화이트 해커의 딜레마: 프로젝트 측에만 통보할 것인가, 아니면 직접 자산을 이전할 것인가?

원문 제목：《도둑으로부터 암호화폐를 구하기 위해 수백만 달러를 해킹하는 자경단을 만나보세요》

원문 저자：로렌조 프란체스키-비키에라이

번역：곽첸원, 체인포착

3월 9일 아침, LP는 여전히 꿈속에 있었고, 갑자기 텔레그램 전화가 걸려왔다. 그녀의 말에 따르면, 이는 결코 좋은 징조가 아니었다. 그녀는 단추가 달린 잠옷을 입고 침실 커튼을 열고, 담요에서 노트북을 꺼내며, 콘택트렌즈를 끼웠다. 이제 다른 사람들의 암호화폐를 구할 시간이었다------먼저 해킹해야 했다.

LP는 박사 학위를 가진 엔지니어로, 실리콘밸리의 한 로펌에서 일한 경험이 있으며, 현재는 사이버 보안 회사인 RugDoc와 Paladin Blockchain Security의 창립자이다. 그녀는 프라이버시를 보호하기 위해 본명을 사용하고 싶지 않았다. 그녀는 암호화폐가 단순히 "좋은 사람들의 지하실에 사는" 그런 장면이 아님을 알리고 싶어 했다.

전화를 건 것은 그녀의 동료로, Fantasm이라는 암호화폐 프로토콜의 투자자에게 공격이 발생했다고 전했다. 당시 해당 프로토콜에는 수백만 달러의 유동성 자금이 투자자에 의해 잠겨 있었다.

그녀가 정신을 차리고 노트북을 켜자, 두 명의 동료와 협력하여 해커를 물리치고 가능한 한 많은 암호화폐를 구하기 위해 노력하기 시작했다. 암호화폐 세계에서는 블록체인의 불가역성 때문에 도난당한 자금은 보통 영원히 사라지며, 자금을 구하기 위해서는 도둑보다 먼저 해킹을 해야 한다.

LP는 "이런 돈을 훔치는 사람들은 매우 쉬운 방법으로 취약점을 이용할 수 있으며, 갑자기 수백만 달러가 도난당하게 된다"고 말했다.

해커와의 경쟁이 시작되었다. LP의 동료는 해커가 이용하고 있는 취약점을 발견했고, 그의 도움으로 LP는 그 취약점을 이용하기 위해 일련의 스마트 계약을 작성했다.

"좋아요, 우리가 당신들을 구했으니, 당신들은 우리에게 뭔가를 줘야 해요."

블록체인에서의 활동은 공개적이기 때문에 해킹 사건은 곧 격화되었다. LP와 동료들의 화이트 해커 활동은 여러 차례의 우여곡절을 겪으며 블록체인에 기록되었고, 해커들도 그들의 활동을 주목할 수 있었다. 이때, 다른 투기적인 해커들이 발생하는 상황을 보고 기회를 잡아 큰 돈을 벌기 시작했다. 그러나 결국 LP와 그녀의 두 동료는 수만 달러를 구출하고 해당 프로젝트의 취약점을 수정하여 해커의 공격을 저지하는 데 성공했다. 그러나 LP에 따르면, 해커는 여전히 약 800개의 ETH를 순이익으로 남겼으며, 현재 가치로 약 150만 달러에 해당한다.

"많은 사람들이 손실을 입었고, 이는 최선의 결과는 아니지만, 돌이킬 수 없는 상황으로 발전하지는 않았다."고 LP는 말했다.

LP에 따르면, 전체 작업은 약 30분 정도 지속되었다.

화이트 해커

"화이트 해커(white hat)"의 출현은 인터넷 발명 초기로 거슬러 올라가며, 처음에는 서양 영화에서 "좋은 사람은 흰 모자를 쓰고, 나쁜 사람은 검은 모자를 쓴다"는 설정에서 유래되었다. 사이버 보안 세계에서 화이트 해커는 LP와 같은 정의로운 해커로 인정받고 있다.

그러나 암호화폐 세계에서는 흰색과 검은색의 경계가 명확하지 않다.

