 전체 보안 생애주기에 걸쳐 시스템 전반의 보안성을 향상시키는 핵심 역할을 할 잠재력이 있다고 본다.
전통적인 사이버 보안 분야에도 버그 바운티(Bug Bounty 또는 Vulnerability Rewards) 프로그램이 존재한다. 페이스북, 구글, 마이크로소프트 등의 주요 기술 기업들은 자체 내부 보안팀과 제품 라인에 대해 바운티 프로그램을 운영하며, 2015년경부터 HackerOne과 Bugcrowd와 같은 제3자 버그 바운티 플랫폼이 등장했다. 현재 이 두 선도 기업은 바운티 지급액에서 수수료를 받는 비즈니스 모델로 연간 각각 약 5천만 달러, 2천만 달러의 매출을 올리고 있다. 반면 블록체인 세계에서 바운티는 보안 커뮤니티에서 자주 논의되는 더욱 흥미로운 주제인데, 주된 이유는 블록체인 코드가 오픈소스이기 때문에 해커들의 공격과 전략 강화 비용이 낮아졌고, 크립토 세계가 집단 작업과 창작자 경제, 소유권 기반의 개방형 기여 모델을 적극 장려하기 때문이다. 이러한 모든 요소들이 보다 개방적인 화이트햇 경제 모델에 더 큰 가치를 부여한다.
버그 바운티와 감사 경쟁이란? 왜 필요한가?
보안은 공격자와 방어자의 동적 게임 과정이다. 컴퓨터 보안 전문가이자 암호학자인 브루스 슈나이어(Bruce Schneier)가 말했듯이, "보안은 제품이 아니라 하나의 과정이며, 소프트웨어 개발 전 과정에 스며들어야 하는 사고방식이다." 블록체인 세계는 모든 코드가 오픈소스이고 투명한 '암흑의 숲'과 같으며, 오랫동안 생존하려는 블록체인 프로젝트 팀은 자사 제품/계약에 대한 보안 수요가 영원히 존재한다. 대부분의 블록체인 제품은 금융적 특성을 갖고 있으며, 금융에서 가장 중요한 자산은 신뢰이며, 사용자의 신뢰는 단 한 번뿐이다.
그렇다면 전통적인 감사 서비스의 문제점과 한계는 어디에 있는가? 커뮤니티 기반의 버그 바운티와 감사 경쟁은 이러한 문제들을 어떻게 보완할 수 있을까?

감사 서비스를 이용하는 개발자들은 종종 다음과 같은 경험을 한다:
-
제3자 감사 회사의 서비스를 구매하고 코드를 감사받았음에도 불구하고 여전히 문제가 발생한다. 이러한 문제의 원인은 다양하지만(기술적, 비기술적), 결국 단일 감사 회사에 의존하는 것이 완전히 신뢰할 수 없다는 것을 보여준다. 코드 감사의 품질은 결국 감사자의 수준에 달려 있으며, 고객은 종종 "누가 더 나은가"를 판단할 능력이 부족하다.
-
반면, 바운티 플랫폼과 감사 경쟁은 보다 개방적인 '샌드박스'로서, 프로젝트 코드를 화이트햇 해커들이 자유롭게 검토할 수 있도록 한다. 참여자의 배경은 제한 없이(전문 감사 회사 출신일 수도 있고 프리랜서 보안 분석가일 수도 있음), 무기고도 자유롭고, 고객이 해야 할 일은 합리적인 보상을 설정하고, 화이트햇 해커가 문제를 발견했을 때 그 기여에 맞춰 보상을 지급하는 것이다.
-
일반적으로 고객은 먼저 화이트햇 해커가 검토해야 할 코드를 제출하고, 취약점의 보안 등급(대개 경제적 손실과 관련되며, 경제적 손실을 직접 초래할 가능성이 높을수록 심각도가 높음), 보상 예산, 테스트 범위, 심지어 테스트 절차까지 정의한다.
