대화 ScaleBit: 웹3 보안 감사의 흥미로운 이야기들
인터뷰어: Faust, 무월, 지크 Web3
인터뷰이: Luis, ScaleBit
편집: Faust, Jomosis
7월 1일, 지크 Web3는 Web3 보안 감사 회사인 ScaleBit의 공동창업자 Luis를 초청하여 코드 감사 및 Web3 보안과 관련된 다양한 질문에 답하는 자리를 가졌다. 이 자리에서 양측은 상업적, 기술적 관점에서 코드 감사와 Web3 보안을 비롯해 ZK, AI, 비트코인 생태계 등에 대해 논의하였으며, 주요 논의 주제는 다음과 같다:
-
ScaleBit이 왜 초기에 Web3 보안 분야를 선택했고 MOVE 생태계에 집중하게 되었는가;
-
코드 감사 산업의 상업적 로직과 고객 계층 구분;
-
Web3 보안과 Web2 보안의 차이점과 연관성;
-
ZK 회로 감사의 복잡성과 Scalebit이 이를 위해 어떤 노력을 기울였는가;
-
운영 및 기술 측면에서의 비트코인 생태계 및 레이어2에 대한 견해;
-
ChatGPT 등의 AI 도구가 코드 감사 산업에 미치는 영향과 도움;
본문은 이번 인터뷰를 정리한 글로 약 7,000자 분량이며, Luis는 자신의 경험을 바탕으로 Web3 보안 업계 전반에 걸쳐 상세한 설명을 제공하였다. Web3 보안 및 코드 감사 산업에 익숙하지 않은 독자들에게는 감사 기관을 이해할 수 있는 훌륭한 기회가 될 것이며, 읽고 저장하고 공유하기를 강력히 추천한다.
1. Faust: 제일 먼저 창업 방향에 관한 질문을 드리고 싶습니다. ScaleBit은 처음 설립할 때 왜 Web3 보안이라는 방향을 선택하셨나요?
Luis: 저희가 Web3 보안 분야를 선택한 이유는 주로 다음과 같은 몇 가지 때문입니다:
첫째, 우리 팀원들 중 다수는 실리콘밸리 출신으로 블록체인 업계에 일찍 진입했으며, 장기적이고 안정적인 수요를 찾고자 했습니다. 코드 감사는 매우 기초적이면서도 오랫동안 생존 가능한 분야이기 때문에, 이런 이유로 해당 방향을 선택하게 되었고, 또한 업계에서 존경받는 보안 회사가 되기를 원했습니다.
둘째, Web3 보안은 아직 매우 초기 단계에 있지만, Web3에서는 보안 문제가 전통 인터넷 보안보다 훨씬 더 중요합니다. 왜냐하면 금융 자산과 직접 연결되어 있기 때문에, 전통 인터넷 보안보다 훨씬 더 큰 가치를 지니고 있습니다.
현재 일부 사람들은 스마트계약 감사 관련 사업의 성장 한계가 있다고 생각할 수 있지만, 실제로 Web3 보안은 계약 감사를 넘어서 다양한 새로운 비즈니스가 계속해서 등장하고 있으며, 새로운 수요도 지속적으로 나타나고 있습니다. 따라서 우리는 여전히 Web3 보안 / 코드 감사라는 분야가 매우 유망하다고 봅니다.
셋째, 우리 팀 구성원들의 배경이 코드 감사 / 블록체인 보안과 밀접한 관련이 있습니다. 저희는 보안 업계에서 오랜 경험을 쌓아왔으며, 저는 이전에 다른 블록체인 보안 회사의 창립 멤버였고, 우리 최고 과학자인 천팅 교수님 역시 오랫동안 블록체인 보안 연구를 해오신 분으로, Web3 보안 분야에서 풍부한 경험을 지닌 학자입니다. 나머지 팀원들도 거래소 보안, 형식 검증, 정적 분석 등의 배경을 가지고 있습니다.
