[BC.0x02] 안전한 생태계를 위한 감사 서비스

블록체인은 관련 주체들과 사회적이고 기술적인 환경이 상호작용하며 하나의 생태계를 이루고 있습니다. 블록체인 기술을 이용하는 우리는 모두 블록체인 생태계의 일부지만, 그 전반을 알기란 쉽지 않습니다. 그래서 [블록체인 연대기(the Blockchain Chronicle)]는 블록체인 생태계에 무슨 일이 일어나고 있는지 살펴보고 또 기록합니다. 차곡차곡 쌓아나간 블록체인 생태계의 오늘이 내일을 향한 어제의 기억이 될 수 있도록 말이죠.

 

블록체인 기반 서비스는 디지털 계약인 스마트 컨트랙트에 의해 작동합니다. 스마트 컨트랙트는 코드로 작성된 규칙을 충족할 경우 스스로 실행되기 때문에 중앙기관 없이도 계약이 이행될 수 있죠. 탈중앙화된 기술을 기반으로 하는 만큼, 블록체인 서비스는 이러한 컨트랙트에 허점이 생기지 않도록 주의를 기울여야 합니다. 알고리즘 오류나 보안 취약점이 발견될 경우 누군가 이를 악용해 서비스에 해를 끼치거나 부당한 이득을 취할 수 있기 때문입니다.

rekt news에 따르면, 지난 4월 Yearn은 이용자가 yUSDT의 설계상 결함을 파고들어 토큰을 발행하고 수익을 챙기면서 1000만 달러 이상의 손해를 봤고, SushiSwap는 RouteProcessor2 컨트랙트의 보안 취약점을 노린 해킹으로 인해 330만 달러 이상을 유출 당했습니다. 블록체인 생태계에는 이와 같은 사고를 줄이고 스마트 컨트랙트가 안전할 수 있도록 돕는 서비스들이 존재합니다.

 

사고를 미리 방지하는 감사 서비스

스마트 컨트랙트 감사(Audit) 서비스는 전문가들로 구성된 감사팀이 스마트 컨트랙트의 코드를 면밀히 분석해 설계상 결함이나 코드 오류, 보안 취약점 등을 탐지하고 개선 방안을 제안합니다. Hacken과 같은 일부 서비스는 보다 철저한 감사를 위해, 취약점을 발견한 사람에게 포상을 주는 버그 바운티 프로그램을 운영하고 있죠. 블록체인 프로젝트들은 이러한 감사 결과를 토대로 코드를 보안, 재감사하는 과정을 반복하며 안전한 스마트 컨트랙트를 구성함으로써 사고를 미리 방지할 수 있습니다.

Hacken이 운영하는 버그 바운티 프로그램. 출처: hacken.io

 

프로젝트가 사고 예방을 위해 어떤 노력을 하고 있는지는 이용자에게도 중요한 문제입니다. 특정 서비스에 문제가 발생하면, 이용자가 서비스에 투자한 자본이 소실되거나 보유한 관련 암호화폐의 가치가 하락하는 등 이용자에게 악영향을 미칠 수 있기 때문입니다. 그래서 이용자가 프로젝트의 안전성을 확인할 수 있도록 감사 결과를 공유하는 서비스들도 나타났죠.

CertiK은 전문 감사팀의 감사와 자동화 툴로 수학적 오류를 찾는 정형 검사를 함께 제공합니다. 모든 과정을 마친 뒤 문제가 발견되지 않은 프로젝트에는 감사 인증서를 발급하고, 안전성을 수치화해 공개합니다. 감사 인증을 받은 프로젝트는 CertiK의 인증마크를 외부에 공개하며 프로젝트가 안전을 위해 노력했다는 사실을 알릴 수 있습니다.

예컨대 WEMIX 메인넷의 경우, CertiK 감사 결과 상위 5%에 해당하는 90.2점의 보안점수를 받았고 이를 나타내는 인증마크를 WEMIX.Fi, NILE 등 각 플랫폼 하단에 배치해 이용자들이 쉽게 볼 수 있도록 했습니다. 이러한 인증 서비스를 통해 프로젝트는 투자자와 이용자에게 서비스의 안전성을 전달할 수 있고, 투자자와 이용자는 프로젝트의 안전성을 쉽게 파악하고 판단에 참고할 수 있습니다.

CertiK에서 확인 가능한 WEMIX 생태계 속 스마트 컨트랙트에 대한 보안 감사 보고서(2023–05–24 기준). 출처: skynet.certik.com

 

WEMIX 생태계 속 플랫폼들 하단에 노출되는 CertiK의 감사 인증마크. 위에서부터 차례로 WEMIX.Fi, NILE, WEMIX PLAY

 

사후 조치를 돕는 연계형 보험 서비스

감사 서비스가 사고 방지에 기여하는 것은 분명하지만, 감사만으로 미처 찾아내지 못한 문제점이 사고로 이어질 가능성을 배제할 수는 없습니다. rekt news에 따르면, 2022년 해킹된 프로토콜 중 약 27%는 감사가 완료된 서비스들이었죠. 이러한 감사 서비스의 한계를 보완하기 위한 안전장치로서, 사고가 발생할 때 대응책을 제공하는 감사 연계형 보험 서비스가 나타났습니다.

Sherlock은 직접 감사한 프로젝트의 스마트 컨트랙트에서 오류나 해킹이 발생할 경우 보장된 한도 안에서 그 손실액을 보상하는 보험 상품을 마련했습니다. Sherlock은 현재 직접 감사한 12개의 프로젝트에 대해 총 1675만 달러 규모(2023년 5월 기준)의 보험을 제공하고 있으며, 그중 2건은 실제로 사고가 발생해 이에 대한 보상금을 지급했습니다. 이러한 보험 서비스는 감사 서비스와 감사를 의뢰하는 프로젝트 사이 금전적 이해관계를 형성하면서, 더욱 철저한 감사와 함께 서로를 신뢰할 수 있는 근거를 만들었다고 볼 수 있습니다.

Sherlock의 보험상품을 통해 실제 보상이 이루어진 2건의 사례. 출처: app.sherlock.xyz

 

감사 서비스가 등장하기 이전과 비교한다면 스마트 컨트랙트는 기존보다 ‘더 안전해졌다’고 말할 수 있습니다. 여러 감사 서비스 중 CertiK에서 현재까지 포착한 프로젝트의 취약점만 6만 개가 넘는다는 것은 그만큼 감사 서비스가 자칫 큰 사고로 번질 수 있었던 수많은 요인을 해소해왔음을 의미합니다. 이처럼 감사 서비스는 블록체인 서비스 제공자들이 서비스 안전성을 높이기 위해 꾸준히 노력하고 있다는 사실과 함께 생태계의 성장 가능성을 보여주는 사례라고 할 수 있습니다.

 

글 작성. 박상희 — UX Designer
글 편집. 임현경 — UX Writer

 

이 글은 Blockchain UX / Web 3.0 UX 디자인 관련 전문 채널 pxd Medium에서 영문과 함께 보실 수 있습니다.