독점 인터뷰 신어: 처음으로 공개된 낚시 당한 1.2만 ETH 과정, 스타트업 팀에 대한 안전 조언

저자: 우설 블록체인

이번 논의는 Bybit에서 15억 달러가 도난당한 사건을 시작으로, 멀티시그 지갑(예: Safe)의 보안 취약점과 그 해결책에 대해 중점적으로 다루었습니다. 신어는 멀티시그 지갑이 의존하는 프론트엔드, 하드웨어, 브라우저 등의 인프라에 약점이 존재한다고 지적하며, 특히 프론트엔드 변조와 블라인드 서명 문제로 인해 거래 의도와 실제 작업이 일치하지 않아 해커에게 이용당하기 쉽다고 강조했습니다. 이를 위해 그는 도메인 화이트리스트, 거래 분석 플러그인 등의 임시 해결책을 제안하고, AI와 제3자 검증을 결합한 종단 간 폐쇄형 리스크 관리 시스템을 옹호하여 보안성을 높이자고 주장했습니다. 또한 신어는 개인적으로 작년에 피싱으로 1.2만 ETH를 도난당한 경험을 처음으로 공유하며, 하드웨어 지갑의 블라인드 서명 위험을 강조하고, 업계가 계층화된 분권화, 제로 트러스트 아키텍처를 채택하고 보안 문화 구축을 강화해야 한다고 촉구했습니다. 그는 또한 국가급 해킹 공격에 직면하여 업계가 기술 진화와 보안 인식 향상을 통해 도전에 대응해야 한다고 언급했습니다. 마지막으로 신어는 AI와 암호화폐의 결합 전망을 내다보며, 미래의 AI 에이전트가 블록체인 네트워크에서 중요한 역할을 할 가능성이 있다고 생각하며 업계 혁신을 촉진할 것이라고 믿고 있습니다.

멀티시그 의존 인프라 취약성 반성, 도메인 화이트리스트, 거래 분석 플러그인 등의 임시 해결책 제안, 종단 간 폐쇄형 리스크 관리 옹호

콜린: 신어 사장님, 이번 Bybit 사건에 대한 의견과 주목할 만한 점이 무엇인지 공유해 주시겠습니까?

신어: 이번 사건은 사실 매우 전형적인 경우입니다. 현재 멀티시그의 업계 해결책은 많은 인프라와 중간 서비스에 의존해야 하는데, 이러한 인프라와 중간 서비스는 여러 개발자들이 개발한 것입니다. 전통적인 의미에서 이해하면, 이렇게 더 분산되고 분권화된 구조는 문제가 발생하기 어렵지만, 현재의 문제는 여러 개발자 간의 애플리케이션과 하드웨어 기술 간의 상호작용에서 버그가 발생하고, 약한 지점이 존재한다는 것입니다. 이로 인해 지난 기간 동안 국가급 해커의 힘에 직면하여 대규모 보안 사고가 연속적으로 발생했습니다. 이 문제는 제가 작년 9월에 공격을 당한 이후로 계속 반성해온 문제입니다. 우리는 11월경에 각 하드웨어 제조사와 연락을 취했고, 블라인드 서명이 심각한 문제라는 것을 인식했습니다. 프론트엔드에서 데스크탑 플러그인, 하드웨어 연결이 쉽게 변조될 수 있다는 것을 깨달았고, 이는 가장 약한 지점이라는 것을 인식했습니다. 당시 OneKey, Ledger 등과 즉시 연락하여 해결책을 논의했습니다. 이 과정에서 몇 가지 문제를 발견했고, 각 회사는 해결책을 제시했지만, 결국 이 해결책이 실제로 구현되고 공격에 저항할 수 있도록 하는 것은 매우 어려웠습니다. 누군가는 아마도 반년 이상 걸릴 것이라고 언급했으며, Ledger는 사실 시스템적인 해결책을 마련했지만, 계약의 이유로 인해 수동 업데이트가 필요하고 이 주기도 매우 깁니다. 전체 링크에서 어떻게 하면 버그나 교차로 발생하는 문제를 잘 막을 수 있을지 고민해야 합니다.

현재 시장은 사실 종단 간 해결책이 부족합니다. 지금은 각 회사의 조합을 사용하고 있지만, 조합 과정에서 예기치 않은 일이 발생하여 해커에게 기회를 제공합니다. 이 과정에서 저는 내부적으로 몇 가지 작은 도구를 만들고, 몇 가지 데모를 만들었습니다. 첫 번째로 우리는 도메인 접근 화이트리스트를 만들어 웹페이지가 열리는 사이트가 문제가 없고 변조되지 않았음을 보장하여 전형적인 피싱 공격을 방지할 수 있도록 했습니다. 특히 잘못된 URL 입력이나 웹페이지의 무작위 리디렉션과 같은 문제를 방지할 수 있습니다. 그리고 우리는 거래 분석 플러그인을 개발하여 모바일에서 실행할 수 있도록 했습니다. 일부 하드웨어 지갑과 플러그인 간 또는 Safe 간의 통신은 QR 코드를 통해 이루어지므로, 우리는 이 QR 코드가 변조되지 않았는지 확인한 후 하드웨어 지갑에서 분석된 내용을 검증했습니다. 몇 가지 작은 플러그인을 만들었지만, 사용해보니 너무 분산되어 있어 전체 종단 간 프로세스가 완전히 연결되지 않고, 사용 단계가 너무 많다는 느낌이 들었습니다. 그래서 이번 사건이 발생한 이후에도 우리는 계속 반성하고 있습니다.