이러한 이유들로 인해, 결국 우리는 Web3 보안이라는 길을 선택하게 되었습니다.
2. Faust: ScaleBit이 처음에는 MoveBit라고 불렸다가 이후 브랜드 업그레이드를 통해 ScaleBit라는 이름을 사용하게 되었다고 들었습니다. 초기에 왜 Move 생태계를 선택하셨고, 이후 이름을 바꾸게 된 이유를 알려주실 수 있나요?
Luis: 사실 이것은 브랜드 업그레이드인데, 모(母)브랜드는 BitsLab입니다 — MoveBit, ScaleBit, TonBit 세 개의 서브브랜드 모두 사용하고 있으며, 다중 브랜드 전략을 취하고 있습니다. 또한 Move 생태계에서 더 많은 생태계로 확장하며, 전체적으로 신생 생태계에서의 보안 및 인프라에 집중하고 있습니다.
초기에 왜 Move 생태계를 선택했는지에 대해 이야기하자면, 약 2022년 즈음 우리가 보안 감사 분야에 진입할 때, 가장 깊이 파고들 적합한 세부 분야를 찾기 위해 3개월 동안 조사하였습니다. 그 당시,모든 분야를 아우르는 보안 회사를 만든다면 시장의 경쟁자들을 따라잡기 어렵다고 판단하여, 특정 세부 분야에 집중하려는 전략을 세웠습니다.
저희는 여러 방향을 고민했는데, Move, ZK, 그리고 게임파이(GameFi) 또는 특정 서비스에 특화된 감사 브랜드 등을 생각해보았고, 전략적으로 '단일 포인트 돌파'를 목표로 하였습니다. 여러 요소를 종합적으로 고려한 결과 Move 생태계를 선택하게 되었습니다.
당시 팀원은 7~8명 정도였으며, Move 생태계에서 상당한 성과를 거두었습니다. Move 생태계 내 TVL 상위 20개 프로젝트 중 약 80~90%는 저희가 감사하였고, MoveVM, Aptos Framework 등 중요한 체인 저수준 컴포넌트도 감사하며, 체인 저수준의 많은 취약점을 발견했습니다. 따라서 Move 분야에서 저희 시장 점유율은 매우 높습니다.
현재까지도 Move 생태계에서 코드 감사 업무를 수행하고 있으며, 이 분야는 현재 매출의 약 50%, 작업량의 약 40%를 차지합니다. Move 생태계는 해외 고객의 코드 감사 수요가 많아 단가가 비교적 높은 편입니다.
현재 TonBit는 Ton 생태계 감사를 중심으로 하고 있으며, ScaleBit는 BTC Layer2 생태, ZK 및 기타 신생 생태계를 담당하고 있습니다. 우리 BitsLab 전체의 포지셔닝은 신생 생태계에 집중하며, 대중적 활용(Mass Adoption) 가능성이 있는 생태계를 주목하고 있습니다.
3. Faust: 여기서 ZK에 관한 질문을 드리고 싶습니다. ZK 관련 감사는 매우 복잡하며, 비탈릭(Vitalik)도 이전에 zkEVM과 같은 시스템의 회로가 너무 복잡해 기능 테스트나 감사가 있어도 회로에 문제가 없는 것을 보장할 수 없다고 언급한 바 있습니다. 이 부분에 대해 경험을 바탕으로 설명해주실 수 있나요?
Luis: ZK 관련 감사는 여러 측면으로 나뉘며, 주로 회로 감사(circuit audit), 소스 언어 감사(source language audit), 일반 컴퓨팅 감사(general computing audit)로 나뉩니다. 우선 회로 감사부터 말씀드리겠습니다.
회로 감사의 주요 난점 중 하나는 회로 코드가 기존 프로그래밍 언어보다 가독성이 매우 떨어진다는 점입니다. 또한 회로 언어의 생태계 자체가 매우 분절화되어 있으며, 현재는 Circom, Halo2, Artwork, Bellman 등 10여 가지의 회로 작성 언어와 프레임워크가 존재하여, 회로 작성에 통일된 표준이 없습니다.
