[블록미디어 정아인 기자] 티오리(Theori)는 국내 보안감사 업계에서 ‘근본’으로 불린다. 2016년 미국 텍사스 오스틴에서 뿌리내려 2017년 한국 지사를 설립했다. 이후 가파르게 성장해 누적 투자액이 230억 에 이른다. 올해 국가정보원에서 ‘정보보안교육 감사패’를 수상했다.

티오리 박세준 대표를 만났다. 블록체인 보안 감사를 전문으로 하는 체인라이트에 대해 들어봤다. 인터뷰 (2)에서 이어집니다.

Q. 체인라이트가 가지는 아쉬운 점은?

다양한 시도를 하고 싶다. 그러나 기존 고객사들을 우대하고 있어 사이클이 제한적이다. 고객사와 관계가 한 번 관계가 맺어지면 계속 오딧팅을 의뢰한다. 타업체들이 몇 백 개 이상 프로젝트를 보안감사했다고 이야기한다. 체인라이트는 오딧팅한 회사 수가 아니라 회사 그 자체에 집중하기 때문에 포트폴리오의 다양성을 가지고 가기 쉽지 않다.

예를 들어, 고객사 중 하나로 위믹스(WEMIX)가 있다. 위믹스에는 새로운 프로젝트들이 많고, 이를 감사하다 보니 프로젝트 개수는 많지만, 회사는 항상 같다. 그래서 개수로 주목받을 수 없다.

체인라이트의 오딧팅 비용이 많이 들다 보니 정말로 이 프로덕트를 성공시키고자 하는 팀들이 보통 의뢰한다. 팀이 대개 어떤 쓴 말을 해도 의뢰자는 그대로 수용하고 수정한다. 한 고객은 프로젝트를 사장하기도 했다.

물론 블록체인 오딧팅은 ‘하이 리스크’이기도 하다. 전통시장에서 진행하는 보안 컨설팅에서 나온 보고서는 기업용이다. 외부에 발설이 되지 않는다. 어떤 업체와 일을 했는지 레퍼런스를 낼 수 있지만 반대로 우리가 얼마나 잘했는지를 홍보하기 어려웠다.

그러나 블록체인 오딧팅은 프로젝트들의 PR 요소가 되기도 했다. 어느 업체에서 오딧팅을 받았는지, 오딧팅 보고서를 공개하는게 기본이 돼 우리의 장점을 알릴 기회가 됐다고 생각했다.

현재까지 체인라이트가 본 코드에서 사고가 터진 경우는 없었다. 그러나 다른 업체들이 오딧팅으로 겪는 논란을 보며 너무 겁이 났다.

우리도 분명히 사람이니 놓칠 수 있는 부분이 있고, 놓친 부분으로 해킹을 당해 몇 백억부터 몇 천억 손해가 나면 어떻게 감당할까 등 중압감을 느꼈다.

실수하지 않고 놓치지 않기 위해 노력을 기울이고 있다. 다른 업체보다 시간을 더 많이 쓰고 비용이 많이 들고 인원도 많이 들어간다. 그만큼 퀄리티 차이가 있어 많은 고객사가 티오리를 다시 찾아 주시는 듯하다.

티오리를 찾는 고객들은 처음부터 ‘티오리’에 오딧팅을 의뢰하기보다 다른 회사에서 오딧팅을 진행하고 넘어오는 경우가 많다.

구체적으로 다른 회사들의 비용은 얼마인지 알아보지 않았지만, 티오리는 다른 오딧팅 회사 대비 비용이 많이 드는 편이다.

Q. (특히 웹3에서) 버그 바운티가 기업 마케팅에 치우친 경향이 있어 이를 비판하는 사람도 있다. 이를 어떻게 보는가?

그런 부분이 없지 않아 있기도 하다. 그러나 보안을 하는 입장에서는 명목이어도 버그 바운티를 하면 생태계에 도움이 된다고 강조하는 입장이다.

버그 바운티를 한다는 건 문제가 제기됐을 때 소통할 수 있는 창구가 생긴다는 이야기다. 예전에 가장 어려웠던 영역 중 하나가 바로 버그 바운티가 활성화되기 전 취약점을 찾았을 때 제보하기 어려웠다.

텔레그램, 디스코드에도 들어가보고 이메일도 보내 봤다. 민감한 정보라 아무에게나 줄 수 없었다. 그게 실제 공격자가 공격을 해버리면 피해로 이어지니 알맞는 담당자를 찾는 것부터가 어려운 영역이었다.

그래서 이런 창구를 만든다는 하나만으로도 가치가 있다.

다만 경험상, 버그 바운티를 마케팅으로 사용했을 때 부작용이 있었다. 실제 취약점 제보가 들어왔을 때 끝이 아름답지 않은 경우가 있었다. 제보를 했지만 그에 합당한 보상을 받지 못했다.

이런 불미스런 사태가 있었을 때는 화이트 해커들과 소통하면서 영구 퇴출 형태로 마케팅으로 쓰지 못하도록 한다. 혹은 빌더들을 쫓아가 돈을 지급받을 수 있게끔 했다.