핵심은 현재 업계가 이미 매우 커졌고, 수조 달러의 규모를 가지고 있어 반드시 고급 해커 팀의 공격을 유발할 것입니다. 이 과정에서 우리 팀의 동료들도 언급했듯이, 수평적이고 수직적으로 모두 깊이 파고들어야 합니다. 하지만 업계가 정말 빠르게 발전하고 있고, 진화도 매우 빠르기 때문에, 많은 사람들이 비즈니스를 하면서 잠재적 위험을 간과하는 경우가 많습니다. 그래서 현재 우리의 생각이나 우리가 하고 있는 것은, 우리는 다양한 개인 키(하드웨어, 소프트웨어 체인상의 개인 키)를 관리해왔고, 이 과정에서 일련의 리스크 관리 능력을 축적해왔습니다. 리스크 관리 엔진도 있습니다. 그래서 우리는 Safe와 같은 전형적인 시나리오에서, 우리가 관리자로서 개인 키를 하나 가져오고, 그 개인 키를 가지고 완전히 독립적인 소프트웨어 및 하드웨어 환경을 구축하여, 우리의 리스크 관리 엔진을 통해 분석하고, 동시에 이 과정에서 맞춤형 검토 솔루션을 도입하고, 자동화된 AI 분석, 인적 검토를 추가하여, 블랙리스트와 화이트리스트를 추가하고, 심지어 고급 계약 매개변수 제어와 같은 것들을 추가할 수 있습니다.

사실 이것은 우리가 DeFi 과정에서 사용해온 기술이지만, 완전히 제품화하지는 않았습니다. 이러한 분권화된 형태를 통해 일부 개인 키가 한 팀이 완전히 소유하는 것이 아니라, 외부 제3자가 독립적으로 소유하게 하여 이 일이 종단 간으로 폐쇄될 수 있도록 해야 합니다. 이것이 현재 우리의 생각이며, 우리는 실제로 체인 상 DeFi 작업을 진행하는 과정에서 이렇게 운영하고 있습니다. EOA는 특히 피싱에 매우 취약하고, 멀티시그로 이전하면 Bybit와 유사한 문제에 직면하게 됩니다. 우리는 매우 긴 링크가 있으며, 다양한 위험이 존재합니다. 현재 우리의 생각과 해결책은 독립적인 제3자를 도입하고, 독립적인 제3자가 완전히 독립적인 기술 스택과 소프트웨어 및 하드웨어 통합 솔루션을 도입하여, 리스크 관리 엔진을 포함하고, 심지어 AI 기능을 추가하여 거래의 시작 분석, 리스크 관리 검토, 서명 협력의 전체 과정을 완료하여 국가급 해커의 매우 인내심 강하고 장기적인 침투 공격 방식을 회피하려고 시도하는 것입니다.

신어의 피싱 경험, 하드웨어 지갑 블라인드 서명 위험 강조, AI와 제3자 검증 결합 필요

콜린: 방금 EOA 피싱 문제를 언급하셨는데, 작년에 자산의 일부가 피싱으로 인해 손실된 것으로 알고 있습니다. 당시 상황을 회상해 주시고, 돈이 결국 북한 해커에게 넘어갔는지 궁금합니다.

신어: 당시 배경은 어떤 프로젝트에서 에어드랍을 받는 것이었고, 그때 제 몸 상태가 좋지 않았고, 조금 정신이 산만해져서 잘못된 링크를 클릭했습니다. 문제가 있는 링크가 있었습니다. 하지만 문제는 자금이 하드웨어 지갑으로 넘어갔고, 사실 우리는 도메인과 DNS 분석에 대해 리스크 관리의 제3자 메커니즘을 가지고 있었지만, 그 메커니즘이 우회당했습니다. 그때 우리의 리스크 관리가 작동하지 않았습니다. 우회된 후, 저는 정신이 산만해져서 그렇게 자세히 확인하지 않았고, 하드웨어 지갑 측에 도착했을 때, 하드웨어 지갑은 블라인드 서명이었습니다. 그 버튼을 누르고 나서 뭔가 문제가 있는 것 같아서 즉시 확인해 보니, 잘못된 상황이었습니다. 이후의 상황은 여러분이 아는 대로입니다. 그래서 이 사건이 발생한 후, 우리는 하드웨어 지갑의 블라인드 서명 문제를 해결하기 위해 노력했습니다. 이 과정에서 작년 국경절 때 OneKey 등과 계속 회의를 하면서 문제를 해결하기가 쉽지 않다는 것을 발견했습니다. EOA는 피싱에 매우 취약하고, 특히 표적이 되기 쉽습니다. 그래서 우리는 Safe를 사용하여 멀티시그로 전환하기로 했고, 멀티시그 과정에서 이 문제가 어떻게 더 심각해졌는지 알 수 없었습니다. 기본적으로 모든 거래가 블라인드 서명으로 이루어졌고, 우리는 이 문제를 해결하기 위해 많은 작은 도구를 만들어야 했습니다. 결국에는 폐쇄형 해결책이 필요하며, 우리의 하드웨어 지갑이 소프트웨어와 하드웨어 통합 목표를 달성해야 합니다. 하드웨어의 UI는 결국 마지막 검토 지점이기 때문에, 독립적인 제3자를 도입하여 이 과정에서 사람의 상태가 좋지 않을 때 이를 차단하고 경고 및 처리할 수 있도록 해야 합니다. 그래서 이것이 우리가 이 분야에서 시작하여 진화하고 제품화하려고 하는 이유입니다.

