반년 손실이 200억 달러를 초과, 블록체인 보안 분야가 자본의 미친 듯한 경쟁을 받고 있다

저자: Flowie, 체인 캡처

Acala가 해킹 공격을 받아 12억 개 이상의 스테이블코인 AUSD를 발행하고, Solana 생태계 지갑이 대규모로 도난당했습니다… 과장하지 않고 말하자면, 블록체인 2022년 상반기의 절반은 보안 문제로 인한 핫이슈가 차지하고 있습니다.

Certik이 발표한 보안 보고서에 따르면, 2022년 첫 6개월 동안 블록체인 및 Web3 프로젝트는 해킹 공격과 취약점 악용으로 인해 20억 달러 이상의 손실을 입었으며, 이는 2021년 전체 연간 손실을 초과했습니다.

보안 문제가 폭발하는 동시에, 많은 프로젝트의 스마트 계약은 보안 감사가 필요하지만, 대기 시간이 6개월 이상 걸릴 수 있습니다. 감사가 완료되더라도, 여러분이 보신 것처럼 여전히 공격 위험에 직면할 수 있습니다.

블록체인 보안은 의심할 여지 없이 필수적이지만, 현실은 프로젝트 측이나 일반 사용자 모두 보안에 대한 신뢰를 갖기 어려운 것 같습니다.

이런 배경 속에서, 우리는 새롭게 진입한 보안 서비스 제공업체들이 줄을 잇는 것을 관찰했습니다. 현재까지 2022년에는 Carret, BlockSec, Secure3, Halborn, Redefine 등 국내외 보안 회사들이 상당한 금액의 자금을 조달했으며, 그 중 Certik은 거의 1년 동안 4차례 자금을 모금했습니다. 시장의 열기가 어느 정도인지 알 수 있습니다.

이 글에서는 보안 "수호자"의 현황을 통해 전체 블록체인 보안이 어떤 어려움에 직면하고 있는지, 산업의 구도가 어떻게 변화하고 있는지를 살펴보려 합니다.

아직 "개척" 중인 블록체인 보안 서비스

블록체인 "야생" 성장하면서 보안 수요가 급증했지만, 보안 서비스는 따라가지 못하고 있습니다.

BlockSec 공동 창립자 주야금은 "스마트 계약의 보안 감사 대기 시간이 2-3개월인 것은 최근 2년간의 일반적인 상황이며, 많은 프로젝트의 보안 감사 서비스는 심지어 6개월 이후로 대기하고 있습니다."라고 언급했습니다. 또한, 청두 체인안의 데이터에 따르면, 2022년 2분기 공격을 받은 프로젝트 중 일반 프로젝트는 보안 감사를 받지 못한 경우가 많았습니다.

비록 보안 서비스 제공업체들이 줄을 잇고 있지만, YM Capital 투자자 Thomas는 "실제로 공급 능력이 있고 브랜드 영향력이 있는 서비스 제공업체는 충분하지 않으며, 전 세계적으로 10여 개에 불과합니다."라고 생각합니다. 주야금은 보안 감사 분야에서 Consensys Diligence, Trail of Bits, Chain Security, Certik 등 초기 진입한 유명 회사들이 있지만, 이들이 차지하는 시장 점유율은 그리 크지 않으며, 전체 시장은 여전히 분산되어 있다고 봅니다.

또한, 구체적인 세분화된 분야에서 진입한 플레이어들이 다양한 수요를 충분히 커버하지 못하고 있으며, 대부분은 수익 모델이 명확하고 좋은 현금 흐름이 있는 보안 감사 분야에서만 경쟁하고 있습니다.

실제로 전통적인 인터넷 보안과 유사하게, 블록체인 보안 서비스도 대체로 B2B와 B2C로 나눌 수 있습니다. B2B 측면에서 블록체인 프로젝트의 보안은 블록체인 전과 후로 나뉘며, 블록체인 전에는 스마트 계약 코드의 보안 감사가 주를 이루고, 블록체인 후에는 공격 추적, 위험 정보 등의 실시간 모니터링이 포함됩니다. B2C 측면에서는 주로 사용자 지갑, NFT 등 다양한 자산의 보안이 포함됩니다.

