대화 Web3 보안 슈퍼 유니콘 CertiK: 명성이 자자하고 비난도 자자하다

저자: 리시윤, 지크 공원

Web3가 약세장에 빠지고 ChatGPT가 대표하는 AI 물결에 관심을 빼앗긴 가운데------여전히 뜨거운 분야가 있다. 바로 Web3 보안이다.

블록체인의 계약은 더 공개적이고 투명하기 때문에 공격받기 쉬운 특성이 있다. 스마트 계약이 배포되면 변경 불가능하고 중단할 수 없기 때문에, 취약점이 발생하면 해커는 소스 코드를 기반으로 실시간으로 공격할 수 있어 사용자에게 금전적 손실을 초래할 수 있다. 한 투자자는 Web3 보안을 "군대"에 비유하며, 그것이 없으면 Web3 "국가는 존재하지 않을 것"이라고 말했다. 그것은 Web3에서 가장 중요한 인프라 중 하나로, Web3 가치의 5%-10%를 차지할 것으로 여겨진다.

이 분야는 약세장에서도 식지 않고 오히려 더 뜨거워졌다. 강세장의 "버블"이 사라진 후 해커의 공격으로 인한 차익이 더욱 기승을 부릴 것이다. 수요가 산업의 폭발을 가져온다. 지크 공원에 따르면, 2022년 중반 약세장 이후 Web3 보안 분야에는 10개 이상의 스타트업이 등장했으며, 자금 조달 규모는 수천만 달러에 달했다.

지난 Web3 약세장에서 등장한 회사 중 하나인 CertiK는 현재 전 세계 Web3 보안 분야의 1위이다.

CertiK를 "스타 기업"으로 묘사할 수 있다. 그 창립자는 두 명의 보안 분야 최고 학자로, 각각 예일대학교 컴퓨터 과학과의 주임 교수이자 종신 교수인 샤오중과 그의 제자인 현재 콜롬비아대학교 컴퓨터 과학과 교수인 구롱후이다. 2016년 그들은 세계 최초의 "무결점, 해킹 불가능"한 보안 운영 체제인 CertiKOS를 개발하고, 2017년에 회사를 설립하여 이 기술을 Web3 분야에 적용했다.

2020년 DeFi(탈중앙화 금융)가 폭발하면서 Web3 보안 회사의 사업이 급증했고, 2021년 CertiK는 빠르게 세계 1위가 되었다. CoinMarketCap(유명한 암호화폐 가격 추적 웹사이트)의 데이터에 따르면, CertiK가 보안 감사를 수행한 모든 DeFi 프로젝트에서 CertiK의 시장 점유율은 70%에 달한다. 동종 업계보다 훨씬 높은 수치다.

CertiK는 "스타" 수준의 자금 조달 대우를 받고 있다. 2021년, 1년이 채 안 되는 시간 동안 CertiK는 5차례 자금을 조달했으며, 골드만삭스, 타이거 글로벌, 소프트뱅크 비전, 세쿼이아, 고릉 등 가장 화려한 투자자들이 경쟁적으로 투자했다. 회사의 가치는 빠르게 20억 달러로 치솟아 슈퍼 유니콘이 되었다------이것은 그들이 계속 "노"라고 말한 결과이기도 하다.

얼마 전, 우리는 베이징에서 CertiK의 공동 창립자 구롱후이를 만났다------이 "콜롬비아 교수"는 겨우 33세로, 갈색 정장을 입고 우리와 열정적으로 악수했다. 그는 일상적으로 중미를 오가며, 이는 그가 가진 드문 미디어 만남이었다. 그의 표현 욕구는 풍부하며, 기술적 실용주의의 그림자가 곳곳에 드러나 있었다. 그의 투자자와 경영진이 묘사한 대로, "창립자와 학자의 정체성을 통합한 드문 인물"이다.

"우리는 (CertiK) 거의 혼자 힘으로 블록체인 보안을 하나의 분야로 만들었고, 많은 관심을 끌었다." 그는 자랑스럽게 말했다.

하지만 이것은 단순히 "성공"에 관한 이야기가 아니다. 지크 공원 조사에 따르면, 일부 Web3 보안 업계 동료들은 이 회사에 대해 논란이 많다. 가장 핵심적인 비난은 CertiK의 보안 감사 서비스와 관련이 있으며, 왜 일부 프로젝트가 보안 감사를 통과했음에도 문제가 발생했는지, 누가 CertiK의 감사를 감사하는지 등에 대한 것이다. 우리가 이러한 의문을 구롱후이에게 던졌을 때, 그는 놀라지 않았고 농담을 하며, CertiK는 "명성과 비난이 함께한다"고 말했다.

이 기업가가 직면한 핵심 문제는, 중앙화된 기관으로서 (보안은 전통 산업이며, 데이터의 공개와 투명성을 실현할 수 없고, CertiK는 업계 거대 기업이기 때문에) Web3라는 탈중앙화 세계에서 신뢰를 어떻게 얻을 것인가이다. 이는 바이낸스(현재 가장 큰 중앙화 거래소)가 직면한 문제와 유사하다.

이에 대해 CertiK의 해결책은 바이낸스와 마찬가지로 가능한 한 공개적이고 투명하게 하는 것이다------현재 CertiK는 보안 감사 보고서를 모두 공개하는 유일한 Web3 보안 회사이다.

하지만 구롱후이는 또한 CertiK가 여전히 개선해야 할 점이 많다고 인정했다. 특히 Web3 보안 분야에서 사용자 교육 측면에서 이 길은 더욱 길고 힘든 길이다.

다음은 정리된 대화 전문이다:

1. 보안 공격 방어 외에,

"신뢰성"의 남용을 방지해야 한다

지크 공원: 2월 3일, DeFi 프로젝트 Orion Protocol이 해커 공격을 받아 거의 300만 달러의 손실을 입었습니다. 이 프로젝트는 CertiK의 감사를 받았는데, 왜 CertiK는 코드의 취약점을 발견하지 못했나요?

구롱후이: 문제가 발생한 코드는 우리가 감사한 범위에 포함되지 않았습니다. 예를 들어, 프로젝트 측에 2만 줄의 코드가 있다면, 여러 가지 이유로 그들은 가장 핵심적인 코드만 감사를 진행하고 나머지 수만 줄의 코드는 감사하지 않기 때문에 문제가 발생할 확률이 큽니다. (코드가) 감사 범위에 포함되지 않으면 감사 측은 비난받아서는 안 됩니다. 이건 "책임 전가"처럼 들릴 수 있지만, 실제로 감사 회사가 가장 어쩔 수 없는 부분입니다.

지크 공원: 그러니까 본질적으로 프로젝트 측의 문제라는 건가요?

구롱후이: 보안 감사는 상당한 비용이 드는 작업이기 때문에, 많은 프로젝트 측은 가장 핵심적인 코드만 보안 감사를 진행하고 나머지 코드는 감사하지 않으려 합니다. 또는 첫 번째 버전의 코드만 감사하고 업데이트된 코드는 감사하지 않으려 합니다(주: 스마트 계약이 블록체인에 올라가면 변경할 수 없지만, 새로운 모듈을 추가할 수 있다).