일부 해커는 취약점을 이용해 자금을 훔치고, 보상을 받는다면 자금을 반환하겠다고 공개적으로 선언한다. 예를 들어, Poly Network에서 발생한 이상한 해킹 사건에서, 해당 회사는 해커에게 여러 차례 공개적으로 요청하며 그들을 화이트 해커라고 불렀고, 이후 해커는 약 6억 달러의 도난당한 암호화폐를 반환했다------최근의 Multichain 해킹 사건도 마찬가지이다. 우리는 이러한 사례의 해커들이 처음부터 끝까지 흰 모자를 쓰고 있었는지 확신할 수 없다. 어쩌면 그들은 도난 후 마음을 바꿨을 수도 있다. 결국 이 자금은 그들의 암호화폐 지갑에 보관되어 있으며, 전 세계의 주목을 받고 있어 압박이 커진다.

LP와 같은 "화이트 해커"도 있으며, 그들은 공격을 감행하고 자금을 구출하며, 종종 악의적인 해커와 경주를 하기도 한다. 때로는 목표 지갑이나 암호화폐 프로토콜 사용자 동의 없이 진행되기도 한다. 이러한 해커들은 항상 자금을 합법적인 소유자에게 반환하려는 의도를 가지고 있다.

이 용어가 이러한 맥락에서 처음으로 유행한 것은 아마도 2016년으로, 당시 자칭 로빈후드 그룹의 자원봉사 프로그래머들이 DAO에서 수백만 달러의 ETH를 훔친 해커와 경주를 벌였다. DAO는 당시 암호화폐 분야에서 가장 유망한 조직 중 하나였다. 당시 이 조직은 해커를 물리치고 약 1500만 달러의 ETH를 구출했으며, 이 사건은 널리 "화이트 해커 사건"으로 알려졌다. 다음 해, 현재 화이트 해커 그룹으로 알려진 이 단체는 이더리움 클라이언트 Parity가 해킹당한 후 2억 달러의 암호화폐를 구출했다.

최근 암호화폐 프로토콜과 사용자에 대한 해킹 공격이 증가하면서 이러한 행위는 더욱 빈번해졌다. 블록체인 보안 회사 Immunefi의 보고서에 따르면, 올해 첫 3개월 동안 해커와 사기꾼들이 약 123억 달러의 암호화폐를 훔쳤다.

Motherboard는 LP를 포함한 다섯 명을 인터뷰했으며, 그들은 이러한 화이트 해커 활동에 직접 참여한 경험이 있다고 밝혔다.

블록체인 보안 회사 Zellic의 공동 창립자 스티븐 통은 Motherboard와의 온라인 채팅에서 "Web3에서는 화이트 해커가 영웅으로 여겨지고 있다. 이는 확실히 윈-윈 상황이다. 사람들은 이 행동을 인정한다. 왜냐하면 내가 하지 않으면 누가 하겠는가? 적어도 나는 일부 블랙 해커들보다 낫다. 이것이 우리의 마음가짐이다."라고 말했다.

화이트 해커가 동의 없이 타인의 지갑이나 프로토콜을 해킹하는 행위는 법적으로 정당한지 여부가 불분명하다.

암호화폐 문제를 연구하는 변호사 프레스턴 번은 Motherboard에 보낸 이메일에서 "화이트 해커는 고귀하지만, 목표의 동의 없이 행동하는 것은 여전히 위험이 가득하다. 취약점을 공개하는 것은 한 가지이고, 제3자의 자금 소유자의 권리를 침해하는 것은 또 다른 문제이다. 만약 목표 인물이 해커의 행동에 불만을 품게 된다면, 해커는 민사 및 형사 책임을 질 수 있다."라고 말했다.

최종 결과는 동의 없이 화이트 해커에게 암호화폐를 빼앗긴 조직이나 개인의 생각에 따라 달라질 수 있다.

프레스턴은 "화이트/그레이 해커의 문제는 일부 활동 목표가 그들에게 취약점을 알려준 것에 감사할 수 있지만, 어떤 사람들은 화를 내고 경찰에 전화를 걸 수도 있다. 화이트 해커가 스마트 계약 시스템의 취약점을 발견했을 때, 가장 좋은 방법은 개발자에게 비공식적으로 알리는 것이다. 그리고 그게 전부다------당신은 슈퍼맨이 아니며, 세상을 구하는 것은 당신의 책임이 아니다."라고 말했다.