물론 어떤 보안 기관이라 할지라도 모든 회로 언어에 능통하는 것은 거의 불가능합니다. 따라서 저희는 선택적으로 ZK 분야에 진입하였습니다. 현재 저희는 ZK 분야에서 두 가지 주요 활동을 하고 있는데, 하나는 Scroll, EthStorage 및 안비랩의 곽우 교수와 함께 ZK 보안 CTF(zkCTF)를 공동 주최하는 것입니다. 이 대회는 매년 한 번씩 개최되며, 주 목적은 더 많은 ZK 보안 인재를 양성하는 데 있습니다.
또 다른 하나는 취약점 탐지 도구인 zkScanner를 개발한 것으로, 형식 방법과 정적 분석 기법을 활용해 ZK 회로상의 취약점을 스캔하는 도구입니다. zkScanner는 회로를 초기 스캔하여 의심스러운 지점을 찾아낸 후, 이를 다시 사람이 확인하는 방식으로, 인간 감사의 보조 역할을 합니다. 물론 이러한 자동화 감사 도구는 아직 인간 감사를 완전히 대체할 수 없지만, 비교적 잘 숨겨진 constraint(제약 조건) 문제를 발견하는 데는 효과적입니다.
무월: 방금 말씀하신 자동화 감사 도구는 ERC-20 토큰 감사를 위한 정적 검사 도구와 비슷한 것인가요?
Luis: 어느 정도 유사하지만 완전히 같지는 않습니다. 유사한 점은 워크플로우입니다. 즉 정적 코드를 스캔하여 취약점 위치와 원인을 제시한다는 점입니다. 하지만 다른 점은 회로에서 주로 발생하는 오류가 Under-Constrain(제약 부족)과 Over-Constrain(과도한 제약)의 두 가지로 나뉜다는 점이며, 일반적인 어휘 분석으로는 이러한 오류를 찾기 어렵다는 점입니다.
무월: Constraint(제약)라는 말만으로는 추상적이니, 예를 들어 설명해주실 수 있나요?
Luis: 이 문제를 간접적으로 살펴보는 것이 좋겠습니다. 본질적으로 회로는 스마트계약 언어보다 수학적인 표현 방식에 더 가깝습니다. 궁극적으로 R1CS로 변환되어야 하며, 이는 순수한 다항식 표현이라고 볼 수 있습니다. 따라서 일반적인 프로그램에서 발생할 수 있는 문제들이 회로에서는 오히려 덜 발생합니다.
회로는 사실상 '틀릴 수 없습니다'. 각 회로는 올바른 입력과 출력을 통해 proof를 생성해야 하며, 회로에 오류가 있다면 컴파일조차 실패합니다. 이는 회로 계산 결과가 반드시 '정확함'을 보장합니다. 그러나 회로에게 '정확함'만으로는 충분하지 않으며, 모든 상황에서 항상 '정확해야' 하므로 앞서 언급한 두 가지 제약(constraint) 문제가 발생합니다.
Over-Constrain(과도한 제약)의 경우, 요구사항을 충족하는 일부 입력이 회로를 통과하지 못하게 됩니다. 반대로 Under-Constrain(제약 부족)의 경우, 요구사항을 충족하지 않는 입력이 마치 충족하는 것처럼 처리될 수 있으며, 이는 매우 치명적인 문제입니다.
무월: 그렇다면 이러한 문제들은 컴파일러에서도 발견되지 않으며, 회로 설계 전 단계에서의 사전 조건이나 표현 자체에 문제가 있는 건가요?
Luis: 맞습니다. 이러한 문제들은 순전히 문법 수준의 문제가 아니라, 개발자의 의도와 암호학적 규범에도 관련되어 있습니다. 구체적으로는 SMT-Solver와 같은 형식 검증 도구를 사용하여 발견해야 하는 경우가 많습니다.