시장 규모는 얼마나 되는가?

바운티 플랫폼과 감사 경쟁의 비즈니스 모델은 일반적으로 고객이 지불하는 보상금이나 설정된 총 보상 풀(pool)에서 일정 비율을 플랫폼 서비스 수수료로 수취하는 방식이다. 코드 보안 감사가 필요한 고객(프로젝트 팀)은 어떤 코드를 감사받을지, 취약점의 심각도를 어떻게 정의할지, 얼마의 보상을 지불할지 등 자신의 요구사항에 따라 바운티 플랫폼에 계획을 공개하며, 화이트햇 해커들은 이러한 요구사항에 따라 취약점을 탐색한다. 화이트햇 해커가 취약점을 발견하고 프로젝트 팀의 조건을 만족하면 보상이 지급되며, 바운티 플랫폼은 그 중 일부를 수수료로 가져간다.
Web2 전통 사이버 보안 분야에서 버그 바운티 플랫폼은 비교적 새로운 분야(2012년 이후 등장)이며, 현재 가장 큰 플랫폼은 HackerOne과 Bugcrowd이다. 2022년 HackerOne의 연 매출은 5800만 달러에 달했으며, 기업 가치는 약 5억 달러로 평가됐다. 누적 지급된 바운티는 2.3억 달러이며, 2021~2022년 두 해 동안 1.5억 달러의 보상이 지급됐다. 또한 65,000개 이상의 소프트웨어 취약점을 발견했으며, 등록된 해커 수는 100만 명을 넘고, 매월 1,000개 이상의 고객이 HackerOne 서비스를 이용하고 있다. 경쟁업체 Bugcrowd는 2022년 매출이 2,000만 달러를 초과했다.
Web3 보안 분야에서는 2022년 모든 Web3 버그 바운티 및 감사 경쟁 플랫폼이 화이트햇 해커들에게 총 5,000만 달러의 보상을 지급했다. 이들 플랫폼의 평균 수수료는 10%~30% 수준이므로, 현재 시장 규모는 보수적으로 500만~1,500만 달러 정도로 추정되며, 아직 매우 초기 단계의新兴 시장이다.
또 다른 흥미로운 점은 점점 더 많은 고객들이 탈중앙화된 보안 커뮤니티가 제공하는 코드 감사 서비스를 직접 이용하려는 경향이 증가하고 있다는 것이다. 가장 유명한 예로 Opensea는 새 플랫폼 Seaport를 출시할 때 기존처럼 제3자 감사 회사에 맡기는 대신, 현재 가장 큰 탈중앙화 감사 경쟁 플랫폼인 Code4Rena를 선택하고 100만 달러의 보상 풀을 설정했다. 전통적인 보안 감사 시장이 점점 더 경쟁이 치열해지는 가운데(인적 자원, 기술 도구, 마케팅 BD 경쟁), 탈중앙화 보안 서비스는 이 시장의 중요한 성장 동력이 될 수 있을까? (현재 시장에는 56개의 감사 회사가 있으며, 선두 기업들의 연 매출은 1,000만~4,000만 달러 수준이다. 나는 탈중앙화 보안 시장의 가능성은 매우 크다고 본다.)
버그 바운티 플랫폼 vs 감사 경쟁 플랫폼
버그 바운티 플랫폼은 Web2에서도 10년 가까이 발전해왔지만, 감사 경쟁 플랫폼은 Web3 고유의 새로운 개념이다. 감사 경쟁 서비스는 곧 출시될 제품이나 신규 기능을 갖춘 프로젝트 팀을 대상으로 하며, 특정 기간(2주 이상) 동안 탈중앙화 커뮤니티의 힘을 빌려 감사 서비스를 수행한다. 이런 관점에서 감사 경쟁은 기존 감사 회사에 상당한 상업적 위협이 될 수 있다.