화이트 해커의 행동은 사용자나 심지어 해커의 지갑에서 암호화폐를 얻는 것을 포함하며, 이는 논란이 많은 해킹 백(hack back) 개념과 비교될 수 있다. 사이버 보안 분야에서 해킹 백은 기본적으로 데이터 유출의 피해자가 도난당한 파일을 복구하려고 시도하고, 해커의 행적과 신원 정보를 수집하여 해킹 공격을 감행하는 것을 의미한다. 비록 이 행동이 논란이 많지만, 해커에 대한 반격은 실제로 존재하며, 법적 위험 때문에 비밀리에 진행된다.

암호화폐 세계의 일부 화이트 해커 활동 참여자들은 기소의 위험을 피하려고 한다.

에밀리아노 보나시는 블록체인 네트워크 보안 연구원으로, 여러 차례 화이트 해커 활동에 참여했다. 지난해 한 사례에서, 암호화폐 투자 플랫폼 Primitive Finance의 사용자 지갑이 노출되어, 취약점을 이용할 수 있는 누구나 접근할 수 있었다.

"우리가 해당 프로토콜 사용자의 자금을 구출할 수 있는 유일한 방법은 그들의 지갑에서 자금을 빼내고, 그들에게 알리는 것이었다. 그래서 이것은 당신이 마주할 수 있는 최악의 상황일 수 있다. 왜냐하면 기본적으로 사용자의 자금을 빼내야 하니까." 보나시는 전화에서 Motherboard에 말했다.

보나시는 Immunefi의 창립자 미첼 아마도르 및 암호화폐 보안 회사 Dedaub의 연구자들과 함께 작업하며, 모두 이 사건의 중개자였다. 가장 중요한 것은, 화이트 해커의 사후 조사에 따르면, Primitive Finance의 직원들도 처음부터 구출 작업에 참여했다는 점이다.

LP와 달리, 보나시와 그의 동료들은 자금을 보관하기 위해 자신의 지갑을 사용하지 않고, 단지 프로토콜 개발자에게 화이트 해킹을 수행하는 방법을 보여주었다.

"우리는 그들에게 실행 방법을 시연했고, 실행 스크립트를 개발하여 시뮬레이션을 진행한 후, 그들에게 우리는 당신을 지원하며, 당신이 실행하라고 말했다. 만약 모든 것이 잘못된다면, 우리는 조치를 취할 것이다."

일부 블록체인 네트워크 보안 연구자들은 위험이 존재한다는 것을 충분히 인식하고 있다------자신의 지갑을 사용하고, 지갑 소유자나 프로토콜 구축자의 동의 없이 취약한 지갑을 공격하는 것은 위험이 가득하다.

한 사이버 보안 연구자는 Motherboard와의 인터뷰에서 익명을 요구하며, 다른 사람의 암호화폐를 구출할 때 지갑을 사용하는 것이 위험하다고 말했다. 그는 과거에 몇 가지 경우에 그렇게 했다고 밝혔다.

"이것은 꽤 걱정스러운 일이다. 그래서 아마도 나는 얼굴을 드러내지 말아야 할 것이다. 지금 전체 산업이 약간 긴장하고 있으며, 그래서 나는 더 이상 이러한 활동에 적극적으로 참여하지 않게 되었다."고 그 연구자는 전화에서 Motherboard에 말했다.

또 다른 사람들은 아예 자신의 지갑을 사용하지 않는다.

"내 개인적인 원칙은, 나는 절대 혼자서 거래를 보내지 않는다. 나는 절대 다른 사람의 자금을 관리하지 않는다."라고 암호화폐 투자 회사 Paradigm에서 일하는 보안 연구원 샘크선(Samczsun, 가명)은 전화에서 Motherboard에 말했다. "내 원칙은 내가 당신에게 필요한 모든 정보를 제공하여 당신이 상황을 최대한 빨리 파악하도록 하고, 결정을 당신에게 맡기는 것이다. 나는 스스로 개입하여 모든 것을 강제로 장악하지 않는다. 만약 당신이 나에게 도움을 요청한다면, 나는 도와줄 것이다. 당신이 이 문제를 스스로 처리하고 싶다면, 나는 기꺼이 한쪽으로 물러나 당신이 처리하도록 하겠다."

"개인적으로, 만약 아홉 자리 자산을 일시적으로 얻고 처리해야 한다면, 나는 그런 사건을 조사하고 싶지 않다." 샘크선은 여러 차례 화이트 해커 활동에 참여하여 수백만 달러의 암호화폐를 구출한 경험이 있다(예: Sushi Swap 사건에서 3억 5천만 달러, Lien Finance 사건에서 거의 1천만 달러). "그래서 가능하다면, 나는 이러한 상황을 완전히 피하고 싶다. 나는 '선한 사마리아인 법'이 블록체인에도 적용되는지 확신할 수 없다. 이 법은 사람들이 긴급 상황에서 위험에 처한 사람들을 도와주도록 장려하며, 그들이 의도치 않게 피해를 주거나 사망하게 되는 경우 기소되지 않도록 한다."