4. Faust: 상업적 관점에서 ZK 관련 감사 비즈니스에 대해 어떻게 생각하시나요?
Luis: ZK 관련 감사 비즈니스는 장기적으로 주목할 가치가 있으며, 저희는 ZK 감사 분야에서 꾸준히 역량을 축적하고 있습니다. 최근 비트코인 생태계에서 감사업무를 시작한 것도 비트코인 생태계와 ZK의 결합 가능성을 발견했기 때문이며, 반면에 이더리움 생태계의 ZK Layer2 스토리텔링은 이미 다소 위축되었고, 다음 단계의 ZK 스토리텔링은 아직 본격적으로 시작되지 않았으며, 아마 FHE(Fully Homomorphic Encryption)와 관련될 수 있습니다.
물론 저희가 ZK 감사 분야에 진입한 시기는 너무 이르지도, 너무 늦지도 않았으며, 여전히 장기적으로 관심을 갖고 축적하는 단계입니다. 업무 측면에서는 앞서 언급한 두 가지를 중심으로 진행하고 있으며, 하나는 zkCTF, 다른 하나는 ZK 회로 취약점 탐지 도구인 zkScanner입니다.
무월: zkCTF 활동에 대해 간단히 소개해주실 수 있나요?
Luis: 이것은 우리가 주도하여 ZK 분야와 관련된 CTF(보안 해킹 대회)로, 매년 한 번씩 개최되며 업계의 정상급 보안 연구원들과 ZK 연구자들을 초청하여 참가합니다. Scroll, EthStorage, 안비랩의 곽우 교수와 협력하여 참가자들을 위한 문제를 출제하며, Ingonyama, zkMove, HashKey 등 여러 기관의 강력한 지원을 받고 있습니다.
참가자 명단을 집계해본 결과, 전 세계 각지에서 온 참가자들이며, 전반적인 수준도 매우 높습니다. 참여 기관으로는:
OpenZeppelin, Offside, Salus, Amber Group, Sec3 등이 있으며, 조지아공대 및 UC 버클리의 보안 및 ZK 분야 박사과정 학생들도 포함됩니다.
5. Faust: ScaleBit이 비트코인 생태계에 대해 어떻게 생각하시는지 묻고 싶습니다. 이전에 비트코인 생태계 프로젝트 30여 개를 감사했다고 들었는데, 비트코인 레이어2에 대해서는 어떻게 보시나요?
Luis: 여기서 말하는 30여 개의 비트코인 생태계 프로젝트에는 레이어2 혹은 레이어2 생태계 내 프로젝트들이 포함되며, 예를 들어 UniSat, Arch Network, Merlin Chain, RGB++, B² Network 등이 있고, Inscription(각인) 및 Rune(룬) 관련 프로젝트인 Liquidium도 있습니다. 그 외 대부분은 레이어2 생태계 내 DeFi 프로토콜입니다.
비트코인 레이어2에 대한 견해로서, 저는 Bitlayer의 공동창업자 Kevin He가 이전에 언급했던 의견에 동의합니다. 즉, 비트코인 레이어2의 경쟁은 세 단계로 나뉠 것이라는 것입니다. 첫 번째 단계는 TVL 경쟁, 두 번째는 개발자 유치, 세 번째 단계는 기술 경쟁입니다. 저는 지금 막 첫 번째 단계가 끝났거나, 이제 막 개발자를 유치하고 생태계를 구축하는 단계로 넘어가는 시점이라고 봅니다.
Faust: 비트코인 생태계 프로젝트를 감사할 때, 어떤 측면이나 지표를 기준으로 감사를 진행하시나요?
