[블록미디어 정아인 기자] 티오리(Theori)는 국내 보안감사 업계에서 ‘근본’으로 불린다. 2016년 미국 텍사스 오스틴에서 뿌리내려 2017년 한국 지사를 설립했다. 이후 가파르게 성장해 누적 투자액이 230억 에 이른다. 올해 국가정보원에서 ‘정보보안교육 감사패’를 수상했다.

티오리 박세준 대표를 만났다. 디지털 에셋 리스크 트래커(DART. Digital Asset Risk Tracker)에 대한 박 대표의 생각을 들어봤다. 인터뷰 (1)에서 이어집니다. 

Q. DART가 거래소에게 왜 도움이 되는가?

안전한 투자 생태계 조성이 거래소에도 유리하다. 거래소는 (상장하는) 프로젝트 리더들의 말과 공시 정보를 최대한 모은다. 그러나 거래소도 전문 기술 조직이 아니다 보니 위험성 평가에 있어 일부 미숙한 부분이 있다.

상장 심사 기준의 창구가 다 다르기도 했다. 어느 팀은 이메일, 텔레그램 이런 식으로 진행하다 보니 관리도 잘 되지 않았다. 어떤 팀은 엑셀 시트로 관리했다. 그래서 거래소와 프로젝트들이 소통할 수 있는 공간을 제공할 예정이다.

프로젝트 빌더들은 우리가 어디에 상장하고 싶거나, 안전하다는 걸 알리고 싶다. 각자 다른 포맷으로 된 오딧 보고서를 거래소에 같이 제출하는 형식이 있었다. 이걸 저희 사이트에 와서 일정 비용을 내고 등록하면 자동 오딧이 된다.

거래소, 프로젝트 리더, 사용자, 투자자를 위한 플랫폼이다.

온체인 모니터링도 구축 중이다. 특정 재단 물량들이 가끔 모호하게 분산돼 있다. 이런 물량은 재단들이 포함하고 싶어 하지 않는다. 유통되는 게 아니기 때문이다. 그러나 거래소 입장에서 이를 다 관리하고 있어야 한다. 이에 대한 신청을 받지만 이는 다 제각각이다.

그래서 이를 우리 플랫폼에 기재하면 플랫폼 내 계산기에서 고래 비율, 각 지갑의 재단 물량 비율과 분산 정도, 이동 등을 다 보여줄 예정이다.

Q. 국내 원화 거래소들은 가상자산 평가보고서나 스마트컨트랙트 보고서를 공시한다. 하지만 거래소들은 이를 편의성을 위해 제공하는 것이지 의무는 아니라 한다.

점점 의무가 돼야 한다고 생각한다.

거래소, 프로젝트 빌더들이 들이는 공수가 많아지니 싫어할 수 있으나 웹3시장과 디파이 시장이 진지하게 인정받고 싶다면 직접 규제화해야 한다.

웹3 시장은 커뮤니티가 이끌어서 높은 기준을 세워야 한다. 기준에 부합하지 않는 것들은 철저히 도태시키는 등 기준을 올려야 할 필요가 있다. 그렇게 하지 않으면 다들 겜블링(도박)이라고 할 거다.

Q. DART를 통해 정형화된 평가가 가능한가?

그러기를 바란다. 리스크는 여러 가지 측면에서 볼 수 있다. 코드 보안 이슈, 해킹 취약 코드, 중앙화된 소수 주체의 무단 코인 발행을 막기 위한 탈중앙화 정도 등이 있다.

여러 요소가 리스크 산정 요소에 들어간다. 이런 걸 모두 포함해 전반적으로 보여주는 플랫폼이다.

Q. 다른 프로덕트가 있나?

체인라이트는 코드 감사 보안 업체로 많이 알려져 있다. 그러나 우리는 웹3의 전반적인 업무를 두루 담당하고 있다.

블록체인 데이터 증명 프로토콜 ‘렐릭(Relic)’도 있다. 기존 이더리움에서 하지 못했던 영역을 영지식 증명 프로토콜을 사용해 확장하는 프로토콜로, 실제 사용 케이스가 있다.