이것이 바로 Web3 보안 회사가 이렇게 많음에도 불구하고 여전히 프로젝트가 도난당하고 보안 사건이 점점 더 많아지는 이유입니다. 프로젝트 측이 보안에 대한 중요성을 충분히 인식하지 못하고 있습니다. 모두가 보안에 돈을 쓰고 있지만, 충분히 쓰지 않고 있으며, 전체 코드 감사를 진행해야 합니다.

지크 공원: 왜 가장 중요한 보안 문제에 대해 프로젝트 측이 투자를 아끼는 걸까요?

구롱후이: 현재 많은 프로젝트 측의 보안 감사 목적은 진정한 "안전"을 위한 것이 아니라 투자자, 사용자, 거래소에 "보고"하기 위한 것입니다. "여러분, 저는 돈을 쓰고 싶어하고, 보안 감사를 받았으며, CertiK를 찾았습니다. 최고의, 가장 비싼 감사 회사입니다." 그러니 그들은 일부 코드만 감사를 진행해도 같은 주장을 할 수 있습니다.

지크 공원: 듣기에는 프로젝트 측이 감사 회사에 "책임을 전가"한 것 같군요?

구롱후이: 부적절한 비유를 하자면, CertiK가 이렇게 큰 시장 점유율을 가진 상황에서, 우리의 "책임"은 거의 감당할 수 없을 정도입니다.

이것이 우리가 보안 감사 보고서를 공개하고 투명하게 하려는 강력한 이유 중 하나입니다. 지금까지 블록체인 산업에서 CertiK 외에는 모든 감사 보고서를 완전히 공개하는 보안 회사가 없습니다. 우리는 사용자가 온라인에서 프로젝트 측이 어떤 코드를 감사했는지, 어떤 코드는 감사하지 않았는지를 명확히 볼 수 있기를 바랍니다. 우리는 CertiK가 "도장"이나 도난 방지 "증명서"가 되어 신뢰성이 남용되는 것을 원하지 않습니다.

지크 공원: 언제 감사 보고서를 공개하겠다는 결정을 내렸나요?

구롱후이: 2020년 하반기입니다. 그때 DeFi가 매우 인기를 끌고 있었고, Web3 보안 회사의 사업이 빠르게 성장하고 있었으며, 우리는 곧 세계 1위가 되었습니다. 그 후 많은 프로젝트가 CertiK의 보안 감사를 받았다고 주장했지만, 사실은 그렇지 않았습니다(감사 범위에 포함되지 않았습니다). 그래서 나는 이 일을 공개적으로 투명하게 만들어야 하며, 사용자가 오해하지 않도록 해야 한다고 생각했습니다.

지크 공원: 이 결정이 효과가 있었나요? 일반 사용자가 정말로 여러분의 보고서를 볼까요?

구롱후이: 대부분의 일반 사용자는 보지 않을 것입니다. 심지어 우리가 공개한 후에는 오히려 많은 사람들이 우리를 비난했습니다. 왜냐하면 우리가 공개한 후, 우리의 관련 프로젝트에서 문제가 발생하면 모두 공개되기 때문입니다. 사용자가 이 프로젝트에서 손실을 입으면, 그들은 이게 당신의 감사 범위에 포함되었는지 신경 쓰지 않고, 반드시 화가 나서 우리를 비난할 것입니다. 그래서 오늘날에도 여전히 우리 회사 내부의 많은 사람들, 투자자들조차도 우리가 보고서를 완전히 공개하는 것에 동의하지 않습니다.

하지만 전문 기관에 대해서는 사람들은 여전히 감사 보고서를 보고 정확한 판단을 내립니다. 2월에 CertiK의 시장 점유율이 처음으로 70%를 초과했으며, 고객 설문조사에서의 만족도도 90% 이상이었습니다. 많은 고객들이 우리에게 진심으로 감사의 말을 전했습니다. 그러나 이러한 고객들은 소셜 플랫폼에서 발언하지 않으며, 그저 여러 번 우리와 협력할 뿐입니다.

Twitter에서 CertiK에 대한 논의 | 이미지 출처: Twitter

지크 공원: 일반 사용자가 이 점을 더 잘 인식하게 하려면 어떻게 해야 할까요?

구롱후이: 우리는 이 산업의 사용자 교육을 완료하기 위해 계속 노력하고 있습니다. 2018년, 우리가 막 창업했을 때, 주로 사용자에게 프로젝트 측이 "보안 감사를 받았는지"를 확인하도록 교육했습니다. 그러나 2020년에는 우리는 보안 대시보드(CertiK Security Board)를 출시하여 일반 사용자에게 보안 감사는 "도장"이 아니라 "동적인 지표"여야 한다고 교육하기 시작했습니다.

우리는 여러 지표를 종합하여 프로젝트 측에 보안 점수(Security Score)를 부여합니다. 이 보안 점수는 15분마다 업데이트되며, 예를 들어 현재 코드에 문제가 없더라도 코드가 업데이트되면 점수가 실시간으로 변동합니다. 사용자는 보안 대시보드에서 프로젝트 측의 몇 가지 주요 보안 지표에 대한 변동 알림을 받을 수 있습니다.

우리는 사용자들이 Web3 보안에 대한 인식을 점진적으로 변화시키기를 희망합니다. 하지만 이것은 매우 긴 길이며, 매우 어렵고 힘든 길입니다.

CertiK 보안 대시보드 | 이미지 출처: CertiK

지크 공원: 작년, 여러분의 보안 대시보드 공식 트위터에서 "당신은 알고 있습니까? @orion_protocol은 CertiK 웹사이트에서 유일하게 보안 점수가 100/100인 프로젝트입니다."라고 말했습니다. 프로젝트에 문제가 발생한 후, 많은 사람들이 트위터 댓글에서 여러분을 비난했습니다. 구롱후이: 맞습니다. 그 당시 이 프로젝트는 실제로 가장 높은 보안 점수를 기록했습니다. 그러나 이 보안 점수는 동적이며, 15분마다 변동이 발생합니다. 하물며 1년 이상에 걸쳐서 말이죠.

지크 공원: Web3 동료들이 여러분을 진정한 인터넷 사고방식으로 제품을 만든다고 평가했습니다. 이 평가에 동의하십니까?

구롱후이: 저는 우리의 출발점이 사용자와 산업의 요구와 문제점을 고민하는 것이라고 생각합니다.

간단히 말해, 보안 공격 방어는 첫 번째 단계일 뿐이며, 보안 공격 방어만으로는 안 됩니다. 사람들이 현재 CertiK를 보는 것처럼, 보안 공격 방어가 기본이지만, 더 중요한 것은 우리의 "신뢰성"입니다.

그렇다면 다른 사람들이 여러분의 "신뢰성"을 이용해 나쁜 일을 하는 것을 어떻게 방지할 수 있을까요? 이것은 우리가 끊임없이 고민하게 만드는 문제입니다. 이 산업의 대다수 회사는 아직 "신뢰성"에 대한 고민이 없으며, 사용자들이 트위터에서 그들을 비난하는 압박이 없습니다. 우리는 정말로 강제로 이 문제를 해결하게 되었습니다.

2. 이상 징후가 있는 프로젝트를 감지하면,

우리는 적극적으로 공개합니다

지크 공원: Web3 보안 감사는 기술적 측면뿐만 아니라 인간적 측면도 포함됩니다. 예를 들어, 일부 프로젝트 측은 "자기 도둑질"을 하여 의도적으로 코드 취약점을 설계하고 사용자의 돈을 빼앗습니다. 인간성은 기술보다 감사하기 더 어려운 것인가요?