Luis: 비트코인 레이어2를 말하는 경우라면, 몇 가지 차원으로 나누어 감사합니다. 예를 들어, 일부 프로젝트는 비트코인 체인 상의 스크립트를 감사해야 하고, 일부는 비트코인 Layer2에 배포된 컨트랙트를 감사해야 합니다. 교차 체인 브릿지(cross-chain bridge) 또는 체인 저수준을 감사 대상으로 하는 경우도 있으며, 일부 레이어2는 EVM을 사용하지 않을 수도 있으므로, 이러한 모든 층위에서 감사가 필요합니다.
주로 해당 프로젝트 코드 내 공격 면을 확인하며, 다양한 차원에서 취약점이 있는지를 점검합니다. 이는 매우 복잡한데, 비트코인 레이어2는 공용 블록체인 시스템과 유사하기 때문입니다. 업계에서 공용 블록체인을 감사할 때 고려해야 할 항목들은 모두 점검해야 하며, 예를 들어 이중 지불 공격(double-spending attack), 일식 공격(eclipse attack), 시빌 공격(sybil attack), 외부 의존성 보안, 중앙화 문제, 중간자 공격(man-in-the-middle attack) 등 모두 확인해야 하며, 구체적으로 설명하면 매우 세부적입니다. 이 주제에 대해서는 따로 시간을 갖고 깊이 있게 이야기할 수 있습니다.
ScaleBit의 체인 감사 역량은 아시아 최고 수준 이상이라고 자신 있게 말할 수 있습니다. 팀원들은 Sui, OKX 체인, GalaChain, Nervos 등 유명한 공용 블록체인의 취약점을 발견한 경험이 있으며, 최근에는 Babylon의 공개 감사 대회에서 High 등급과 Low 등급의 취약점을 각각 하나씩 발견하기도 했습니다.
6. Faust: 보안 감사 경험상, 가장 많이 보안 취약점이 발생하는 곳이 크로스 체인 브릿지인가요? 제 이해로는 많은 크로스 체인 브릿지가 본질적으로 DeFi의 연장선이기 때문에 DeFi 프로토콜만큼 공격에 취약하다고 생각됩니다. 이에 대해 어떻게 생각하시나요?
Luis: 빈도로 따지면 DeFi 관련 영역에서 돈을 잃는 경우가 가장 많지만, 손실 금액으로 따지면 크로스 체인 브릿지가 공격당했을 때 손실이 가장 큽니다. 문제가 발생하면 대규모 피해가 발생합니다. 물론 제가 말하는 DeFi란 주로 컨트랙트 수준을 의미하며, DeFi 프로토콜의 컨트랙트에 문제가 생기면 바로 공격을 당할 수 있으며, 보완 조치도 제한적입니다.
크로스 체인 브릿지는 확실히 가장 문제 발생 가능성이 높은데, 평소에 관계되는 자금 규모가 크고, 다수는 멀티시그(multi-sig)를 사용하기 때문에 공격에 취약합니다.
7. Faust: ChatGPT와 같은 LLM 도구가 코드 감사 업무에 미치는 도움이나 충격이 얼마나 크다고 생각하시나요?
Luis: 사실 도움은 꽤 크지만, 여전히 보조적인 수준입니다. 때때로 감사 담당자가 코드를 볼 때, 해당 코드가 무엇을 하는지 빠르게 이해하기 위해 ChatGPT를 이용해 코드의 목적을 파악하기도 합니다. 물론 이는 보조 수단일 뿐이며, 최종적으로는 사람이 세부 내용을 판단해야 합니다.
또 하나는 문서 및 감사 보고서 작성입니다. 특히 영문 작성을 할 때, 일부 감사 담당자의 영어가 원어민 수준이 아니기 때문에, ChatGPT를 이용해 문서를 다듬는 경우가 있는데, 이 부분에서의 도움은 상당히 큽니다.
그러나 감사 측면에서 보면, 저희 내부에서도 특정 목적의 LLM을 훈련시키고 있으며, 오픈소스 대형 언어 모델을 활용해 훈련 중이지만, 현재까지는 여전히 보조 수준입니다. 작업 효율은 약 20% 정도 향상시킬 수 있지만, AI에 완전히 의존해 감사 인력을 크게 줄이는 수준까지는 아직 아주 멀었습니다.
