디지털 자산 산업이 급속히 성장하면서, 웹3 생태계의 핵심 인프라인 블록체인 기술도 여전히 ‘보안’이라는 근본 과제를 마주하고 있다. 스마트 컨트랙트, 크로스체인 브리지, 탈중앙화 애플리케이션 등 고도화된 기술이 확산될수록 공격 표면은 넓어지고, 단 한 차례의 해킹 사고가 프로젝트의 존폐를 위협하는 치명적 리스크로 작용하고 있다.
이러한 환경 속에서, 14년간 ICT와 블록체인 산업 전반을 넘나든 실전형 보안 전문가 매트 왕(Matt Wang)이 CertiK의 Auditing Partner로 활동하며 주목받고 있다. 그는 “웹3 보안은 생태계 전체의 공동 책임”이라고 강조하며, 사전 예방과 실시간 대응이 가능한 구조적 보안 체계의 중요성을 역설한다.
이번 인터뷰에서는 CertiK의 기술 전략, AI 기반 감사 시스템, 글로벌 규제 기관과의 협력 경험, 그리고 중장기 로드맵까지 폭넓게 들어봤다.
Q. 간단히 본인 소개와 CertiK에 대해 말씀 부탁드립니다.
저는 모바일 코어 네트워크 솔루션 설계자로 7년, 블록체인 기술 분야에서 디앱, 프로토콜, 중앙화 거래소, 보안 등 다양한 영역에서 7년 동안 경력을 쌓았습니다. 전통 ICT 생태계와 탈중앙화 환경 모두에서 실무 경험을 갖추고 있으며, 블록체인 분야에서는 핵심 개발자로 시작해 현재는 보안 전문가로 CertiK에서 활동하고 있습니다.
CertiK은 2017년 12월, 예일대학교와 컬럼비아대학교 교수진이 공동 설립한 글로벌 웹3 보안 서비스 기업으로, 스마트 컨트랙트 감사와 온체인 모니터링, 실시간 위협 대응 등 다양한 보안 솔루션을 제공합니다. 프로젝트의 초기 인큐베이션부터 성숙기까지 전체 생애주기를 지원하고 있으며, 업계 내 최대 규모를 자랑합니다.
Q. 블록체인 보안 분야에 뛰어들어 CertiK에 합류하게 된 계기는 무엇인가요? 웹3 보안에서 가장 중요하게 생각하는 철학이 있다면요?
처음에는 코스모스 생태계의 핵심 개발자로서 웹3 기술의 개방성과 혁신에 큰 감명을 받았습니다. 하지만 반복되는 해킹 사고와 취약점을 목격하면서, 생태계를 ‘구축하는 것’ 못지않게 ‘보호하는 것’이 중요하다는 점을 절실히 느꼈습니다. 그 과정에서 CertiK와 인연을 맺었고, 생태계의 근본적인 무결성을 지키는 데 기여하고 싶다는 확신이 생겼습니다.
웹3 보안은 ‘공동의 책임’이라고 생각합니다. 악의적 공격자보다 한 발 앞서기 위해선 지속적이고 사전 예방적인 노력이 필요하며, 감사자는 웹3 세계의 ‘이퀄라이저(균형자)’로서 중요한 역할을 한다고 믿고 있습니다.
Q. 보안 기술이 발전하고 있지만 여전히 거래소 해킹은 발생하고 있습니다. 그 주된 원인은 무엇이고, 근본적인 해결책은 무엇이라고 보시나요?
다양한 원인이 있지만 다음 네 가지를 주요 요인으로 보고 있습니다.
첫째, 시스템 구조가 너무 복잡합니다. 온체인·오프체인 구성 요소, 크로스체인 브리지, API, 커스터디 서비스 등 다양한 요소들이 통합되면서 공격 표면이 넓어졌습니다.
둘째, 위협이 계속 진화하고 있습니다. 단순한 코드 취약점뿐 아니라 피싱, 내부자 위협, 소셜 엔지니어링 등 복합적인 방식이 동원되고 있습니다.
셋째, 운영 측면의 공백도 큽니다. 개인 키 관리의 허술함, 미비한 권한 제어, 사고 대응 절차 부재 등이 치명적입니다.
