암호화폐 ‘자가보관’의 빛과 그림자: 85억 달러 손실의 원인이자 해결책

암호화폐의 자가보관(self-custody)은 정부나 금융기관의 개입 없이 사용자가 직접 자산을 관리할 수 있는 혁신적인 시스템으로, 블록체인 기술의 가장 큰 장점으로 꼽힌다. 그러나 이 시스템은 동시에 해킹과 도난의 주요 원인이 되기도 한다. 개인 키(private key) 탈취로 인한 손실액은 지난 10년간 발생한 모든 암호화폐 해킹 손실의 약 절반에 달하는 85억 달러에 달하며, 이는 암호화폐 산업의 근본적인 안전성 문제를 드러낸다.

데이터 분석 플랫폼 DefiLlama에 따르면, 이 같은 손실액은 암호화폐 산업 전체의 약 45%에 해당하는 규모로, 자가보관의 취약성이 Industry의 지속 가능성에 대한 의문을 제기하고 있다.

그러나 David Schwed(SVRN COO이자 前 BNY 멜론 디지털 자산 책임자)는 자가보관이 안전하게 구현될 수 있다고 강조한다. Schwed는 “대부분의 암호화폐 프로젝트는 예산이 부족하고 신속한 개발을 우선시하며, 보안 강화에 소극적”이라며 “이 문제를 해결하려면 숙련된 정보보안 책임자를 채용하고 전문가 팀을 구성해 체계적인 보안 시스템을 구축해야 한다”고 설명했다.

DeFi 해킹 사태로 드러난 보안의 허점

최근 북朝鮮 해커들이 분산 금융(DeFi) 프로젝트 Drift와 Kelp DAO로부터 각각 5억 7,900만 달러를 탈취한 사건은 암호화폐 산업에 큰 충격을 주었다. 이 해킹은 DeFi에 대한 신뢰 crisis를 촉발했으며, 탈중앙화 기술의 장점과 위험성 사이에서 Industry가 고민에 빠지게 했다.

그러나 두 해킹 모두 기술적 취약점이나 코드 결함이 아닌, 프로젝트의 보안 시스템 또는 의존 시스템의 허점을 노린 공격이었다는 점이 주목할 만하다. Drift의 경우, 해커들이 수개월간의 사회공학적 공격(social engineering)을 통해 프로젝트 기여자들을 대상으로 악성코드를 배포해 내부 시스템에 침투했으며, Kelp DAO는 프로젝트가 의존하던 LayerZero의 분산 검증자 네트워크 인프라가 공격당해 자금 송금 대상을 조작당했다.

경쟁과 비용, 그리고 문화적 장벽

Schwed는 암호화폐 프로젝트들이 보안 강화에 소극적인 데는 여러 이유가 있다고 지적했다. 초기 투자자들은 프로젝트가 신속히 시장에 진출해 경쟁력을 확보하길 원하며, 이는 보안보다는 개발 속도를 우선시하는 문화로 이어진다. 예를 들어, DeFi 대출 프로토콜 Aave(원래 ETHLend로 시작)는 2017년 설립되어 빠르게 시장을 선점했으며, 분산 거래소 Uniswap도 2018년 초기에 출시해 선도적 위치를 차지했다.

또한, 체계적인 보안 시스템 구축에는 정보보안 책임자(CISO) 채용과 최소 3~5명의 전문가 팀 구성이 필요하며, 이는 예산이 부족한 프로젝트들에게 큰 부담으로 작용한다.不仅如此, 스타트업 문화에서도 보안 강화는 개발 속도를 늦추는 장애물로 인식되는 경우가 많다. Schwed는 “유능한 CISO는 지나치게 많은 통제와 장벽을 요구해 개발자들에게 불편을 초래할 수 있다”고 말했다.

“보안은 결코 선택이 아니라 필수다. 자가보관을 안전하게 구현하려면 프로젝트 초기부터 보안 우선순위를 높이고, 충분한 예산을 투입해야 한다.”
— David Schwed, SVRN COO

암호화폐 Industry는 자가보관의 안전성을 높이고 신뢰를 회복하기 위해 보안 강화에 대한 근본적인 변화를 모색해야 할 시점에 놓여 있다. Schwed는 “프로젝트 리더들이 보안의 중요성을 인식하고, 이를 개발 프로세스의 핵심으로 삼을 때만 Industry는 지속 가능한 성장을 이룰 수 있을 것”이라고 강조했다.