현재 LLM은 두 가지 명백한 단점이 있습니다. 하나는 누락 보고(missed detection), 다른 하나는 잘못된 경보(false positive)입니다. LLM을 이용해 취약점 탐색을 할 수는 있지만, 잘못된 경보율에 주의해야 합니다. 만약 AI를 활용해 코드 취약점을 찾았는데 잘못된 경보율이 매우 높다면, 오히려 시간을 낭비하게 되며 부담이 됩니다. 하지만 AI 기술 발전은 계속 주목하고 있으며, 도구 수준에서 고효율 취약점 탐색이 가능한지 여부도 관심사입니다. 현재 이 분야는 여전히 선도적 단계이며 모두가 탐색 중이지만, 아직 그러한 효과를 실현한 기업은 없습니다.
무월: AI 자동화 코드 감사에 대해 어떻게 생각하시나요? 이것이 미래의 핵심 분야가 될 수 있을까요? 제 생각에는 AI가 코드를 읽는 것은 거의 순간적이며, 축적된 경험과 상태 탐색 범위도 인간보다 훨씬 넓기 때문에 큰 장점이 있습니다. 만약 보안 회사가 이 분야에 집중하여 전용 AI를 훈련시켜 자동화 코드 감사를 수행한다면, 경쟁사들을 뛰어넘을 수 있지 않을까요? 이에 대해 어떻게 생각하시나요?
Luis: 저희는 이 분야를 계속 주목하고 있으며, 두 가지 측면에서 바라봐야 한다고 생각합니다:
첫 번째로, 만약 AI 자동화 감사가 정말로 가능하다고 본다면, 다음과 같은 상황이 발생할 수 있습니다:
이론적으로 LLM은 코드 감사 산업 전체를 대체할 수 있습니다. 왜냐하면 모든 사람이 LLM을 이용해 코드를 생성하고, LLM이 생성한 코드는 버그 없이 문제없이 작동한다고 보장된다면, 더 이상 감사가 필요 없어지기 때문입니다. 이 경우 감사 산업만 대체하는 것이 아니라, 개발자까지 대체하게 됩니다. 그러나 이런 효과를 달성하는 것은 매우 어렵습니다.
LLM이 감사 인력을 대체할 수 있다고 본다면, 개발자를 대체하는 것보다 더 어려울 것입니다. 단순히 요구사항을 충족하는 코드를 구현하는 것보다, 결함 없는 코드를 작성하는 것이 훨씬 어렵기 때문에, 저는 AI가 감사 인력을 대체하는 것이 개발자를 대체하는 것보다 더 어렵다고 봅니다.
다른 한 가지는 AI가 바로 감사 업무를 완전히 대체하는 것이 아니라, 특정 분야에서 먼저 돌파구를 마련한다는 점입니다. 예를 들어 앞서 언급했듯이, AI는 취약점 탐색을 도울 수 있으며, 모든 버그를 찾을 수는 없지만, 인간 감사가 놓칠 수 있는 특정 유형의 문제를 찾아낼 수 있습니다. 이러한 응용 시나리오가 바로 저희가 주목하고 있는 부분입니다.
8. Faust: 감사 업무 자체에 대한 견해도 여쭤보고 싶습니다. 감사를 수행할 때 구체적인 작업 프로세스는 무엇이 포함되나요? 단순히 인증서를 발급하는 것만은 아니겠지요. 코드를 보는 과정에서 프로젝트 팀의 코드 최적화를 도와주기도 하나요?
Luis: 이는 고객의 요구에 따라 달라집니다. 때때로 고객의 원본 코드를 최적화하여 DeFi의 특정 작업에서 가스 소비를 줄이는 등의 작업을 도와드립니다.