구롱후이: 우리는 항상 탈중앙화와 코드를 믿습니다. 그러나 코드에도 인간성의 문제가 발생할 수 있습니다. 예를 들어, 일반적으로 "토끼 프로젝트"라고 불리는 고위험 프로젝트는 본질적으로 설계 문제나 코드 문제로 인해 투자자에게 심각한 손실을 초래할 수 있습니다.

오늘날, Web3 세계에서 (프로젝트 측에 의해) 사기당한 돈이 (해커에 의해) 도난당한 돈보다 더 많습니다.

지크 공원: 이러한 "토끼 프로젝트"를 어떻게 식별할 수 있을까요?

구롱후이: 사실 코드만 보고 판단하는 것은 매우 어렵습니다. 그들이 우리에게 제공하는 코드는 실제 배포된 코드와 일치하지 않을 수 있습니다.

그래서 우리는 KYC(고객 신원 확인) 서비스를 출시했습니다. 우리는 내부에 두 개의 KYC 팀이 있으며, 하나는 일반 KYC로, 프로젝트가 들어오면 계약을 체결할 수 있는지 기본적인 평가를 진행합니다. 그러나 이로 인해 할 수 있는 것은 제한적입니다. 다른 하나는 현재 업계에서 가장 엄격한 KYC 서비스로, 매우 엄격한 심사 프로세스를 거치며, 통과한 프로젝트 측에 KYC 전용 배지를 수여하고 이를 웹사이트에 공개합니다. 현재 KYC 배지를 받은 프로젝트는 문제가 발생한 적이 없습니다. 그러나 우리는 프로젝트 측이 이러한 엄격한 KYC 배지를 신청하도록 강제할 수는 없습니다.

CertiK의 KYC 서비스 | 이미지 출처: CertiK

이 두 KYC 팀을 합치면 20명 이상이며, 일부 작은 보안 감사 회사보다 인원이 더 많고, 비용이 큽니다. 우리는 왜 이렇게 투자하냐면, 이러한 고위험 프로젝트를 최대한 피하고 싶기 때문입니다.

지크 공원: 여러분의 고위험 프로젝트 판별은 주관적인가요, 아니면 현실과 규칙에 기반한 기준인가요?

구롱후이: 감사와 유사하게, KYC는 주관적인 판단과 객관적인 규칙이 모두 포함됩니다. 사실 KYC 서비스를 통해 우리는 30% 이상의 고객을 거부했습니다. 그렇지 않으면 우리의 시장 범위는 더 넓어질 것입니다.

지크 공원: 그러나 2022년 1월, 여러분이 감사한 프로젝트 Arbix Finance가 "Rug Pull"(사기 도망)로 표시되었는데, 그 당시 이를 인식하지 못했나요?

구롱후이: 우리는 프로젝트 측이 제공한 객관적인 정보를 기반으로 판단해야 하며, 이 자체가 어려운 일입니다. 프로젝트 측이 의도적으로 숨기거나 조작할 경우, 실마리를 찾는 것은 더욱 어려워집니다.

하지만 강조하고 싶은 것은, Arbix Finance 사건은 우리가 이상 징후를 감지한 후 적극적으로 공개한 것입니다. 이는 우리에게 불리한 일이지만, 다른 서비스 회사가 이런 일을 하는 것을 보지 못할 것입니다. 그러나 우리는 이를 웹사이트에 공개했습니다. 왜냐하면 이는 해야 할 일이라고 생각하기 때문입니다.

지크 공원: 고객의 이익과 공공의 이익 사이에서, 후자를 선택하시겠습니까?

구롱후이: 네. 만약 여러분이 어떤 프로젝트에 문제가 있을 것 같다면, 소리쳐야 하지 않겠습니까? 저는 그렇게 해야 한다고 생각합니다. 설령 그것이 우리의 고객이라 하더라도 말입니다.

우리의 감사 보고서에는 프로젝트 측의 "중앙화 문제"에 대한 장이 별도로 작성되어 있으며, 핵심은 대중이 프로젝트의 중앙화 위험을 이해하도록 하는 것입니다. 많은 서비스 회사는 이렇게 하지 않으려 합니다. 왜냐하면 고객을 불쾌하게 만들기 때문입니다. 그러나 우리는 반드시 그렇게 해야 한다고 고집합니다.

지크 공원: 프로젝트 측과의 관계가 어색해지는 것이 두렵지 않나요?

구롱후이: 고객은 분명히 불만을 가질 것이며, 이는 우리의 성과에 부정적인 영향을 미칠 것입니다. 그리고 여러분이 이 프로젝트에 문제가 있다고 보고하면, 프로젝트의 투자자는 여러분을 싫어할까요? 참여자는 여러분을 싫어할까요? 협력자는 여러분을 싫어할까요? 정말로 부정적인 피드백이 큽니다.

트위터에서 CertiK에 대한 대부분의 부정적인 내용은 해커 공격과는 관련이 없으며, 주로 우리가 프로젝트 측의 부정적인 정보를 공개한 것에 대한 것입니다. 예를 들어, 우리가 이 프로젝트에 중앙화 위험이 있다고 폭로하면, 프로젝트의 사용자들은 우리를 비난하기 시작하고, 심지어 여론을 조직하여 우리에게 낮은 점수를 주기도 합니다.

하지만 여전히 그 말이 맞습니다. 만약 이것이 산업에 유익한 일이라면, 우리는 반드시 해야 합니다.

지크 공원: 여러분은 소셜 플랫폼에서 그런 부정적인 댓글을 보시나요?

구롱후이: 저는 정말로 모두 봅니다. 외부에서는 CertiK가 대단하다고 생각하며, 이렇게 좋은 숫자와 많은 자금을 보유하고 있습니다. 그러나 실제로 외부에서는 우리에 대한 많은 부정적인 평가와 보도가 있으며, 우리는 압박이 큰 돈을 벌고 있습니다.

저는 이전에 "명성과 비난이 함께한다"는 말을 들었습니다. 많은 일은 양면성을 가지고 있습니다. 명성은 그들이 당신의 제품을 사용하고 있다는 것을 의미하고, 비난은 그들이 사용하면서 비난하고 있다는 것을 의미합니다. 저는 이것이 좋은 일이라고 생각합니다. 그래야 어디가 부족하고 어떻게 개선할 수 있는지 알 수 있습니다.

지크 공원: KYC에 대해, 제가 들은 바에 따르면, 여러분의 어떤 프로젝트 측이 도망간 후, 사용자가 CertiK에 연락했지만 CertiK는 프로젝트 측과 연락이 되지 않았다고 합니다. 이게 사실인가요?

구롱후이: 그런 경우가 있습니다. 일반 KYC는 너무 쉽게 조작될 수 있기 때문에, 여러분이 KYC 자료를 요청했지만, 문제가 발생하면 아무도 찾을 수 없습니다. 만약 프로젝트 측이 우리가 가장 엄격한 KYC를 통과했다면, KYC 배지를 가진 경우는 다릅니다. 이 경우 우리는 반드시 법 집행 기관과 협력할 수 있습니다.

