임준오 체인라이트 리드가 31일 블루밍비트와 인터뷰를 진행하고 있다. / 사진=황두현 블루밍비트 기자
임준오 체인라이트 리드가 31일 블루밍비트와 인터뷰를 진행하고 있다. / 사진=황두현 블루밍비트 기자
"체인라이트는 자체 플랫폼을 통해 누구나 가상자산(암호화폐), 탈중앙화금융(디파이) 등의 웹3 프로젝트가 지닌 위험도를 파악할 수 있게 만들 예정입니다"


웹3 보안 전문 브랜드 '체인라이트(ChainLight)'의 임준오 리드는 31일 블루밍비트와의 인터뷰에서 투자자들이 웹3 프로젝트의 취약점을 미리 발견하고 대비하기는 쉽지 않다면서 이같이 밝혔다.

체인라이트는 사이버 보안 회사 티오리에 소속된 웹3 보안 전문 브랜드로 웹3 프로젝트에 특화된 보안 감사, 버그 바운티(보안 취약점 신고제), 연구개발(R&D) 등을 주력으로 하고 있다. 특히 레이어2(L2)를 대표하는 'zk싱크'(zkSync), 대체불가토큰(NFT) 마켓플레이스 시장 점유율 1위 '블러' 등의 보안 감사를 진행하며 웹3 보안 업계에서의 입지를 단단히 다졌다.

임 리드는 "티오리에서 사이버 보안에 특화된 브랜딩의 필요성을 절감해 만든 것이 체인라이트"라면서 "웹3 제품의 소스 코드 안전성 검사, 취약점 제보 등 보안 감사 및 버그 바운티 활동을 펼치고 있다"고 설명했다.

체인라이트는 버그 바운티 활동으로 'zk싱크'와 옵티미즘(OP) 기반 탈중앙화금융(디파이) '퍼페튜얼 프로토콜'의 취약점을 제보해 19억 달러가 넘는 규모의 피해를 예방하기도 했다.

임 리드는 "zk싱크의 경우 해커가 이용하면 zk싱크 기반 디파이 전체가 위험해질 수 있는 취약점을 발견해 19억 달러 규모의 잠재적 피해액을 예방했다"면서 "퍼페튜얼 프로토콜에서는 무기한 선물 거래 포지션의 규모를 조작할 수 있는 취약점을 찾아냈고 이를 통해 3200만달러 규모의 피해를 미리 막아냈다"고 밝혔다.

그럼에도 불구하고 투자자들의 피해를 완벽하게 예방하기는 힘들다는 설명이다. 임 리드는 "피해 방지를 위해 투자자가 직접 코드와 스마트컨트랙트를 확인하고 뜯어보라는 말까지 나오고 있지만 이는 현실적으로 불가능에 가깝다"라며 "특히 디파이가 해킹당했을 경우 투자자들 입장에서는 할 수 있는 요소가 전무하다"고 말했다.

그는 "웹3 생태계가 커지기 위해서는 이용자 보호를 위해 규제 기관이 소스 코드를 분석하고 이를 축약된 정보로 제공하는 등의 조치가 필요하다는 생각이 든다. 다만 아직은 이러한 내용이 법제화되지 않아 아쉽다"면서 "지금으로서는 메인넷, 플랫폼이 보안 감사나 버그 바운티 프로그램을 꾸준히 진행하고 있는지를 확인해 보고 투자 판단을 내리는 것이 최선일 것"이라고 조언했다.

체인라이트는 특정 플랫폼에 어떤 취약점이 산재해 있는지에 대해 투자자들이 좀 더 쉽게 알 수 있도록 도와주는 서비스 구축에도 나서고 있다.

임 리드는 "'디지털 에셋 리스크 트랙커'(Digital Asset Risk Tracker, DART)를 작년 9월에 소프트 런칭했다. 디지털 자산, 프로젝트, 거래소 등에 존재하는 위험 정보를 손쉽게 확인할 수 있는 플랫폼"이라면서 "소스 코드는 이미 외부에 공개돼 있으니 이를 분석해 위험도를 정량화하고 제공하는 것이 목적"이라고 설명했다.

그는 "DART의 경우 투자자들이 컨트랙트 주소나 소스 코드를 입력하면 플랫폼이 이를 분석해 위험도를 알려주게 된다"면서 "정보가 많이 공개될수록 투자자 피해 예방에 큰 도움이 될 것으로 판단해 회사 내부적으로 분석한 내용의 공개 여부도 논의 중"이라고 덧붙였다.

<블록체인·가상자산(코인) 투자 정보 플랫폼(앱) '블루밍비트'에서 더 많은 소식을 받아보실 수 있습니다>

황두현 블루밍비트 기자 cow5361@bloomingbit.io