CertiK, Web3 신뢰 구축 위한 새로운 보안 모델 제시

지난 11일, 글로벌 Web3 및 AI 컨퍼런스인 Proof of Talk 기간 중 CertiK CBO인 Jason Jiang은 ‘Web3 프로토콜 신뢰 구축(Building Trust in Web3 Protocols)’을 주제로 열린 패널 토론에 초청되어 Innerworks의 CEO 겸 공동 창립자 Oliver Quie, Hacken CPO Denis Ivanov와 함께 ‘Web3 프로젝트에서 진정성 있고 지속 가능한 신뢰를 어떻게 구축할 것인가’를 논의했다.

‘보안 감사’가 점차 마케팅 수단으로 전락하는 상황에서, Web3 프로젝트들은 ‘보안 감사 세탁(audit-washing)’을 어떻게 피하고 미래 지향적인 보안 신뢰를 구축할 수 있을까?

패널 토론에서 Jason Jiang은 현재 업계에 뚜렷한 ‘ 보안 감사 세탁’ 현상이 존재한다고 지적했다. 일부 프로젝트는 단지 감사 보고서 하나만으로 자신들의 ‘안전성’을 주장하며, 보고서의 유효성이나 범위, 결과와 관계없이 이를 ‘보안 배지’로 활용한다는 것이다.

그는 “높은 수준의 정적 코드 검증도 보안 모델의 일부에 불과하다”며 “필수적이지만 그 자체만으로는 충분하지 않다”고 강조했다. 많은 리스크는 보안 감사 이후에 발생한다. 예를 들어, 업그레이드 가능한 스마트 컨트랙트가 감사 후 새로운 공격 지점을 만들거나, 거버넌스 메커니즘의 이탈이나, 외부 계정(EOA)이 관리 기능을 통제하는 경우 등이 보안 감사 시 가정을 무너뜨릴 수 있다.

또한 정적 분석으로는 포착하기 어려운 리스크도 존재한다. 예를 들어 오라클, 크로스체인 브리지, 유동성 변화, 컴포저빌리티(composability) 등이 새로운 동적 의존성을 만들어낸다.

이에 Jason Jiang은 “보안 감사를 받았다는 사실이 곧 ‘안전하다’는 의미는 아니다”라고 강조했다.

CertiK의 모듈화 및 실시간 보안 모델

이러한 도전에 대응하기 위해 Jason Jiang은 CertiK이 적극적으로 개발하고 추진하는 ‘조합 가능하고 지속적인 검증 및 신뢰 메커니즘’에 대해 자세히 설명했다.

첫째, CertiK은 온체인 보안 감사 증명 메커니즘 구축을 적극 추진 중이다. 감사 보고서는 암호화 서명을 거쳐 온체인에 저장되며, 특정 스마트 컨트랙트 바이트코드의 해시와 연결된다. CertiK은 이 메커니즘이 업계 표준으로 자리잡도록 노력하고 있다.

둘째, 실시간 보안 모니터링과 보안 점수이다. CertiK은 Skynet 플랫폼을 통해 스마트 컨트랙트 상호작용(예: 플래시론, 권한 상승), 트레저리 지갑 동작, DAO 거버넌스 리스크(예: 제안 주입), 토큰 경제의 이상 변동 등을 실시간으로 모니터링한다. 이를 기반으로 실시간 리스크 프로파일을 생성해 사용자에게 지속적인 보안 상태 피드백을 제공한다.

셋째, 지속적인 검증 프로세스 구축이다. CertiK은 코드 변경 시 차이 퍼즈 테스팅(Fuzz testing), MEV 봇 및 샌드위치 공격 시뮬레이션 등 공격 모델 테스트, 거버넌스나 업그레이드 사건 발생 시 새로운 감사 프로세스 실행 등 개발 전 생애주기(CI/CD)에 보안 검사를 통합한다.

넷째, AI 지원 감사 및 협업 검증을 탐색 중이다. CertiK은 사전 감사 필터링과 대규모 안티패턴 식별을 위해 AI 모델을 연구하고 있으며, 이를 통해 감사자가 프로토콜 핵심 로직, 엣지 케이스, 프로토콜 맥락 분석에 집중할 수 있도록 하여 ‘인간과 AI 협업에 의한 대규모 보안 보장’을 실현하고자 한다.

프로토콜 설계: 신뢰를 구축하는 아키텍처의 기초

프로토콜 설계가 사용자 신뢰에 미치는 영향에 대해 Jason Jiang은 많은 리스크가 코드 취약점에서 비롯되는 것이 아니라, 아키텍처의 가정에서 발생한다고 강조했다. 특히 권한, 통제권, 업그레이드 메커니즘에서 명확하지 않은 가정들이 신뢰에 큰 영향을 미친다고 지적했다.