주야금은 전체 보안 서비스 시장에서 B2B 측면의 DApp 개발자 운영의 보안, B2C 측면의 사용자 지갑, NFT 보안 등 중요한 보안 서비스가 여전히 공백이 많다고 생각합니다. "블록체인 보안 서비스는 거의 개척 상태에 있습니다."

왜 공급과 수요의 불균형이 일상화되었는가?

공급과 수요의 불균형 뒤에 있는 이유는 이해하기 어렵지 않습니다. 우선 블록체인 산업의 오픈 소스 특성과 현재의 발전 단계가 블록체인 보안 서비스의 수요를 "야생 성장"하게 만들었습니다.

YM Capital 투자자 Thomas가 블록체인 보안 분야에 베팅한 기본 판단은 "전통적인 인터넷 보안에 비해 블록체인 보안은 더 필수적이다."입니다.

한편으로는 블록체인 산업이 코드 오픈 소스를 매우 중시하기 때문에 대부분의 프로젝트 소스 코드가 모든 사람에게 공개되어 해커와 같은 기술자들이 그 안의 취약점을 발견할 수 있는 자연스러운 편의성을 제공합니다. 다른 한편으로는 현재 블록체인 프로젝트의 진입 장벽이 매우 낮고 규제가 부족하여 프로젝트 품질이 고르지 않으며, 프로젝트 측과 사용자 모두 보안 감사 등의 방법으로 자신에게 보안 보증을 제공해야 합니다.

또한, Web3 보안 서비스는 Web2에 비해 큰 문제점이 있습니다. 공격자는 취약점을 실행하여 이익을 얻을 수 있습니다. Web2 세계에서 공격자는 주요 서비스를 중단시키거나 데이터를 탈취하거나 악성 소프트웨어를 판매하여 이익을 얻을 수 있지만, 수익 측면에서는 여전히 제한적입니다. 그러나 Web3 세계에서는 블록체인 코드가 다양한 복잡한 경제 금융 시나리오와 연결되어 있으며, 사용자와의 암호화폐 자산과 직접적으로 관련되어 있어, 하나의 취약점이 공격자에게 수백만 달러에서 수천만 달러 이상의 수익을 가져다줄 수 있습니다. "커뮤니티의 감독과 공동 창작에 직면할 때, 블록체인 보안 제품의 모든 변화는 복잡한 설명 프로세스를 요구하며, 전통적인 인터넷에 비해 빠른 제품 반복이 어렵기 때문에 제품의 보안성은 출시 전에 더 신중하게 고려해야 합니다."

이렇게 보안이 더 필수적인 상황에서 블록체인 제품은 보안에 대한 수요와 지불 의사가 매우 높습니다. Certik의 B3 라운드 자금 조달에서 공개된 데이터에 따르면, 2021년 Certik의 수익은 12배 증가하고, 이익은 3000배 증가했습니다.

수요 측면에서 야생 성장하는 상황에서 공급 측도 많은 "무력함"을 겪고 있습니다.

초기 전통 인터넷 보안이 수동으로 로컬 데이터베이스에서 공격 방식을 매칭하는 "토종 방법"과 유사합니다. 보안 감사 측면에서 대부분의 서비스 제공업체는 거의 표준화된 자동화를 달성하기 어렵습니다. 이는 공급 능력이 인력에 매우 제한된다는 것을 의미합니다.