넷째, 보안에 대한 접근 방식이 수동적입니다. 단발성 감사를 끝으로 보안을 다했다고 착각하는 경우가 많습니다.
해결 방안으로는 다음을 강조하고 싶습니다.
Q. 최근 AI와 블록체인이 빠르게 융합되고 있는데, CertiK은 감사 프로세스에 AI를 어떻게 적용하고 있나요?
AI는 현재 CertiK 감사 전략의 핵심입니다. 두 가지 측면에 집중하고 있습니다.
첫째는 취약점 탐지입니다. AI 기반 기술을 통해 온체인 공격을 실시간 분석하고, 취약성의 출처와 메커니즘을 추적해 경고를 제공합니다.
둘째는 감사 최적화입니다. AI 도구가 알려진 취약성 패턴을 자동으로 탐지하고, 코드 로직 분석과 보고서 생성을 보조해 감사자의 효율성을 크게 향상시키고 있습니다.
공격자들도 AI를 적극 활용하고 있기 때문에, 방어 측에서도 AI를 통한 선제적 대응과 자동화된 분석이 필수라고 생각합니다.
Q. 최근 미국, 한국 등에서 스테이블코인 규제가 본격화되고 있습니다. 가장 필수적인 보안 표준은 무엇이고, CertiK의 감사 전략은 어떤가요?
규제 환경은 빠르게 변화하고 있으며, MAS(싱가포르), MiCA(유럽), HKMA(홍콩) 등 주요 기관이 구체적인 스테이블코인 가이드라인을 제시하고 있습니다. 그 공통 목표는 사용자 보호, 법적 명확성, 금융 시스템 안정성입니다.
CertiK은 이를 위해 다음과 같은 전략을 수행합니다.
기술과 규제를 연결하는 다리 역할을 하며, 스테이블코인 프로젝트가 안정성과 규정 준수라는 두 축을 동시에 충족할 수 있도록 돕고 있습니다.
Q. CertiK은 여러 규제 기관과 협력해 온 것으로 알고 있습니다. 기억에 남는 협력 사례가 있다면 소개 부탁드립니다.
홍콩 금융당국과의 협력 사례가 특히 기억에 남습니다. CertiK은 홍콩 금융관리국(HKMA)과 금융서비스국(FSTB)에 스테이블코인 규제 프레임워크에 대한 제안서를 두 차례 제출했고, 모두 채택되었습니다.
또한 사이버포트와의 협력을 통해 현지 웹3 기업 대상 보안 교육 프로그램을 운영하고 있으며, 많은 기업들이 라이선스 취득 과정에서 CertiK의 보안 아키텍처 설계 및 감사를 지원받고 있습니다.
이러한 경험은 보안 전문가가 규제 설계 과정에서도 중요한 기여를 할 수 있다는 점을 보여줍니다.
Q. 보안 기술 측면에서 CertiK이 최근 집중하고 있는 분야는 어떤 것이며, 공유할 수 있는 성과가 있다면 알려주세요.
현재는 정형검증(Formal Verification) 기술을 스마트 컨트랙트에서 합의 메커니즘, 크로스체인 브리지, 영지식 증명 등 더 복잡한 구조로 확장하고 있습니다. 대표적으로 zkWasm, TON 마스터 체인, Ant Group의 하이퍼엔클레이브 TEE 등에 적용되었습니다.
이외에도 이더리움 재단으로부터 zkEVM 정형검증 관련 두 건의 연구 보조금을 수주했고, ‘이더리움 어택톤 2025’에서는 총 20건의 유효 취약점 보고서를 제출해 전체 3위를 기록했습니다. 특히 유일하게 3개 주요 실행 레이어 노드 클라이언트를 모두 커버한 보안 팀으로서도 의미가 컸습니다.
Q. 마지막으로, CertiK의 향후 중장기 로드맵이나 계획이 있다면 공유 부탁드립니다.
중장기적으로는 다음 세 가지에 집중하고 있습니다.
고객의 요구가 진화하는 만큼, 보안 서비스도 기술적으로 정교해져야 한다고 생각합니다. CertiK은 생태계의 모든 참여자가 더 안전하게 혁신할 수 있도록 전체 생애주기 기반 보안 솔루션을 지속 확장해 나갈 계획입니다.