한국 언론, CertiK 창업자 구룽휘 인터뷰: 해커 공격 300% 급증, 보안 우선 곤경 탈출구

CertiK ｜2025-04-18 18:55

4월 17일, 한국의 유명 기술 전문 매체인 코리아 IT 타임즈는 CertiK의 공동 창립자인 구 롱휘 교수와의 단독 인터뷰를 게재했습니다. 구 롱후이는 안전은 뒷전으로 미루지 않고 기본 원칙으로 여겨져야 하며, 프로젝트 초기부터 전반적인 전략에 통합되어야 한다고 말했습니다.

4월 17일, 한국의 유명 기술 매체인 코리아 IT 타임즈는 CertiK의 공동 창립자이자 CEO인 구 롱휘 교수와의 단독 인터뷰를 게재했습니다. 양측은 CertiK의 1분기 "HACK3D" 보안 보고서, 해커 공격 방법의 반복 및 보안 방어 기술의 혁신적인 경로에 대해 심도 있는 논의를 나누었습니다.

구 롱후이는 보안을 뒷전으로 미루지 않고 기본 원칙으로 간주해야 하며, 프로젝트 초기부터 전반적인 전략에 통합해야 한다고 생각합니다. "신뢰할 수 있는 Web3.0 애플리케이션의 기반을 구축하려면 '보안 우선'이라는 사전 예방적 전략이 중요합니다." 특히 그는 정식 검증, 제로 지식 증명, 다자 컴퓨팅과 같은 최첨단 기술을 적극적으로 활용해 블록체인 프로토콜과 스마트 계약의 보호 역량을 포괄적으로 강화할 것을 주장합니다. 이는 엄격한 공식 검증 기술을 통해 Web3.0 세계를 더욱 안전하고 신뢰할 수 있게 만드는 것이 CertiK을 설립한 원래의 의도이자 비전이기도 합니다.

보안에 대한 이러한 노력은 단기적인 시장 추세의 산물이 아니라, 구룽후이가 기술적 이상을 장기간 탐구하고 실천해 온 데서 비롯된 것입니다. 예일대에서 박사 과정을 밟는 동안 구글 팀으로부터 "완벽하다"는 극찬을 받은 CertiKOS 시스템 개발에 참여한 것부터 오늘날 5,300억 달러 이상의 디지털 자산에 대한 보안 해자를 구축한 것까지, 그는 항상 업계 보안을 보호하고 업계의 신뢰를 높이기 위해 헌신해 왔습니다.

구룽후이는 보안이 경쟁 우위가 아니라 공동의 책임이라고 거듭해서 주장했습니다. 그는 연구실의 학문적 성과를 산업계의 안전 관행으로 전환했으며, 또한 "공동 책임"이라는 개념을 산업 협력에 통합했습니다. 명문 대학을 졸업한 이 기술 리더는 수학적 논리의 검증 가능성을 사용하여 해커 공격의 불확실성에 맞서고 있으며, 기술적 이상과 현실 사이에 Web3.0 시대의 보안 좌표를 고정하고 있습니다.

전체 인터뷰 내용은 다음과 같습니다.

단독 인터뷰 | Web3.0의 최전선을 지키다—CertiK CEO가 블록체인 보안 위협과 방어책을 설명합니다.

급속하게 발전하는 Web3.0 분야에서 블록체인 보안이 최우선 과제가 되었습니다. 이 기사는 컬럼비아 대학교 컴퓨터 과학 교수이자 공동 창립자인 CertiK의 사명에 초점을 맞춰 블록체인 생태계의 보안을 강화하고자 합니다. CertiK은 공식 검증 기술을 통해 블록체인과 스마트 계약의 보안을 강화하는 데 전념하고 있으며, Web3.0 보안 분야에서 업계 선두주자가 되었습니다.

Korea IT Times는 CertiK의 Hack3d: 2025년 1분기 보안 보고서를 심층적으로 살펴보고 디지털 자산 도난과 보안 위협의 새로운 동향을 밝혔습니다. 또한 이 기사에서는 제로 지식 증명과 다자간 컴퓨팅과 같은 최첨단 기술을 살펴보고, 블록체인 개발자에게 실질적인 조언을 제공하며, 보안 분야에서 AI의 이중적 역할에 대해서도 살펴봅니다. 기존 금융 기관이 점차 블록체인에 참여함에 따라 보안 문제도 심각해지고 있으며, 사용자를 보호하고 생태계의 무결성을 유지하기 위한 사전 예방적 조치가 중요해졌습니다. 이 글은 실무자들에게 복잡한 블록체인 보안 환경을 탐색하는 데 도움이 되는 중요한 통찰력을 제공하는 것을 목표로 합니다.

질문: 간단히 본인과 CertiK의 핵심 사명을 소개해 주세요.

