
Web3 뛰어난 보안 서비스 제공업체와의 대화: 클라우드 보안의 '공격과 방어 전쟁'
글: CrossSpace
Web3는 Blockchain의 기본 기술(분산 원장)을 기반으로 하는 생태계로서 빠르게 진화하고 있으며, L1 및 L2 공용 블록체인의 기술 혁신은 차세대 컴퓨팅 네트워크 인프라로서의 가능성을 열어주고 있습니다. 다양한 인프라 구성 요소들이 마치 'Lego' 블록처럼 계속해서 완성도를 높여가며, Web3 BUIDLers는 여러 애플리케이션 분야에서 풍부한 dApp들을 지속적으로 개발하고 있습니다.

클라우드 서비스는 Web3의 핵심 인프라로서 전체 Web3 생태계에 없어서는 안 될 존재이며, 매년 수만 개의 프로그램이 클라우드 서버에서 실행되고 있습니다. Immunefi 보안 기관의 공개 보고서에 따르면, "2022년 보안 사고로 인한 자금 손실 중 46.5%가 인프라 계층에서 발생했으며, 특히 개인키 관리와 운영 절차, 그리고 비상 대응 계획이 가장 중요하다"고 밝히고 있습니다. Web3의 클라우드 보안은 여전히 도전 과제에 직면해 있으며, 개인키 유출, 무단 접근, 스마트 컨트랙트 분석 및 감사, DDoS 공격, 내부 위협, 규제 준수 및 시스템 안정성 등의 문제는 Web3 BUIDLers뿐만 아니라 클라우드 및 보안 서비스 제공업체에게도 지속적인 도전을 안겨주고 있습니다.
클라우드 서비스를 선도적으로 출시한 기업인 아마존 웹 서비스(AWS)는 오랫동안 클라우드 산업의 리더로서 자리매김해왔으며, 현재 Web3 생태계에도 적극적으로 참여하고 있습니다. AWS는 Web3 분야의 선도적 커뮤니티 브랜드인 CrossSpace와 함께 'Web3 보안'이라는 주제로 온·오프라인 세미나 시리즈를 개최하며, 클라우드 서비스 보안 분야를 깊이 있게 탐구하고 거래소, 공용 블록체인, 인프라, dApp 등 다양한 분야의 보안 실무 전문가들과의 의견을 교환하여 현실적인 해결책을 모색하고 있습니다.
본 시리즈의 일환으로 진행된 이번 인터뷰에서는 Web3 보안 분야에서 두각을 나타내는 네 곳의 보안 전문 기관 Beosin, CertiK, MetaTrust, SlowMist(만무), 그리고 AWS의 클라우드 보안 전문가를 특별히 초청하여 현재 클라우드 보안이 직면한 도전과제와 해결 방안에 대해 논의했습니다.
왜 Web3 클라우드 보안이 이토록 중요한가?
보안은 모든 기업에 있어 가장 우선시되는 사항입니다. 클라우드 서비스와 Web3는 서로 보완적인 관계에 있습니다. 2009년 비트코인 메인넷이 출시되고, 2015년 이더리움 메인넷이 오픈된 이후 해마다 보안 사고와 자산 손실이 증가함에 따라, 보안은 Web3 세계의 기반이라 할 수 있으며 그 중요성이 더욱 강조되고 있습니다. 중심화된 거래소든 탈중앙화된 DeFi, GameFi, NFT, DAO, 소셜, 브릿지 등 어떤 분야든 토큰 기반의 다양한 응용 시나리오를 포함하게 되며, 이러한 토큰 처리 과정 전체의 보안을 확보하는 것은 모든 Web3 BUIDLers가 신중히 고려해야 할 문제입니다. AWS는 다수의 Web3 프로젝트를 지원해온 클라우드 보안 전문 기관으로서 Blockchain 및 Web3 분야의 보안에 지속적으로 관심을 기울이며, 프로젝트 팀과 긴밀히 소통하고 다양한 형태의 Web3 보안 세미나 및 교육 프로그램을 진행해오고 있습니다.
2023년 말로 갈수록 상승장의 신호가 뚜렷해지고 있으며, 클라우드 서버를 활용하는 Web3 프로젝트들의 수가 빠르게 증가할 것으로 예상됩니다. 클라우드는 인프라 계층으로서 그 역할이 날로 중요해지고 있으므로, 클라우드 보안은 모든 개발자와 BUIDLers가 반드시 주목해야 할 핵심 요소입니다.
현재 클라우드 보안이 직면한 주요 도전 과제는 무엇인가?
보안 기업 Beosin은 이번 인터뷰에서 "최근 주요 공격 유형 중 하나는 클라우드 데이터 제공업체를 겨냥한 공격으로, DDoS 공격, 계정 탈취, 악성 코드 심기 등 다양한 수법을 통해 클라우드의 컴퓨팅 및 저장 서비스를 표적으로 하며, 이로 인해 민감한 데이터 유출 및 서비스 장애가 발생한다"고 언급했습니다. 또한 "최근 Mixin Network와 Fortress IO는 클라우드 서비스 제공업체가 공격을 받아 각각 2억 달러와 1500만 달러의 손실을 입었다"고 덧붙였습니다.