웹3 기술을 펀더멘탈을 잘하는 조직으로 어떻게 하면 안전한 생태계를 만들 수 있을까를 보안 관점, 리스크 관점, 기능 확장 면에서도 본다. 전방위적으로 보고 있는 팀이 체인라이트다.

Q. 티오리는 단순 보안 감사 업체가 아닌 기업이나 오딧팅에 특화된 것으로 보인다?

그렇다. 보안은 아무래도 사고가 크게 날 경우 관심을 많이 받게 된다. 특히 국내에선 오딧팅은 관심을 많이 받는 영역이 아니다.

오딧팅으로 유명한 회사가 국내에는 없다. 정리된 정보를 제공하는 업체 자체가 없다보니 오딧팅 측면에서 체인라이트가 좀 더 주목을 받고 있는 듯하다.

오딧팅 외에도 웹3 생태계를 안전하게 만드는 방법들에 대해 많이 연구하고 열심히 협업하고 있다.

Q. 북한 해킹 조직으로 ‘‘김수키’와 암호화폐 도난으로 잘 알려진 ‘라자루스’가 대중적으로 가장 잘 알려져 있다. 여러 국가보안기관들의 노력에도 불구 해커들을 잡지 못하는 이유가 뭘까?

북한 내에서는 그들을 잡으려고 하는 기관, 사람이 없다.

북한의 경우 한 회사가 아니라 국가 주도의 공인된 사업이다. 그래서 해킹 주체를 잡으려는 의지가 있어야 하는데 주체가 없다.

예를 들어 범죄를 저지르는 보이스피싱 악당 조직이 있다. 조직을 소탕해서 잡고자 하는 의지가 있는 경찰이 있으면, 검거가 가능하다. 그러나 북한에서는 이게 불가능하다.

범죄 조직들은 자산 탈취 재산을 은닉하려고 많은 시도를 하지만 북한은 그런 노력을 할 필요가 없다. 불법행위가 아닌 애국이다. 딱히 숨길 필요가 없어 더 커 보이기도 한다. 가끔은 북한이 직접 공표하기도 한다.

사실 북한이 해킹 기술이 엄청 뛰어나다고는 판단하기 어렵다. 국가 주도 사업이기 때문에 해킹에 있어 제약 없이 많은 시도를 할 수 있다. 블록체인은 기록이 남아 코드 기록이 모두 남는다. 체인에 남은 흔적들을 분석했더니, 오히려 해킹하면서 배워가고 성장했다.

어느 시점에 확인해 보면 결국 어설프게라도 돈을 인출했다. 이런 걸 봤을 때 기술력이 엄청 좋다고는 볼 수 없다.

# 북한 해커들, 배우면서 실력키워…경계해야

배우는 과정이 결국 실력이 된다. 거시적 관점에서 앞으로 더 요령과 기술이 생기는 북한 해커들이 더 큰 목표물을 노리게 된다. 웹3뿐 아니라 기존 활동 분야도 위험하다.

약 7300억 원이 탈취된 엑시 인피니티의 로닌 브릿지 사태도 스마트 컨트랙트와도 관계가 없다. 프라이빗 키를 알아내서 해킹한 것이기 때문이다. 엑시 인피니티의 경우에도 멀티 시그(다중 서명)을 진행했다.

9개의 키 중 5개를 동시 서명을 해야 이체할 수 있었다. 그런데 9개 중 4개를 한 회사가 들고 있었다. 그래서 해커들이 4개의 키를 털어 득했다. 남은 하나의 안정장치도 허술했다. 4개 키를 들고 있던 회사와 파트너를 맺은 회사에게 서명 요청을 하면 사실 관계를 확인하지 않고 바로 해줬다. 해커들이 서명요청을 보내자 서명을 받아들여 5개 서명이 완료돼 해킹당했다.

# 해커 잡을 수 있다

멀티 시그의 기원은 쉽게 말해 핵 미사일 등을 발사할 때 키를 여러 개 갖는 개념을 컴퓨터로 들고 온 것이다. 이 키를 내가 다 들고 있으면 의미가 없다.

