Mysten Labs와의 대화: Sui는 시대의 최전선에서 안전을 최우선으로 하는 L1 구축에 힘쓰고 있습니다
최근 우리는 Mysten Labs의 부수석 정보보안 책임자(Deputy CISO)인 Christian Thompson과 직접 대담을 나누며, 보안 관행 간 상호 연결성에 대한 그의 통찰과 Sui 개발자의 보안 실천에 대한 견해를 들어보았습니다.
다음은 인터뷰 전문입니다:
기술 기업에서 CISO의 역할은 무엇입니까?
정보보안 책임자(CISO)의 책임은 매우 광범위하며, 디지털 환경의 보안을 지키는 데 핵심적인 역할을 합니다. 그중 중요한 임무 중 하나는 위협 정보 수집인데, 이는 잠재적 공격자의 사고방식을 깊이 이해하는 것을 의미합니다. 즉, 그들이 누구이며, 왜 우리를 표적으로 삼을 가능성이 있는지, 언제 공격을 시도할지, 어떤 동기에 의해 움직이는지, 그리고 공격 방법에 있어 어느 정도 숙련되어 있는지를 파악하는 것입니다.
잠재적 적대 세력을 명확히 이해하고 그들의 능력을 파악함으로써, 우리는 시스템을 보호하기 위한 선제적 조치를 취할 수 있습니다. 이를 퍼즐 게임에 비유할 수 있습니다. 퍼즐을 맞추는 사람이 누구인지, 어떻게 행동하는지를 안다면, 우리는 조각들을 더 효과적으로 맞출 수 있겠죠. 예를 들어, 그들이 사용하는 알려진 전술과 우리 시스템에서 가장 취약할 가능성이 높은 영역을 결합할 수 있습니다. 마치 누군가 우리의 디지털 경계를 침범하려 할 때 즉시 경보를 울리는 방어 시스템을 구축하는 것과 같습니다.
집에 침입자가 들어오려 할 때 경보 시스템이 우리에게 알림을 주는 것처럼, 이러한 방어 체계는 의심스러운 활동이 발생할 경우 실시간으로 경고를 제공합니다. 이는 우리가 잠재적 위협에 신속하게 대응하고 리스크를 완화하기 위한 적절한 조치를 취할 수 있음을 의미합니다.
이러한 핵심 관심사는 네트워크 보안, 데이터 관리, 다양한 분야의 리스크, 아키텍처, 규정 준수, 거버넌스, 회복력 및 보고 등 폭넓은 영역을 포함합니다.
CISO의 일부 역할은 내부 팀원들을 보호하는 것으로 확장됩니다. 우리는 팀원들의 위험 수준을 이해하는 데 많은 노력을 기울입니다. 특히 폭력 사태나 기타 불안정 지역을 방문할 경우, 그들의 위험 수준은 크게 변화할 수 있습니다.
Sui와 같은 L1 블록체인을 고려할 때, 보안 문제는 어떻게 달라지나요?
Sui 블록체인과 같은 응집력 있는 방어 전략을 수립하기 위해서는 여러 기능과 서비스를 통합해야 합니다. 이 전략은 약점으로 여겨지는 영역에 집중해야 하지만, 그것으로 충분하지 않습니다. Sui 커뮤니티는 네트워크뿐 아니라 Sui 플랫폼 위에서 애플리케이션을 개발하는 개발자들을 포함한 전체 생태계의 이익을 보호할 책임이 있습니다. 보안 분야에서 뛰어난 성과를 거두는 것은 특히 스타트업에게 매우 비용이 많이 들고 도전적인 과제입니다.
이 문제를 해결하기 위해 Sui 재단은 보안 조치를 더 큰 생태계로 확장하는 제품을 개발 중입니다. 실제로 Sui 재단은 소규모 기업들에게 일반적으로 대형 조직만 이용 가능한 보안 도구와 서비스를 제공할 계획입니다. 이를 통해 그들은 더욱 안전한 환경에서 개발을 수행할 수 있게 되며, 최종 사용자와 규제 당국의 신뢰도 함께 강화됩니다. 우리의 목표는 사람들이 Sui 위에서 개발할 때 단순히 효율적일 뿐 아니라 안전하도록 보장하는 것입니다.
블록체인 보안 유지에는 어떤 도구와 서비스가 사용되나요?
다음 다이어그램은 현재 제가 숙련된 보안 팀이 사용한다고 생각하는 서비스 및 도구 유형을 보여줍니다. 이러한 요소들은 강력한 보안 프레임워크를 구성하는 데 필수적인 다양한 서비스를 나타냅니다. 각각의 서비스가 개별적으로 존재하는 것 이상으로, 서로의 상호 관계, 구현 순서, 그리고 창출되는 시너지 효과를 이해하는 것이 중요하다는 점을 인식해야 합니다.
