암호화 사용자가 주의해야 할 보안 문제는 무엇인가?
글: @cmdefi
「보안」은 앞으로 최소 10년간 업계에서 가장 중요한 주제가 될 것이다. 현재 탈중앙화와 중앙화 양측 모두에서 해결해야 할 모순된 지점들이 존재하기 때문이다. 최근 거래소 보안 문제를 계기로 다음과 같은 관점에서 깊이 있게 살펴보고자 한다.
1. 자산의 자기통제권
2. 스마트 계약 보안
3. 검열 저항성
4. 지갑
1/4 자산의 자기통제권
탈중앙화는 자산에 대한 통제 권한 측면에서 중앙화보다 훨씬 높은 수준을 제공한다. 즉 사용자가 자신의 자산을 완전히 통제할 수 있다는 의미이다. 이는 DeFi 서머 시절의 주류 담론이었으며, 당시 대규모로 발생한 출금 운동의 시작점이기도 하다.
하지만 스마트 계약 공격이나 권한 부여를 통한 자산 도난 사례가 점점 늘어나면서, 자산에 대한 통제권이 높다고 해서 무조건 보안성이 강하다고 볼 수는 없게 되었다. 많은 일반 사용자들은 위험 요소를 식별할 능력을 갖추지 못했으며, 체인 상에서 자산을 안전하게 관리하려면 상당한 학습 시간과 경험을 필요로 하기 때문에, 자산을 직접 관리하는 진입 장벽이 점점 더 높아지고 있다.
따라서 후발 주자들은 여전히 자산을 거래소나 기관에 맡기는 것을 우선적으로 선택한다. 전문적인 일은 전문가에게 맡긴다는 것이 그들의 초심이지만, 동시에 자산의 자기통제권을 포기하고 중앙화 기관이 제공하는 자산託관 서비스를 선택하게 된다.
업계가 오늘날까지 발전하면서 거래소와 블록체인은 각각 다른 사용자층을 주로 수용하게 되었으며, 두 측 모두 고유의 리스크를 가지고 있다. 다만 리스크의 형태가 다를 뿐이다. 블록체인 상에서 자산을 직접 관리하면 매우 강력한 통제권을 가지며, 자산을 100% 자신 것으로 소유할 수 있지만, 충분한 경험과 리스크 관리 능력이 요구된다. 반면 거래소에 위탁하는 것은 매우 간편하지만 중앙화 리스크에 직면할 수 있다. 완벽한 해결책은 없으며, 중요한 것은 리스크가 어디에 존재하는지 명확히 알고 항상 경외심을 갖는 것이다.
2/4 스마트 계약 보안
「리스크는 언제나 미지의 영역에서 발생한다」
자산 관리 외에도, DeFi 프로젝트 측면에서 보면 업그레이드 불가능하며 권한이 분산된 스마트 계약은 탈중앙화되고 조작 불가능하다고 여겨진다. 그러나 이것이 절대적인 보안을 의미한다고 볼 수는 없다. 스마트 계약의 코드 리스크는 완전히 예측하거나 시뮬레이션할 수 없기 때문에, 핵심 스마트 계약에 치명적인 결함이 발견되면서도 중앙화된 개입이 불가능한 경우, 정말로 손 쓸 도리가 없는 상황이 발생할 수 있다. 실제로 DeFi 초기에도 이런 사례가 많았다.
그렇다면 스마트 계약 보안은 미래에 어떻게 발전할 것인가? 탈중앙화의 본래 목적에 따르면, 단순한 스마트 계약이 시간과 시장의 검증을 거쳐 가장 먼저 「고정화(fossilization)」될 것이며, 이는 완전한 탈중앙화와 변경 불가를 의미한다. 이후 점차 복잡한 수준으로 발전해 나갈 것이다. 이 과정에서 일부 복잡한 프로젝트들은 주요 단계에 비상 정지 장치(emergency button)를 설정해야 할 수도 있는데, 이는 중대한 사건 발생 시 손실을 줄이고 회복하기 위한 조치이다 (물론 이 과정에서는 다양한 권한 제한을 통해 과도한 중앙화로 인한 리스크를 방지하려 노력한다).