"짝퉁 시즌" 미발생 이유: 동력 부족 및 국가 비축 결정에 따른 시장 발전 촉진

콜린: 또, 작년에 당신이 "짝퉁 코인"이 없다고 처음 제기했을 때, 많은 사람들이 격렬하게 논쟁했으며, 많은 유명 인사들이 "짝퉁 코인"이 반드시 있다고 비판했습니다. 그리고 작년 12월에 "짝퉁 코인" 시장이 정말로 짧게 나타났습니다. 그때 당신도 "짝퉁 코인" 시장이 시작되었다고 느꼈을 것입니다. 그러나 얼마 지나지 않아 "짝퉁 코인"이 다시 당신이 처음 말한 것처럼 거의 존재하지 않는 현상이 되었습니다. 물론 우리는 예측을 하지 않지만, 단기 예측에 대해서는 누가 말했듯이, 오직 신만이 알고 있습니다. 하지만 지금 이 주기에서 "짝퉁 코인"이 거의 불가능하다고 느끼는 새로운 생각이 있습니까? 왜냐하면 주로 비트코인의 시장 순환에 있기 때문입니다. 그리고 당신은 소위 말하는 상승장이 끝났다고 느끼지 않습니까? 아니면 이미 하락장으로 전환될 단계에 들어섰다고 생각하지 않습니까?

신어: 현재 제 느낌은 지난 2, 3년 동안 일부 작은 감정적인 핫스팟을 제외하고는, 사실 전체 업계는 2020년, 2021년과 같은 매우 명확한 실용적 응용과 실제 수요가 있는 시나리오가 부족하다는 것입니다. 본질적인 문제는 여기 있다고 생각합니다. 내재적 동력이 없기 때문에 새로운 진정한 가치 있는 응용 자산이 축적되지 않을 것입니다. 한편, 이번 주기에서 대량의 플레이어가 사실 전통적인 미국 주식 시장에 남아 있습니다. 그들은 ETF를 구성하고 Robinhood와 같은 플랫폼을 통해 거래하고 있으며, 그들은 진정한 의미에서 암호화폐 자산을 소유하고 있지 않습니다. 그래서 많은 돈이 사실 시장에 남아 있지 않고, 사람들이 기대하는 소위 말하는 유출 효과가 발생하지 않았습니다. 비트코인과 이더리움에서 다른 코인으로 확산되는 것이 없습니다. 이 두 가지 요소가 겹치면서, 어떻게 된 일인지 "짝퉁 코인" 시장도 매우 단기적인 감정에 의해 움직였고, 몇 주 동안 지속되었으며, 일반적인 폭발적인 상황이 발생하지 않았습니다. 현재 저는 거의 이전의 판단을 유지하고 있습니다.

그리고 올해 제 관점이나 시장에 대한 기대는, 시장이 발전하기 좋은 상황은 아마도 올해 하반기, 6월에서 10월 사이에 발생할 것이며, 미국의 국가 비축 관련 사항이 점차 더 명확해지고 나면, 전체 업계나 시장에 비교적 많은 신규 자금이 유입될 수 있을 것이라고 생각합니다. 하지만 현재 단계에서 중단기적으로 우리는 응용 측면에서 문제를 해결할 수 없을 것 같습니다. 시장 내 자금 측면이나 시장 외 자금 측면에서 그렇게 미친 듯이 유입되는 상태는 아닌 것 같습니다. 그래서 저는 더 많은 기대를 하반기에 두고 있습니다.

저는 오늘 이 문제를 판단하지 않겠습니다. 결국 미국의 국가 비축 관련 사항이 올해 어떤 결과를 가져올 수 있을지에 달려 있습니다. 만약 결과가 없다면, 아마도 시장은 끝날 것입니다. 현재로서는 우리가 생각하기에 가능성이 꽤 높다고 느끼고 있습니다. 하지만 확실히 알 수는 없으므로, 더 많은 기대를 하반기에 두고 있습니다. (이번 스페이스의 발표 시간은 2월 25일이며, 3월에 트럼프가 비트코인 국가 비축 행정 명령에 서명했습니다.)

역사적 도난 사례 요약: 국가급 해커에 대응하기 위해 계층화, 분권화, 제로 트러스트 아키텍처 및 보안 문화 침투 필요

콜린: 사실 신어님은 암호화폐 업계의 오래된 플레이어입니다. 저는 2017년에 가입했는데, 암호화폐 역사에서 도난 사건이 정말 많았습니다. 여러 가지 위험한 상황이 있었죠. 물론 이번 Bybit 도난 사건은 역사적인 기록을 세웠지만, 그 자체로도 충분히 수익성이 있었기 때문에 전액 보상이 가능했습니다. 당신의 역사적 기억 속에서, 특히 오래전의 도난 경험 중 가장 깊이 기억에 남는 몇 가지 사건이 있다면 어떤 것들이 가장 공유할 가치가 있을까요?

신어: 저는 공격과 방어가 항상 진화하고 있다고 생각합니다. 초기의 공격 수단은 매우 원시적이었습니다. 우리는 업계 종사자들이 반드시 인식해야 할 것은, 우리가 직면하고 있는 것은 국가급의 힘이라는 것입니다. 이는 일반적인 해커가 아니며, 그들은 조직적이고, 심지어 10대 초반부터 집중적으로 훈련받아 다양한 공격 핵심 시설에 대한 방법을 사용하여 우리 기업에 내부 침투를 시도하며, 인간적인 측면에서도 도전합니다. 이 점은 모두가 명확히 인식해야 합니다. 우리는 이러한 상대와 마주하고 있습니다. 이 과정에서 사람들은 느슨해질 수 있으며, 인간적인 문제도 존재할 수 있습니다. 결국 우리는 견딜 수 있는 수단과 방법을 채택해야 합니다.