A: 저는 CertiK의 공동 창립자이자 CEO이며, 컬럼비아 대학교의 교수이기도 합니다. 저와 CertiK의 사명은 Web 3.0 생태계의 보안을 강화하는 데 깊이 뿌리를 두고 있습니다.

CertiK은 2017년에 설립되었습니다. 핵심 개념은 공식 검증 기술을 사용하여 블록체인 프로토콜과 스마트 계약의 보안을 지속적으로 모니터링하고 강화하여 안전하고 정확한 운영을 보장하는 것입니다. 우리는 학계와 산업계의 최첨단 솔루션을 통합하여 Web3.0 애플리케이션이 보안을 보장하는 동시에 지속 가능한 확장을 달성할 수 있도록 돕습니다. 지금까지 우리는 4,900개 이상의 기업 고객에게 서비스를 제공했고, 5,300억 달러 이상의 디지털 자산을 보호했으며, 115,000개 이상의 코드 취약점을 발견했습니다.

질문: CertiK은 최근 Hack3d: 2025년 1분기 보안 보고서를 발표했습니다. 주요 결과는 무엇인가?

답변: 2025년 1분기에 온체인 사기 사건으로 인한 손실은 약 16억 6천만 달러로, 이전 분기 대비 303% 증가했습니다. 이는 주로 2월 말에 발생한 Bybit 거래소 해킹 사건으로 인해 발생했으며, 해커들은 이 사건으로 약 14억 달러를 훔쳤습니다. 이전 분기와 마찬가지로 이더리움은 이번 분기에도 주요 공격 대상으로 남아 있었으며, 3건의 보안 사고로 총 자산 손실이 15억 4천만 달러에 달했습니다. 더욱 충격적인 것은 도난당한 자산의 0.38%만이 1분기에 성공적으로 회수되었다는 사실입니다.

질문: 블록체인 공격의 주요 대상이 이전 분기에 비해 바뀌었나요?

답변: 2025년 1분기의 추세는 2024년 말의 추세와 계속되고 있으며, 이더리움은 여전히 가장 큰 타격을 입은 분야입니다. 2024년 4분기에는 이더리움에서 총 99건의 보안 사고가 발생했는데, 이는 1분기에 발생한 93건보다 증가한 수치입니다. 이는 지속적으로 나타나는 현상입니다. 2024년 내내 이더리움 기반 프로젝트가 가장 많은 보안 사고를 겪었습니다. 2025년까지도 이런 상황은 계속될 것으로 보인다.

바이비트 해킹 사건도 전형적인 사례로, 이더리움 생태계 기반의 세이프월렛 지갑이 해킹을 당해 막대한 손실을 입었습니다. 이더리움이 공격의 표적이 된 이유는 수많은 DeFi 프로토콜과 막대한 양의 잠긴 자산을 보유하고 있기 때문입니다. 반면에 이더리움의 많은 스마트 계약 중 다수는 취약점을 가지고 있습니다.

질문: 블록체인 보안 산업은 점점 더 정교해지는 공격 방법에 어떻게 대응하고 있나요?

답변: 공격자들은 소셜 엔지니어링, AI 기술, 스마트 계약 조작과 같은 정교한 전략을 사용하여 기존의 보안 보호 메커니즘을 우회하는 경우가 점점 늘어나고 있습니다. 디지털 자산이 점점 더 널리 사용되고 가치가 상승함에 따라, 업계는 프로젝트 무결성과 사용자 자산 보안을 보장하기 위해 새로운 환경에 적응해야 합니다.

업계에서는 적극적으로 도전에 대응하고 있으며, 영지식 증명(ZKP) 및 온체인 보안을 포함한 혁신적인 기술 개발을 촉진하고 있습니다. 이러한 기술은 점점 심각해지는 보안 문제에 대한 유망한 솔루션을 제공하여 거래 감사, 공격 추적, 자산 회수를 가능하게 하는 동시에 개인 정보를 보호합니다. 다자 컴퓨팅(MPC)은 개인 키에 대한 제어권을 여러 당사자에게 분산시켜 키 관리를 더욱 강화하고, 이를 통해 단일 지점 장애 위험을 제거하고 공격자가 승인 없이 지갑에 액세스하는 것을 크게 어렵게 만듭니다. 이러한 보안 기술은 계속해서 발전하고 있으며, 해커 공격에 저항하고 분산형 생태계의 무결성을 유지하는 데 중요한 역할을 할 것입니다.

질문: 블록체인 개발자와 프로젝트 팀에게 어떤 보안 조언을 해주시겠습니까?