따라서 스마트 계약 보안 문제는 반드시 시간의 축적과 검증을 거쳐야 하는 매우 확실한 과정이다. 현재 DeFi 보안에 대해 제기되는 모든 FUD는 사실상 업계의 미래 자체에 대한 FUD라고 볼 수 있다. 스마트 계약이 직면하는 보안 문제는 GameFi든 SocialFi든 모든 체인 상 프로젝트들이 겪어야 할 필수적인 과정이며, 다만 DeFi가 앞서 걸어가는 것일 뿐이다. 앞서 충분한 기반을 굳건히 다져야만 그 뒤를 잇는 길이 더욱 수월해질 수 있다.
3/4 검열 저항성
검열 저항성은 많은 사람들이 쉽게 간과하는 부분이다. 대부분은 단지 암호화폐를 매매하고 간단한 트레이딩만 하는 입장이라 검열 저항성과는 거리가 멀다고 생각한다. 하지만 한 번이라도 검열을 경험해본 사람이라면 검열 저항성의 중요성을 극명하게 깨닫게 된다. 왜냐하면 탈중앙화가 없다면, 사실상 당신의 돈이라고 100% 장담할 수 없기 때문이다. 여기서는 더 이상 설명하지 않겠지만, 기본적으로 이해하는 사람들이라면 검열 저항성이 탈중앙화 비전 중 가장 중요한 항목 중 하나라고 말해도 과언이 아니라는 점을 알게 될 것이다.
이 점에서 자산의 자기통제권과는 서로 보완적인 관계에 있으며, 탈중앙화된 자산 관리는 확실히 중앙화된 관리보다 우위에 있다.
4/4 지갑
체인 상에서 자산을 보관할 때 우리가 자주 접하는 개념은 콜드 월렛, 핫 월렛, 하드웨어 월렛 등이다.
콜드 월렛: 간단히 말해, 개인키 생성 및 관리 과정에서 인터넷에 전혀 연결되지 않는 것을 의미한다. 이러한 콜드 월렛은 직접 제작할 수도 있다. 예를 들어 오래된 아이폰을 이용해 콜드 월렛을 만들 수 있으며, 온라인에서 관련 튜토리얼과 자료를 쉽게 찾을 수 있다. 개인 관리 측면에서 현재로서는 매우 높은 수준의 보안성을 제공한다고 볼 수 있으며, 유일하게 주의해야 할 점은 시드 문구(seed phrase)를 적은 종이를 잃어버리지 않는 것이다.
하드웨어 월렛: 먼저, 하드웨어 월렛이 곧 콜드 월렛과 동일하다고 볼 수는 없다. 하드웨어 월렛은 다양한 하드웨어 기술을 포함하며, 일반적으로 개인키 생성 과정 역시 인터넷에 노출되지 않는다. 다만 논란이 되는 점은 하드웨어를 제공하는 제조사 자체가 중앙화된 기관이라는 점이며, 이론상 중앙화 리스크가 존재할 수 있다. 또한 하드웨어 월렛은 거래 실행 전에 추가적인 인증 단계를 거치므로 U보안토큰(U-token)이나 보안카드와 유사한 보호 기능을 제공한다.
핫 월렛: 핫 월렛은 우리가 일상적으로 가장 많이 사용하는 지갑으로, 사용이 훨씬 가볍고 유연하다. 체인 상 상호작용을 자주 할 경우 지갑의 권한 부여 및 서명이 증가하게 되며, 특히 업그레이드 가능한 계약에 권한을 부여했다면 당장은 문제가 없어 보일 수 있지만, 이후 계약이 업데이트됨으로써 새로운 리스크를 초래할 수 있고, 장기적으로 잠재적 위험이 될 수 있다.
지갑의 사용은 일반적으로 개인의 상황에 따라 구성되며, 지갑의 보안은 궁극적으로 개인키와 권한의 보안에 달려 있다고 볼 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@cmdefi