인터넷 역사에서, 우리는 Cobo가 아시아계 배경을 가진 기업 중에서 가장 먼저 제로 트러스트 모델을 채택한 회사일 것입니다. 우리가 이 방법론을 채택한 이유는, 이 방법론만이 실제로 검증되어 국가급 힘의 침투를 견딜 수 있기 때문입니다. 그래서 우리는 2018년, 2019년경부터 내부적으로 제로 트러스트 개혁을 추진하기 시작했고, 모든 내부 서비스와 모든 직원의 컴퓨터, 휴대폰에 다양한 것을 설치해야 했습니다. 우리는 이 점을 인식한 후 반드시 이 해결책을 채택해야 하며, 우리의 모든 시스템이 최소한의 신뢰 상태에 있어야 한다고 생각했습니다.

동시에, 가장 핵심적인 자산인 개인 키는 반드시 계층화, 분권화 및 분산의 사고를 도입해야 합니다. 계층화란 무엇인가요? 우리는 반드시 지갑을 매우 분산시켜야 합니다. 저는 개인적으로 네 개의 지갑 이론을 공유한 적이 있습니다. 이는 개인적인 차원에서의 이야기입니다. 그러나 기관 차원에서는 적어도 핫, 웜, 콜드 세 가지 층의 지갑 구조가 필요하며, 각 층의 구조는 고유한 특징을 가질 수 있고, 그 사이에 블랙리스트와 화이트리스트 및 일련의 프로세스, 시간 지연이 포함될 수 있습니다. 우리는 많은 경우 효율성을 위해, 특히 이 업계가 매우 빠르게 발전하고 있기 때문에, 효율성을 위해 보안을 타협하고 안전을 희생하는 경우가 많습니다. 하지만 강제적인 시간 지연은 안전 위험 노출을 매우 낮출 수 있습니다. 특히 콜드 지갑과 웜 지갑 측면에서는 반드시 계층화해야 하며, 각 층마다 다른 안전 위험을 설정하고, 이러한 시스템적인 위험을 피하기 위해 감사 제도와 프로세스를 구축해야 합니다. 콜드 지갑은 물리적 차원에서 가장 안전해야 합니다.

둘째는 분권화입니다. 업계가 이렇게 오랜 시간 발전해오면서 참여자도 점점 많아졌습니다. 처음에는 해결책이 없어서 팀 내부를 신뢰해야 했습니다. 이제 내부 직원, 특히 원격 근무가 보편화된 상황에서, 내부 직원이 북한 측에 침투당한 경우도 있었고, 심지어 조직 내부에서 높은 권한을 가진 직원도 있었습니다. 그래서 우리는 내부의 이 프로세스를 완전히 신뢰할 수는 없습니다. 따라서 이 측면에서 반드시 분권화해야 하며, 외부 독립 제3자를 도입하여 일부 개인 키를 통제하고 검증하는 것이 매우 중요합니다. 현재 많은 관리 회사, 보안 회사, 보험 회사가 있으며, 그들은 다양한 수준의 개인 키를 보유할 수 있습니다. 일부는 핫 지갑의 개인 키, 일부는 웜 지갑의 개인 키, 일부는 콜드 지갑의 개인 키를 보유하고 있으며, 그들은 외부 독립 제3자로서 자신의 보안 해결책을 가지고 리스크 관리 및 통제를 수행합니다. 이러한 일련의 조치를 통해 공격의 비용과 문턱을 기하급수적으로 증가시킬 수 있습니다.

마지막으로 분산입니다. 우리는 이러한 소프트웨어와 하드웨어를 전 세계적으로 분산 배치하는 데 있어 비교적 잘하고 있습니다. 기본적으로 모두가 비교적 분산된 상태입니다. 이 관점에서, 우리는 반드시 최소 신뢰 시스템을 사용해야 하며, 제로 트러스트의 이 리스크 설계 개념을 통해 우리의 전체 내부 시스템과 구조를 설계해야 합니다. 그리고 계층화, 분권화, 분산의 핵심 자산 관리 방식을 추가하고, 일련의 소프트웨어 및 하드웨어 보안 모듈을 갖추고, 내부에서 엄격한 접근 통제 프로세스를 구축하여 안전한 생애 주기 폐쇄 관리 시스템을 구축해야 합니다. 여기에 사건 중, 사건 후 긴급 대응 및 해결책을 추가해야만 고위험, 불확실한 공격 사건에서 비교적 오랫동안 생존할 수 있습니다.

규제 거래소는 보안 투자 증가, 오프쇼어 거래소는 성장 압박으로 인해 보안 조치 부족

콜린: 개인적으로 Coinbase나 다른 규제 거래소에 대해 알고 싶습니다. 사실상 도난 경험이 적은 것 같습니다. 오프쇼어 거래소는 거의 도난당하지 않은 경우가 없고, 심지어 많은 거래소가 여러 번 도난당했습니다. 그 이유가 무엇인지 잘 모르겠습니다. 이론적으로 그들이 사용할 수 있는 구조는 오프쇼어 거래소에서도 사용할 수 있지 않나요? 오프쇼어 거래소는 자금량이 많거나 운영 방식이 다르기 때문일까요? 어떤 보안 전문가가 이 질문에 답변해 주실 수 있을까요? 그리고 신어님, 북한 해커의 공격에 직면했을 때 이 업계의 창업 난이도가 매우 높아지고, 일반 창업자의 보안 비용이나 필요한 투자가 매우 높아져서 이 업계 발전에 큰 제약이 될 것이라고 생각하십니까? 업계가 북한 해커의 공격에 맞서 견딜 수 있을지에 대한 의구심이 있는 것 같습니다.