다음은 참여 방식, 보상 구조, 테스트 범위 세 가지 측면에서 두 플랫폼의 차이점을 정리한 것이다:
참여 방식
버그 바운티 플랫폼(예: Immunefi)은 일반적으로 누구나 언제든지 참여 가능한 오픈형 프로젝트다. 참가자들은 독립적으로 취약점을 탐색하고 보고하여 보상을 받는다. 동일한 취약점을 두 사람이 발견한 경우, 먼저 보고한 사람이 보상을 받는 선착순 원칙을 따른다.
반면, 커뮤니티 기반 감사 경쟁 플랫폼(예: Code4rena, Sherlock)은 시간 제한이 있으며, 참가자들이 특정 기간 내에 경쟁적으로 취약점을 찾아보고하게 된다. 바운티 플랫폼과 비교해 일부 팀 협업이 존재하는데, 각 프로젝트마다 리드 시니어 감사원(Lead Senior Auditor)과 리드 판사(Led Judge)를 명확히 배정하여 모든 감사 결과를 검토·정리해 최종 감사 보고서를 고객에게 제출한다. 이 두 리더 역할은 커뮤니티 선거와 경쟁을 통해 선출되는 탈중앙화 원칙을 따른다. 또한 규정된 기간 내에 두 경쟁자가 동일한 취약점을 발견하면 둘 다 보상을 받을 수 있다.
보상 구조
두 플랫폼 모두 실제로 지급되는 보상은 발견한 취약점의 심각도를 주요 고려 요소로 삼는다.
차이점은 Code4Rena와 같은 커뮤니티 기반 감사 경쟁 플랫폼이 각 프로젝트 보상 풀의 일부(5%~10%)를 고정적으로 리드 시니어 감사원과 리드 판사에게 배분한다는 점이다. 이들은 사실상 전통적인 감사 회사의 프로젝트 책임자 역할을 맡기 때문이다.
또 다른 흥미로운 점은 버그 바운티 플랫폼에서 프로젝트 팀이 때때로 자사 토큰을 보상으로 제공하지만, 커뮤니티 내 일부 화이트햇 해커들은 변동성이 큰 프로젝트 토큰보다 USDC, USDT 같은 스테이블코인이 더 선호된다는 점이다.
범위와 초점
버그 바운티 플랫폼의 프로젝트는 일반적으로 광범위한 반면, 감사 경쟁 플랫폼의 프로젝트는 특정 기능이나 측면에 더 집중된 범위를 가지며, 화이트햇 해커들이 짧은 기간 내에 집중해서 작업을 완료해야 한다.

감사 경쟁에 특화된 프로젝트
Code4Rena - 일종의 e스포츠 형태의 커뮤니티 기반 감사 경쟁 플랫폼
Code4Rena는 세 가지 역할을 가진다:
1. 감사원(Wardens): 코드를 검토한다. 전문 보안 엔지니어부터 더 많은 경험을 쌓으려는 초보 개발자까지 누구나 감사원으로 등록하여 공개 감사 경쟁에 참여할 수 있다.
2. 심사위원(Judges): 일반적으로 C4 커뮤니티에서 가장 우수한 엔지니어들이다. 취약점의 심각도, 유효성, 품질을 결정하고, 감사원들의 성과를 평가한다.
3. 스폰서(Sponsors): Opensea, Blur, ENS, Chainlink 등의 프로젝트 팀으로, 감사원들이 자사 프로젝트 코드를 감사하도록 유인하기 위해 보상 풀을 조성한다. 스폰서는 사생활 보호를 위해 초청제 개인 경쟁을 개최할 수도 있다.
가장 흥미로운 점은 Code4Rena가 형성하고 있는 문화다: 협업과 팀워크를 장려한다. 기존의 버그 바운티 프로그램과 달리, Code4Rena는 동일한 취약점을 보고한 모든 감사원에게 보상을 지급함으로써 건강한 경쟁을 유도한다. 이는 감사원들이 심각도가 높고 흔한 취약점을 찾도록 동기를 부여한다. 이 플랫폼에서는 일부 감사원들이 일시적인 팀을 구성해 공동으로 취약점을 찾기도 한다.
