
AWS Web3 개발자 캠프 2023 하이라이트 리뷰
정리: CrossSpace
12월 7일 아마존 클라우드 서비스(AWS)가 주도하고 CrossSpace 커뮤니티가 독점 후원한 Web3 Developer Camp가 AWS 홍콩 첵람만 행사장에서 성황리에 개최됐다. 이번 행사는 'Web3 보안' 시리즈 세미나의 오프라인 세션으로서, Web3 보안, 지갑, L1/L2 공개 블록체인, 클라우드 서비스, 거래소 및 투자 기관 등 다양한 분야의 전문가와 임원진이 직접 참석해 실질적인 내용을 담은 고도의 Web3 보안 회의를 선보였다.
글로벌 클라우드 서비스 시장의 선두주자로서 AWS는 항상 Web3 산업의 보안 실천에 관심을 갖고 적극적으로 탐구해왔다. 이번 보안 시리즈 활동을 주도함으로써 AWS는 업계 종사자들의 보안 인식을 제고하고 지속 가능한 Web3 생태계 조성을 통해 2024년 각 분야의 건강한 발전 기반을 마련하고자 한다. 이번 보안 세미나에는 Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital, Taiko 등 업계를 대표하는 여러 기관의 전문가들이 참여했다(기관 순서 무관).
본문 시작에 앞서 이번 행사의 하이라이트였던 패널 토론 주요 내용을 되돌아보자. 이 세션에는 Web3 분야의 선도 기관 Taiko, Hashkey Exchange, Beosin, SNZ Capital의 임원 및 전문가들이 초청되어 각 프로젝트가 어떻게 Web3 보안 미션을 실현하고 있는지 공유했으며, 최근 핫한 L1/L2 공개 블록체인인 Conflux와 Scroll은 오프라인에서 처음으로 2024년 기술 및 생태계 발전 로드맵을 발표하기도 했다.

왼쪽부터: CrossSpace 공동창립자 겸 CEO 레온(사회), SNZ Capital 투자 매니저 마이클, Taiko 공동창립자 겸 수석 전략 책임자 테렌스, Conflux 최고 기술 책임자 밍 우, Scroll 아시아태평양 지역 성장 책임자 마커스 리우, Hashkey Exchange 거래소 제품 총괄 빈센트 웡, Beosin 보안 연구원 이튼.
패널 토론: Web3 프로젝트가 주의해야 할 보안 사항은?
Web3 프로젝트는 성장 과정에서 시장 확장에 집착하다 보안 기반을 소홀히 하는 경향이 있다. 올해 발생한 다수의 대규모 체인 상 자금 유출 사건은 Web3 종사자들에게 보안 경각심을 일깨워주는 계기가 됐다. 오랫동안 보안 분야에 몰두해온 Beosin의 보안 연구원 이튼은 프로젝트 팀에게 다음과 같은 조언을 제시했다. "초기 운영 단계에서 프로젝트 팀은 AI와 감사 도구를 활용해 계약 취약점을 신속하게 검토하고 진단함으로써 감사 시간을 절약하고 복잡한 비즈니스 로직 문제를 해결할 필요가 있다. 개발 단계에서는 비즈니스 로직의 정확성을 보장하고, 테스트 및 테스트 기반 개발 방법론(Test-Driven Development)을 중시해야 한다. 또한 제3자 애플리케이션 통합 시에는 알려지지 않은 보안 결함을 유입하지 않도록 주의를 기울여야 한다. 프로젝트 완료 후에는 전문 감사팀을 고용해 잠재적 취약점을 발견하고 해결할 것을 강력히 권장하며, 이를 통해 프로젝트의 보안성을 확보해야 한다."