민감한 데이터 유출, 특히 개인키 유출은 이번 인터뷰에서 여러 보안 전문가들이 반복적으로 언급한 주요 보안 사고 원인이었습니다. CertiK의 3분기 보안 보고서에서도 "개인키 유출이 해당 분기 중 큰 손실을 초래한 원인 중 하나였다"며, "총 14건의 개인키 도난 사건으로 2.04억 달러의 피해가 발생했다"고 밝혔습니다.
데이터 유출 외에도 SlowMist(만무) 팀은 클라우드 보안 위협에 대한 다음과 같은 추가 범주를 제시했습니다.
-
계정 유출 및 무단 접근: 해커들은 비밀번호 해킹, 사회공학, 약한 비밀번호 등을 통해 사용자 계정과 인증 정보를 획득하여 무단 접근 권한을 얻을 수 있습니다.
-
DDoS 공격: 분산 서비스 거부(DDoS) 공격은 자원을 과도하게 사용하거나 네트워크 트래픽을 넘쳐나게 하여 클라우드 서비스를 불능 상태로 만들고, 이로 인해 비즈니스 운영이 중단될 수 있습니다.
-
악의적인 내부 위협: 내부 사용자나 직원이 자신의 권한을 남용하여 데이터를 훔치거나 정보를 파기하거나 기타 악의적인 행위를 수행할 수 있습니다.
-
규제 준수 및 데이터 관리: 프로젝트 팀이 클라우드 서비스 제공업체 플랫폼에서 데이터를 처리할 때 다양한 보호 도구를 효과적으로 활용하지 않아 데이터 혼란이나 손실이 발생할 수 있습니다.
다양한 각도에서 이루어지는 해커들의 공격과 잠재적인 내부 보안 위험에 직면하여, Web3 보안 전문가들은 클라우드 보안이 단일 차원의 간단한 방어 조치가 아닌 종합적인 보안 전략이 필요하다고 강조하고 있습니다.
클라우드 보안의 '공격과 방어' 전쟁, 어떻게 돌파할 것인가?
지속적인 클라우드 보안 도전에 직면하여, 어떻게 '방어'를 잘 구축하고 사용자의 개인정보 및 자금 안전을 지킬 수 있을까요? 각 보안 기관의 전문가들과 팀들은 다음과 같은 의견을 제시했습니다.
Beosin 팀:
"민감한 데이터 유출 사고가 빈번하게 발생하고 있으므로, 기술자들은 데이터 저장 및 전송 시 데이터를 암호화하여 무단 제3자의 접근을 방지해야 합니다. 특히 개인키와 같은 민감 정보의 경우, 개인정보 연산 및 동형 암호화 기술을 활용하여 개인키 유출을 방지할 것을 권장합니다.
동시에 프로젝트 팀은 클라이언트가 안전한 API를 통해서만 클라우드 서비스에 접근하도록 해야 하며, 이를 통해 주입 공격, 크로스 사이트 스크립팅(XSS) 등의 악성 활동을 방지할 수 있습니다. API를 사용하면 클라우드 서비스 접근 전에 클라이언트의 신원 확인과 데이터 검증을 수행하여 접근 보안과 데이터 보안을 보장할 수 있습니다. 개인 컴퓨터는 클라이언트로서 보안 방어 능력이 약하므로, 개인 PC를 통해 직접 API를 호출하여 시스템에 데이터 접근 및 운용 작업을 수행하는 것은 추천하지 않으며, 클라우드 기반 가상 데스크톱이나 안전한 점프 서버(jump server)를 통한 접근을 권장합니다."
CertiK 최고 보안 책임자 리캉 교수:
"우리는 클라우드 플랫폼 사용 시 흔히 발생하는 두 가지 위험을 관찰하고 있습니다. 첫째는 사용자가 클라우드 데이터를 부적절하게 설정하는 것이며, 둘째는 프로젝트 팀이 클라우드 백엔드 서비스를 dApp 내에 숨기는 것입니다. 대부분의 경우 클라우드는 많은 자원 보호 및 데이터 제어 기능을 제공하지만, 사용자가 설정을 잘못하면 외부인이 사용자의 백엔드에 침입할 수 있는 기회를 제공하게 됩니다. 다른 한편으로는 일부 개발자가 편의를 위해 전체 프로젝트를 위한 내부 전용 인터페이스를 설계하여 dApp이 모바일 앱에서 직접 클라우드 백엔드에 접근할 수 있도록 하고, 외부에 공개하지 않지만, dApp과 백엔드 간의 상호작용이 많아지게 됩니다. 비록 프로젝트 팀이 클라우드 API에 별도의 관리 체계를 두고 있더라도, 이는 여전히 위험 요소를 포함합니다.