비즈니스 모델:
모든 프로젝트는 Code4rena에서 감사 경쟁 프로그램을 시작하고 USDC 또는 ETH로 기본 보상 풀을 조성할 수 있다(일반적으로 4만~10만 달러). Code4rena는 기본 보상 풀에서 20%를 플랫폼 수수료로 수취하며, 이는 경쟁 조직, 심사, 보고서 정리 및 결과 산출 서비스에 대한 수입이다. 프로젝트 팀은 기본 풀 외에도 자사 토큰으로 추가 보상 풀을 설정할 수 있으며, Code4rena는 이 추가 풀에서 40%의 수수료를 받는다.
Sherlock - 스마트 계약 보험 서비스를 제공하는 커뮤니티 기반 감사 플랫폼
Code4rena와 유사하게 Sherlock도 감사원, 스폰서, 심사위원 등의 역할이 있지만, Sherlock의 차별점은 플랫폼이 제공하는 보험 서비스다. 누구나 Sherlock 플랫폼의 보험 풀에 투자할 수 있으며, 투자자는 USDC를 보험 풀에 입금하고, 프로토콜 고객은 서비스를 구매해 스마트 계약 해킹 위험을 헷징할 수 있다. 보험 투자자의 수익원은: 프로토콜 고객이 지불하는 보험료 + 보험 풀 자금을 다른 DeFi 풀(Aave, Compound 등)에 예치해 얻는 이자 + Sherlock 토큰 보상이다. 그러나 투자자는 수익을 얻는 동시에 보험금 지급 리스크를 부담한다.
또 다른 Code4rena와의 차이점은 플랫폼이 제공하는 감사 서비스 수익 분배 메커니즘이다. Code4rena와 비교해 Sherlock은 수석 고급 감사원과 수석 심사위원이 보상 풀에서 고정 금액(5%~10%)을 받을 수 있도록 규정해, 전문 고급 감사원에게 적절한 보상과 인센티브를 제공한다. 또한 리더십 역할을 선발하기 위한 선택 및 경쟁 제도가 존재한다.
해커 커뮤니티를 어떻게 구축할 것인가? Web3 화이트햇들이 가장 관심 있는 것은 무엇인가?
우리는 다양한 탈중앙화 보안 커뮤니티(Immunefi, Hats Finance, Code4Rena, Sherlock 등)를 관찰하고 몇몇 보안 스타트업 창업자들과 대화를 나눈 결과, 모든 탈중앙화 플랫폼이 노력하는 핵심은 바로 더 건강하고 효율적인 소통 및 협업 플랫폼을 구축하는 것이라는 결론을 내렸다. 바운티 플랫폼은 해커와 프로젝트 팀 사이의 시장(marketplace)과 같으며, 해커들의 관점에서 그들의 요구사항(아래 표 참조)을 고려해야 할 뿐 아니라, 프로젝트 팀의 입장에서 가장 중요한 감사 품질도 고려해야 한다.

출처: 《버그 헌터들이 본 버그 바운티 생태계의 도전과 이점》
일반적인 요구사항 외에도, Immunefi 화이트햇 커뮤니티(내가 본 가장 활발한 화이트햇 디스코드 커뮤니티)에서 흥미로운 주제들도 발견했다.
예를 들어:
Rappie라는 화이트햇이 자신이 이전에 발견한 프로젝트의 취약점을 공개하고자 하며, 준수해야 할 커뮤니티 규칙이 무엇인지 문의했다. (1. 이미 수정된 취약점만 공개한다. 2. 공개하는 정보가 프로토콜이나 사용자에게 부정적인 영향을 주지 않도록 한다. 예를 들어 SQL 인젝션 취약점을 수정한 후 데이터베이스 전체 정보를 공개하지 않는다. 3. 공개 전 반드시 프로젝트 팀에 사전에 비공개로 통보한다.)