SNZ Capital은 Web3 인프라 및 애플리케이션 프로젝트에 대한 풍부한 투자 경험을 보유하고 있다. 투자 매니저 마이클은 SNZ가 포트폴리오 기업의 보안성에 매우 중요하게 여기고 있음을 밝혔다. "보안성은 SNZ에게 매우 중요한 요소이며, 우리의 투자 전략에서 핵심적인 고려사항이다. 이에 따라 우리는 보안 전문 기업과 협력 관계를 맺고 포트폴리오 내 프로젝트 개발팀에 종합적인 보안 서비스를 제공한다. 인프라 및 미들웨어 영역의 보안 관리는 물론, 후속 관리 서비스도 지원하여 우리가 잘 알고 있는 보안 공급업체의 서비스를 받을 수 있도록 한다. 또한 포트폴리오 기업들이 비즈니스 전략 수립 시 보안을 우선순위에 두고 실시간 사기 탐지, 취약점 모니터링, 호환성 평가 등의 보안 감사 중요성을 이해하며 보안 설계를 철저히 할 것을 요구한다."
패널 토론: 성숙한 Web3 프로젝트는 어떻게 보안을 실천하는가?
Taiko는 이더리움 생태계 내에서 급속도로 성장하고 있는 오픈소스 ZK-rollup으로, 완전한 탈중앙화 구조와 다중 검증자 참여를 통해 보안성을 확보하고 있다. Taiko 공동창립자이자 수석 전략 책임자 테렌스는 패널 토론에서 "Taiko는 이더리움과 호환되는 롤업 2층 네트워크로서 완전한 탈중앙화 구조를 갖추고 있으며, 오픈소스, 커뮤니티 구축, 보안성 등을 장점으로 삼고 있다. 전 세계 기여자들의 참여를 통해 코드의 질과 보안성을 유지하려는 노력을 기울이고 있다. 현재 Taiko는 테스트넷 단계에 있으며, 테스트넷에는 1만 개 이상의 제안 및 검증자 노드가 존재하며, 이 숫자는 계속 증가할 전망이다. 즉, 사용자가 Taiko를 신뢰할 필요가 없으며, 중심화된 정렬기(Orderer)도 없다는 점이 다른 2층 네트워크와 차별화되는 중요한 특징이다."라고 말했다.
홍콩에서 정식 라이선스를 취득한 가상자산 거래소인 Hashkey Exchange는 투자자들과 직접 접촉하는 입장에서 최근 다양한 제품 카테고리를 확장하고 있다. 고객의 신뢰와 믿음을 어떻게 확보할 것인지가 가장 중요한 과제 중 하나다. "Hashkey Exchange는 항상 증권감독위원회(SFC)의 규정에 따른 보관 정책을 철저히 준수하고 있다. 전체 자산의 98%는 콜드월렛에 안전하게 저장되며, 나머지 2%만 핫월렛에 보관함으로써 자산의 높은 수준의 보안성을 확보하고 있다. 투자자의 권익을 추가로 보호하기 위해 AON, OneDegree 등 보험사와 협력하여 사용자에게 추가적인 보험 보장을 제공하고 있다."라고 Hashkey Exchange 제품 총괄 빈센트 웡은 설명했다. 그는 또 "KYC 인증을 통해 고객이 모두 합법적이며 실제임을 확인하고 있으며, 비밀번호 알림 기능을 제공하고 정기적인 비밀번호 변경을 요구함으로써 계정 보안을 강화하고 있다. 더불어 고객에게 교육 자료를 제공하며 블록체인 지식과 관련 인프라를 학습하고 이해하도록 유도하고 있다. 이러한 방식을 통해 고객과 장기적인 신뢰 관계를 구축하고, 플랫폼을 이용하는 동안 안전하고 보호받는 느낌을 줄 수 있기를 기대한다."라고 덧붙였다.