지크 공원: 사용자의 돈이 도난당한 후, 회수 가능성이 높나요?

구롱후이: 우리는 많은 규제 기관과 대화해본 결과, 자금을 회수하는 가장 큰 문제는 반드시 법 집행력이 있어야 한다는 것입니다. 그러나 많은 경우 우리는 법 집행력이 없습니다.

3. 학계에서 Web3 세계로,

기술적 실용주의와 탈중앙화 신념

지크 공원: 당신이 처음 블록체인에 접촉한 것은 언제인가요?

구롱후이: 대략 2012년, 2013년입니다. 그때 저는 청화대학교에서 학부를 졸업하고 예일대학교 컴퓨터 과학과의 "고신뢰 소프트웨어 공동 연구 센터"에 들어가 샤오중 교수(주: 샤오중은 중과기대-예일 고신뢰 소프트웨어 공동 연구 센터의 주임 교수)와 함께 박사 과정을 밟았습니다.

같은 사무실에 있던 선배는 장신위라는 이름으로, 그의 별명은 "Friedcat 구운 고양이"입니다(주: 구운 고양이는 "중국 내 암호화폐 업계의 1인자"로 알려져 있습니다). 제가 블록체인에 처음 관심을 가지게 된 것은 그로부터 알게 되었습니다.

지크 공원: 구운 고양이는 블록체인 세계에서 매우 유명하며, 국내 비트코인의 초기 전도자입니다.

구롱후이: 그는 ASIC 기계를 사용하여 채굴을 시작한 초기 그룹 중 하나로, 채굴기를 성공적으로 제작하여 블록체인 세계에 큰 영향을 미쳤습니다. 결국 그는 박사 과정을 중단하고 귀국하여 이 일을 하게 되었습니다.

돌이켜보면, 왜 구운 고양이가 블록체인 세계에서 성공했는지, 저는 아마도 연구의 사고 방식 때문이라고 생각합니다. 우리는 더 기본적인 차원에서 이러한 문제를 고려하기 때문에 많은 혁신적인 것을 만들어낼 수 있었습니다.

지크 공원: 그 당시 당신은 직접 암호화폐를 구매했나요?

구롱후이: 그 당시에는 구매하지 않았습니다.

지크 공원: 구운 고양이와 같은 원칙주의자는 당신에게 어떤 영향을 미쳤나요?

구롱후이: 저는 그가 제 학문적 측면에 더 큰 영향을 미쳤다고 생각합니다. 그는 제 선배로서 연구에서 많은 도움을 주었고, 형식적 검증(formal verification)에 대한 많은 지식을 제공했습니다. 우리는 심지어 같은 프로젝트인 CertiKOS에서 함께 작업했지만, 그는 나중에 떠났습니다.

지크 공원: CertiKOS는 당신이 나중에 창업하는 데 중요한 기술적 기반이 되었습니다.

구롱후이: 맞습니다. 우리가 연구한 형식적 검증 기술은 간단히 말해, 수학적 방법을 통해 코드와 설계가 동등하며, 결함이 없음을 증명하는 것입니다.

이 기술은 소프트웨어(운영 체제)에서의 적용이 항상 학문적 문제였습니다. 과거에는 하드웨어에 적용되었는데, 하드웨어는 고정되어 있어 증명 공간이 제한적이기 때문입니다. 그러나 소프트웨어는 프로그래밍 가능하므로 증명 공간이 무한대에 이를 수 있습니다. 저는 박사 과정을 밟을 때 이 문제를 해결하고자 했습니다.

2016년, 우리는 마침내 이 기술적 돌파구를 이루어 CertiKOS를 만들었습니다. 이는 현재 세계에서 첫 번째이자 유일하게 완전히 형식적 검증을 받은 다중 코어 운영 체제 커널입니다. 그때 우리는 이를 무인차 Landshark에 적용했으며, "흠잡을 데가 없다"는 평가를 받았습니다. 2018년 우리는 CertiK를 설립하여 이 기술을 실제 생산에 적용하고자 했습니다.

지크 공원: 이 기술이 적용될 수 있는 분야는 많지만, 왜 최종적으로 블록체인이나 Web3 분야에 적용하기로 선택했나요?

구롱후이: 그 당시 Web3에서 몇 가지 큰 보안 사건이 발생했습니다. 2016년, The DAO 공격은 인류 역사상 가장 큰 공격 사건으로 여겨지며, 수백만 개의 이더가 도난당했고, 현재 가치로는 수십억 달러의 손실에 해당합니다. 그때 블록체인은 막 시작되었고, 이러한 공격 사건은 모두에게 Web3 보안이 매우 중요하다는 것을 인식시켰습니다. 모두가 블록체인의 보안 상황을 변화시키기를 원했습니다.

그 당시 이더리움 재단과 V 신(이더리움 창립자) 본인도 많은 조사를 진행했습니다. 그리고 그들은 같은 시기에 CertiKOS라는 기술적 돌파구가 있다는 것을 발견했습니다. 그때 많은 사람들이 우리와 여러 차례 대화하며 이 기술을 블록체인 분야와 스마트 계약 분야에 적용할 가능성을 탐색했습니다. 이후 우리는 CertiK를 설립하고 이더리움 재단의 보조금을 받았습니다.

지크 공원: CertiK의 탄생은 새로운 기술 성과와 시장 수요의 충돌로 보입니다.

구롱후이: 블록체인이 직면한 보안 도전은 전례가 없는 것입니다. 블록체인의 계약은 공개적이고 투명하여 공격받기 쉬운 특성이 있습니다.

전통적인 보안 플랫폼은 취약점을 발견하면 패치를 적용하고 시스템을 업그레이드할 수 있습니다. 그러나 블록체인은 세계 컴퓨터(world computer)로, 아무도 이를 중단할 수 없으며, 스마트 계약이 배포되면 변경하기 어렵습니다------이는 마치 판도라의 상자를 여는 것과 같습니다.

이 장면은 무엇과 비슷할까요? 만약 제가 해커라면, 저는 여러분의 소스 코드를 보며 취약점을 찾아 실시간으로 공격할 수 있습니다. 그리고 여러분은 공격을 막기 위해 패치를 적용할 수 없으며, 그저 제가 돈을 가져가는 것을 지켜볼 수밖에 없습니다. 전통적인 보안에서 손실되는 것은 일부 사용자 데이터에 불과하지만, 블록체인에서는 직접적으로 돈을 잃게 됩니다. 이러한 이유로 우리의 형식적 검증 기술은 블록체인 세계의 방어에 매우 적합합니다.

지크 공원: 그러나 많은 Web3 보안 회사들이 형식적 검증 기술을 보유하고 있다고 주장합니다.

구롱후이: 우리, 특히 샤오중 교수는 형식적 검증 기술의 세계적 권위자이며, CertiK는 가장 먼저 형식적 검증 기술을 Web3 분야에 적용한 회사입니다. 시스템 형식적 검증의 많은 이정표적 연구 성과는 샤오중 교수의 연구실과 제가 콜롬비아 대학교의 연구실에서 만들어낸 것입니다. 현재 많은 보안 회사들이 형식적 검증 기술을 주장하지만, 대부분은 홍보 목적일 뿐이며, 기술적 준비가 부족합니다.