감사 프로세스에 대해 대략적으로 설명드리면, 저희는 최소한 두 차례의 독립적인 감사 과정을 거칩니다: 초기 감사(initial audit)와 재감사(re-audit). 초기 감사에서는 한 팀이 독립적으로 감사를 수행하며, 이 과정에서 프로젝트 팀은 초기 코드에 대해 수정을 진행합니다. 이후 재감사 단계에서 또 다른 팀이 코드를 다시 점검합니다. 최종적으로는 최소 두 팀이 서로 교차 감사를 수행하게 됩니다.
다른 감사 회사와의 차이점으로는, ScaleBit은 특히 혁신적인 비즈니스 감사를 잘합니다. 저희는 CTF(해킹 대회) 배경을 가진 인재를 선호하여 감사팀에 영입하는데, 이들은 학습 능력과 다양한 공격 기법에 대한 이해가 뛰어납니다.
또한 다른 감사 회사와 다른 점은, 저희는 고품질 감사 루트를 추구한다는 점입니다. 만약 저희가 감사한 코드에서 Major 이상의 취약점을 누락했다면, 비용의 30~50%를 환불합니다. 이는 다른 감사 회사가 감히 약속하지 못하는 부분입니다.
9. Faust: 일부 사람들은 보안 감사는 브랜드 신뢰도를 보는 것이라고 말합니다. 월가의 신용평가기관처럼 마태 효과가 매우 강하며, 만무(Mudao)와 같은 기존의 대형 회사들이 선점 효과를 가지고 있어 진입 장벽이 견고하고, 후발주자들이 만무와 같은 대형 기업과 시장을 나눠먹기 어렵다고 봅니다. 이에 대해 어떻게 생각하시나요?
Luis: 이러한 견해에 부분적으로 동의하지만, 상황에 따라 다르다고 봅니다. 예를 들어, 감사 수요에 따라 고객을 낮음, 중간, 높음의 세 등급으로 나눌 수 있습니다. 토지개미(土狗) 프로젝트가 가장 낮은 등급이며, 그 위는 중간 등급으로, 어느 정도 역량을 갖추고 있지만 스타 팀은 아닌 프로젝트입니다. 가장 높은 등급은 스타 팀이며, 자금력도 풍부한 프로젝트입니다.
우선 최상위 등급 고객부터 말하자면, 이 고객들은 일반적으로 2~3곳 이상의 감사 회사를 동시에 고용하며, 코드 감사 품질에 매우 민감합니다. 그들은 전 세계 최고 수준의 감사 기관을 먼저 찾지만, 이러한 기관들은 업무가 많아 특정 고객의 요구를 우선 처리하지 못할 수 있습니다. 따라서 많은 스타 프로젝트 팀은 잘 알려지지 않았지만 감사 품질이 뛰어난 기관들에게도 동시에 감사를 의뢰합니다.
앞서 언급한 이 고객층은 감사 회사들이 가장 선호하는 고객이며, 자금력이 뛰어나지만 감사 품질에 매우 민감하기 때문에, 여러 감사 회사를 고용하며, 감사 역량이 뛰어나다면 누구나 접근할 기회가 있습니다. 따라서 이 고객층은 저희의 주요 고객군 중 하나입니다.
두 번째는 중견 고객으로, "감사 품질을 어느 정도 중요하게 생각하지만, 돈이 많지는 않다"는 특징을 가지며, 미래에 상위권으로 성장할 가능성이 있는 그룹입니다. 그들은 스타 감사 기관을 원하지만, 그에 상응하는 비용을 감당하지 못할 수 있습니다.
이 업계에서 진정한 '최정상급 보안 회사'는 OpenZeppelin, Trail of Bits 수준의 기관으로, 전 세계적으로 고작 4~5곳 정도입니다. 이 기관들은 모두 실력이 뛰어나다는 것을 알고 있지만, 가격도 매우 비싸며, 일반 감사 회사보다 3~10배 이상 비쌉니다.