패널 토론: 레이어1/2 선도 공개 블록체인의 기술 발전 및 생태계 지원
레이어1 공개 블록체인의 선두주자인 Conflux는 최근 2024년 개발자 로드맵을 발표했다. 최고 기술 책임자 밍 우는 현장에서 개발자 경험을 개선하기 위한 몇 가지 방향을 소개했다. 예를 들어 프로그래밍 가능한 데이터 가용성(Data Availability) 솔루션을 적극적으로 탐색하여 스마트 계약이 독립된 DA 계층과 상호작용할 수 있게 함으로써 대규모 상태 정보를 효율적으로 저장하고 검색할 수 있도록 하고, 인공지능 플랫폼을 Conflux에 통합하여 인센티브 계층으로 정의하며, 이종 가상 머신 아키텍처(Heterogeneous VM Architecture)를 탐구하여 확장성을 향상시키고 생태계를 확장하며, 다자간 계산(MPC) 기술을 통합해 개인정보 보호 및 MEV 저항 능력을 강화하는 연구도 진행 중이라고 밝혔다. 밍 우는 "앞으로 몇 년 내에 시스템 성능을 향상시켜 더 많은 응용 시나리오에 적합하게 만들고, 기술을 더욱 성숙하고 실용적으로 발전시키기를 기대한다."라고 말했다.
최근 메인넷 출시를 한 레이어2 공개 블록체인 Scroll도 최근의 생태계 보안 실천 사례를 공유했다. Scroll 아시아태평양 지역 성장 책임자 마커스 리우는 "보안 측면에서 Scroll의 가장 큰 보안 근거는 ZKP(ZK 프루프)에 있다. ZK의 수학적 원리를 활용해 ZKEVM이 안전하고 신뢰할 수 있는 실행 결과를 보장하며, 이를 ETH에 업로드하여 1단계 체인에서 ZK Proof를 검증한다. Scroll은 현재 모든 계약 및 회로에 대해 엄격한 감사를 수행할 뿐 아니라 버그 바운티(Bug Bounty) 프로그램도 공개하여 커뮤니티 구성원들과 함께 오픈소스 정신으로 보안을 강화하고 있다. 로드맵상 다음 단계로는 탈중앙화된 Prover 및 탈중앙화된 Sequencer를 구현함으로써 Scroll의 탈중앙화 정도와 보안성을 더욱 강화할 예정이다."라고 말했다.
당일 행사에서는 패널 토론 외에도 AWS의 'Web3 윤리적 해킹 및 최적 보안 실천' 트레이닝, 보안 기관 SlowMist, 차세대 공개 블록체인 Polkadot, Web3 애플리케이션 OKX Wallet 전문가들의 실무 중심 발표도 인상 깊었다. 다음은 기록을 통해 보안 현장에 다가가 보안 위험 유형, 실용적인 보안 전략, 애플리케이션 보안, 생태계 개발 보안 등에 관한 지식과 경험을 살펴보자.
스마트 계약 취약점, 2023년 상위 3대 해킹 유형 계속 점령
스마트 계약 취약점은 2023년에도 여전히 가장 일반적인 해킹 유형 중 하나로 꼽히고 있다. 보안 기업 Beosin의 올해 3분기 보안 보고서에 따르면, 계약 취약점 악용은 개인키 유출, 데이터베이스 공격에 이어 세 번째로 많은 공격 유형이다. "총 22건의 계약 취약점 악용 사건으로 약 9327만 달러의 손실이 발생했다. 세부적인 취약점 유형별로 보면, 재진입(Reentrancy) 취약점이 가장 큰 손실을 초래했으며, 계약 취약점 사건 중 약 82.8%의 손실 금액이 이로부터 발생했다."
AWS Web3 솔루션 아키텍트 데이비드 썽과 공타오는 현장에서 자주 발생하는 세 가지 스마트 계약 해킹 사례를 소개했는데, 그 중 하나가 바로 재진입 취약점 공격이다. 이 공격 유형에서 공격자는 계약의 보안 결함을 이용해 아직 완료되지 않은 거래 내에서 동일한 함수를 반복적으로 호출함으로써 자금이 여러 번 이전되거나 소모되는 상황을 유도한다. 이러한 공격은 주로 계약 설계 자체의 결함이나 충분한 방어 전략 부재에서 비롯된다. 재진입 공격은 스마트 계약의 보안성과 안정성에 심각한 위협이 되므로 스마트 계약 개발 시 이를 방어하는 것이 핵심 과제가 되어야 한다.
