정보 보안에서 가장 효과적인 방어 수단은 코딩 기법이나 기술 그 자체가 아니라 경제적 유인이란 분석이 나왔다. 사소해 보일 수 있는 ‘버그 바운티’(bug bounty, 보안 취약점 신고 보상금제도)가 수십억 달러(수조 원대)의 해킹 피해를 막아왔으며, 이는 윤리적 해커들이 책임 있는 공개를 선택하도록 유도한 강력한 보상 구조 덕분이라는 설명이다.
이 같은 보상 시스템이 제대로 작동하려면, 화이트 해커가 취약점을 악용해 얻을 수 있는 이득보다 신고를 통해 받는 보상이 커야 한다. 하지만 최근 일부 플랫폼들이 비용을 줄이기 위해 허용 보상금 상한을 낮추는 방식으로 정책을 바꾸면서, 위험한 흐름이 나타나고 있다. 시장 경쟁이 화이트 해커를 옹호하는 구조를 오히려 갉아먹고 있다는 것이다.
보안 연구자들의 흥미를 끌 수 있으려면, 자산 위험 수준에 따라 보상금 규모도 비례해 커져야 한다. 예를 들어 1,000만 달러(약 139억 원) 규모의 자산 탈취 가능성이 있는 취약점이라면, 그에 상응해 최소 100만 달러(약 13억 9,000만 원) 정도의 바운티를 제시해야 합리적이다. 현실적으로 해킹 피해 규모를 감안하면 이는 오히려 ‘저렴한 보험’에 가깝다는 평가다. 다만, 실제 프로토콜 운용 시장에서는 정반대 현상이 포착되고 있다. 저가 요금제를 앞세운 일부 보안 플랫폼들이 5만 달러(약 6,950만 원) 이하로 바운티를 제한하면서, 프로젝트들은 현실과 괴리된 수준의 보상책을 채택하고 있는 것.
실제로, 최근 1,200만 달러(약 167억 원) 규모 해킹 사고를 당한 Cork 프로토콜의 사례는 대조적 교훈을 남긴다. 해당 프로젝트는 핵심 버그 보상금으로 10만 달러(약 1억 3,900만 원)만 책정해 두고 있었다. 해커 입장에서 보면, 수십 억 원에 이르는 해킹 기회 대신 1억 원대 보상금을 택할 이유가 없다. 이런 보상 구조는 오히려 해킹을 부추기기 쉽다.
보안 전문가들은 수백억 원의 자산이 잠겨 있는 프로토콜들이 수천만 원대 보상금만 걸 경우, 이는 “해커의 양심에 기대는 전략이자 희망에 의존하는 방어 체계”라고 경고한다. 이미 크립토 산업은 수차례 대규모 사고를 겪으며, 제대로 된 보상금 체계가 얼마나 중요한지를 입증해왔다. 메이커다오(MakerDAO)는 1,000만 달러(약 139억 원) 규모의 바운티를 설정하며 ‘보호의 가치’를 시장에 각인시켰고, 웜홀(Wormhole)도 유사한 금액의 보상을 통해 신뢰 회복에 나선 바 있다. 본질적으로 보안 연구자들이 해킹보다 신고를 택하게 하려면, 그에 걸맞은 인생을 바꿀 만큼의 동기가 있어야 한다.
하지만 이상적인 사례가 무색하게, 최근 생겨난 플랫폼들은 오히려 문제를 악화시키는 정책을 택하고 있다. 보상금 상한을 둘 뿐 아니라, 연구자들의 활동 영역을 제한하는 배타적 계약을 요구하거나 취약점 발표 이후 보상을 깎는 등 신뢰 기반을 저해하는 관행들이 나타나고 있다. 이런 관행이 거듭될 경우, 유능한 화이트 해커들은 결국 생계를 위해 사설 감사업체로 이직하거나 디지털 암흑지대로 사라질 수도 있다. 더욱 큰 문제는, 이 같은 악순환이 무관심 속에 반복되는 동안 주요 프로토콜들의 보안이 구멍 난 채 방치될 수 있다는 점이다.
과거 웹2 환경에서도 동일한 오류가 재현됐다. 충분한 보상 없이 연구자들을 홀대한 결과, 수많은 화이트 해커가 공개 프로그램을 떠났고 그로 인해 주요 시스템의 취약점이 장기적으로 누적됐다. 크립토 업계가 같은 길을 밟는다면, 이는 수조 원 이상이 온체인 환경으로 전환되는 전환기에 일대 재앙이 될 수 있다.
일각에서는 초기 스타트업들이 대형 바운티를 감당하기 어렵다고 항변하지만, 보안 전문가들은 해킹으로 잃을 비용이 언제나 잘 설계된 보상금보다 크다는 점을 분명히 한다. 자금 손실도 문제지만, 유저와 시장의 신뢰는 무너지면 되돌리기 어렵다.
이제 필요한 건, 전체 업계 차원의 공감과 공동 대응이다. 버그 바운티는 단순한 비용 항목이 아니라 리스크에 비례해 설계된 보험이라는 인식이 정착돼야 한다. 이를 위해선 연구자들에 대한 정당하고 투명한 보상 체계, 플랫폼 차원의 책임 이행 그리고 지나친 긴축적 보상 구조와 플랫폼 유인을 지양하는 태도가 필요하다.
탈중앙화 경제는 결국 신뢰 기반의 시스템이다. 성장하는 암호화폐 생태계를 사용자는 물론 기관과 규제 당국이 신뢰할 수 있도록 하려면, 실제 리스크를 반영한 현실적 보상 시스템이 필요하다. 크립토 산업의 미래는 기술이 아닌 그것을 방어하는 사람들의 동기에 달려 있다.