Noam Yakov라는 화이트햇은 바운티 프로젝트의 정의에 대해 의문을 제기했다. (이는 흔히 발생하는 일인데, 일반적으로 심각한 보안 취약점만 발견해야 보상을 받을 수 있기 때문에 프로젝트 팀이 취약점의 보안 등급을 어떻게 정의하는지가 화이트햇들에게 매우 중요하며, 커뮤니티에서도 종종 이와 관련된 분쟁을 듣게 된다.) 그는 Uniwhales의 바운티 프로젝트에서 MEV 영향을 심각한 보안 취약점으로 정의한 것에 대해 의문을 제기했으며, 최종적으로 논의 결과 MEV의 모든 경우에 적용되진 않는다는 결론이 나왔다. 예를 들어 토크스틱 오더 플로우(toxic order flow)로 프로토콜 풀의 자산을 고갈시키는 경우는 확실히 심각한 보안 사고로 간주되어야 한다. (따라서 보안 등급 프레임워크를 정의하는 것만으로는 부족하며, 실제 다양한 사례에 대해 플랫폼 내 중재자 역할이 필요하다.)
또 다른 흥미로운 질문 "너희는 Immunefi 같은 바운티 플랫폼에 어떤 요청과 기대를 가지고 있나요?"에 대해 ckksec라는 화이트햇은 다음과 같이 답했다: 1) 익명의 암호화 화이트햇 해커들의 노동 소득에 대해 법적 명확성을 제공해달라(예: 영수증 발행). 2) 플랫폼은 화이트햇에 대한 평가 시스템뿐만 아니라 프로젝트의 품질도 평가해야 한다. 화이트햇들은 종종 프로젝트 품질을 판단하기 위해 많은 시간을 소비하기 때문이다. 3) 프로필 공개를 희망하는 화이트햇들의 작업 흐름을 플랫폼이 표시해주고, 플랫폼이 프로젝트 팀이 받은 보안 분석 보고서 정보를 더욱 투명하게 공개해주는 것이 좋겠다.
화이트햇들에게 도움이 되는 도구는 무엇이 있을까?
LLMs와 GPT의 인기가 높아지면서, 요즘 사람들은 AI가 보안 감사를 대체할 수 있을지에 대해 자주 논의한다. 내가 대화를 나눈 경험이 풍부한 보안 전문가들은 일반적으로 GPT가 인간의 지혜를 직접 대체하기는 어렵다고 본다. 쉬운 문제(low hanging fruit)는 언어 모델로 탐지할 수 있을지 몰라도, 중·고위험 문제는 여전히 전문가의 참여가 필요하다. 예를 들어 한 베테랑 보안 전문가의 피드백에 따르면, 데이터 분석, 동적 분석 등 더 복잡한 테스트는 인간이 사전에 프로토콜의 실제 비즈니스 로직과 결합해 보안 분석 테스트를 수행하고 테스트 목표 속성을 미리 정의해야 한다. 가장 어려운 부분은 좋은 속성을 작성하고 올바른 테스트 영역을 정의하는 것이다. 그들의 GPT 실험 결과, GPT는 현재 단계에서 인간을 완전히 대체할 수 없다고 판단했다.

물론 현재 일부 낙관적인 결과는 LLM이 보안 분석 도구의 분석 효율을 크게 향상시키고 오탐률을 낮출 수 있음을 보여주고 있다:
https://twitter.com/HatforceSec/status/1671758690808913922
https://www.researchgate.net/publication/371758506_Do_you_still_need_a_manual_smart_contract_audit
이 주제에 대해 우리는 또 다른 흥미로운 비기술적 관점에서 생각해볼 수 있다. 보안 공격자와 방어자 사이에는 동적 게임이 존재하며, 마법이 높아지면 도도 따라 높아진다. 그렇다면 AI는 보안 공격자에게도 도움이 될 수 있을까?