또한 흔히 발생하는 두 가지 공격 방식은 위임 호출 공격(Delegatecall Attack)과 정수 오버플로우/언더플로우 공격(Integer Overflow/Underflow Attack)이다. 위임 호출은 코드 재사용을 촉진하기 위해 EVM이 제공하는 DELEGATECALL이라는 오퍼코드를 활용하는데, 호출 대상 계약의 바이트코드를 호출자 계약의 바이트코드에 삽입하는 방식이다. 따라서 악의적인 목표 계약은 호출자 계약의 상태 변수를 직접 수정하거나 조작할 수 있다. 정수 오버플로우 및 언더플로우 공격은 산술 연산 결과가 Solidity 데이터 형식의 범위를 초과할 때 발생하며, 이로 인해 상태 변수에 대한 무단 조작이 가능해진다.
해킹 공격 대응 방법에 대해 알고 싶다면 AWS의 'Web3 윤리적 해킹 및 최적 보안 실천' 실무 과정을 참고할 수 있으며, 관련 주제 페이지는 여기를 방문하면 된다.
Web3 프로젝트, 운영 전·중·후 보안 전략
Web3 프로젝트는 운영 초기부터 잠재적 보안 리스크를 고려해야 하며, 보안 사건은 주로 스마트 계약, 블록체인 지갑, 거래소 등에서 발생한다. SlowMist 홍콩 커뮤니티 담당자 토니는 현장에서 "블록체인 보안 사건 발생 시 SlowMist는 사건 발생 전, 발생 중, 발생 후 세 단계에 걸쳐 솔루션을 제공한다."라고 말하며, 프로젝트 팀은 각자 프로젝트의 단계에 맞춰 보안 측면의 잠재적 리스크를 평가할 수 있다고 설명했다.
보안 사건 발생 전에는 프로젝트 팀이 잠재적 보안 리스크에 대해 종합적인 테스트를 수행할 수 있다. 이 단계에서 SlowMist의 레드 팀 테스트(Red Teaming)는 기업 인력, 업무 시스템, 공급망, 사무 시스템, 물리적 보안 등 실제 취약점을 기반으로 잠재적 공격 평가를 수행하고 맞춤형 보안 방어 방안을 제공하며, 공격이 용이한 노드를 우선적으로 보호하여 공격자의 비용을 증가시킨다.
보안 사건 발생 중에는 체인 상·하의 실시간 모니터링을 강화하고 보안 기업과 협력하여 잠재적 보안 위협을 신속히 파악하고 대응해야 한다. 보안 사건 발생 후에는 즉각적인 방어 조치를 취해야 하며, 예를 들어 SlowMist의 비상 대응 지원 서비스 및 체인 상·하 추적 조사 서비스 등을 활용해 공격을 신속히 차단하고 사건의 근본 원인을 파악할 수 있다.
많은 Web3 프로젝트 팀이 코드 설계 단계부터 보안을 고려해야 하며, 보안 기업의 단기 지도에만 의존해서는 안 된다는 점을 감안해, SlowMist는 Github에 Web3 프로젝트 보안 실천 요구사항을 오픈소스로 공개하며 개발 환경에서 주의해야 할 보안 위험 요소를 상세히 열거했다. 이를 통해 프로젝트 팀이 Web3 프로젝트 보안 실천 요구사항을 기반으로 자체 보안 시스템을 구축하고 개선하며, 보안 감사 이후에도 일정 수준의 보안 역량을 갖출 수 있도록 장려하고 있다.

SlowMist, 프로젝트 팀의 종합적 보안 역량 강화 촉구
선도 기술 적극 수용, 안전한 Web3 애플리케이션 구축
블록체인 기반 기술의 성숙과 함께 점점 더 많은 Web3 프론트엔드 애플리케이션이 등장하고 있으며, OKX Wallet은 사용자 경험 측면에서 특히 뛰어난 제품이다. 최종 사용자와 직접 맞닿아 있는 애플리케이션으로서, 사용자 경험을 향상시키면서 동시에 사용자의 자금과 데이터 보안을 어떻게 확보할 수 있을까? OKX Wallet의 제품 책임자 달렐 왕은 현장에서 시스템 레벨의 보안 강화, 전 스택 보안 역량, 선도 보안 기술 수용을 비결로 소개했다. 아래에서 자세히 살펴보자.