신어: 제가 보충하자면, 제 직관적인 느낌은 규제 거래소가 보안과 효율성 측면에서 보안을 더 중시하는 것 같습니다. 예를 들어, 그들은 일부 측면에서 더 엄격하게 관리하고 있기 때문에 보안에 대한 투자가 매우 큽니다.

오프쇼어 거래소는 이론적으로 자금이 많기 때문에 보안에 더 많은 투자를 할 수 있습니다. 초기의 바이낸스나 다른 거래소들, 이번 사건의 경우에도 도난이 꽤 빈번하게 발생한 것 같습니다.

아마도 오프쇼어 거래소는 성장 압박이 너무 커서 지속적으로 고빈도 업데이트를 해야 하고, 사용자 불만도 많기 때문일 것입니다. 그러나 규제 거래소에서는 일반 사용자의 기대가 그렇게 높지 않으며, 출금 요구도 그렇게 빠르지 않습니다. 심지어 대규모 출금은 T+1, T+2로 이루어지며, T+7인 경우도 있습니다. 사용자들은 이를 수용할 수 있습니다. 왜냐하면 고객층이 다르기 때문입니다. 규제 거래소의 고객층은 주로 기관입니다. 이 두 거래소는 역사적으로도 비교적 오래되었으며, 도난 사건을 경험했는지 모르겠지만, 내부적으로 보안 문제에 대한 많은 경험이 있을 것입니다. 기본적으로 보안 문제는 기업의 "성인식"으로 볼 수 있습니다.

저는 이 업계에 충분한 이익 공간이 있다면, SaaS화된 제품을 투입하여 이 업계의 문제와 수요를 충족할 수 있을 것이라고 생각합니다. 다만 현재 사람들은 보안 인식이나 지불 의사가 그렇게 강하지 않습니다. 우리는 많은 훌륭한 보안 제품을 보았지만, 모두가 힘들게 번 돈을 벌고 있으며, 심지어 비용도 균형을 맞추기 어려워 다른 방법으로 보조해야 합니다.

이 측면은 문제이지만, 공격과 방어가 진화함에 따라 사람들은 점차 보안이 매우 중요하다는 것을 인식하게 되었고, 보안에 대한 투자가 점점 더 많아질 것입니다. 이는 보안 SaaS에 집중하는 회사에 일정한 발전 공간과 자금량을 제공할 것입니다. 보안 관점과 구조 측면에서, 효과적이고 검증 가능한 해결책이 존재합니다. 다만 Safe와 같은 사례는 상하류에 약 4~5개의 참여자가 있으며, 실제로 거래를 완료하려면 각 참여자 간의 조정과 협력이 매우 느리며, 하드웨어 진화도 특히 느리기 때문에 해커에게 시간을 주게 됩니다.

블록체인 업계에서 문제가 충분히 드러나고 논의되면, 한두 주기의 진화를 통해 이러한 문제를 해결할 수 있어야 합니다. 또한 Web2도 유사한 문제에 직면해 있습니다. Web2에서 보안 문제에 투입되는 자원은 블록체인 업계만큼 크지 않습니다. 우리는 비밀번호 보안을 보호하기 위해 Passkey가 많은 해를 거쳐 추진되었고, 결국 지난 1~2년 동안 대규모로 사용되기 시작했습니다. 특히 민감한 금융 분야에서 그렇습니다. 이러한 기술의 기반은 재사용 및 발전이 가능합니다. 우리가 사용하는 애플 기기 등도 빠르게 보안 측면에서 진화하고 있습니다. 결국 해결책이 존재하며, 다만 일정한 시간과 자금 투입이 필요할 뿐입니다. 이 과정에서 리스크 인식이 약하고 행동이 다소 공격적인 개발자들이 일부 비용을 부담할 수 있지만, 문제는 해결할 수 있다는 것입니다.

창업자 보안 조언: 제로 트러스트 모델 실천, 다중 감사 교차 검증, 정기적인 보안 훈련

콜린: 창업자들에게 최근 한 스타트업이 5000만 달러를 도난당했습니다. 전체 커뮤니티가 많은 지원을 하고 있습니다. 창업 프로젝트의 보안 측면에서, 다년간의 경험을 가진 사람으로서, 이렇게 많은 것을 겪으신 신어님께서 창업자들이 보안 인식을 높이기 위해 어떤 조언을 해주실 수 있을까요?

신어: 저는 창업 과정에서 반드시 제로 트러스트 모델을 잘 실천해야 한다고 생각합니다. 이는 매우 중요합니다. 현재의 환경에서는 오직 이 방법론과 개념만이 모든 사람을 보호할 수 있습니다. 동시에 단일 실패 지점이나 단일 계약 감사에 의존해서는 안 되며, 기본 요구 사항은 최소한 두세 개의 감사 기관이 있어야 하고, 교차 검증이 필요합니다. 이렇게 하면 이 과정에서 문제를 드러낼 수 있습니다. 그리고 자금량도 너무 빨리 늘리지 말고, 초기에는 내부 테스트와 공개 테스트를 통해 천천히 자금량을 늘리고, 자금을 격리하여 상대적으로 리스크를 관리할 수 있도록 해야 합니다.

