[블록미디어 정아인 기자] “티오리는 코드 감사 보안 업체로 많이 알려져 있다. 그러나 우리는 웹3의 전반적인 업무를 두루 담당하고 있다.”

티오리(Theori)는 국내 보안감사 업계에서 ‘근본’으로 불린다. 2016년 미국 텍사스 오스틴에서 뿌리내려 2017년 한국 지사를 설립했다. 이후 가파르게 성장해 누적 투자액이 230억 에 이른다. 올해 국가정보원에서 ‘정보보안교육 감사패’를 수상했다.

대표 고객사로 구글, 마이크로소프트, 네이버, 삼성전자, 대한민국 국방부, 두나무 등이 있다. 두나무는 주요 투자사 중 하나다.

티오리의 박세준 공동 창업자이자 CEO는 국내외 해킹대회 70회 이상 우승했다. 카네기멜론대학교 컴퓨터과학 학사와 석사를 지냈으며, 사이버 작전사령부 자문위원으로 활동 중이다.

그런 티오리가 눈을 웹3로 돌렸다. 올해 9월 체인라이트(ChainLight) DART(Digital Asset Risk Tracker)를 런칭하며 웹3 보안 감사에 문을 열었다. 체인라이트는 티오리 산하 웹3 보안을 전문으로 담당하고 있다. 지난 7월 위믹스파이 지갑 자산 구출에 성공해 화제를 모으기도 했다.

박세준 티오리 대표는 “체인라이트가 오딧팅을 진행한 후 사고가 터진 경우는 없다“라고 말했다. 박세준 대표와 티오리 사무실에서 인터뷰를 진행했다. 다음은 일문일답.

Q. 위믹스는 반중앙화돼 있는 체인이었기 때문에 추가 자금 탈취를 막을 수 있었다. 하지만 완전히 탈중앙화된 체인은 어떤가? 블록체인의 특성은 탈중앙화다. 탈중앙화된 체인들의 자금 유출을 막을 방법은?

위믹스, 클레이튼, 오르빗도 반중앙화됐다. 여기서 오는 장단점은 항상 있다. 어느 정도 중앙화 돼 있다 보니 중간에서 제어할 수 있다. 이는 USDC, USDT 같은 스테이블코인도 마찬가지다.

블랙리스트를 걸 수 있는 기능이 있다. 자산 탈취가 되더라도 블랙리스트를 걸면 사용할 수 없는 타버린 돈이 된다. 그런 프로젝트들도 어떻게 보면 중앙화 돼 있는 부분이 있다.

체인상에서 브릿지를 통해 중간으로 넘어갈 때, 필터를 걸어 탈취된 자금은 지갑에서 옮기는 건 못할 지언정 지갑에서 다른 곳으로 나가는 건 막아 가치를 줄여버릴 수 있다. 만약 락이 될 경우 피해액만큼 다시 찍어서 원래 주인들에게 돌려줄 수도 있는 여러 가지 방법이 있다. 이게 장점이다.

그러나 빠르게 피해를 차단하고, 손실액을 복구할 수 있다는 뜻은 블록체인을 왜 사용하는지, 탈중앙화를 왜 외치는지 생각하게 된다.

이상적인 탈중앙화는 리스크를 감수하는 게 ‘오너십’을 가지고 있다고 볼 수 있다. 다만 사건 사고가 발생할 때 현재 많은 커뮤니티가 책임 소재를 찾고 있다. 현재 탈중앙화를 완전히 받아들이지 못한 단계라고 생각한다.

대신 방어기제는 세워놓을 수 있다고 본다. 타임락이나 탈중앙화에 가까운 방식인 멀티시그(다중서명) 등을 통해 큰 자산들이 한 번에 이동할 수 없게 막는다. 자금 인출 시 얼마 이상의 투표를 통해 승인 받는 형태로 진행할 경우 좀 더 탈중앙을 가져가서 바로 이체할 수 없고, 다른 체인에서 빼내 갈 수 없도록 장치를 걸어둘 수 있다.

보통 분산은 쪼개서 할 수 있지만 공격은 한 번에 이루어진다. 한 번 이상 징후가 감지되면 바로 락이 걸릴 수 있다. 100억의 자산을 한 번에 인출할 수 없게 설정했다고 가정한다. 1억씩 100번을 쪼개서 인출하기는 힘들다.

그런 경우 탈취자는 3억만 인출했는데 97억 인출이 막히는 상황이 발생하면 안 되니 80~90억 정도를 한 번에 뺀다. 이런 걸 대비해 쓰레스홀드(threshold, 임계값) 를 걸어 두면 안전장치가 작동할 수 있다. 이는 정상적인 케이스가 아니니 타임락을 걸어 두면 효과적이다.

이체는 되나 7일 이후 진행될 수 있게 설정한다. 만약 이게 예고된 것이라면 업그레이드를 해 큰 자산을 7일 전에 계산해서 옮기면 된다. 그러나 만약 공격자가 진행할 경우 7일간 락이 걸리니 투표를 통해 이체할 수 없도록 하면 실제로 피해로 이어지지 않을 수 있다.

현재 과도기라 여러 리스크가 발생할 수 있다. 어떤 장단점이 있는지 알기 위해 여러 가지 시도하는 게 더 중요하다고 생각한다. 반중앙화, 탈중앙화, 완전 중앙화 등 여러 시스템을 모두 경험하고 장단점을 배우는 과정이 필요하다.

