[Xangle Digest]
※해당 컨텐츠는 외부에서 기발간 된 컨텐츠입니다. 컨텐츠에 대한 추가적인 주의사항은 본문 하단에서 확인해주세요.
목차
I. 들어가며
II. 스마트 컨트렉트 오딧의 4가지 트렌드
III. 스마트 컨트렉트 오딧을 어떻게 바라봐야 할까?
I. 들어가며
1. 스마트 컨트렉트 오딧이란?
스마트 컨트렉트 오딧(Audit, 감사)은 블록체인 프로젝트의 코드 보안 감사를 뜻한다. 스마트 컨트렉트 코드의 보안 취약점을 찾아내기 위해 외부 전문 기관에게 기술적인 점검을 받는 것이다. 이 용역을 전문적으로 수행하는 기관으로 블레이즈(Blaize), 서틱(CertiK), 해큰(Hacken) 등이 있다.
스마트 컨트렉트 오딧은 대부분 블록체인 프로젝트에게 매우 중요하다. 일반적인 소프트웨어 서비스(중앙화 서비스)는 코드 오류로 인한 문제가 발생했을 때, 소유자가 이전 상태로 되돌릴 수 있지만 블록체인 서비스(탈중앙화 서비스)는 이전 상태로 되돌릴 수 없기 때문이다. 예를 들어 해킹을 당해 디지털 자산이 이동됐다면 이를 마음대로 되돌릴 수 없다. 또한 일반적인 소프트웨어 서비스는 코드에서 오류를 발견했을 때 마음대로 수정할 수 있지만, 블록체인 서비스는 코드를 수정하려면 스마트 컨트렉트를 다시 작성하여 블록체인 네트워크에 새롭게 배포해야 한다.
2. 스마트 컨트렉트 오딧의 변화
지난 10여년간 디앱(dApp, 탈중앙화 서비스)의 기능이 더 고도화되고, 이를 뒷받침하는 기술들이 더 복잡해짐에 따라 스마트 컨트렉트 오딧 시장 또한 빠르게 성장하고 있다.
많은 디앱들이 멀티체인 위에서 작동하고 있으며 EVM, Move VM과 같이 네트워크 통합을 위해 개발된 다양한 가상머신, 옵티미즘이나 아비트럼 같은 L2 솔루션, 액셀라나 웜홀과 같은 크로스체인 메시징 프로토콜, 레이어제로나 스타게이트 같은 크로스체인 유동성 관리 서비스 등 새로운 형태의 네트워크도 출현했다.
지금까지 약 75억달러의 크립토 자산이 해킹되었다. 특히 전체 해킹의 75%가 디파이 관련 프로젝트에서 발생하였는데, 디파이가 보급된 시점이 불과 3년 전이라는 것을 고려하면 스마트 컨트렉트 고도화에 따른 위협이 얼마나 빠르게 증가하고 있는지 알 수 있다.
Web3.0의 기술 혁신은 보안 패러다임에도 상당한 변화를 요구하고 있다. 해커들로부터 새로운 네트워크와 디앱들을 어떻게 보호할 수 있을지, 스마트 컨트렉트 오딧에 대한 최신 트렌드를 살펴보겠다.
II. 스마트 컨트렉트 오딧의 4가지 트렌드
스마트 컨트렉트는 빠르게 진화하고 있다. 과거에는 간단한 어플리케이션에서 제한적인 역할만을 수행했지만 지금은 매우 복잡한 시스템이나 고도화된 플랫폼에 적용되며 비즈니스의 핵심적인 역할을 담당하고 있다. 이외에도 계정 추상화, MPC(다자간 연산), ZK기술 등 새로운 기술들이 지속적으로 출시되고 있다. 이러한 이유 때문에 스마트 컨트렉트 오딧 업체는 상당히 높은 기술 수준을 갖추고, 블록체인 기술 트렌드를 지속적으로 연구할 필요가 있다.
트렌드 1) Security is a Continuous Process
스마트 컨트렉트 오딧의 최근 트렌드 첫 번째는 프로젝트 라이프사이클의 모든 단계를 지원한다는 것이다. 보안은 단순히 서비스 출시 전 프로토콜을 감사하는 것으로는 달성할 수 없기 때문이다. 최근 발생한 Yearn과 Palmswap 해킹 사건이 프로토콜 배포 후 발생한 부적절한 설정으로 보안이 침해된 대표 사례이다. 따라서 오딧 업체는 고객사가 프로토콜을 배포한 이후 단계에도 감사를 진행하여 전체 설정을 마지막까지 확인할 필요가 있다.
전체 설정을 감사한 이후에도 정기적인 감사가 필요하다. 디앱이 지속적인 개발, 서비스 확장, 마이그레이션 등을 위해 정기 업데이트를 진행하기 때문이다. 일회성 감사를 통해 프로토콜이 안전하다고 할 수 없으며 가장 이상적으로는 신규 구성 요소의 출시, 중요 업데이트 등이 있을 때마다 지속적으로 감사를 받아야 한다.
