CertiK 창립자 인터뷰: 해커 공격 300% 급증, 보안 우선 전략이 열어가는 돌파구
글: 모니카 유수 정, IT 타임스
4월 17일, 한국의 주요 기술 전문 미디어인 <코리아 IT 타임스>(Korea IT Times)는 CertiK의 공동 창립자이자 CEO인 구융휘 교수와 인터뷰를 진행했다. 이번 인터뷰에서는 CertiK가 발표한 1분기 <HACK3D> 보안 리포트를 중심으로 해커들의 공격 기법 진화와 보안 방어 기술의 혁신 경로 등에 대해 심도 있는 대화를 나누었다.
구융휘 교수는 보안을 사후적 조치가 아닌 기본 원칙으로 삼아야 하며, 프로젝트 초기 단계부터 전략에 통합되어야 한다고 강조하며 "웹3.0 애플리케이션의 신뢰성 기반을 마련하기 위해 '보안 우선(Security-first)'의 능동적 전략이 매우 중요하다"고 말했다. 구체적으로는 형식적 검증(Formal Verification), 제로지식 증명(Zero-Knowledge Proof), 다자간 계산(MPC) 등의 첨단 기술을 적극 활용해 블록체인 프로토콜과 스마트 계약의 보호 능력을 전면적으로 강화할 것을 제안했다. 이는 바로 그가 CertiK를 설립한 초심이자 비전으로서, 엄밀한 형식적 검증 기술을 통해 웹3.0 세계를 더욱 안전하고 신뢰할 수 있게 만들겠다는 목표다.
이러한 보안에 대한 고집은 단기적인 시장 흐름에서 비롯된 것이 아니라, 구 교수의 오랜 기술적 이상과 실천의 결과다. 예일대 박사 과정 시절 구글 팀이 "무결점"이라 평가한 CertiKOS 시스템 개발에 참여했던 경험에서 시작해, 현재까지 5300억 달러 이상의 디지털 자산을 지키는 보안 장벽을 구축하며 산업 전반의 보안과 신뢰도 제고에 꾸준히 기여해왔다.
그는 반복적으로 "보안은 경쟁 우위가 아니라 공동 책임"이라고 주장하며, 연구실의 학술 성과를 산업 현장의 보안 실천으로 전환하는 동시에 이 '공동 책임'의 개념을 산업 협력에도 녹여내고 있다. 일류 아카데미에서 걸어 나온 이 기술 리더는 수학적 논리의 검증 가능성을 통해 해커 공격의 불확실성에 맞서며, 기술적 이상과 현실 사이에서 웹3.0 시대의 보안 좌표를 확고히 하고 있다.
급속도로 발전하는 웹3.0 분야에서 블록체인 보안은 점점 더 중요한 요소가 되고 있다. 본 기사는 컬럼비아대 컴퓨터과학 교수이자 CertiK 공동 창립자가 이끄는 CertiK의 미션에 주목한다. CertiK는 형식적 검증 기술을 통해 블록체인과 스마트 계약의 보안을 강화함으로써 웹3.0 보안 분야의 선두주자로 자리매김했으며, 생태계 전체의 보안 방어를 강화하는 데 앞장서고 있다.
<코리아 IT 타임스>는 CertiK가 발표한 <Hack3d: 2025년 1분기 보안 리포트>를 심층 분석하며 디지털 자산 도난 및 보안 위협의 새로운 동향을 드러냈다. 또한 제로지식 증명, 다자간 계산 등 최첨단 기술에 대해 살펴보고 블록체인 개발자들에게 실용적인 조언을 제공하며, AI가 보안 분야에서 맡는 이중적 역할도 논의했다. 전통 금융기관들이 점차 블록체인 영역에 진입함에 따라 보안 도전 과제도 한층 심화되고 있으며, 사용자를 보호하고 생태계의 무결성을 유지하기 위한 능동적 조치가 무엇보다 중요해지고 있다. 본 기사는 종사자들에게 핵심적인 통찰을 제공함으로써 복잡한 블록체인 보안 환경 속에서도 안정적으로 나아갈 수 있도록 돕는 것을 목표로 한다.
Q: 자기소개와 CertiK의 핵심 미션에 대해 간단히 설명해 주세요.
A: 저는 CertiK의 공동 창립자이자 CEO이며, 동시에 컬럼비아대학교 교수입니다. 저는 물론 CertiK 자체도 웹3.0 생태계의 보안 강화라는 목표에 깊이 뿌리를 두고 있습니다.