프레스턴은 샘크선의 접근이 옳다고 생각하며, "컴퓨터 사기 및 남용 법"이 손실을 초래하는 행위에 대해 처벌할 수 있다고 말했다. 예를 들어, 누군가의 지갑에서 암호화폐를 빼내는 행위는 사기가 아니더라도 처벌받을 수 있다.

"만약 당신이 스스로 처리하기로 결정했다면, 의심을 피하기 위해 절대 그렇게 해서는 안 된다. 이는 불을 다루는 것이며, 당신은 검사관의 주목을 받을 가능성이 있다."고 프레스턴은 말했다.

"우리가 해당 프로토콜 사용자의 자금을 구출할 수 있는 유일한 방법은 그들의 지갑에서 자금을 빼내는 것이다."

Chainalysis가 지난달 조직한 회의에서, 뉴욕 카운티 지방검찰청의 사이버 범죄 및 신원 도용 부서장 엘리자베스 로퍼는 화이트 해커가 법적으로 "진정한 회색 지대"에 속하며, 이는 검사관이 주목할 수 있는 영역일 수 있다.고 말했다.

로퍼는 "만약 그것이 플랫폼의 모든 사용자와 대량의 자금을 구출했다면, 그리고 이를 수행한 사람이 사건을 즉시 공개했다면, 아마 우리는 자원을 사용하여 기소하지 않을 것이다. 그러나 여전히 구체적인 사례에 따라 논의해야 한다."고 말했다.

LP가 무고한 피해를 입을까 걱정하느냐는 질문에, 그녀는 일반적으로 자신이 참여하는 암호화폐 프로젝트의 규모가 작고, 심지어 미국 외부에 있기 때문에 위험 평가를 했으며, 도움을 제공하는 것이 기소 위험에 처하지 않을 것이라고 생각한다고 말했다.

LP는 "기소될 가능성은 낮지만, 나는 다른 사람의 자금을 구출할 가능성이 매우 높으며, 그들이 완전히 파산하지 않도록 보장하는 것은 그들에게 매우 나쁜 날이 될 것이다."고 말했다.

화이트 해커에게 더 가능성이 높은 결과는 그들이 초래한 "문제"에 대해 보상을 받는 것이다. Fantasm 사건은 LP와 그녀의 RugDoc 팀이 단 한 번의 구출 작업이 아니었다. 그 사례에서 그들은 보상을 요구하지 않았다. 그러나 다른 경우에는 요구한 적이 있다.

"만약 그것이 대규모의 악명 높은 프로젝트이고, 여전히 잔여 자금이 있다면, 우리는 이렇게 말할 것이다. '좋아요, 우리는 방금 당신들을 구했으니, 당신들은 우리에게 뭔가를 줘야 해요.'"라고 LP는 말했다.

보나시는 공식적으로 보상 프로그램이 없다면, 일반적인 표준 보상은 도난당한 자금의 10%라고 말했다. 그러나 그는 과거에 보상 없이 화이트 해킹에 참여한 적이 있으며, 이는 그가 관련된 암호화폐 프로젝트를 돕고 싶었기 때문이며, 전체 생태계에 기여하고 싶었기 때문이다.

화이트 해커 활동은 보나시에게 단순히 잠재적인 해커를 막는 것뿐만 아니라, 모두가 참여할 수 있는 학습 기회이기도 하다.

보상이 클수록 연구자들은 더 많은 동기를 부여받아 취약점을 찾고 보고할 의향이 커진다.

그는 "우리는 처음에 1만 달러를 걸었고, 그 다음에는 10만 달러였다. 이제 우리는 100만 달러, 1000만 달러의 취약점 보상을 가지고 있다. 아마 내년에는 수억, 수십억 달러의 보상을 보게 될 것이다. 왜냐하면 Web3와 다른 산업은 다르며, 여기서는 해킹 공격이 몇 초 만에 발생하고 무한한 이익을 가져올 수 있기 때문이다. 따라서 우리는 시스템의 안전을 보장하기 위해 대규모 인센티브를 추진해야 한다."고 말했다.