첫째, OKX Wallet은 시스템 수준의 보안 강화를 실시하여 사용자 자산과 관련된 제품이 금융기관 수준의 보안성을 갖추도록 했다. 애플리케이션 자체의 보안성을 강화함으로써 해커의 침입을 방지하고 사용자가 안전한 환경에서 거래할 수 있도록 노력하고 있다.
둘째, OKX Wallet은 전 스택 보안 역량을 중시한다. 노드 서비스, 블록 탐색기부터 사용자 단말까지 완전한 상류·하류 서비스 역량을 갖추어 제품 전 과정의 규제 준수성과 탁월한 보안 성능을 보장한다. 예를 들어 제품이 제공하는 능동적 리스크 경고 기능은 피싱 사이트 출현을 적극적으로 방지하여 사용자 자산 보안을 한층 강화한다.
셋째, OKX Wallet은 혁신을 강조하며 선도 기술을 적극적으로 수용한다. 올해 계정 추상화 프로토콜(EIP-4337) 기반의 스마트 계약 계정을 출시하여 복구 가능한 특성을 통해 지갑의 보안 관리 능력을 크게 향상시켰다. 또한 MPC 기반의 무(無)개인키 지갑을 출시하여 다자간 보안 계산 기술을 활용해 단일 지점 고장으로 인한 개인키 보안 리스크를 줄여 사용자가 개인키 분실에 대한 걱정을 하지 않아도 되게 했다.
OKX Wallet은 자신을 금융 기업이 아닌 기술 기업으로 정의한다. 핵심 제품 원칙과 기술 관점에서 문제를 해결함으로써 사용자에게 안전하고 편리한 디지털 거래 경험을 제공하는 것이 목표다.

OKX Wallet, 2023년 4월 MPC 기반 무(無)개인키 지갑 출시
Substrate 프레임워크, 개발자들이 더 안전한 블록체인 구축하도록 지원
많은 개발자에게 Substrate는 낯설지 않다. Substrate는 블록체인을 구축하기 위한 오픈소스 기반의 모듈화되고 확장 가능한 블록체인 개발 프레임워크다. Polkadot 리레이 체인(Relay Chain)의 기본 블록체인 프레임워크도 Substrate로 구축되었다. 그렇다면 Substrate는 어떻게 생태계 내 개발자들에게 보안성을 제공하는가? Polkadot 생태계 핵심 개발자 지미는 행사 현장에서 Substrate 프레임워크 하에서 개발자들은 Parity 전문 엔지니어들이 제공하는 컴포넌트(Pallets)를 사전에 구성할 수 있으며, 런타임 중 업그레이드가 가능하고 체인 포크 없이도 업데이트가 가능하며, 다양한 합의 메커니즘 선택이 가능하여 서로 다른 체인 간 상호 운용성과 보안성을 실현한다고 설명했다.
지미는 추가로 Polkadot의 핵심 목표는 블록체인 간 상호 운용성과 확장성 실현이라고 강조했다. Polkadot은 서로 다른 블록체인들을 연결하여 상호 소통하고 협력할 수 있도록 한다. 이 아키텍처는 서로 다른 블록체인 간 데이터 교환과 가치 이전을 가능하게 하여 전체 네트워크의 효율성과 확장성을 높인다. 구조적으로는 리레이 체인과 평행 체인(Parachain)으로 구성되며, 리레이 체인이 검증과 보안을 담당하고, 평행 체인은 특정 기능을 제공한다. 또한 Polkadot은 확장성, 보안성, 탈중앙화라는 세 가지 핵심 속성 사이의 균형을 중요하게 생각하며, 독특한 아키텍처 접근과 브릿지 기술을 통해 자산의 안전하고 효율적인 이전을 실현한다.