이 두 가지 위험에 대응하기 위해 CertiK는 클라우드 및 클라우드 기반 dApp에 대한 종합적인 보안 서비스를 구축하였습니다. 여기에는 코드 감사, 리스크 평가, 팀원 신원 확인 및 배경 조사 등이 포함됩니다. 리캉 교수는 덧붙여 말했습니다. '개발팀이 절대적으로 신뢰할 수 있다고 보장할 수 없다면, 전문 감사 전문가에게 dApp에 대한 포괄적인 감사를 의뢰하는 것이 매우 중요합니다.'
MetaTrust 공동 창립자 류양 교수:
"클라우드 보안은 인프라 계층으로서 데이터 보안과 사용자 개인정보 보호를 확실히 해야 합니다. 엔드투엔드(end-to-end) 전 스택 보안 방어 체계를 구축하면서 특히 데이터 보호에 주의를 기울여야 합니다. 데이터 유형에 따라 적절한 접근 권한을 설정하여 무단 접근을 방지해야 합니다. 클라우드 서비스의 메커니즘은 복잡하므로, 다양한 종류의 데이터는 각각 독립된 접근 메커니즘을 가져야 합니다.
또한 데이터의 규제 준수도 중요합니다. 현재 많은 데이터가 동일한 클라우드 내에 존재하지만, 지역에 따라 데이터 접근 제한이 달라질 수 있으며, 이를 이해하지 못하면 데이터 국경 간 유출로 인한 규제 문제가 발생할 수 있습니다. 따라서 접근 제어 및 신원 인증 체계도 매우 중요합니다. 우리는 보다 엄격하고 세분화된 접근 제어 및 신원 인증 메커니즘을 구축하여 무단 접근을 방지해야 합니다."
SlowMist(만무) 팀:
"클라우드 보안은 종합적인 보안 전략이 필요하며, 적절한 접근 제어, 암호화, 지속적인 모니터링, 전문 보안 기관의 전방위 감사, 교육 훈련 등의 조치를 포함해야 클라우드 환경의 안정성과 보안성을 확보할 수 있습니다. 예를 들어 핵심 데이터는 엔드투엔드 암호화를 적용해야 하며, 암호화를 사용할 경우 암호화 키 관리가 매우 중요합니다. 키는 백업을 유지하되 클라우드에 저장하지 않는 것이 좋습니다. 또한 잘못된 설정과 같은 기본적인 취약점을 예방하면 클라우드 보안 리스크는 크게 줄어듭니다. 마지막으로 개인 사용자, 중소기업 또는 대기업 고객 모두 네트워크 및 장치의 보안을 최대한 확보하는 것이 중요합니다."
AWS: 보안은 양파처럼 다층적인 방어 구조다
웹2와 웹3를 막론하고, AWS는 다양한 프로젝트에 지속적으로 클라우드 컴퓨팅 및 보안 서비스를 제공하고 있습니다. 클라우드 컴퓨팅의 선도 기업이자 적극적인 참여자로서, AWS Web3 기술 전문가는 보안이 달걀 껍데기처럼 단일 보호층이 아니라, 여러 층으로 이루어진 양파 모델과 같다고 설명합니다. 즉, 여러 보호층이 겹겹이 형성되어 있습니다. 구체적으로 보면, 첫 번째 층은 위협 탐지 및 사고 대응, 두 번째 층은 신원 인증 및 접근 제어, 세 번째 층은 네트워크 및 인프라 보안, 네 번째 층은 데이터 보호 및 개인정보 보호, 다섯 번째 층은 리스크 관리 및 규제 준수입니다. AWS는 각 보호층에 대해 완전한 솔루션을 제공하며, Web3 프로젝트 팀이 전체 애플리케이션 시스템을 보다 안전하게 관리할 수 있도록 지원하고 있습니다.
결론: Web3 클라우드 보안의 공방전에서 승리하기 위해서는 모든 관련 주체의 협력이 필요하다
Web3 생태계의 보안은 클라우드 인프라의 보안 없이는 성립되지 않습니다. 클라우드 인프라와 관련된 프로젝트 팀, 클라우드 서비스 제공업체, 보안 서비스 제공업체는 모두 종합적인 보안 전략을 수립하고 정기적인 감사와 자체 보안 점검을 통해 최대한의 보안성을 확보해야 합니다.
Web3 개발자들에게 있어서 윤리 수준을 높이는 것 외에도, 지속적으로 보안 기술을 개선해 나가야 합니다. AWS가 개발자를 대상으로 진행하는 Web3 Ethical Hacking and Security Best Practice 등의 교육 프로그램에 적극 참여하여 일반적인 스마트 컨트랙트 리스크를 식별하는 능력을 키워야 합니다.
우리 모두의 목표는 안전한 Web3 생태계를 조성하고 산업의 지속 가능한 발전을 이루는 것입니다. 이번 인터뷰를 통해 얻은 통찰을 일상적인 실무에 적극적으로 활용하시기를 바랍니다.
Web3 프로젝트 팀이 안전한 클라우드 기반 애플리케이션을 구축하는 방법에 대해 더 알고 싶으시면, 링크를 클릭하여 자세한 내용을 확인하실 수 있습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News