CertiK는 2017년에 설립되었으며, 핵심 아이디어는 형식적 검증 기술을 활용해 블록체인 프로토콜과 스마트 계약의 보안을 지속적으로 모니터링하고 강화하여, 안전하고 올바르게 작동하도록 보장하는 것입니다. 우리는 학계와 산업계의 최신 기술을 통합해, 보안을 확보한 상태에서 웹3.0 애플리케이션이 지속적으로 확장될 수 있도록 지원합니다. 지금까지 4,900개 이상의 기업 고객에게 서비스를 제공했으며, 누적 5,300억 달러 이상의 디지털 자산을 보호하고, 11만 5,000개 이상의 코드 결함을 식별했습니다.
Q: CertiK가 최근 발표한 <Hack3d: 2025년 1분기 보안 리포트>에서 어떤 주요 발견이 있었나요?
A: 2025년 1분기에는 체인 상의 사기 사건으로 인한 손실이 약 16.6억 달러에 달하며, 직전 분기 대비 무려 303% 급증했습니다. 이는 주로 2월 말 Bybit 거래소 해킹 사건 때문인데, 이때 해커가 약 14억 달러를 탈취했습니다. 이전 몇 분기와 마찬가지로, 이번 분기에도 이더리움(Ethereum)이 주요 공격 대상이었습니다. 3건의 보안 사건에서 총 15.4억 달러의 자산 손실이 발생했습니다. 더욱 충격적인 사실은, 1분기에 도난당한 자산 중 겨우 0.38%만이 회수되었다는 점입니다.
Q: 이전 분기들과 비교해 블록체인 공격의 주요 목표가 변화했나요?
A: 2025년 1분기의 추세는 2024년 말의 양상을 이어받고 있습니다. 이더리움은 여전히 공격의 중심에 있습니다. 2024년 4분기에는 이더리움에서 99건의 보안 사건이 발생했고, 1분기에는 93건이 발생했습니다. 이는 지속되는 현상입니다. 2024년 내내 이더리움 기반 프로젝트가 가장 많은 보안 사건을 겪었으며, 2025년에도 이러한 상황이 계속되고 있습니다.
Bybit 해킹 사건 역시 대표적인 사례입니다. 이더리움 생태계 기반의 Safe-Wallet 지갑이 침투당해 막대한 피해를 입었습니다. 이더리움이 공격의 핵심 대상이 되는 이유는 DeFi 프로토콜이 많고, 그에 묶인 자산 규모가 크기 때문이며, 동시에 다수의 스마트 계약에 취약점이 존재하기 때문입니다.
Q: 점점 더 정교해지는 공격 수법에 대응해 블록체인 보안 업계는 어떻게 대처하고 있나요?
A: 공격자들은 사회공학, AI 기술, 스마트 계약 조작 등 복잡한 전략을 점점 더 많이 활용해 기존 보안 방어 체계를 우회하고 있습니다. 디지털 자산의 광범위한 적용과 가치 상승에 따라 업계는 새로운 상황에 적응해야 하며, 프로젝트의 무결성과 사용자 자산의 보안을 반드시 확보해야 합니다.
업계는 이러한 도전에 적극적으로 대응하며 제로지식 증명(ZKP)과 체인 상 보안 등 혁신 기술의 발전을 추진하고 있습니다. 이러한 기술들은 점점 더 심각해지는 보안 문제에 유망한 해결책을 제공합니다. 개인정보를 보호하면서도 거래 감사를 가능하게 하고, 공격 추적과 자산 회수가 가능한 방향으로 나아가고 있습니다. 다자간 계산(MPC) 기술은 개인키 관리 권한을 여러 참가자에게 분산시켜 단일 실패 지점을 제거하며, 무단 접근으로 지갑을 해킹하려는 공격자의 난이도를 크게 높입니다. 이러한 보안 기술들이 계속 진화함에 따라, 해커 공격에 저항하고 탈중앙화 생태계의 무결성을 유지하는 데 중요한 역할을 할 것입니다.
Q: 블록체인 개발자와 프로젝트 팀에게 어떤 보안 조언을 하시겠습니까?
A: 처음부터 보안을 우선순위에 두는 것은 절대 타협해서는 안 되는 원칙이어야 합니다. 보안을 개발의 모든 단계에 통합하고, 사후적 조치가 아닌 능동적으로 접근하면 잠재적 결함을 조기에 발견할 수 있으며, 장기적으로 시간과 자원을 크게 절약할 수 있습니다. 이러한 '보안 우선'의 능동적 전략은 신뢰할 수 있는 웹3.0 애플리케이션을 만드는 데 있어 매우 중요합니다. 보안을 개발 전 과정에 통합하면 결함을 사전에 발견해 후속 수정 비용을 줄일 수 있습니다.