Q. 티오리는 소위 ‘근본 보안감사’ 회사다. 한국 토종 웹3 감사 업체들은 2018년부터 활발하게 움직이다가 최근 디파이, 월렛 등으로 돌아섰다. 블록체인 시장 침체기에 티오리가 활동하는 이유는?

예를 들어 이더리움 마켓플레이스 블러(BLUR)의 랜딩 프로토콜인 블랜드(Blend)가 세상에 나오기 전 감사를 했다. 버전2도 함께 작업했다.

보안감사는 런칭 이후 진행하면 그만큼 위험에 노출됐다고도 볼 수 있다. 싸이클로 보면 제품 출시 전에 오딧팅을 진행하는 게 맞다.

TVL, 금전적으로 중요한 영역에 있는 프로젝트들과 같이 일하며 레퍼런스를 확장 중이다.

체인라이트는 ICO 붐이 있었을 때는 토큰 감사를 하지 않았다. ICO 붐이 있을 때는 여러 토큰이 유사한 코드와 백서를 복사 붙여넣기했다.

그래서 토큰 감사보다 조금 더 복잡한 로직이 있는 디앱을 중심으로 감사를 진행했다. 디앱이 실력 면에서도 훨씬 더 복잡하고 위험 요소들이 많다.

최근 위믹스 사태에서도 볼 수 있듯 현재 ‘유통량’에 대한 관심이 많아졌다. 이걸 기술적으로 해소할 수 있다고 생각해 이러한 프로덕트를 만들고자 한다.

블록체인 프로젝트들의 유통량 확인을 하나씩 확인하기에는 프로젝트 수가 많다. 또한 프로젝트가 생겼다 없어지는 것들도 많다.

백서를 확인했을 때는 보기엔 너무나 완벽하고 다 좋은 프로젝트들이다. 그러나 실제로 코인 프로젝트들이 잘 운영하는지 확인하기도 어렵다.

코인 프로젝트들의 여러 위험성을 판단할 수 있는 자동화한 툴을 통해 한눈에 볼 수 있게 하는 프로덕트인 ‘DART’를 만들었다.

Q. 다트(DART)란?

다트는 디지털 에셋 리스크 트래커(Digital Asset Risk Tracker)의 줄임말이다. 위험 요소를 추적하고 관리하는 툴이다.

코드는 거짓말을 할 수 없다. 코드에서 자동으로 분석해 백서에 공시된 코인 총발행량과 실제 유통을 비교할 수 있다.

예를 들어 특정 코인이 10억 개만 코인을 발행하겠다 했으니, 코드상에는 한계가 없는 경우가 그렇다. 현재 코인의 경우 ‘코인 프로젝트’를 신뢰하는 방법 밖에 없다. 기술적으로는 코인 총발행량을 마음대로 늘리고, 마음대로 유통할 수 있다.

코인의 무단 발행과 유통을 자동으로 판단해 리스크 요인들을 알려주는 서비스다.

구체적으로, 사이트에 들어오면 토큰마다 프로젝트마다 스마트 컨트랙트가 연동이 돼 있다. 그 스마트컨트랙트에 대해 코드 보안적인 부분들을 자동적으로 스캔해서 위험성을 다 알려준다.

위험성은 투자자 관점에서 더 중요한 영역인 중앙화 정도까지 이야기한다. 특정 사람이 하루아침에 코드를 바꿔치기할 수 있거나, 토큰을 더 찍어낼 수 있는지 제약 사항이 걸려있는지에 대한 리스크를 볼 수 있다.

다른 유통량이 지금 풀려 있는 유통량과 실제 공시된 코인들의 괴리를 보여줄 수 있다. 또한 아직 일어나지 않은 위험성들을 알려주는 툴로써 이제 제공할 거다.

Q. 토크노믹스에 나오는 코인 락업과 언락은 ‘코드’로 자동화해야 한다. 하지만 코드를 짜지 않고 커스터디언(수탁인)에 맡기기도 한다. 다트를 통해서 코드 유무를 확인할 수 있나?

결국 코인 프로젝트는 “우리 말을 믿어라’다. 회사 주식을 예로 들면, 기존 회사들도 발행한 주식이 있다. 이사회를 열어 발행한 주 수보다 더 많이 찍어낼 수 있다. 그럴 경우 기존 주주들이 가진 주식의 가치가 떨어진다.

스마트컨트랙트 세계에서는 이에 대해 코드상에서 더 제약을 걸어 둘 수 있어 훨씬 안전할 수 있다. 그런데 이런 제약이 걸리지 않는 경우가 훨씬 많았다.

결국 그대로 믿을 수밖에 없다. 코인 가격이 한창 많이 올랐을 때는 이런 점이 문제가 되지 않았다. 또한 코드와 온체인에서 모두 기록이 남지만 이걸 매일 모니터링하는 사람이 많지 않다.

이후 더 이상 돌아갈 수 없는 지경에 다다랐을 때 사람들이 예상한 유통량보다 더 많은 코인이 시중에 풀렸다는 걸 인지하고 사후 조사하면 너무 늦은 때가 많았다.

우리는 투자자들이 사전 문제를 방지할 수 있도록 도울 수 있다. 거래소도 ‘다트’를 통해 고민을 해결할 수 있다.

인터뷰 (2)로 이어집니다.

속보는 블록미디어 텔레그램으로(클릭)

같이 보면 좋은 기사

오딧팅은 하이 리스크-로우 리턴?…해치랩스 · 수호아이오 가고, 서틱 · 티오리 온다

체인라이트, 위믹스파이 해킹 피해자 자산 구출했다…웹3 화이트 햇 해커 활약