다이어그램에 나열된 이러한 서비스들은 Sui 네트워크가 특정 도구를 활용하거나 서비스 제공업체에 의존하여 배포하는 내용을 반영합니다. Sui 재단은 이러한 구성 요소들을 패키지화하여, 이를 채택하려는 모든 기업에 제공할 계획이며, 이를 통해 그 실용성을 극대화할 것입니다. 따라서 다이어그램의 분리된 영역은 보안을 강화하려는 조직들이 활용할 수 있는 잘 정비된 저장소를 상징합니다.
이 다이어그램에는 많은 요소들이 있습니다. 이들 요소는 모두 동등하고 밀접하게 연결되어 있습니까? 아니면 우선순위가 있습니까?
네, 우선순위가 존재합니다. 이 다이어그램의 배경에는 신중한 고려가 담겨 있습니다. 마치 처음부터 무엇을 우선적으로 주목해야 할지 결정하는 것처럼, 이는 기초 보안 블록을 쌓는 것으로 볼 수도 있고, 기본 보안 툴킷이라고 볼 수도 있습니다. 이 툴킷은 ‘브랜드 방어(Brand Defense)’라고 부르는 부분을 포함하는데, 이는 회사의 평판에 해를 끼칠 수 있는 모든 상황에 주의를 기울이는 것을 의미합니다. 여기에는 부정적인 브랜드 영향을 모니터링하고 완화하기 위한 정보 수집이 포함됩니다. 또한 ‘정직성(Integrity)’ 역시 핵심 요소로, 브랜드 이미지를 손상시킬 수 있는 행위를 탐지하고 처리할 수 있는 능력을 갖추어야 한다는 뜻입니다.
물론 이 툴킷은 일률적인 것이 아닙니다. 서로 다른 조직은 각기 다른 목적에 맞게 맞춤화된 툴킷이 필요할 수 있습니다. 예를 들어 코딩과 밀접한 관련이 있는 회사는 ‘취약점 탐지 능력(Vulnerability Detection Capability)’을 우선적으로 발전시킬 수 있습니다. 이는 시스템의 잠재적 취약점을 면밀히 검토하고 코드에 대해 ‘퍼지 테스트(Fuzz Testing)’ 등의 작업을 수행해 스트레스 테스트를 진행하는 것을 포함합니다. 반면, 탈중앙화 금융(DeFi) 회사와 게임 회사를 비교해볼 수 있습니다. DeFi 회사는 규제 리스크, 거버넌스, 규정 준수에 초점을 맞춘 툴킷을 선호할 수 있습니다. 반대로 게임 회사는 운영, 정보 수집, 특정 수준의 보안 엔지니어링에 더 집중할 수 있습니다.
본질적으로 이 다이어그램은 보안 전략이 다양한 유형의 기업의 서로 다른 문화와 우선순위에 맞춰져야 한다는 개념을 요약한 것입니다.
기업들은 일반적으로 ‘이 모든 것이 나의 리스크인데, 어떻게 완화할 수 있을까?’라는 관점에서 시작하나요? 아니면 다른 관점이 있나요?
맞습니다.
툴킷은 전체 블록체인 생태계의 보안을 유지하는 핵심 수단처럼 보입니다. 하지만 퍼블릭 체인의 본질은 탈중앙화되고 허가 없이 접근 가능한데, 기술적으로 누구나 접근하고 참여할 수 있는 상황에서 어떻게 네트워크 보안을 유지할 수 있나요?
네, 툴킷이라는 개념은 생태계 전체의 보안 유지에 핵심적인 역할을 합니다. 퍼블릭 체인의 장점은 바로 그 탈중앙화와 무허가 특성에 있으며, 이를 통해 많은 사람들이 그 모든 측면을 검토할 수 있습니다. 따라서 필요한 도구를 개발하고 교육을 촉진하는 것이 매우 중요합니다.
생각해보세요. 생태계 내의 사람들은 일어나는 일뿐만 아니라 이용 가능한 도구와 그것을 효과적으로 활용하는 방법까지 이해해야 합니다. 블록체인 자체를 넘어서 생태계에 영향을 미치는 요소들이 많다는 점에 주목해야 합니다. 소셜 미디어의 논의, 두려움, 불확실성, 의심(FUD), 그리고 잠재적 사기 행위 등도 생태계에 큰 영향을 줄 수 있습니다. 따라서 포괄적인 인식의 중요성이 강조됩니다.