지크 공원: 당신의 투자자가 이 기술 성과가 다른 많은 보안 분야에도 적용될 수 있다고 말했습니다.

구롱후이: 맞습니다. 우리는 이미 칩, 클라우드, 운영 체제 등 여러 분야에 적용했습니다. 예를 들어 ARM(세계 선도적인 칩 회사) V9 프로세서의 프라이버시 컴퓨팅 아키텍처(CCA)의 보안 검증, 앤트 그룹의 클라우드 네이티브 HyperEnclave(앤트 프라이버시 컴퓨팅 일체형 기계의 핵심 기술)의 보안 검증도 우리가 수행했습니다. 이러한 것들은 모두 기본적인 구축이 필요하며, 배포 전에 최대한 안전하게 만들어야 하며, 안전률은 99% 이상이어야 합니다.

하지만 현재 우리의 주요 사업은 여전히 Web3 분야에 있으며, 저는 한 가지 일을 잘 해내는 것이 매우 어렵다고 생각합니다. 저는 이렇게 큰 문제를 지켜보면서 다른 일을 할 수는 없습니다.

지크 공원: 연구 기술의 학자에서 회사를 창립하는 기업가로의 신분 전환은 어려운가요?

구롱후이: 창업하기 전에 저는 구글에서 1년을 보냈습니다. 그때 저는 예일대학교에서 박사 과정을 마친 후(2016년) 콜롬비아 대학교에서 조교수 제안을 1년 연기했습니다. 저는 만약 제가 나중에 창업을 한다면, 큰 격차가 있을 것이라고 생각했습니다. 왜냐하면 저는 학계에만 있었고, 업무 경험이 없었기 때문입니다. 그래서 저는 구글이라는 최고의 인터넷 회사에서 경험을 쌓기로 결정했습니다.

이 경험은 제가 CertiK를 창립하는 데 큰 도움이 되었습니다. 그것은 저에게 "다른 사람들이 하지 않은 일을 할 때, 어떻게 해야 하는가?"를 고민하게 만들었습니다. 구글은 검색 엔진을 최초로 만든 회사로, 이 것이 무엇인지, 어떤 모습이어야 하는지를 스스로 답해야 했습니다. 이는 제가 CertiK를 창립할 때의 느낌과 유사합니다.

CertiK의 감사 보고서 | 이미지 출처: CertiK

지크 공원: 학자와 기업가는 모두 쉽지 않은 직업인데, 어떻게 두 가지를 모두 잘 할 수 있나요?

구롱후이: 교수와 기업가는 거의 모두가 가장 바쁜 두 직업이라고 생각합니다. 그러나 저는 이 두 가지 정체성이 도전적인 문제를 찾고, 그 문제에 전념하여 해결하는 것이라는 공통점이 있다고 생각합니다. 저에게는 이 두 가지 목표가 거의 일치합니다. 이것이 제가 계속할 수 있는 이유입니다.

물론 이 두 정체성의 차이는 학자는 상업화가 언제 이루어질지를 고려하지 않지만, 기업가는 일정 시간 내에 최소한 상업적으로 수용 가능한 답변을 제시해야 한다는 것입니다. 이것이 많은 학자 기업의 도전입니다. 그러나 많은 투자 기관들은 우리가 그들이 본 중에서 비교적 성공적인 학자 기업이라고 말합니다.

지크 공원: Web3 기업가로서 탈중앙화 신념이 있습니까?

구롱후이: Web3의 탈중앙화는 "코드를 신뢰한다"(in code we trust)라는 것이지만, 만약 이 코드가 본질적으로 신뢰할 수 없다면 어떻게 해야 할까요? 즉, 코드 버그(code bug)입니다. 이것이 CertiK가 해결해야 할 문제입니다. 신념을 말하자면, 우리의 신념은 바로 이것입니다.

지크 공원: 당신의 동료들은 Web3 보안도 "정의감"이 필요하다고 말합니다. 당신은 그런 것이 있나요?

구롱후이: 제가 이해하는 정의감은 우리가 하는 일이 과연 올바른 것인지, 이 세상에 어떤 가치를 창출했는지에 관한 것입니다.

저는 자랑스럽게 말할 수 있습니다. 우리는 ARM의 V9 프로세서의 CCA 아키텍처의 보안 검증을 통해 미래에 수천만 대의 장치의 프라이버시 안전을 보장할 수 있습니다. 우리는 Web3의 스마트 계약과 블록체인 시스템에서 6만 개의 버그를 찾아 프로젝트의 위험을 줄였습니다. 이것들은 올바른 것이며, 우리가 창출한 가치입니다. 그리고 이것은 다른 사람들이 제 논문을 통해 이루어진 것이 아니라, 제가 직접 이루어낸 것입니다.

이러한 기여는 학문을 조금이라도 발전시키거나 사용자의 손실을 조금이라도 줄이는 것이라면, 모두 정의감에 의해 추진된 것이라고 할 수 있습니다.

4. 70%의 시장을 차지하며,

기계 감사로 효율성을 높입니다

지크 공원: CertiK와 같은 시기에 설립된 Web3 보안 회사가 많지만, 왜 결국 CertiK가 업계 1위가 되어 70%의 시장 점유율을 차지하게 되었나요?

구롱후이: 우리는 Web3 보안 산업에 대한 시각이 매우 다릅니다.

다른 모든 회사들은 "수작업"의 소규모 팀 모델을 원합니다. 예를 들어 "화이트 해커" 팀을 구성하여 공격 방어 대회에 참가하고, 코드 취약점을 찾아 보상을 받는 등의 방식입니다.

하지만 우리는 처음부터 산업의 보안 현황을 근본적으로 개선하고자 했습니다. 우리는 많은 보안 수요가 있는 회사에 서비스를 제공하여 규모화된 기술 서비스를 제공하고자 했습니다. 그래서 우리는 처음부터 도구와 보안 엔진 개발에 매우 중점을 두었습니다.

지크 공원: 규모화의 비전은 어떻게 탄생했나요?

구롱후이: 우리는 Web3 또는 블록체인 산업의 혁신이 대부분 매우 작은 팀에서 나온다는 것을 보았습니다. 비트코인 창시자인 나카모토 사토시부터 시작하여, 큰 회사에서 나온 혁신은 없습니다. 그래서 우리는 규모화를 통해 감사 비용을 낮추고 많은 중소 팀을 잘 서비스하고자 했습니다.

예를 들어 Sandbox(주: 블록체인 게임 서비스 제공업체)는 메타버스의 발기 프로젝트 중 하나로 간주됩니다. 그러나 2019년 그들이 우리에게 보안을 요청했을 때, 이 회사의 가치는 겨우 600만 달러에 불과했습니다. 만약 우리가 이런 작은 회사를 서비스할 수 없다면, 그런 프로젝트는 한 번의 보안 사건을 겪고 "죽어버릴" 수 있으며, 많은 Web3의 혁신이 사라질 것입니다.

그래서 우리는 Web3 산업이 발전하려면 중소형 기관도 이러한 최고 수준의 보안 서비스를 누릴 수 있어야 한다고 생각합니다. 그리고 그렇게 해야만 CertiK가 매우 큰 기업이 될 가능성이 있습니다.

지크 공원: 규모화를 통해 CertiK는 감사 비용을 얼마나 낮췄나요?