또한, 블록체인 보안 기관에 의뢰해 포괄적이고 공정한 제3자 감사를 받는 것도 내부 팀이 간과할 수 있는 잠재적 위험을 독립적인 시각에서 파악하는 데 도움이 됩니다. 외부 평가는 중요한 검토 단계를 제공하며, 문제를 조기에 식별하고 수정함으로써 프로젝트 전체의 보안성을 강화하고, 사용자 신뢰를 더욱 높이는 데 기여합니다.
Q: AI는 블록체인 보안에서 어떤 역할을 하나요? 긍정적인 영향을 주나요, 아니면 새로운 위험을 가져오나요?
A: AI는 CertiK 보안 체계의 중요한 도구이며, 이미 블록체인 시스템 보안을 확보하기 위한 핵심 전략 중 하나로 채택되었습니다. CertiK는 AI 기술을 활용해 스마트 계약 내의 결함과 잠재적 보안 약점을 분석함으로써, 이전보다 훨씬 효율적으로 포괄적인 감사를 수행할 수 있습니다. 하지만 AI는 인간 전문가 팀의 감사를 완전히 대체하지는 못합니다.
다만, 공격자들도 AI를 이용해 공격 수단을 강화할 수 있다는 점에 주목해야 합니다. 예를 들어, AI는 코드의 약점을 식별하거나 합의 메커니즘과 방어 시스템을 회피하는 데 사용될 수 있습니다. 이는 보안 대응의 장벽을 높이는 것이며, AI의 보편화가 진행됨에 따라 업계는 더욱 강력한 보안 솔루션에 투자해야 합니다.
Q: 형식적 검증이란 무엇이며, 블록체인 감사 효과를 어떻게 높이나요?
A: 형식적 검증은 컴퓨터 프로그램이 기대한 대로 작동한다는 것을 수학적 방법으로 증명하는 기술입니다. 프로그램의 특성을 수학 공식으로 표현하고, 자동화된 도구를 사용해 이를 검증하는 방식입니다.
이 기술은 하드웨어 설계, 소프트웨어 엔지니어링, 네트워크 보안, AI, 스마트 계약 감사 등 다양한 기술 분야에 폭넓게 적용될 수 있습니다. 그러나 형식적 검증이 인간의 감사를 완전히 대체하는 것은 아니라는 점을 강조해야 합니다. 스마트 계약의 경우, 형식적 검증은 자동화된 방법으로 계약의 논리와 행동을 평가하는 데 사용되지만, 인간의 감사는 보안 전문가가 코드, 설계, 배포 전반을 종합적으로 점검해 잠재적 보안 위험을 식별하는 과정입니다. 두 방법은 서로 보완되며, 스마트 계약 전반의 보안성을 함께 높입니다.
Q: 전통 금융기관이 블록체인 분야에 진입함에 따라, 보안 위협의 유형이나 복잡성이 변화할 것 같나요?
A: 웹3.0과 블록체인 산업 초창기에는 공격자들이 주로 개인 사용자나 소규모 프로젝트를 표적으로 삼았으며, 피싱 공격, 러그풀(RugPull), 지갑 취약점 악용 등의 수법을 사용했습니다. 우리가 발표한 <2025년 1분기 Hack3d 리포트>에 따르면, 이러한 문제들은 여전히 존재합니다. 그러나 전통 기관과 대기업이 진입함에 따라, 네트워크 무결성에 대한 보안 위험도 새로운 단계로 접어들고 있습니다. 이 변화의 배경에는 프로젝트 자산의 규모 증가뿐 아니라, 기업용 애플리케이션만의 독특한 보안 요구사항, 규제 요건, 그리고 블록체인과 전통 금융 시스템의 심층적 융합이 자리하고 있습니다.
대부분의 전통 기관은 사이버 위협에 대응한 경험을 갖추고 있기 때문에, 악의적 행위자들도 공격 수법의 복잡성을 높일 것으로 예상됩니다. 기존의 일반적인 지갑 취약점 공격에서 벗어나, 구성 오류, 맞춤형 스마트 계약의 결함, 전통 시스템과의 연계 인터페이스에서 나타나는 보안 약점 등에 초점을 맞춘, 더욱 정교하고 타깃화된 공격으로 전환될 것입니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