인력을 통해 추진할 수 있더라도, 그렇게 많은 자격 있는 보안 감사 인력을 어디서 찾을 수 있을지는 큰 의문입니다. 계약 감사는 특정 비즈니스 시나리오와 결합하여 수행해야 하며, 블록체인마다 다른 체인과 다른 시나리오에 필요한 감사 능력이 다르기 때문에 자격 있는 감사 인력이 매우 부족합니다. 많은 감사 능력을 가진 기술자들은 독립 해커나 화이트 해커가 되는 것을 더 선호할 수 있으며, 스마트 계약 공격을 하거나 스마트 계약 취약점을 제출하여 보상을 받는 것이 더 많은 수익을 얻을 수 있습니다. 올해 들어 블록체인 산업에서는 이미 백만 달러 이상의 취약점 보상이 여러 차례 발생했습니다.

수량 측면에서 공급과 수요가 완전히 불균형인 상황에서, Go+ Security 창립자 Mike는 보안 자원 공급과 수요 구조의 불일치가 핵심 문제이며, 이로 인해 매칭 효율성이 매우 낮다고 생각합니다.

우리가 보안 문제를 논할 때, 보안 수호자가 보안 감사에만 집중되는 것 같습니다. 그러나 전체 개발 프로세스에서 자가 테스트를 수행하고, 계약 설계를 최적화하며, 코드 품질을 높이고, 동시에 취약점 스캔을 수행하는 등의 측면에서 적절한 도구나 서비스가 있다면, 감사 작업량을 크게 줄일 수 있습니다. "업계의 한 현실은 많은 전문 보안 감사사가 많은 정력을 매우 낮은 수준의 코드 오류에 낭비하고 있다는 것입니다."

"표준화"가 핵심 경쟁력

현재 시장에는 많은 상상 공간과 블루오션이 존재하는 가운데, 신구 플레이어를 막론하고, 우리는 보안 기술 자체의 반복 외에 기본적으로 두 가지 문제점에서 더 큰 기회를 찾고 있음을 관찰했습니다: 첫째, 더 표준화되고 자동화된 제품을 출시하여 한계 비용을 낮추고 발전의 병목을 타개하는 것; 둘째, 더 많은 세분화된 시나리오나 특정 단계를 커버하여 더 많은 보안 예산을 확보하는 것입니다.

자금 조달이 가장 활발한 Certik의 경우, 블록체인 전의 보안 감사 외에도 Certik은 블록체인 후 7*24시간 중단 없는 자동 모니터링 SaaS 플랫폼 Skynet을 출시하여 보안 위협을 방어하고 있습니다. OpenZeppelin은 게임화 기술을 통해 스마트 계약 내의 보안 취약점을 식별하고 "Defender"와 같은 서비스를 제공하여 프로젝트가 스마트 계약 관리의 자동화를 실현하고 자동화 스크립트를 생성하는 데 도움을 줍니다.

최근 새로운 자금 조달을 마친 BlockSec는 블록체인 전의 보안 감사 서비스 외에도 블록체인 프로젝트에 실시간 보안 모니터링 서비스 제품을 제공합니다.

"현재 블록체인 보안 감사 프로젝트는 여전히 주식 자금 조달 상장 모델로 진행되고 있으며, SaaS화된 표준화된 자동화 제품을 출시하지 못한다면 성공적으로 상장하는 것은 거의 불가능할 것입니다." Mirana Ventures 투자자 Kenneth는 이것이 제품의 SaaS화에 대한 동력 요소 중 하나라고 생각합니다. "하지만 현재 블록체인의 변화가 너무 빠르고, 세분화된 시나리오가 많으며, 공격 사건의 문제는 복잡하여, SaaS와 유사한 소프트웨어가 보안 서비스를 제공하는 것은 시장에서 받아들여지지 않고 있으며, 대부분은 케이스 바이 케이스로 진행되고 있습니다. 이는 신규 진입자에게 많은 기회를 제공합니다."

인력 감사 신청 외에도 점점 더 많은 프로젝트 측이 자동화 감사도 동시에 요청하고 있습니다.

더욱 자동화를 추구하기 위해, 현재 업계에서 일반적으로 사용되는 방법은 형식적 검증(formal verification)입니다. 이 방법은 사전에 보안 규칙을 정의하고, 이후 고객의 코드가 이러한 규칙을 준수하는지를 증명하여 이러한 규칙을 위반하는 보안 취약점을 피하는 것입니다.