구롱후이: 2019년, 미국의 전통 보안 기업이 Web3 보안 감사를 수행할 때, 매우 간단한 스마트 계약을 배포하는 경우에도 견적이 수십만 달러에 달했습니다. 그러나 지금은 일반 고객에게 우리의 견적이 몇만 달러, 심지어 몇천 달러(간단한 계약의 경우)로 낮출 수 있습니다. 우리는 Web3 보안 감사 비용을 90% 이상 낮췄으며, 계속해서 낮추고 있습니다.

지크 공원: 규모화는 단순한 의지일 뿐만 아니라 능력이 필요합니다. 여러분은 어떻게 규모화하여 고객을 확보했나요?

구롱후이: 사실 고객 확보는 주로 프로젝트 측에서 우리에게 찾아오는 경우가 많습니다. 매우 흥미로운 점은, 2021년 11월, CertiK가 유니콘 투자 라운드를 완료하고 10억 달러의 가치를 달성했을 때, 저는 McAfee(주: 세계 최대의 전문 보안 기술 회사)의 전 CEO와 저녁을 먹었습니다. 그는 저에게 "여러분은 몇 명의 영업 BD(비즈니스 개발 담당자)가 있나요?"라고 물었습니다. 저는 "대략 6명입니다."라고 대답했고, 그는 "그들은 4000명이 있습니다."라고 말했습니다.

지크 공원: 여러분은 어떻게 대규모 주문을 처리할 수 있는 능력을 갖추었나요?

구롱후이: 우리는 보안 전문가(인력)의 작업을 최소화하고 감사 효율성을 높이기 위해 보안 엔진(기계)을 만들었습니다. 그러나 모든 보고서와 모든 항목은 보안 전문가의 검토를 거칩니다. 우리는 단순히 보안 전문가가 소스 코드를 직접 읽지 않도록 하는 것입니다.

지크 공원: 그래서 여러분의 핵심 강점은 이 보안 엔진인가요?

구롱후이: 그렇습니다. 이 보안 엔진은 ChatGPT(주: 전 세계적으로 유행하는 대형 언어 모델)와 유사합니다. 이 엔진은 소스 코드의 문제를 자동으로 검사하고, 심지어 공격을 시뮬레이션하며, 보안 엔지니어는 그 문제에 대해 피드백을 제공합니다. 맞는지 틀린지, 왜 그런지에 대한 것입니다. 이를 주석이 달린 데이터로 이해할 수 있습니다. 그리고 이러한 데이터는 엔진으로 돌아가 지속적으로 엔진을 훈련시킵니다.

즉, 우리의 기술이 발전하지 않더라도, 우리가 더 많은 코드를 보고, 더 많은 사람들이 그것에 주석을 달 수 있다면, 우리의 엔진은 점점 더 좋아질 것입니다. 그리고 우리의 보안 수준은 점점 높아지고, 고객도 점점 많아지며, 이는 다시 엔진을 더욱 개선하게 됩니다. 바로 이런 선순환입니다.

지크 공원: 누군가는 Web3 산업의 대부분 코드가 복사된 것이며, 혁신이 없기 때문에 대규모 감사가 가능하다고 말합니다.

구롱후이: 현재 전체 블록체인의 빌딩 블록(실제로 건설적인 블록)은 그렇게 많지 않습니다. 이것이 우리가 이 산업이 자동화를 실현할 수 있다고 생각하는 이유입니다. 이러한 특성이 없다면, 이 길은 처음에 매우 어렵습니다.

그러나 이것이 우리의 감사 작업이 쉽다는 것을 의미하지는 않습니다. 공격받는 것은 종종 모방 프로젝트이며, 그들은 10줄의 코드만 수정했을 뿐입니다. 이 10줄의 코드에서 문제가 발생할 수 있습니다.

우리는 또한 매우 혁신적이고 어려운 프로젝트를 많이 수행했습니다. 예를 들어 2022년 블록체인 보안 사건은 두 글자, 즉 "크로스 체인"에 집중되었습니다. N개의 체인을 넘나드는 것은 N*N의 복잡성을 가지며, 그 기술적 난이도는 우리가 이전에 보았던 모든 프로젝트를 훨씬 초월합니다. 그러나 많은 작은 팀은 여러 체인을 동시에 커버할 능력이 없지만, CertiK는 모든 체인에 많은 고객이 있어 비교적 완전한 크로스 체인 데이터를 축적할 수 있었습니다. 현재 많은 크로스 체인 프로젝트의 보안 보장은 CertiK가 담당하고 있습니다.

CertiK의 시장 점유율 | 데이터 출처: CMC

지크 공원: 대량의 자동화 감사가 감사 품질을 어떻게 보장하나요?

구롱후이: 좋은 질문입니다. 왜 전통적인 보안 회사가 항상 소규모 팀 모델을 유지하는지 아시겠습니까? 규모화된 후에는 보안률과 보안 품질을 보장하기가 어렵기 때문입니다. 예를 들어, 한 달에 500개의 주문을 받는다면, 여러분의 보안률이 99%에 도달하더라도, 평균적으로 매달 5개의 프로젝트가 폭발할 것입니다. 그러면 회사는 즉시 어려워질 것입니다.

CertiK는 자동화 감사와 인력 검토 작업이 적합한지 모니터링하는 모니터링 시스템을 갖추고 있습니다. 모든 보고서는 보안 전문가의 행동, 보고서 결과, 유사 프로젝트와의 비교를 기반으로 "신뢰 점수"(confident score)를 평가합니다. 만약 이 보고서의 신뢰 점수가 특정 임계값 이하로 떨어지면, 우리는 해당 프로세스를 시작하여 처리합니다.

지크 공원: 그렇다면 2020년 "LIEN FINANCE" 프로젝트의 취약점이 여전히 누군가에 의해 온라인에서 발견된 이유는 무엇인가요?

구롱후이: 이론적으로 소프트웨어의 100% 안전성을 보장할 수 있는 기술은 없습니다.

우리는 결코 "CertiK는 완벽하다"고 강조하지 않습니다. 이것이 우리가 모든 감사 보고서를 공개하는 이유입니다. 공개된 감사 결과는 모든 사람이 검토할 수 있는 기회를 제공하며, 더 많은 사람들이 코드 문제를 발견하여 프로젝트를 더 안전하게 만드는 것이 CertiK의 브랜드 평판보다 훨씬 더 중요합니다.

지크 공원: 어떤 프로젝트 측은 여러 감사 회사를 찾았고, CertiK에서 발견된 취약점이 가장 적었다고 말합니다.

구롱후이: 저는 대부분의 경우가 그렇지 않다고 믿습니다. 현재 시장에 공개된 보고서는 우리의 주장을 뒷받침할 수 있습니다.

그러나 실제로 몇 가지 경우가 있습니다. 예를 들어, 일부 프로젝트 측이 작은 팀과 협력할 때, 작은 팀은 모든 인력을 한 프로젝트에 집중시키고, 매우 빈번한 소통을 통해 많은 작은 문제를 프로젝트 측과 반복적으로 확인하며, 매우 많은 피드백과 상호작용이 이루어집니다. 그러나 CertiK는 규모화되어 있으며, 한 번에 직접 보고서를 제출하고 자동화 정도가 높아, 우리가 중요하지 않다고 생각하는 문제를 간과할 수 있으며, 프로젝트 측과 반복적으로 확인하는 과정이 부족합니다. 경험이 확실히 다릅니다.