보안은 인간 중심이다
사람들은 소프트웨어를 차갑고 기계적이며 논리적인 것으로 여기며, 시스템 보안을 높이기 위해서는 분석 기술과 시스템 방어 수준만 높이면 된다고 생각한다. 그러나 사람들은 경제적 인센티브와 인간 본성의 측면에서 보안 문제를 고려하지 못한다. 오픈소스 코드의 암흑의 숲 속에서 우리는 합리적 인간 가정에 부합하는 분배 체계를 구축하고, 정의롭고 선순환적인 경제적 인센티브를 통해 블록체인 시스템 보안에 장기적으로 지혜를 기여하려는 더 많은 사람들을 끌어들이야 한다.
현재 전통적인 보안 감사 시장은 안정적인 구조를 이루고 있으며, 브랜드 평판은 이 분야 기업의 가장 중요한 무형 자산이다. 시간이 지남에 따라 선두 보안 브랜드의 영향력과 고객 신뢰도는 꾸준히 강화되고 있다. 그러나 전통적인 보안 감사에도 자체적인 문제점이 있다(비즈니스 모델이 단순하고 인력에 의존해 규모 확장이 어렵고, 성장과 감사 품질 사이에서 선두 기업이 균형을 잡아야 하며, 일부 기업은 이미 이러한 병목 현상에 부딪혀 브랜드 가치에까지 영향을 주고 있음).
커뮤니티 기반 감사 경쟁은 혁신적인 비즈니스 모델이며, 현재 두 주요 플랫폼의 고객 수는 300개를 넘어가며 서서히 제품-시장 적합성(PMF)을 찾고 있다. 바운티 플랫폼은 보안 생애주기의 좋은 보완 역할을 하지만, 이러한 탈중앙화 플랫폼은 아직 효과적인 토큰 모델을 찾지 못했음에도 불구하고, 우리는 이 시장이 향후 규모 확장 성장을 이룰 가능성이 매우 크다고 본다. (왜냐하면 집단 지성은 보안 시장의 공격과 방어 게임 시나리오에 매우 잘 부합하기 때문이다.)
커뮤니티 기반 감사 플랫폼은 중앙집중형 감사 회사에 위협이 될까? 우리는 이들이 선의의 경쟁과 보완 관계가 될 것이라고 본다. 단기적으로 Code4rena 같은 플랫폼이 일정한 네트워크 효과를 형성하고 훌륭한 실적(감사한 프로젝트의 해킹 비율이 낮음)을 보이면, 일부 중소형 중앙집중형 회사에 경쟁 압력을 줄 수 있다. 그러나 장기적으로는 오히려 중앙집중형 감사 플랫폼이 커뮤니티 기반 플랫폼과 상업적 협력을 하도록 유도할 수 있으며, 이는 중앙집중형 보안 감사 플랫폼의 고객층을 확대하고 감사 품질을 높이는 데 도움이 될 수 있다. (이전 Web2 대기업이 자체적으로 독립 운영하던 보안 바운티 프로젝트가 나중에 HackerOne 등 제3자 플랫폼과 협력한 사례와 유사하다.)
커뮤니티 기반 보안 플랫폼은 탈중앙화(DAO) 방향으로 나아가려 하지만(Forta도 이 범주에 포함될 수 있음), 현재 실제 운영 과정에서 다음과 같은 도전 과제에 직면하고 있다: 작업 흐름과 경제적 분배 절차를 어떻게 더 투명하고 공개적으로 만들 것인가, 프로젝트 팀의 개인정보와 보안 고려사항을 어떻게 균형 있게 다룰 것인가, 팀 협업과 개인 기여의 관계를 어떻게 더 명확하게 정의할 것인가, 이익 분쟁 발생 시 어떻게 더 공정하고 전문적인 방법으로 해결할 것인가 등. 이 모든 것이 보안 DAO가 직면한 과제들이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News