A: 처음부터 안전을 우선시하는 것은 협상할 수 없는 원칙이어야 합니다. 개발의 모든 단계에 보안을 통합하면 나중에 고려하는 것이 아니라 일찍 잠재적인 취약점을 식별하여 장기적으로 상당한 시간과 리소스를 절약할 수 있습니다. 이러한 사전 예방적 "보안 우선" 전략은 신뢰할 수 있는 Web 3.0 애플리케이션의 기반을 구축하는 데 매우 중요합니다. 개발 프로세스 전체에 보안을 통합하면 취약점을 미리 발견하고 후속 수정에 드는 비용을 절감하는 데 도움이 됩니다.

또한, 블록체인 보안 기관으로부터 포괄적이고 공정한 제3자 감사를 받으면 독립적인 관점을 얻고 내부 팀에서 간과할 수 있는 잠재적 위험을 파악할 수도 있습니다. 이러한 유형의 외부 평가는 시기적절하게 취약점을 식별하고 수정하는 데 도움이 되는 중요한 검토 단계를 제공하여 프로젝트의 전반적인 보안을 강화하고 사용자 신뢰를 더욱 향상시킵니다.

질문: 블록체인 보안에서 AI는 어떤 역할을 하나요? 긍정적인 영향을 미칠까요, 아니면 새로운 위험을 가져올까요?

A: AI는 CertiK의 보안 시스템에서 중요한 도구이며, 우리는 블록체인 시스템의 보안을 보장하기 위한 핵심 전략 중 하나에 AI를 통합했습니다. CertiK은 AI 기술을 사용하여 스마트 계약의 취약성과 잠재적인 보안 결함을 분석하여 이전보다 훨씬 효율적으로 포괄적인 감사를 완료할 수 있도록 돕지만, 전문 감사원으로 구성된 팀을 대체할 수는 없습니다.

하지만 공격자는 AI를 이용해 공격 방법을 강화할 수도 있습니다. 예를 들어, AI는 코드 취약점을 파악하고, 합의 메커니즘을 우회하고, 시스템을 방어하는 데 사용될 수 있습니다. 이는 보안 충돌의 문턱이 높아졌다는 것을 의미하며, AI 애플리케이션이 점점 더 대중화됨에 따라 업계는 더욱 강력한 보안 솔루션에 투자해야 합니다.

질문: 형식적 검증이란 무엇인가요? 블록체인 감사의 효율성을 어떻게 향상시킬 수 있나요?

A: 형식적 검증은 컴퓨터 프로그램이 예상대로 작동한다는 것을 수학적으로 증명하는 방법입니다. 이는 프로그램의 속성을 수학 공식으로 표현하고 자동화 도구의 도움을 받아 검증하는 방식으로 작동합니다.

이 기술은 하드웨어 설계, 소프트웨어 엔지니어링, 사이버 보안, AI, 스마트 계약 감사를 포함한 다양한 기술 산업 분야에 널리 사용될 수 있습니다. 하지만 공식적인 검증이 수동 감사를 대체하는 데 사용되지 않는다는 점을 강조해야 합니다. 스마트 계약의 경우, 공식적 검증은 자동화된 방법을 사용하여 계약 논리와 동작을 평가하는 반면, 수동 감사는 보안 전문가가 코드, 설계 및 배포에 대한 포괄적인 검토를 수행하여 잠재적인 보안 위험을 식별하는 것을 포함합니다. 둘은 서로 보완적이며 스마트 계약의 전반적인 보안을 향상시킵니다.

질문: 기존 금융 기관이 블록체인 경쟁에 참여함에 따라 보안 위협의 유형이나 정교함이 변할 것이라고 생각하십니까?

답변: Web3.0과 블록체인 산업의 초기 단계에서는 공격자들이 주로 피싱 공격, RugPull, 지갑 취약점 악용 등의 방법을 사용하여 개별 사용자나 소규모 프로젝트를 표적으로 삼았습니다. 2025년 1분기 Hack3d 보고서에 따르면 이러한 과제는 여전히 남아 있습니다. 그러나 전통적인 기관과 대기업의 참여로 네트워크 무결성의 보안 위험도 새로운 단계로 접어들 것입니다. 이러한 변화의 이면에는 프로젝트 자산 규모의 증가뿐 아니라 기업 수준 애플리케이션의 고유한 보안 요구 사항과 규제 요구 사항, 그리고 블록체인과 기존 금융 시스템의 긴밀한 통합이 있습니다.

대부분의 기존 기관이 사이버 위협에 대처한 경험이 있다는 점을 감안할 때, 악의적인 행위자는 일반적인 지갑 취약점에 대한 기존 공격에서 벗어나 구성 오류, 사용자 지정 스마트 계약 취약점, 기존 시스템과 통합되는 인터페이스의 보안 결함과 같은 보다 구체적인 기업 수준의 취약점을 노리는 공격으로 전환하여 공격의 정교함을 높일 것으로 예상됩니다.