단순 스캐머, 해커들은 실제로 다수 검거됐다. 아직 추적 중인 곳도 많고, 판결 받은 이들도 많다. 사실 앙날의 검이다.

블록체인이기 때문에 기존 금융시스템처럼 은행에 가서 돈을 인출할 필요 없이 클릭 몇 번, 코드 몇 줄이면 이체할 수 있다.

자금세탁과정에서 자금 이동이 해킹당했을 때 너무 쉽다는 단점이 있다. 하지만 장부에 모두 기록되니 찾기 위해서 시도할 수 있는게 훨씬 많다. 만약 공격자가 중간 과정에서 약간의 실수만 해도 잡을 수 있는 기회가 된다. 블록체인은 보이스피싱 대비 공급책과 공격자의 연결고리를 알아내기 훨씬 쉽다.

안타깝게도 현재 기술적으로 뛰어난 인력이 많지 않다. 그럼에도 한정된 리소스로 찾기 어려운 핵심 인물들을 찾아내 검거하고 자산을 돌려주고 있다.

실크로드 등에서 마약 거래했을 때 비트코인을 엄청나게 몰수하기도 하기도 했었다.

그러나 개인이 이름을 알 수 없는 프로젝트가 해킹 당했을 때 검거해주기를 바라는 건 사실 주목을 받기 어렵다. 리소스 자체가 많이 없다.

Q. 생성형 AI가 오딧팅, 화이트 해커 등이 미칠 수 있는 영향이 있나?

없지는 않을 듯하다. 잘 활용하면 효율성을 높일 수 있는 툴로, 실제로 우리 업무에서도 많은 부분을 활용한다. 내부에서 연구를 전담하는 조직도 있다. 생성형 AI로 ‘활용’이 아닌 ‘대체’할 경우 위험해진다.

내가 이해한 걸로 고칠 수 있어야 하는데, AI가 답을 내려주면 이를 그대로 받아들이게 되고 여기서 문제가 생기면 사고가 생긴다.

준비가 되지 않은 사람이 쓰는 건 위험해질 수 있다.

그러나 전반적으로는 좋다고 생각한다. 이번에 이더스캔(이더리움 트랜잭션을 볼 수 있는 익스플로어)에 추가된 기능이 있다. 이더스캔에서는 컨트랙트 코드, 검증된 코드(verfied code) 등을 볼 수 있다.

과거엔 일반인들이 코드 매칭이 되는 건 알지만 코드를 이해하지 못하기 때문에 기능을 알 수 없었다. 이래서 이는 사실상 ‘반쪽자리 솔루션’이었다. 백도어가 있는지 보안적으로 우려하는 부분을 알 수 없었다.

그런데 이번에 이더스캔이 챗GPT를 연동해서 올려진 코드에 대해 자연어로 질문할 수 있는 기능을 넣었다. 예를 들어 ‘이자율이 어떻게 계산되는거야?’라고 물으면 챗GPT가 이를 알려준다.

이제 일반인들도 좀 더 코드의 의미를 알아내기 위해 노력할 수 있다. 물론 이런 인터페이스를 주는 면에서는 긍정적이지만 한편으로는 챗GPT가 항상 정확하지 않으니 잘못된 정보를 줄 수있다.

그래서 위험할 수도 있다. 그래도 일반인들의 코드에 대한 이해도를 높이면서 기존보다 확실히 좋아졌다.

또한 기본적인 베이스가 있는 상태에서 챗GPT를 사용하면 본인 역량을 더 끌어낼 수 있는 건 사실이지만 베이스가 없다면 사실 할 수 있는 게 없다고 본다.

인터뷰 (3)으로 이어집니다.

속보는 블록미디어 텔레그램으로(클릭)

같이 보면 좋은 기사

[인터뷰] “코드는 거짓말을 할 수 없다…투자자·프로젝트·거래소 위한 플랫폼 만든다”–티오리 박세준 대표 (1)