현재 우리는 이 문제를 개선하기 위해 노력하고 있으며, 예를 들어 ChatGPT를 활용하여 규모화를 실현하면서 고객에게 더 나은 서비스 경험을 제공하고자 합니다.

지크 공원: CertiK가 감사한 코드에서 취약점이 발생하여 프로젝트 측이 손실을 입으면, 여러분은 어떤 책임을 지나요? 프로젝트 측에 사과하나요?

구롱후이: 우선, 이러한 상황은 많지 않습니다. 둘째, 손실이 발생하면 우리는 첫 번째로 사용자의 손실을 줄이고 도난당한 자금을 회수하는 데 도움을 줍니다. 그 후 우리는 왜 이런 일이 발생했는지를 설명하는 매우 상세한 보고서를 작성합니다. 책임에 관해서는, 우리가 항상 강조하는 것처럼, 감사 보고서는 도장이 아니라 "방탄 증명서"가 아니라 동적인 안전 평가입니다.

지크 공원: 당신의 동료들은 CertiK가 거의 6000개의 프로젝트를 감사했지만, 몇 개는 폭발했다고 말합니다. 그러나 그들은 2000개 이상의 프로젝트를 감사했지만, 하나도 문제가 발생하지 않았습니다. 이 관점에 대해 어떻게 응답하시겠습니까?

구롱후이: 저는 여기서 언급된 2000개 이상의 프로젝트의 보고서가 공개되었는지 잘 모르겠습니다. 공개되지 않았다면, 우리는 분석하고 응답하기가 매우 어렵습니다. 이것이 우리가 항상 감사 보고서를 공개하라고 주장하는 이유입니다.

Rekt(웹3 보안 공격 사건 통계 웹사이트)는 제3자의 권위 있는 통계 웹사이트로, 공격 취약점이 감사 범위에 포함되었는지를 확인합니다. Rekt에서 통계한 100건 이상의 Web3 보안 폭발 사건 중 CertiK의 감사 범위에 포함된 사건은 단 3건에 불과합니다. 우리의 시장 점유율을 고려할 때, 우리의 사고율은 업계 수준보다 훨씬 낮으며, 안전 계수는 가장 높아야 합니다.

지크 공원: 여러분은 감사 기관으로서 사실상 규제의 압박이 없습니다. 이는 여러분이 감사 품질을 잘 유지할 동기가 없다는 것을 믿기 어렵게 만듭니다.

구롱후이: 2022년, 저는 다보스 경제 포럼에 초대받았습니다. 그때 Circle(스테이블코인 USDC 개발사)의 CEO, Ripple(선도적인 기업 암호화 솔루션 제공사)의 CEO, Coinbase(암호화폐 거래소)의 COO, Animoca(블록체인 게임 회사)의 CEO 등 여러 사람이 저와 농담을 하며 "CertiK의 시장 점유율이 이렇게 높으면, 탈중앙화 세계의 새로운 중심이 될까요?"라고 말했습니다.

이는 사람들이 중앙화 기관에 대한 우려와 동일합니다. 즉, 여러분이 커지면, 다른 사람들이 여러분을 어떻게 믿을 수 있을까요? 어떻게 모든 감사가 제대로 이루어졌는지를 보장할 수 있을까요? 사람들이 중앙화 거래소가 사용자 자금을 유용하지 않는다고 어떻게 믿을 수 있을까요?

거래소는 "머클 트리"(Merkle Tree)를 사용하여 보유 증명을 공개하고 플랫폼의 자산 상태를 투명하게 공시할 수 있습니다. 유사하게, 우리는 보안 감사에 대한 규제의 최선의 해결책은 공개 투명성이라고 생각합니다. 그래야 외부의 감독을 유도할 수 있습니다.

지크 공원: 공개 투명성이 규제의 압박을 대체할 수 있을까요?

구롱후이: 이는 규제의 압박보다 더 클 수 있습니다. CertiK는 모든 보고서를 공개했으며, 만약 우리의 보고서에서 취약점이 발견되면, 누구나 이를 발견할 수 있습니다. 모든 나쁜 것은 영원히 인터넷의 기억에 남습니다.

그 질문으로 돌아가서, CertiK는 도대체 무엇이 좋은가, 왜 이렇게 빠른 속도로 업계 1위가 되었는가? 모든 기술을 제쳐두고, CertiK는 공개 투명성을 고수하며, 큰 압박 속에서 스스로를 강제로 개선하고 있습니다. 이것이 바로 매우 직관적인 "좋음"의 한 부분이 아닐까요?

5. 자금이 부족하지 않지만, 오히려 많은 돈을 받아야 한다

지크 공원: 2021년부터 CertiK는 1년이 채 안 되는 시간 동안 5차례 자금을 조달했으며, 골드만삭스, 타이거, 소프트뱅크, 세쿼이아, 고릉 등 가장 화려한 투자자들을 포함하여 Web3 보안 분야의 슈퍼 유니콘이 되었습니다. 왜 그 당시 자금 조달이 이렇게 "급격"했나요?

구롱후이: 2020년부터 DeFi가 대폭발을 맞이했으며, 많은 자본이 Web3 산업에 진입하고 싶어 했습니다. 그러나 그들은 상위 애플리케이션의 불확실성이 높다고 생각하여 인프라에 더 주목했습니다. 그리고 보안은 매우 중요한 인프라이며, 우리는 공인된 선두 기업이기 때문에 많은 국내외 대형 투자 기관이 유입되었습니다.

Web3 보안 분야의 투자 | 데이터 출처: Crunchbase)

지크 공원: 왜 다른 Web3 보안 회사들은 자금 조달 규모와 가치가 여러분보다 훨씬 낮은가요?

구롱후이: 흔히 하는 말로, "자본은 결코 잠들지 않는다"는 것입니다. 자본은 가치 있는 기업을 끊임없이 추구합니다.

한편으로 우리는 뛰어난 재무 데이터와 시장 점유율을 보유하고 있으며, 다른 한편으로는 신뢰 문제일 수 있습니다. 우리가 고수하는 공개 투명성 원칙에 기반하여. 예를 들어, 골드만삭스는 세계에서 가장 성공적인 투자은행으로, 그들의 투자 부서의 심사는 매우 엄격합니다. 많은 Web3 회사들이 심사를 통과하지 못했지만(예: FTX), CertiK는 골드만삭스의 투자 심사를 통과한 몇 안 되는 Web3 회사 중 하나로, 이는 우리에게 큰 인정입니다.

지크 공원: 사실 2021년 시장이 매우 좋았을 때, Web3 보안 회사들은 자금이 부족하지 않았습니다. 그래서 당신의 동료들은 자금을 받지 않기로 결정했습니다. 그러나 여러분은 오히려 돈을 받을 뿐만 아니라, 많은 돈을 받아야 한다고 생각했습니다. 어떻게 생각하셨나요?

구롱후이: 이는 매우 좋은 질문입니다. CertiK는 처음부터 긍정적인 현금 흐름을 가지고 있었으며, 자금 조달 결정도 많은 Web3 회사들과 다릅니다.