하지만 BlockSec 창립자 주야금은 많은 보안 취약점이 스마트 계약의 특정 비즈니스 시나리오와 관련이 있으며, 코드의 정확성만 보장한다고 해서 전체 스마트 계약의 보안성을 보장할 수 없다고 생각합니다. 또한 형식적 검증 규칙 자체도 프로젝트에 맞게 맞춤화해야 합니다. 따라서 BlockSec는 "공격"의 관점에서 코드 감사를 수행하며, 구체적인 기술로는 공격 면의 추출 및 분석과 자동화 Fuzzing(모호 테스트) 등의 기술을 결합한 전체 솔루션을 사용합니다.

Go+ Security 창립자 Mike의 견해도 이와 유사합니다. 현재 국내외 업계의 인식은 형식적 검증이 기술 효율성을 명확히 높이는 방법을 찾지 못했으며, 여전히 인력 감사를 대체하기 어렵고, 전체 감사 프로세스에서 차지하는 비율이 여전히 낮습니다.

아직 자동화 접근 방식이 잘 해결되지 않은 상황에서, 전통적인 보안 감사 회사에서 감사 프로세스의 설계는 사실 감사 회사의 핵심 경쟁력입니다. "예를 들어 Quantstamp와 같은 회사는 동시에 3선 감사를 수행합니다. 비즈니스 설명의 핵심은 충분한 인력을 투입하여 철저한 감사를 수행하여 좋은 보안 결과를 보장하고, 서비스 사례를 통해 자신을 보증하는 것입니다."

B2B 측의 블록체인 보안 서비스 제공업체에게는 기술 능력 외에도 브랜드 능력이 핵심 경쟁력입니다. 커뮤니티를 잘 운영하고 일부 전략적 협력을 통해 시장에 자신의 보안 실력을 알리는 것이 특히 중요합니다.

전통적인 인터넷 보안이 처음에 B2C 측 보안에서 시작한 경로와는 반대로, 블록체인 보안은 현재 주로 프로젝트 측에 집중되어 있으며, B2C 측의 보안 서비스는 상대적으로 한산합니다.

하지만 소수의 창업자들은 C측 비즈니스를 선택하고 있으며, Go+ Security 창립자 Mike도 그 중 하나입니다. Go+ Security는 동적 위험 감지 플랫폼을 통해 데이터 API 방식으로 Web3 애플리케이션에 접속하여 사용자의 위험 시나리오를 커버하고, 사용자가 직면할 수 있는 자산 및 행동 위험을 실시간으로 식별합니다. 예를 들어 계약 감지 기반의 Token, NFT, 권한 감지, 사용자 사용 시나리오 기반의 피싱 웹사이트, 피싱 이메일, 커뮤니티 사기 등을 포함하여 사용자에게 보안 방어를 제공하는 동시에 Web3 애플리케이션에서 처리하기 어려운 사용자 측 위험을 분리합니다.

Mike는 전통적인 인터넷 경험에 비춰볼 때, 소수의 사용자만이 보안에 대해 비용을 지불할 것이라고 생각하지만, Web3 사용자는 보안 서비스 구매의 수익 모델이 더 명확하다고 생각합니다. 이는 자동차를 구매할 때 보험에 가입해야 하는 것과 비슷하며, 보안 서비스는 향후 모든 Web3 사용자의 필수 서비스가 될 수 있습니다. B2C 측의 핵심은 사실 보안 트래픽과 데이터이며, 상업적 논리는 B2B 측의 프로젝트별 서비스 요금 청구 논리와 다릅니다. 데이터 규모를 확장하는 것이 핵심입니다. "B2C 측의 전체 기술 아키텍처는 오히려 빨라야 하며, 매일 새로운 공격 방법이 등장하므로 이를 식별하고 위치를 파악해야 합니다. 보안 엔진은 수백 가지 전략과 10여 가지 검출 유형이 동시에 작동할 때, 2초 이내에 정확한 결과를 도출하는 것이 B2C 보안의 핵심일 수 있습니다." 데이터 규모를 확장하는 것은 제품 서비스 외에도 생태계의 개발 및 집합에 의존합니다.