사실 업계에는 가격이 그리 비싸지 않은 보안 해결책이 많이 있습니다. 예를 들어, 안전한 모니터링 및 리스크 관리 시스템을 활용해야 하며, 이는 생존 확률을 크게 높일 수 있습니다.

창업 과정에서 한편으로는 비즈니스 모델이 사용자 측면을 고려해야 하며, 특히 기술 배경이 없는 창업자들은 보안 및 내부 제로 트러스트 아키텍처에 상당한 주의를 기울여야 합니다. 최소한 20-30%의 주의를 이 부분에 두어야 합니다. 만약 회사 차원에서 이러한 내부 보안 문화와 제도를 강조하지 않고, 정기적으로 내부에서 보안 피싱 테스트와 공격 방어 훈련을 실시하지 않는다면, 직원 측면과 인간적인 측면에서 모두 느슨해질 것입니다. 해커가 언제든지 당신을 주시하고 있을 수 있다는 것을 알아야 합니다. 따라서 자원과 주의는 여전히 보안 측면에 두어야 합니다.

콜린: 네, 저는 이 업계가 성장하는 과정에서 거의 모든 회사가, 개인이든 회사든, 도난 경험을 겪지 않은 곳이 없다고 생각합니다. 다행히 이번에 무너지지 않았다면, 개인이나 전체 업계 모두 발전할 것입니다.

왜 이번 Memecoin에 참여하지 않았는가: 건강 문제, AI에 집중

Web3 만두: 신어님, 당신은 암호화폐 업계에 오랫동안 계셨고, 이 업계의 유명 인사입니다. 처음에 Cobo 지갑이 여러분과 함께 채굴할 수 있었던 시절이 있었죠. 올해의 시장 상황에서 신어님이 업계 관련 사항에 대해 발언이 적어진 것을 발견했습니다. 오늘 언급한 링크에서 PVP에 대해 간단히 언급하셨습니다. 저는 업계가 현재 한 차례의 시장 후에 병목 현상에 도달한 것 같아 신어님께 다음 기회가 어디에 있을지 여쭙고 싶습니다.

콜린: 맞습니다, 신어님은 항상 새로운 것들을 시도하는 것을 좋아하셨지만, 이번 Meme가 이렇게 뜨거운데 특별히 참여하신 것을 보지 못했습니다. 그 이유가 무엇인가요?

신어: Meme에 참여하지 않는 이유는 제 건강이 정말로 감당할 수 없기 때문입니다. 00년대 후반과는 비교할 수 없습니다. 또 다른 요인은 최근 제 주의가 AI에 집중되고 있다는 것입니다. AI는 미래에 암호화폐와 어떤 혁신적인 결합을 가져올 가능성이 있어 새로운 증가를 가져올 수 있습니다. 우리는 1년 넘게 진행된 오프라인 행사에서 암호화폐의 최종 사용자가 AI 에이전트나 AI 로봇이 될 것이며, 인간이 아닐 것이라고 제안했습니다. 그래서 저는 AI 사용법을 배우는 데 많은 시간을 할애하고 있습니다. PVP는 더 이상 제가 할 수 있는 일이 아닙니다. 제가 일반적으로 참여하면 여러분에게 돈을 주는 것이고, 별다른 긍정적인 피드백이 없어서 주로 AI에 집중하고 있습니다.

AI와 Crypto의 결합 전망, AI 에이전트가 블록체인 네트워크에서 중요한 역할을 할 가능성

콜린: 현재 AI는 어떤가요? 이전에 AI 에이전트의 바람이 불었던 적이 있었고, 그 후 급격히 하락했습니다. 제 주변에는 AI로 인해 파산한 친구들도 많습니다. 당신은 AI 스마트체가 매력적인 무언가를 만들어냈다고 생각하십니까? 앞으로 AI와 암호화폐의 어떤 좋은 응용 방향이 있다고 생각하십니까?

신어: 저는 가장 기본적인 핵심이 AI 자체의 능력이 아직 그 단계에 도달하지 못했다는 것입니다. 지금은 여전히 개념 검증 단계의 것들입니다. 그리고 우리는 AI의 발전 속도가 매우 빠르다는 것을 볼 수 있으며, 기본적인 계산 모델이 지속적으로 진화하고 있습니다. 우리는 AI가 미래에 일반 AGI(인공지능)를 갖춘 상태에 도달하기를 기대합니다.

암호화폐와 관련하여 두 가지가 있습니다. 한편으로는 완전히 디지털화된 것에 매우 우호적입니다. 데이터가 공개되고 투명하기 때문입니다. 그래서 AI는 상호작용 방식을 변화시킬 수 있으며, 이러한 복잡한 스마트 계약 및 비인간적인 보안 작업에 대해 우리는 신뢰할 수 있는, 지능적인 AI 스마트체에 의존하여 보조 결정을 내릴 수 있어야 합니다. 저는 지금 농담으로, 현재 분산 금융을 운영할 때 몇 개의 AI 스마트체를 원격으로 배치해야 한다고 말합니다. 앞으로 정말로 그런 형태가 될 수 있을 것입니다. 인공지능 엔지니어와 아마도 한두 개의 AI 스마트체가 화면을 지켜보고 있을 것입니다. 더 나아가 AI가 블록체인 네트워크에 접속할 가능성도 있습니다.