Polkadot 핵심 구성 요소, 리레이 체인이 보안성 제공
Web3 프로젝트, 클라우드 서비스 인프라 적절히 활용하고 서비스 범주, 보안성, 유연성에 주목
클라우드 서비스는 거래소, 공개 블록체인, 프론트엔드 애플리케이션 등 Web3의 매우 중요한 기반 인프라다. Web3 프로젝트 입장에서 클라우드 서비스 플랫폼의 서비스 범위, 보안성, 유연성은 특히 중요하다. AWS는 Web3 분야에서 '家喻户哓(家喻户哓)' 즉, 누구나 아는 클라우드 서비스 제공자로 자리매김하고 있으며, 행사 현장에서 AWS 솔루션 아키텍트 데이비드는 이 세 가지 측면에 대해 답변했다.
서비스 범주 측면에서 AWS는 전 세계적으로 널리 채택되는 클라우드 플랫폼으로 200개 이상의 기능이 풍부한 서비스를 제공하며, 전 세계에 분포된 데이터센터를 통해 다양한 Web3 기업의 고유한 인프라 요구를 충족시킬 수 있다. AWS는 다수의 Web3 프로젝트를 지원하고 있으며, 가장 많이 사용되는 7개의 AWS 서비스는 EC2(Nitro Enclaves), KMS/CloudHSM, API Gateway, S3, Elastic Block Store, Shield Advanced, WAF이다.
보안성 측면에서 AWS는 프로젝트 팀에게 보안, 규제 준수, 거버넌스 등 서비스를 지속적으로 제공하고 있다. AWS Nitro 시스템을 통해 칩 수준에서 보안성이 내장되며, 인스턴스 하드웨어를 지속적으로 모니터링, 보호, 검증하여 잠재적 공격 면적을 최소화한다. AWS는 다른 어떤 클라우드 제공업체보다 더 많은 보안 표준 및 인증을 지원한다. 특히 Nitro Enclaves와 KMS/CloudHSM의 조합은 Web3 BUIDLers에게 클라우드 상에서 최적의 개인키 관리 솔루션을 제공하며 업계에서 널리 채택되고 있다. Shield Advanced와 WAF는 dApp, 노드, 다양한 Web3 인프라 계층에 보안 보호를 제공한다.
유연성 측면에서 AWS는 다양한 서비스 범주를 제공할 뿐 아니라 다양한 제품에 대한 가격 옵션도 제공하여 비용 최적화를 돕는다. 데이비드는 "광범위한 분석 및 머신러닝 서비스를 제공하여 프로젝트의 모든 데이터 분석 요구를 거의 충족시킬 수 있으며, 데이터 이동, 저장, 빅데이터 분석, 로그 분석, 스트리밍 분석, 비즈니스 인텔리전스, 머신러닝(ML) 등 다양한 영역을 포함한다. 동시에 기업들이 유연하게 서비스를 선택하여 비용을 절감할 수 있도록 지원한다."라고 덧붙였다.
AWS, Web3 프로젝트에 풍부한 서비스 범주 제공
프로젝트 팀이 AWS에서 안전한 클라우드 애플리케이션을 구축하는 방법과 AWS가 제공하는 Web3 생태계 지원에 대해 더 알고 싶다면 링크를 클릭하여 확인할 수 있다.
이상은 이번 행사의 핵심 내용 요약이다. Web3 BUIDLers와 개발자들에게 유익한 영감이 되길 바란다. 업계 각계의 지속적인 보안 공감대 속에서 Web3 생태계가 다음 단계의 급속한 성장을 이룰 수 있기를 진심으로 기대하며, CrossSpace는 앞으로도 AWS, 우수한 보안 기업 및 Web3 생태계 참여 기관들과 함께 더 많은 교류 세미나를 선보일 예정이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