B2C든 B2B든, 또는 표준화를突破할 수 있는지 여부에 관계없이, Mirana Ventures 투자자 Kenneth는 핵심은 여전히 사람이라고 생각합니다. SaaS 소프트웨어도 인력 개발이 필요하므로, 현재 프로젝트의 인력 확장 능력도 매우 중요합니다. "투자한 BlockSec, Secure3의 창립 팀은 학문적 및 대학 배경을 가지고 있어 블록체인 보안에 대한 고급 인재를 양성할 수 있으며, 인건비 측면에서도 이점이 있습니다."

현재 시장 플레이어들은 표준화 및 자동화와 비즈니스 깊이에 대한 노력을 기울이고 있을 뿐만 아니라, 작고 아름다운 접근 방식도 나타나고 있습니다.

예를 들어 북미에는 세분화된 감사를 지향하는 새로운 감사 회사들이 있으며, 주로 StepN, BanklessDao와 같은 혁신적인 비즈니스를 서비스합니다. 이 세분화된 시장은 전통적인 감사 회사에게는 매우 어렵거나 비용 대비 효율이 낮기 때문에 많은 복잡한 수정을 거쳐야 혁신적인 비즈스에 맞출 수 있습니다.

또한 반사기와 같은 매우 세분화된 문제를 겨냥하여 보안 서비스를 제공하는 창업자들도 있습니다. 많은 GameFi 프로젝트는 반사기 층에 50%의 개발 자원을 투입해야 하지만, 이 층은 미래에 개입 가능한 API 데이터 서비스 층으로 변화할 수 있으며, 전문적인 반사기 제3자 서비스가 프로젝트를 더 효율적으로 처리하는 데 도움을 줄 수 있습니다.

두 개의 모호한 영역: 요금 및 책임

제품의 표준화 외에도, 일부 요금 및 책임 분배 모델이 명확하지 않습니다.

블록체인 프로젝트는 보안 서비스에 대한 지불 의사가 매우 높지만, 이는 대규모 보안 예산을 지출할 의사나 능력이 있다는 것을 의미하지 않습니다. 하나의 취약점이 플랫폼 사용자에게 매우 많은 자산을 보호하더라도, 보안 서비스 제공업체가 얼마나 많은 비율을 받을 수 있는지, 어떻게 요금을 청구할 것인지가 문제입니다.

전통적인 프로젝트에서 일반적인 요금 모델은 기본적으로 세 가지 유형이 있습니다. 첫째, 프로젝트별로 서비스 요금을 청구하거나 SaaS 모델로 요금을 청구하는 것입니다. 둘째, 보호 프로젝트의 네트워크 자산에 대해 일정 비율의 수수료를 받는 것입니다. 셋째, 보안 API를 제공하고 호출 횟수에 따라 요금을 청구하는 것입니다. 만약 토큰 유형의 프로젝트라면, 내장된 토큰 모델을 통해 지불 목적을 달성할 수 있지만, 이러한 방법은 현재로서는 성숙한 방식이 아닙니다.

주야금은 코드 감사가 일반적으로 프로젝트 크기에 따라 건당 요금을 청구한다고 말했습니다. 스마트 계약이 블록체인에 올라간 후 데이터 모니터링 부분은 구독제로 진행되며, 예를 들어 연간 요금을 청구합니다. 손실 회수 서비스는 구독제 외에도 회수 금액에 따라 비율에 따라 요금을 청구합니다.

하지만 Mirana Ventures 투자자 Kenneth는 "업계 내에는 사실 명확한 요금 기준이 없으며, 모두가 SaaS 출시를 강조하고 있지만 요금은 여전히 케이스 바이 케이스로 진행되고 있습니다. 비슷한 프로젝트가 최종적으로 지불하는 금액이 크게 다를 수 있어 시장 확장에 불리합니다."라고 생각합니다.