우리는 하나의 시나리오를 상상해봅시다. AI 스마트체 간에 일부 상호작용이 필요하며, 가치 교환, 데이터 교환이 이루어질 수 있으며, 계약 및 계약서와 관련된 것들이 포함될 수 있습니다. 심지어 느슨한 형태의 회사나 DAO를 구성할 수도 있습니다. 그들은 스마트 계약 플랫폼을 사용하여 가치 측면의 교환을 수행할 것입니다. 저는 생각합니다. 아마도 3년, 5년 후 블록체인에서 Web 소셜 네트워크 또는 가치 소셜 네트워크와 유사한 것이 형성될 것이며, 이는 결국 이 모든 AI 스마트체가 사용할 것입니다. 이 것이 등장하면, 그것이 가져오는 가치와 영향력은 매우 클 것입니다. 우리는 항상 Web3의 네트워크 효과를 이야기합니다. 이 것이 가져오는 자산 규모나 가치는 현재 우리가 보는 전통적인 인터넷 회사보다 훨씬 클 것입니다. 그래서 이는 현재의 수조 규모를 초과하는 것이 될 수 있습니다. 저는 이게 도대체 무엇인지, 우리가 그 안에서 무엇을 할 수 있을지 계속 고민하고 있습니다. 저는 매우 낙관적입니다. 지난 2, 3년 동안 업계에서 좋은 응용 방향이 나타나지 않았지만, 저는 미래에 나타날 것이라고 생각하며, 우리가 해결할 수 있는 장애물도 있을 것입니다. 그래서 저는 그 날이 오기를 기대하고 있습니다.

Safe 지갑 블라인드 서명 문제 해결책: 기업 서명 도구 + AI 리스크 관리 + 블랙리스트 및 화이트리스트 관리

TheCheerSong: 저는 체인 상 자동화 거래를 하는 트레이더입니다. 이 사건이 발생한 후, 우리의 비즈스가 중단될 수 없는 상황에서 보안 조치를 업그레이드하고 있습니다. 제가 느끼기에 가장 번거로운 부분은 Safe 지갑의 블라인드 서명 부분입니다. 현재 우리가 할 수 있는 것은 오픈 소스 권한 제어 모듈을 가지고 있으며, 이를 Safe 지갑에 적용했습니다. 이 사용 프로세스에서 대부분의 거래 요청을 자동화하여 Safe 지갑은 기본적으로 일부 토큰의 수동 전송 작업만 수행합니다. 저는 각 선생님께 질문하고 싶습니다. 상대적으로 간단한 요청에 대해 현재 우리의 서명 내용을 검증할 수 있는 도구가 있습니까?

신어: 사실 방금 언급하신 것처럼, 우리는 다음 주에 내부 도구를 제품화하여 Safe 기업 서명 도구를 출시할 예정입니다. 본질적으로 Safe의 개인 키를 얻고, 머신에 블랙리스트 및 화이트리스트를 추가하며, 일부 리스크 관리 템플릿을 포함하여, 일반적인 리스크 관리 수단을 사용자 정의할 수 있습니다. 예를 들어, 토큰의 한도, 거래 속도를 제한하고 블랙리스트 및 화이트리스트를 설정하는 것과 같은 것들입니다. AI 에이전트의 일부 능력과 함께 대규모 손실 상황을 고려하여, 우리는 이 프로세스를 명확히 정리하고 리스크를 잘 관리할 수 있습니다.

이 솔루션은 Cobo가 이전에 Argus 체인에서 접근 제어 목록 기반의 계약 및 매개변수 제어를 통해 개발한 것과 결합됩니다. 현재로서는 이렇게 해야만 제 자금이 체인 상에서 거래될 때 안심할 수 있습니다. 이것이 우리가 현재 사용하는 보안 실천입니다.

Bybit 도난 사건에서 지갑 보안 문제에 대한 각 보안 전문가의 의견

이번 스페이스 기간 동안 BlockSec CEO 주야금 교수, OneKey 최고 성장 책임자 Nig 및 Cobo 최고 보안 책임자 Moon도 자신의 의견을 표현했습니다.

Bybit 사건에서 거래소 보안 문제에 대해 주야금 교수는, 이 사건은 Safe 계약 지갑을 사용하여 자금을 관리할 때 작업과 실제 거래가 일치하지 않아 지갑이 악의적으로 업그레이드되고 자금이 도난당한 것이라고 밝혔습니다. 그 원인은 아직 공개되지 않았습니다. 많은 프로젝트 측은 Safe 멀티 서명을 사용하여 지갑을 관리하는 것이 안전하다고 생각하지만, 실제로는 운영, 비기술 및 기술 측면의 시스템 구축을 간과하고 있습니다. 개인 키 관리와 거래 해석에 취약점이 존재하며, 보관, 서명 및 거래 해석이 부족하여 개인 키의 물리적 안전을 보장할 때 사용자 친화성이 보안 단계 처리를 미흡하게 만듭니다. 대규모 자금 멀티 서명 이체의 신뢰 체인은 길지만, 거래 해석 및 작업 인터페이스 정보에 대한 제3자의 이중 검증이 부족하여, 대규모 자금을 관리하기 위해 계약 지갑을 사용할 때 제3자 검증 인증을 도입해야 하며, 화이트리스트를 설정하거나 분권화하여 계약 지갑에 유연한 전략 제어를 시행해야 합니다.

