Shima Capital CTO의 Curve 성찰: 왜 우리는 런타임 보호와 애스팩트(Aspect)가 필요한가?
저자: 칼 화(Carl Hua), 시마 캐피탈(Shima Capital) 파트너이자 CTO
번역: BlockBeats
최근 커브(Curve)에서 발생한 재진입 취약점 공격 이후, 저는 JPL NASA에서의 경험을 되돌아보았습니다. 그곳에서 저는 신뢰할 수 있고 탄력적인 소프트웨어를 개발하는 핵심 원칙들을 배웠습니다. 암호화 산업에 있어서 이러한 통찰은 지금보다 더 중요한 때가 없었습니다. 이유는 다음과 같습니다.
결국 사람들은 실제로 두 가지 유형의 소프트웨어만 진정으로 관심을 가집니다. 당신을 죽일 수 있는 소프트웨어와 당신의 돈을 잃게 할 수 있는 소프트웨어입니다.
우주선의 핵심 소프트웨어에서는 대부분의 예산(80% 이상)이 개발 자체보다는 통합 및 테스트에 배분됩니다. 만약 소프트웨어에 결함이 생기면 비행체는 하늘에서 추락합니다—전투기, 무인기, 우주선 등 모두 마찬가지입니다.
항공우주 소프트웨어에서 대부분의 코드는(특히 핵심 모듈로 분류되는 경우) DO-178B A급과 같은 극도로 엄격한 테스트/개발 기준을 준수해야 합니다. 단순히 각 줄의 코드를 테스트하는 것을 넘어서, 중첩된 논리가 있을 경우 각각의 조건까지도 별도로 철저하게 테스트되어야 합니다.
JPL NASA에서는 최첨단 항공우주 소프트웨어를 작성할 때 가장 아름답고 깔끔한 코드를 짜는 것이 목표가 아니라, 단위 테스트(unit test)를 쉽게 수행할 수 있도록 코드를 작성하는 데 초점을 맞춥니다. 왜 그럴까요? 간단합니다. 우주선을 우주로 보낼 때 우리는 오직 한 번의 기회만 가지고 있습니다. 아무도 성공 확률이 낮은 상황에서 위험을 감수하고 싶어하지 않습니다. 이는 블록체인의 논리와 동일합니다. 불변성(immutability)이 핵심 특성이기 때문에, 우리는 매 거래마다 자금을 정확하게 처리할 단 한 번의 기회만 갖고 있습니다. 그렇다면 우리는 dApp 개발 과정을 더욱 진지하게 대하지 않을 이유가 무엇일까요?
엄격한 개발, 테스트 및 코드 감사 절차가 있음에도 불구하고, 이러한 방법들만으로는 모든 오류와 공격을 막기에 충분하지 않습니다. 사실상 테스트와 감사를 통해 모든 런타임(runtime) 오류를 제거하는 것은 거의 불가능하기 때문입니다. 그렇다면 우리는 어떻게 해서든 소프트웨어가 실패하지 않도록 보호할 수 있을까요?
런타임 보호(Runtime Protection)
런타임 보호란 소프트웨어 애플리케이션이 실행되는 동안 악성 공격으로부터 보호하는 보안 기술입니다. 이 기술의 핵심은 코드가 실제로 실행될 때 실시간으로 감지하며, 프로그램의 실제 행동을 분석하여 악성 데이터나 공격으로부터 시스템을 보호하는 것입니다.
고신뢰성 소프트웨어의 경우, 런타임 보호는 막대한 투자와 설계를 필요로 합니다. 왜냐하면 이것은 소프트웨어가 알 수 없는 상태로 전이되거나 오작동하는 것을 막는 마지막 방어선이기 때문입니다. 이는 단순한 주장이 아니라 수십 년간 검증된 실천적 접근법입니다.
오늘날 Web3 세계에서 저는 DeFi 애플리케이션 또한 동일한 수준의 고신뢰성을 요구하며, 동일한 접근 방식을 고려해야 한다고 생각합니다. 그러나 EVM은 본질적으로 런타임 보호와 같은 복잡한 작업을 처리하도록 설계되지 않았기 때문에 잠재적인 제약이 존재합니다. 그렇다면 우리는 어떻게 런타임 보호를 제공할 수 있을까요?
하나의 방법은 Aspect 프로그래밍을 활용하는 것입니다. Aspect는 Artela 블록체인 네트워크에서 설계된 개념으로, 스마트 계약 트랜잭션의 전체 생명주기 동안 실행 컨텍스트를 전환하여 프로그램의 실시간 상태를 고급 수준에서 점검할 수 있게 해줍니다. Artela는 Aspect와 EVM 호환성을 결합하여 런타임 보호를 위한 독창적인 설계를 제공하며, 이는 암호화 스마트 계약 보안의 미래 기반으로 자리매김할 가능성을 지니고 있습니다.
Artela는 아래 글에서 Curve 재진입 공격 방지를 위해 Aspects가 어떻게 구체적으로 사용되는지 공개하였습니다. 함께 논의해보시기 바랍니다!
《컴파일러 취약점은 해결 불가? Runtime Protection이 DeFi의 체인상 리스크 관리를 실현한다》
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