그는 신뢰에 중요한 영향을 주는 몇 가지 핵심 설계 요소를 분석했다.

먼저, 업그레이드 가능성과 불변성 측면에서, 프로젝트가 업그레이드 기능을 유지해야 한다면 다중 서명 제어를 반드시 적용하고, 시간 지연이 있는 온체인 거버넌스 메커니즘과 결합해야 한다. 또한 커뮤니티에 명확한 거부권을 부여해 소수의 외부 계정(EOA)이 핵심 권한을 독점하는 것을 방지하고 탈중앙화를 지켜야 한다.

모듈화 및 오픈소스 측면에서는 핵심 알고리즘, 트레저리 지갑 관리, 거버넌스 모듈 등 주요 구성 요소를 분리하여 설계해야 한다. 각 모듈은 독립적으로 테스트 및 검증이 가능해야 하며, 복잡한 의존성에서 오는 리스크를 최소화해야 한다. 또한 타임락, 일시 중지 가능한 컨트랙트, 차단 메커니즘 등 투명한 실패 방지 체계와 명확한 비상 대응 절차가 마련되어야 하며, 숨겨진 ‘긴급 권한’이 이러한 메커니즘을 무력화하지 않도록 해야 한다.

마지막으로, 거버넌스는 완전히 온체인화되어야 하며 감사 가능성을 갖춰야 한다. 누가 어떤 업그레이드 권한을 보유하고 있는지, 업그레이드 절차가 어떻게 운영되는지, 시간 제한은 어떻게 설정되는지를 명확히 공개해야 한다. 그래야만 거버넌스가 이론에 그치지 않고 실제로 작동할 수 있다.

Web3 신뢰 공식: 신뢰 = 코드 + 행동 + 문화 + 컴플라이언스

Web3가 가진 고유한 도전 과제인 고도의 탈중앙화와 신원 보증 부재 환경 속에서, Jason Jiang은 신뢰 구축을 위한 공식을 제시했다. 신뢰는 ‘코드 + 행동 + 문화 + 컴플라이언스’의 조합이라는 것이다.

그는 프로토콜이 신뢰를 얻기 위해서는 코드 품질뿐 아니라, 프로젝트가 위기 상황에서 보여주는 행동도 매우 중요하다고 강조했다. 특히 다음 세 가지 핵심 행동이 필수적이다.

첫째, 프로젝트는 버그 바운티 프로그램을 도입하고 꾸준히 운영해야 한다. 프로그램의 자금 확보, 대응 속도, 보상 지급의 효율성은 프로젝트 운영 성숙도와 투명성에 대한 의지를 반영한다.

둘째, 보안 사고 발생 시 투명하고 상세하며 기술적으로 엄밀한 사후 분석 보고서를 공개해야 한다. 보고서에는 사고 원인, 실수 인정, 영향 평가, 개선 방안 등이 포함되어야 하며, 이를 통해 위기 속에서도 신뢰를 쌓을 수 있다.

셋째, 프로젝트는 시간이 지나면서 회복력을 입증해야 한다. 이는 시장 변동에 대한 대응력, 보안 위협에 대한 신속하고 투명한 대응, 신종 공격에 대한 지속적 적응 능력으로 나타난다. Jason Jiang은 “암호화폐 세계에서 1년은 전통 산업의 8년에 해당한다. 6년간 안정적으로 운영된 프로젝트는 반세기의 신뢰를 쌓은 것과 같다”고 말했다.

이번 Proof of Talk 패널 토론에서는 업계 최고 보안 전문가들이 모여 Web3 신뢰의 기초를 재구축하고 지속 가능한 발전을 위해 다차원적 협력이 필요하다는 데 의견을 모았다. 여기에는 근본 기술 혁신, 프로토콜 설계 최적화, 프로젝트 행동의 장기 검증이 포함된다.

이러한 배경에서 CertiK이 제시하는 실시간 모듈화 보안 모델과 ‘코드 + 행동 + 문화 + 컴플라이언스’ 신뢰 프레임워크는 업계에 중요한 방향을 제시한다.

글로벌 최대 Web3 보안 기업인 CertiK은 ‘감사 = 보안’에서 ‘보안 = 서비스’로의 전환을 이끌며, 전 생애주기 제품과 커뮤니티 협업, AI 기술을 바탕으로 Web3 개발자들에게 신뢰할 수 있고 안전하며 투명한 환경을 제공할 것이다.