중견 고객이 최정상급 감사 기관에 감사를 요청하면, 상대방이 받아주지 않을 수도 있습니다. 따라서 중견 고객 입장에서는 예산을 전부 최상위 감사 기관에 쏟기보다, 품질이 뛰어난 감사 기관에 예산을 분배하고, 여러 기관에 동시에 감사를 의뢰하는 것이 더 합리적입니다. 이 고객층이 저희의 가장 큰 고객군이며, 저희는 그들과 함께 성장하고자 합니다.
마지막은 앞서 말한 토지개미 프로젝트로, 기본적으로 값싼 곳을 찾거나, 유명한 감사 기관에 돈을 주고 계약서만 검토받는 경우입니다.
따라서 위에서 언급한 내용들을 종합하면, 질문하신 견해는 감사 산업에 대해 어느 정도 타당합니다. 역사적으로 축적된 평판이 좋은 감사 회사에게는 확실히 마태 효과가 존재합니다. 하지만 최근 몇 년 사이에 역사가 오래된 일부 감사 회사들이 큰 사건을 겪으며 여러 문제를 드러내기도 했습니다.
하지만 후발 감사 회사로서는 반드시 차별화된 강점을 가져야 합니다. 그래서 저희의 전략은 '단일 포인트 돌파'입니다:
특정 세부 분야에 집중하여 절대적인 우위를 점하는 것입니다. 예를 들어 비트코인 Layer2 생태계에서 저희의 커버리지는 이미 50%를 넘었으며, Move 생태계에서는 80%를 넘었습니다. OpenZeppelin과 같은 최정상급 감사 기관이라 할지라도 이러한 세부 분야에서 저희와 경쟁하기는 쉽지 않습니다. 즉所谓 '마태 효과'는 어디에 처해 있는가에 따라 달라집니다.
10. Faust: 개인적인 관점에서 Web2와 Web3 보안의 가장 큰 차이점은 무엇이라고 생각하시나요? 자신의 과거 경험을 바탕으로 말씀해주실 수 있나요?
Luis: 우선, 기술 발전 단계에서 보면 Web3 보안은 매우 초기 단계에 있으며, Web3 보안 시장은 Web2 보안보다 반드시 더 클 것입니다. 왜냐하면 Web3는 보안에 대한 요구가 훨씬 더 강하기 때문입니다.
여기서 하나의 농담을 하자면, 예전에 실리콘밸리 보안 커뮤니티에 있던 중국계 간부가 있었는데, 실리콘밸리 상장사의 VP급까지 올랐습니다. 그는 실리콘밸리에서 보안을 하는 사람은 주로 중국계와 유대인 커뮤니티라고 말했습니다. 왜 중국계가 보안 분야에서 뛰어날까? 보안 업계는 평소엔 존재감이 없고, 문제가 생기면 책임을 져야 하는 업계이기 때문에 인도인과 백인은 하려 하지 않아 중국계가 부상하게 되었다고 말했습니다. 이것은 Web2 보안 회사에 대한 이야기입니다.
하지만 Web3 보안은 다릅니다. 블록체인이 직접 돈과 연결되기 때문에, Web3 보안의 존재감은 수십 배 이상 커졌습니다. 또한 이 분야에서는 많은 '보안 종사자'들이 직접 수익을 창출할 수 있으며, 누군가는 이렇게 농담하기도 했습니다. Web2에서 Web3로 전환해 가장 성공한 사람들이 바로 해커들이라고요.
기술적 관점에서 보면, Web3 보안은 Web2 보안의 일부를 포함하며, 후자의 많은 기술을 재활용하고 있습니다. 현재 많은 시스템, 예를 들어 많은 DeFi 애플리케이션은 서버와 인터페이스를 가지고 있어 전통적인 침투 테스트, DoS 방어 등이 필요하며, 사실상 Web2 보안의 일부이기도 합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@godrealmx