트렌드 2) Active Protection
배포된 프로토콜에 대해 지속적으로 보안 조치를 실행하는 것(Active protection)도 최근 트렌드로 볼 수 있다. 지속적인 보안 조치를 요청하는 프로젝트가 늘어나고 있으며 대표적으로 멤풀(Mempool, 트렌젝션을 임시로 저장하는 메모리 풀) 모니터링, 트랜잭션 패턴 분석, 계정 행동 분석, 셧다운 시스템(풀에 있는 자금에 락업을 거는 것) 등의 서비스를 제공한다.
오딧과 리뷰가 보안 문제를 예방하는 방법인 반면, 프로토콜에 대한 지속적인 보안 조치는 플랫폼의 보안을 즉각적으로 강화하고, 해킹 위협이 발생했을 때 바로 대응할 수 있도록 하는 것이다. 따라서 최근에는 예방 전략과 위협 분석을 통합하여 오딧을 진행하는 경우가 많다(오딧 업체들이 이 둘을 묶어서 서비스로 제시하는 경우도 있음).
트렌드 3) Security Review VS Security Audit
올해 등장한 또다른 트렌드는 단독 오딧(solo auditing)이다. 여러 전문가로 구성된 팀 대신 한 명의 전문가가 커뮤니케이션 비용을 크게 줄여 오딧을 진행하는 것이다. 다만 이에 대한 단점도 존재한다. 그 1인 전문가가 화이트 해커로 활동한 경험이 있을 정도로 뛰어난 인력이여야 하고, 다양한 전문성을 가진 여러 전문가 팀이 없기 때문에 여러 관점에서의 위협을 감지하지 못할 가능성도 있다.
이에 단독 오딧 전문가들은 보안 오딧 대신 보안 리뷰(검토)라는 새로운 용어를 만들어냈다. 보안 부문의 전문가와 함께 스마트 컨트렉트를 리뷰 할 수 있다는 의미다. 보안 검토는 속도가 빠르기 때문에 연속적인 업데이트에 대한 보안을 검토하기에는 좋다. 물론 전체 프로토콜에 대해서 더 세부적으로 보안 검토가 필요하다면 정식으로 보안 오딧을 받는 것이 맞다.
트렌드 4) Competitive Security
경쟁 오딧 역시 최근 주목받고 있는 트렌드이다. 경쟁 오딧은 Sherlock, Code4Arena 등 플랫폼을 통해 승패가 결정되는 새로운 형태의 오딧이다. 코드가 공개되기 때문에 누구나 문제를 보고할 수 있다. 문제를 발견하면 이에 따른 보상을 지급하는 방식이며, 특별한 문제나 매우 중요한 문제를 발견한다면 더 큰 보상을 지급한다.
경쟁 오딧은 보안에 대한 검토를 부분적으로 공공의 영역으로 이전하는 것이다. 오딧은 기본적으로 검토자가 많을수록 좋기 때문이다. 하지만 비용과 업무는 효율적이지 못하다. 오딧 참가자로부터 모든 보고서를 수집하고, 팀에서 검증하고, 제시된 문제가 잘못된 것이 옳다면 코드를 수정해야 하기 때문에 복잡한 프로세스와 상당한 시간이 소요됩니다. 더불어 결과에 대한 책임을 질 대상이 명확하지 않다는 점도 단점이다.
경쟁 감사는 버그 포상금이나 초기 검토를 위한 좋은 대안이 될 수 있다. 그러나 법적으로 보호되는 획기적인 기술 및 비공개 코드베이스에는 적합하지 않고, 추가적인 전문가의 도움이 필요하다는 측면에서 효율성은 떨어진다.
III. 스마트 컨트렉트 오딧을 어떻게 바라봐야 할까?
스마트 컨트렉트 오딧은 더이상 일회성 이벤트가 아니다. 프로토콜의 개발과 배포, 그리고 업데이트 단계마다 검토가 필요하기 때문이다. 이에 따라 프로토콜이 사용하고 있는 기술에 대한 높은 이해를 갖고 있으며, 프로젝트의 성장 단계에 따라 지속적으로 함께할 수 있는 오딧 업체를 찾는 것이 매우 중요하다.
따라서 오딧 업체를 구할 때에는 1) 프로젝트 초기부터 후기까지 연속적인 도움을 줄 수 있는지, 2) 최신 사례와 전문 지식을 보유하고 있는지, 3) 다양한 보안 파트너와 협력하고 있는지 등을 참고할 필요가 있다. 적극적인 오딧 환경을 통해 앞으로의 Web3 생태계가 해커의 위협으로부터 더 안전해지길 희망한다.
Appendix. 리서치 파트너 소개
블레이즈(https://blaize.tech/)는 INF크립토랩의 기술 리서치 파트너로 스마트 컨트렉트 오딧 용역을 제공하는 기관입니다. 25개 체인의 200여개 프로젝트에 각종 보안 서비스를 제공했으며 디파이 전문 외주 개발 서비스도 제공합니다. 블레이즈가 진행한 주요 프로젝트의 오딧 보고서(공개버전)는 다음 사이트(https://audits.blaize.tech/)에서 열람할 수 있으며, 관련 문의 사항은 teo@infc.co.kr로 연락 부탁드립니다.
-> 'Web3 보안과 스마트컨트렉트 오딧의 최신 트렌드' 원문 보러가기