우선, 우리는 학자 출신으로 창업했으며, 창업 경험이 없고, CertiK와 산업이 직면한 미지의 상황이 너무 많았습니다. 우리는 매우 전문적이고 최고의 투자 기관의 도움이 필요했습니다.

둘째, CertiK의 보안 제품이 널리 인정받고 있지만, 여전히 부족합니다. 우리의 해커 상대는 매우 강력하며, 심지어 국가에 의해 지원되는 해커 조직도 있습니다. 우리는 차세대 보안 제품, 예를 들어 체인 상의 능동 방어 기술을 개발하고 싶습니다. 이는 대규모 투자가 필요하며, 이것이 우리가 자금을 조달하는 가장 중요한 이유입니다.

지크 공원: 그래서 외부에서는 여러분이 많은 돈을 받았다고 생각하지만, 여러분은 경쟁자와 비교할 때 그 돈이 많지 않다고 생각하나요?

구롱후이: 맞습니다. 우리는 2.4억 달러를 조달했지만, 이는 우리의 해커 상대와 직면한 도전과 비교할 때 많지 않습니다.

사실, 우리는 자금 조달에 대해 매우 절제해왔습니다. 2021년부터 2022년까지 우리는 잠재적 투자 기관에 계속 "노"라고 말했습니다. 많은(투자) 제안이 매우 매력적이었지만, 우리는 모두 거절했습니다.

지크 공원: 자본이 회사 발전을 왜곡하는 사례는 적지 않습니다. 이렇게 많은 화려한 투자자를 유치하면서, 그런 걱정은 없으신가요?

구롱후이: 우리의 투자자는 모두 전문적이고 최고의 대형 투자 기관입니다. 지금까지 그들은 우리에게 간섭한 적이 없으며, 오히려 우리의 생각을 존중해주고 있습니다. 저는 한 투자자가 저와 농담을 하며 "그가 간섭하고 싶다면, 차라리 자신이 회사를 창립하는 것이 낫다"고 말한 것을 기억합니다.

지크 공원: 상장에 관해, 당신은 자신의 일정이 있나요?

구롱후이: 상장은 확실히 CertiK의 매우 중요한 발전 노드이며, 우리의 많은 투자 기관, 예를 들어 골드만삭스는 매우 전문적입니다. 우리는 그들의 조언을 듣겠습니다.

지크 공원: 여러분은 이렇게 많은 돈을 벌고, 이렇게 많은 돈을 받았는데, 어떻게 사용할 계획인가요?

구롱후이: 우선, 가장 중요한 것은 차세대 Web3 보안 제품을 개발하여 사용자 문제를 더 잘 해결하는 것입니다. 예를 들어 CertiK의 보안 엔진을 기반으로, 우리는 데이터 처리, 분석, 응답 능력 등에서 대규모 투자를 할 것입니다. 예를 들어 계약이 블록체인에 올라간 후 취약점을 발견했을 때, 해커보다 먼저 자금을 회수하는 방법 등을 현재는 초기 구상 단계에 있습니다.

둘째, 우리는 비교적 좋은 잠재적 인수 대상을 살펴보고 있습니다. 예를 들어, 우리와 기술적으로 보완 관계에 있는 회사들이며, Web3 보안 분야에서 우리의 입지를 확장할 수 있는 회사들입니다.

마지막으로 시장을 개척하는 것입니다. CertiK는 현재 전 세계 모든 시장에서 가장 큰 점유율을 차지하고 있습니다. 그러나 보안은 24시간 대응이 필요하기 때문에, 순전히 미국 팀만으로는 이를 지원하기가 매우 힘듭니다(시차 문제). 동료들은 종종 밤 2시, 3시까지 야근을 하곤 합니다. 그래서 앞으로 우리는 현지 팀을 구성하여 시차 문제를 해결할 것입니다.

지크 공원: CertiK는 글로벌화에 매우 성공적입니다. 국내 동료들은 여러분 팀의 해외 배경이 자연스럽게 더 큰 이점이 있다고 말합니다.

구롱후이: CertiK의 국제적 배경이 우리에게 플러스 점수를 줄 수 있지만, 결정적인 요소는 아닙니다.

지크 공원: 많은 국내 동료들이 글로벌 시장에서 어려움을 겪고 있는데, 그 이유는 무엇이라고 생각하나요?

구롱후이: 국내 회사가 해외로 진출하는 것은 정말 어렵습니다. 우선 언어 문제입니다. 예를 들어, 제가 한국에 가면, 그곳 고객들이 저에게 한국어 보고서를 요청하곤 합니다. 그래서 많은 경우, 영어가 글로벌화에 충분하다고 생각하지만, 사실 그렇지 않습니다. 언어 문제는 많은 제약을 가져옵니다.

둘째, 관념의 충돌입니다. 국내의 보안 팀은 주로 소규모 팀 모델로, 직원 계층이 뚜렷하고 관리가 엄격하여 효율성이 높습니다. 그러나 유럽과 미국 시장은 평평한 관리 방식을 지향합니다. 해외로 나갈 때 관리 관념의 충돌이 발생할 수 있습니다.

지크 공원: 보안 분야의 인재는 매우 부족한데, 여러분은 어떻게 인재를 유치하나요?

구롱후이: 사명감을 통해 결집합니다. 예를 들어 해커는 더 큰 이익을 얻지만, 대부분의 보안 인재는 여전히 화이트 해커로 일하기를 선택합니다. 왜냐하면 그들은 목표가 있기 때문입니다.

예를 들어, 우리의 리캉 교수(CertiK의 최고 보안 책임자)는 세계적으로 유명한 화이트 해커로, 더 높은 수입의 일을 포기하고 CertiK에 왔습니다. 그래서 우리는 산업에 유익한 일을 하고 사명감을 세워야만 그들을 결집할 수 있습니다.

지크 공원: 돌아보면, 지난 약세장과 함께 설립된 Web3 보안 회사 중 현재까지 살아남은 곳이 많지 않습니다. 이러한 대격변에서 무엇을 배울 수 있을까요?

구롱후이: 저는 따라가는 것이 매우 위험하다고 생각합니다.

우리의 자금 조달이 매우 좋았기 때문에 이번 약세장에서 많은 새로운 Web3 보안 회사가 등장했습니다. 그러나 저는 현재 이 분야가 이미 매우 혼잡하다고 생각하며, 규모화의 기회가 다시 생기기 어렵다고 생각합니다. 왜냐하면 이는 많은 코드 데이터와 대량의(인력) 주석 작업이 필요하며, 그들은 기존 회사의 기술 축적을 초과하기 어렵기 때문입니다.

또한 일부 초기 Web3 보안 회사는 새로운 감사 모델을 제안했습니다. 예를 들어 프로젝트 측이 플랫폼에 코드를 공개하고 보상을 통해 화이트 해커를 유치하여 감사를 진행하는 방식입니다. 그러나 이는 저위험 취약점에만 효과적이며, 고위험 취약점은 이익 유혹이 커서 보상을 통해 찾기 어렵습니다. 그래서 우리는 이러한 모델을 그다지 인정하지 않습니다.

지크 공원: 듣기에는 여러분은 이 새롭게 설립된 Web3 보안 스타트업을 그다지 긍정적으로 보지 않는 것 같습니다?

구롱후이: 우리는 여전히 기술 혁신이 모델 혁신보다 더 신뢰할 수 있다고 생각합니다.