오터섹의 로버트 첸, 블록체인 보안에 대해 이야기하다

로버트 첸은 안전한 네트워크를 보장하기 위해 60개 이상의 웹3 프로토콜 빌더와 협력해 온 보안 회사 OtterSec을 설립했습니다. 카네기멜론 대학교에서 컴퓨터 공학을 전공했으며 이전에는 모바일 취약성 연구원으로 근무했습니다.

OtterSec은 보안 감사를 수행하여 취약점을 식별하고, 안전하고 보안이 강화된 제품을 출시하기 전에 기업과 협력하여 제품을 출시합니다. 이 회사는 웹 3.0 산업을 전문으로 합니다.

덴버에서 열린Sui 빌더 하우스에서 Robert를 만나 웹3.0 보안, 모범 사례 및 빌더가 직면한 가장 큰 보안 과제에 대한 그의 견해를 들어보았습니다.

웨인 커닝햄

귀사의 OtterSec은 블록체인의 보안 취약점을 감사하고 있습니다. 감사 프로세스에 대해 자세히 설명해 주시겠어요?

로버트 첸

감사에서는 크게 두 가지를 살펴봅니다. 첫째, 블록체인 운영자와 직접 협력하여 검증자 코드와 같은 주요 구성 요소의 보안을 평가합니다. 둘째, 블록체인 위에 구축된 프로토콜을 평가합니다. 블록체인 측면에서는 트랜잭션이 100% 안전한지 확인하는 데 중점을 둡니다. 프로토콜 측면에서는 로직이 건전하고 네트워크가 수백만 달러의 손실을 입는 사고로 이어지지 않는지 확인합니다.

Wayne

팀원들이 해커처럼 취약점을 찾기 위해 프로토콜을 샅샅이 뒤지나요, 아니면 코드 분석에 많은 시간을 할애하나요?

Robert

우리는 대부분의 시간을 공격자처럼 생각하고 엣지 케이스를 파악하기 위해 다양한 위협 시나리오를 만들어내는 데 보냅니다. 프로토콜이 어떻게 반응하는지 확인하기 위해 대용량 데이터 패킷을 전송하는 등의 작업을 시도합니다. 고전적인 서비스 거부 공격을 설정하기도 합니다. 또한 블록체인의 코드가 실제로 어떻게 작동하는지 파악하는 데 많은 시간을 할애합니다. Sui 를 감사하면서 핵심 가상 머신 코드를 살펴보고 취약점이 있는지 평가할 수 있었습니다.

Wayne

웹3.0 분야에서 팀의 경험은 어떤가요?

Robert

저희 팀의 100%는 웹2.0 보안에 대한 배경 지식을 가지고 있습니다. 이러한 기술은 웹 3.0으로 바로 전환됩니다. 블록체인마다 공격 벡터가 유사한 경향이 있기 때문에 이 분야에서 감사를 수행할 때마다 지식 기반이 구축됩니다.

Wayne

블록체인 개발자들이 보안을 구현할 때 직면하는 어려움은 무엇인가요?

Robert

주요 문제 중 하나는 기술적인 문제가 아니라 타이밍과 리소스와 관련이 있습니다. 개발자는 소규모 팀과 함께 매우 촉박한 일정에 맞춰 작업하는 경우가 많습니다. 단 몇 달 안에 모든 기능을 갖춘 제품을 출시해야 하기 때문에 보안 에지 케이스를 테스트할 시간이 충분하지 않습니다. 더욱 어려운 점은 아주 새로운 프로그래밍 언어를 다루고 있다는 점입니다. 웹2 프로그래밍에서는 많은 에코시스템 지식을 활용할 수 있지만, 웹3에서는 공식 문서가 유일한 정보원일 수 있습니다.

Wayne

앱 자체가 아닌 블록체인의 기본 아키텍처가 보안에 얼마나 기여하나요?

Robert

블록체인이 설계되는 방식은 보안에 큰 영향을 미칩니다. 예를 들어 Move 프로그래밍 언어는 매우 안전합니다. 저희의 보안 리뷰에서 Move 에서 취약점이 더 적게 발견되었습니다. 그렇다고 Move 앱에 버그가 없을 수 없다는 것은 아닙니다. 분명 문제가 발견되기도 했습니다. 하지만 일반적으로 Move 에서 개발하는 빌더가 더 안전한 코드를 작성하는 경향이 있다는 것을 발견했습니다. 제가 본 바로는 Move 으로 인해 Sui 이 더 안전한 환경이 될 것 같습니다.

Wayne

블록체인 기술이 보안 분야에서 기존 네트워크에 비해 태생적으로 유리한 점이 있나요?

Robert

인터넷이 처음 설계되었을 때 사람들은 보안에 대해 별로 생각하지 않았습니다. 서버가 대학과 연구 센터에서 호스팅되었기 때문에 신뢰할 수 있는 환경이었죠. 블록체인을 구축하는 사람들은 뒤늦게나마 보안을 고려해야 한다는 사실을 깨달았습니다. 하지만 블록체인은 모든 것이 매우 투명하기 때문에 인터넷의 일부와 비교했을 때 단점이 있습니다. 블록체인은 오픈 소스인 경우가 많기 때문에 코드를 통해 취약점을 찾아볼 수 있습니다. 따라서 블록체인 앱을 배포할 때는 구축하려는 플랫폼과 보안 프로토콜에 대해 신중하게 고려하는 것이 매우 중요합니다.

Wayne

OtterSec이 작업하면서 발견한 가장 큰 보안 결함은 무엇인가요?

Robert

구체적인 사례에 대해 말씀드릴 수는 없지만, 가장 흔하게 발생하는 취약점 중 하나는 키 관리와 관련된 것입니다. 프로토콜의 업그레이드 권한이든 재무부에 액세스할 수 있는 관리자 키이든 중요한 키를 어떻게 저장할지 신중하게 생각해야 합니다. 팀은 프로젝트를 시작할 때 안전한 키 관리와 모범 사례를 파악해야 합니다.

Wayne

블록체인 전반에 걸쳐 보안 인증을 위한 중앙 기관을 두는 것이 합리적일까요? 기존 블록체인과 새로운 블록체인에 배포할 수 있는 골드 스탠다드를 가진 그룹과 기술이 있을까요?

Robert

중앙 인증은 아마도 좋은 생각일 것입니다. 어려운 부분은 이 분야에서 일하는 모든 보안 회사가 인증에 동의하도록 하는 것입니다. 웹2.0 세상에는 많은 보안 표준이 있으며 때로는 서로 충돌하기도 합니다. 일반적인 취약점 목록을 만드는 것이 더 쉬울 것입니다. 합의된 취약점 체크리스트가 있다면 프로토콜을 만드는 사람들이 이를 검토하고 자신의 기술이 취약점에 대응할 수 있는지 확인할 수 있습니다.

Wayne

마지막으로 하고 싶은 말이 있나요?

Robert

트위터는 보안에 대해 관심이 있으신 분이라면 문의 양식을 통해 문의해 주시기 바랍니다. 프로토콜을 출시할 때는 보안에 만전을 기하시기 바랍니다. 보안 사고는 업계 전반의 신뢰도를 떨어뜨립니다.