# 커브 약점 먼저 알았다…이상징후 알림 서비스 준비중

커브 사태도 화이트 햇을 할 뻔했다. 공격자보다 빠르게 찾았다. 그러나 담당자를 못 찾았다. 해킹할 수 있는 코드를 이미 만들어놨다. 다만 담당자를 찾는 시간이 걸렸다.

화이트 오퍼레이션으로 일단 금액을 세이브하자고 결정난 순간 해킹 당했다. 사실 30분만 빨리 했어도 몇 백억 피해를 막을 수 있었다.

이런 일을 통해 느낀 점은 이런 징후가 보이면 빨리 빼는 게 중요하다. 그래서 앞으로 코인 투자자들에게 이상징후가 있으면 자금을 빼라는 알림을 서비스를 하려고 한다.

커스터디(수탁) 문제로 해결할 수 있다. 탈중앙화 문제는 미리 사인을 받아두는 방식으로 해결할 수 있을 듯하다.

Q. 블록체인을 기반으로 한 암호화폐는 보안이 취약해 자산 탈취가 잦고 마약 등 불법세력들이 자금 세탁에 도움이 된다는 비판이 있다. 보안 감사 업체가 암호화폐 업계에 어떻게 기여할 수 있다고 생각하는가?

블록체인의 특성상 자산의 이동이 수월하다는 것과 다양한 체인과 브릿지 시스템을 통해서 자금 세탁에 악용되기도 한다는 점은 분명 사실이다.

그러나 오히려 블록체인이기 때문에 이러한 흔적들은 불변하는 기록으로 다 남게 된다. 일정 기간이 지나면 삭제되는 서버 로그 등과 다르게 평생 분석 및 추적 가능한 상태가 되기 때문에 보안적인 관점에서 장점도 있다.

더 안전한 Web3 생태계를 만들어가는 체인라이트에서는 체인이나 스마트컨트랙트에 존재하는 취약점을 공격자보다 먼저 발견하여 피해로 이어지기 전에 조치하여 해킹 사고 및 자산 탈취 등의 피해를 방지하는 역할을 한다.

코드 뿐 아니라 온체인 데이터에 대한 실시간 분석을 통하여 위협 인텔리전스(threat intelligence) 플랫폼을 구축하여 불법 자금을 다루는 주소를 자동으로 찾아내어 분류한다. 또는 비정상적인 트랜잭션을 지속적으로 모니터링하고 있다.

이처럼 위협 요소에 대해 빠르게 커뮤니티 및 프로젝트 빌더에게 공유해 더 투명하고 안전한 Web3 생태계를 만드는데 기여하고자 한다.

Q. 티오리 직원들이 체인라이트에서 근무하나?

사실 같이 하는 경우도 되게 많다. 보안회사이기 때문에 잘하는 개발자가 잘하는 해커다. 잘하는 해커가 잘하는 개발자가 되어야 하는게 정상이다. 다시 말해, 해킹을 잘한다는 건 그만큼 이해도가 높다는 거고 대상 이해도가 높으면 개발을 잘할 수 밖에 없다.

산업과 기업 규모를 가리지 않고 다양한 고객을 가지고 있다. 우리는 모든 걸 보고 있다. 그래서 컴퓨터와 관련된 거라면 다한다.

보안을 잘하려면 결국 다 잘해야 한다. 그래서 구분을 짓지 않고 있다. 우리는 그냥 다 잘해야 하는 사람이다. 그게 우리의 기본이다.

우리 회사는 밤에 불이 꺼지지 않는다. 공부할 게 너무 많다.

Q. 인력 채용이 쉽지 않겠다.

우리는 채용시 기본 실력을 어느 정도 보기는 하지만 지금 실력이 얼마나 출중한지 보다 이 사람이 새로운 환경에서 얼마나 빠르게 배우고 적응하는 지를 본다.

잠재력을 볼 수 있는 인터뷰 질문들과 문제들을 주고 문제 풀이 과정의 태도와 접근 방법들을 로 확인한다. 문제를 풀어내지 못하더라도 창의적인 방법으로 하는 걸로 판단한다.

지금 본인이 잘한다고 말하는 건 당연히 잘할 거라 예상해 그걸 검증하는 건 큰 의미가 없다. 기술은 빠르게 발전하기 때문에 새로운 기술이 나왔을 때 튼튼한 기본기로 어떤 것이든 자신있게 할 수 있는지가 매우 중요하다.

1년동안 2~3명을 채용하는 일도 사실 훌륭한 채용 사례다. 인재를 양성하기 위한 노력도 많이 기울이고 있다. 드림 아카데미도 운영 중이다. 현재 2기까지 운영해 채용으로 이어지기도 했다.

속보는 블록미디어 텔레그램으로(클릭)

같이 보면 좋은 기사

[인터뷰] “코드는 거짓말을 할 수 없다…투자자·프로젝트·거래소 위한 플랫폼 만든다”–티오리 박세준 대표 (1)

[인터뷰] “북한 해커, 배우면서 대담해진다…북한에서 해킹은 국가사업“ — 티오리 박세준 대표 (2)