세 번째 핵심 요소는 커뮤니티 내 정보 교류입니다. 개인들이 소통하고 협력할 수 있을 때, 집단 지식 기반은 강화됩니다. 따라서 이것은 삼각 전략입니다. 교육은 지식 습득을 촉진하고, 정보는 산업 통찰력을 제공하며, 도구는 실행 조치를 가능하게 합니다. 이 조합은 커뮤니티가 단순히 이해하는 것을 넘어 다양한 행동에 능동적으로 영향을 미칠 수 있는 능력을 부여합니다.
Sui 생태계 내에서는 현재 어떻게 의사소통을 하고 있나요?
Sui 생태계의 커뮤니케이션 방식은 다양합니다. 최근 열린 검증 노드 서밋은 개인들이 서로 연결하고 통찰을 교환할 수 있는 소중한 플랫폼을 제공했습니다. Builder Houses 행사도 비슷한 기회를 제공합니다. 또한 Sui 재단은 가까운 미래에 Sui 보안에 초점을 맞춘 일련의 기사를 발표할 계획이라고 알고 있습니다.
일상적인 커뮤니케이션 채널로는 Discord와 Telegram 같은 플랫폼이 있으며, 검증 노드, 노드 운영자 및 기타 관련 당사자 간의 상호작용을 촉진합니다. 이러한 포럼은 협업에 대한 인식을 높일 뿐 아니라 시간이 지남에 따라 계속 확장되어 진화하는 지식 토론 및 공유 플랫폼을 만들어갑니다.
Sui Move 언어는 본질적으로 다른 블록체인 프로그래밍 언어보다 더 안전하다고 알려져 있습니다. 이것이 Sui의 보안 접근 방식에 어떤 영향을 미칩니까?
Move 언어가 다른 일부 프로그래밍 언어보다 더 안전하다는 점은 의심의 여지가 없습니다. 덧붙이자면, 초기 Sui 개발에 참여했던 팀원들 중 다수는 보안 전문가였습니다. 따라서 단지 언어의 문제만이 아니라, Sui의 구성 요소들이 어떻게 설계되었는지도 중요한데, 이로 인해 Sui는 더욱 탄탄하고 악용되기 어려운 구조를 갖추게 되었습니다. 물론 보안 분야에도 똑똑한 전문가들이 많으며, 충분한 인센티브가 주어지면 그들도 취약점을 찾기 위해 노력할 것입니다. 따라서 전문가들은 언제, 어디서, 누구에 의해, 왜 그리고 어떻게 공격이 발생할 수 있는지를 이해해야 하며, 바로 이것이 우리가 집중하는 부분입니다.
Web3 생태계 다른 곳에서 발생한 취약점 사건들이 Sui의 현재 작업에 어떤 영향을 미칩니까?
유감스럽게도 Web3 분야에서 취약점 사건이 발생하면 항상 광범위한 주목을 받습니다. 그러나 동시에 이는 귀중한 학습 기회이기도 합니다. 이러한 사건은 보안 전문가들이 공격 메커니즘——즉 how, what, when, who, why——을 심층적으로 분석하도록 촉구합니다. 이러한 통찰은 더 넓은 분야에 추가적인 이해를 제공합니다.
Sui 재단 팀은 이러한 위협 세력의 정체와 능력을 이해하기 위해 상당한 보안 자원을 투입하고 있으며, 특히 그들이 선호하는 공격 대상과 동기를 해독하는 데 집중하고 있습니다.
이러한 취약점 사건들은 우리에게 두 가지 교훈을 줍니다. 첫째, 피해를 입은 사람들에게는 연민이 필요합니다. 왜냐하면 이 사건들은 실제 사람들의 삶에 영향을 미치기 때문입니다. 둘째, 이는 Sui의 전략을 강화할 기회이기도 합니다. 이러한 교훈을 바탕으로 Sui는 유사한 리스크를 방어하기 위해 입장을 최적화하고 강화할 수 있습니다.
앞으로 Web3의 보안에 대해 어떻게 전망하시나요?
우리는 새로운 시대의 문턱에 서 있습니다. 이 시대는 Web3의 등장과 함께 인공지능(AI), 머신러닝, 증강현실(AR), 가상현실(VR) 등 놀라운 기술들을 가져옵니다. 저는 이러한 기술이 지닌 엄청난 잠재력에 매료됩니다. 우리는 이제 극도로 몰입감 있는 인터페이스를 경험하게 될 것이며, 전례 없는 속도와 방식으로 정보를 얻게 될 것입니다.
이러한 변화는 보안 분야에도 영향을 미칩니다. 우리가 잠재적 위협을 미리 감지해주는 인공지능 파트너를 갖게 되는 상황을 상상해보세요. 심지어 AI가 AI를 대항하는 시나리오도 가능할 것입니다. 분명히 이것이 우리가 나아가고 있는 방향이며, 저는 Sui가 이러한 첨단 기술의 최전선에 설 것을 기대합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Sui Network