Safe 지갑의 프론트엔드 변조 빈발 및 주류 멀티 서명 솔루션 Safe의 보안성에 대해 Moon은 Safe 솔루션 및 계약 자체는 비교적 안전하지만, 사용 시 신뢰 체인이 길어 예기치 않은 상황이 발생하기 쉽다고 언급했습니다. 이번 Bybit 공격은 외주 측면의 문제일 가능성이 높으며, 계약 문제는 아니며, 일상적으로 보안 인식을 높이는 것이 중요하다는 점을 강조했습니다. Safe 지갑을 안전하게 사용하기 위해서는 수직적 및 수평적으로 고려해야 하며, 수직적으로 각 단계에 대해 제어 가능한 기술 솔루션이 필요합니다. 예를 들어 독립 장치 등이 필요합니다. 수평적으로 멀티 서명자는 독립적으로 검증해야 하며, 긴 신뢰 체인은 단계 간 교차를 초래할 수 있으며, 해커가 이를 통해 검증을 우회할 수 있습니다. 따라서 수평적으로 확장할 때는 서명자 수를 늘리는 것뿐만 아니라 서명자 솔루션과 환경이 독립적이고 각자 검증되도록 해야 Safe의 기능을 충분히 발휘할 수 있습니다. 또한 거래소와 고액 자산 보유자는 계약 지갑 외에도 인적 대조, 이상 모니터링 등의 엄격한 메커니즘을 구축해야 하며, 자동화 프로그램을 활용하여 검토하고 보안 인식을 높여 Web2 공격을 피해야 합니다. 또한 Cobo는 MPC와 Safe의 관리 솔루션을 출시할 예정이며, Safe의 멀티 서명 기능을 활용하여 서로 다른 서명자가 독립적이고 완전한 종단 간 서명 링크를 갖도록 할 것입니다.

Bybit 사건에서 하드웨어 지갑 관련 문제에 대해 Nig는 Bybit이 EOA 지갑을 NPC로 제어하고(서명이 쉽게 해석되기 때문) Safe 스마트 계약 지갑의 서명은 복잡하여 해석하기 어렵고, 보안 팀이 이를 즉시 인식하지 못했을 것이라고 밝혔습니다. 현재의 하드웨어 지갑(예: Ledger)은 성능이 제한적이며 복잡한 스마트 계약 해석 및 블라인드 서명에 대응하기 어렵습니다. 만약 조치를 취했더라면 이번 공격을 피할 수 있었을 것입니다. 신어 팀과 OneKey는 관련 해석 도구를 개발했습니다. Ledger의 Clear Signing 진행은 느리며, 서명 데이터가 연결된 장치에서 유출되기 쉬워 하드웨어 지갑 해석만으로는 의도 일치를 보장하기에 부족합니다. Bybit는 이번에 경고가 부족했으며, 첫 번째 서명자가 침해된 후 다른 사람은 장치 문제로 블라인드 서명하게 되었습니다. 고액 자산 보유자와 기관은 자금 거래 관련 연결 장치를 독립적으로 분리하고 사무 장치와 격리하여 침해 위험을 줄여야 하며, 이전 Radium 침해 사건은 환경이 격리되지 않았기 때문일 수 있습니다.

Safe의 보안성, 제3자 모니터링 기능 및 AI의 블록체인 보안 적용에 대해 주야금 교수는 Safe 계약의 과거 보안성이 높았으며, 여러 차례 검토를 거쳤지만, 사용 프로세스가 길어 위험을 초래한다고 언급했습니다. 그의 팀이 개발한 falcon Safe 보안 시스템은 제3자의 시각에서 사용자 거래를 검토하고 거래 내용을 분석하여 이체, 계약 상호작용 등 거래의 핵심 정보를 알림으로써 사용자 인식 장벽을 낮추고 보안 문제를 피할 수 있도록 합니다. AI 적용 측면에서, AI는 악의적 행동 비용을 낮추고 피싱 도구를 대량으로 생성하기 용이하게 합니다. 한편, 업계는 AI와 감사 결합 및 자동화 감사 코드를 탐색하고 있지만, 이상적인 상태와는 거리가 멀지만, AI는 암호화폐 사용자가 제품을 사용하는 장벽을 낮추고 사용자 작업의 복잡한 문제를 해결하는 데 도움을 줄 수 있습니다.

하드웨어 지갑 관련 문제에 대해 Nig는 회사가 일부 동종업체처럼 거래소에서 도난당한 후 전투 보고서를 발행하여 판매량이 급증했다고 홍보하지 않을 것이라고 밝혔습니다. 판매량이 증가하는 것은 좋지만, 많은 사람들이 개인 키 보안에 대한 인식을 새롭게 하게 되었다는 것을 반영합니다. 이번 보안 사고에서 하드웨어 지갑은 책임이 있으며, Ledger와 Safe의 성능이 기대에 미치지 못했습니다. Safe는 프론트엔드 및 원주 지원을 중단했습니다. 이전 세대 하드웨어 지갑은 보안 문제로 인해 해석 능력이 제한되었으며, 새로운 세대 제품인 Ultra, Pro는 로컬 복잡한 계약 해석을 강화하고 거래 핵심 요소 해석을 지원할 것입니다. Classic은 중요한 부분만 표시할 것입니다. APP는 주류 EVM 거래 해석을 구현할 것이며, 하드웨어 측은 보안 테스트가 다소 늦어질 것입니다. Safe에 대해 최근 관련 공격 방어 방법을 보여주고 사용자 보안 교육을 진행할 예정입니다. 미래에는 기술이 다양해지겠지만, OKX가 하드웨어 지갑 접속에 소극적이고 기관이 NPC 지갑을 추진하는 등, 서명 과정이 연결된 환경에서 니모닉이 노출될 위험이 있기 때문에 하드웨어 지갑은 항상 물리적 격리를 중심으로 운영되어야 하며, 니모닉 표준 업그레이드와 같은 변화가 있더라도 핵심 보안 방어는 변하지 않을 것입니다.