요금 모델이 표준화되지 않은 것 외에도, 보안 감사 또는 보호 프로젝트가 공격을 받았을 때 누가 책임을 질 것인가요? 현재로서는 공격을 받은 대부분의 프로젝트가 보안 감사를 완료했으며, 많은 경우 유명 보안 회사의 감사에서 업그레이드되었지만 여전히 공격을 피하지 못했습니다.

Kenneth는 전통적인 4대 회계 법인의 감사 서비스와 같이 문제가 발생하면 제3자가 위에서 아래로 규칙을 정하여 프로젝트의 책임과 서비스 제공자의 책임을 명확히 하는 규칙을 제정한다고 언급했습니다. 현재 블록체인 보안 서비스는 이러한 규칙을 구축하지 않았습니다. "미래에 이러한 규칙이 생기더라도, 법률 및 규정의 불완전함, 국가 및 지역 간 규칙 차이로 인해 책임 검토 및 추적의 어려움이 발생할 것입니다."

생태화, 세분화가 대세가 될 것이다

"시장 점유율 측면에서 블록체인 보안 서비스와 전통적인 인터넷 보안의 최종 구도는 유사하며, 여전히 몇 개의 주요 업체가 전체 시장을 이끌 것입니다." BlockSec 창립자 주금야의 판단에 따르면, 블록체인 보안은 코드 감사 분야에서 몇 개의 주요 플레이어가 자리 잡을 것입니다.

비록 주요 플레이어가 등장할 가능성이 있지만, 대부분은 지역적인 주요 플레이어일 것입니다. Mirana Ventures 투자자 Kenneth는 최근 Tornado Cash가 반세탁법으로 제재를 받은 사례를 들어, 보안 서비스가 미래에 코드 감사에서 개인 정보 데이터 등 다른 서비스로 확장될 것이며, 이는 지역 정책의 제약을 받을 것이라고 생각합니다. 많은 데이터 관련 비즈니스는 국경을 넘을 수 없습니다.

시장 구도가 안정되고 성숙해지는 과정에서, YM Capital 투자자 Thomas는 Web2의 발전 경험을 바탕으로 보안 비즈니스 자체에 많은 인수 기회가 존재한다고 말했습니다. 여기에는 수평적 인수 및 수직적 인수가 포함되며, 미래의 보안 회사는 보안의 경계를 넘어 비보안 데이터 비즈니스 방향으로 확장할 수 있습니다.

현재 상황을 보면, 많은 이른바 Web3 보안 회사는 여전히 매우 Web2의 사고방식을 가지고 있으며, 본질적으로는 고객이 Web2에서 Web3로 전환하는 것에 불과합니다. YM Capital 투자자 Thomas는 더 Web3의 탈중앙화 형태의 회사나 조직, 또는 채널이 존재하여 탈중앙화된 보안 네트워크를 구축할 수 있는지를 기대하고 있습니다.

Go+ Security 창립자 Mike도 보안의 다양한 세분화된 분야에서 일부 주요 회사가 존재하지만, 전통적인 인터넷 보안 서비스에 비해 생태화가 더 이루어질 것이라고 생각합니다. 이는 하나의 주요 회사가 전체 시장을 독점하는 것이 아닙니다.

블록체인 보안 분야는 매우 방대한 시장이지만, 문제를 근본적으로 해결하기 위해서는 보안 감사 회사가 프로젝트 출시 전에 가능한 한 많은 취약점을 해소하는 것뿐만 아니라, 화이트 해커와 같은 독립 연구자들이 출시 후 보상 모델을 기반으로 지속적으로 취약점을 발굴해야 하며, 규제 메커니즘, 사용자 교육 등 여러 측면에서의 노력이 필요하여 블록체인 프로젝트에 대한 전방위적이고 전주기적인 보안 보장 메커니즘을 형성해야 합니다.