이더리움 네트워크 사상 가장 많은 이더(ETH)를 도난 당한 최악의 해킹 사고 두 건은 모두 사소한 스마트 컨트랙트(블록체인 위에서 프로그래밍이 가능하도록 한 기술) 버그(오류)에서 비롯됐다.
2016년 6월 탈중앙화 투자 펀드 프로젝트인 DAO는 360만 이더를 탈취 당했고 이 사건으로 이더리움은 하드포크까지 해야 했다.
2017년 7월에는 암호화폐 지갑 패리티에서 15만3천 이더가 도난 당했다. 해킹은 아니지만, 4달 뒤 역시 스마트 컨트랙트 버그로 50만 달러 이더가 동결되는 사고가 났고 여전히 이 문제는 미해결 상태로 남아있다.
새로운 블록체인 프로젝트가 쏟아지고 있다. 이 중엔 사전에 충분한 코드 검증 없이 블록체인에 올린 스마트 컨트랙트도 있어, 해킹을 포함해 크고작은 문제를 일으키고 있다. 신뢰의 기술이라는 블록체인의 명성까지 휘청이게 한다.
블록체인 산업이 겪고 있는 이런 문제를 블록체인으로 풀겠다고 나선 스타트업이 있다. 지난해 7월 설립된 스마트 컨트랙트 보안 감사 소프트웨어(SW) 개발 업체 퀀트스탬프 얘기다.
최근 만난 리차드 마(Richard Ma) 퀀트스탬프 최고경영자(CEO)는 "완전히 자동화된 스마트 컨트랙트 보안 감사 프로토콜을 개발하고 있다"며 "모든 블록체인 프로젝트가 퀀트스탬프를 통해 스마트 컨트랙트 보안 취약점 감사를 받게하는 것이 궁극적인 목표"라고 포부를 밝혔다.
■퀀트스탬프 "스마트 컨트랙트 보안 표준 정립할 것"
스마트 컨트랙트 보안 감사 서비스는 이미 존재한다. 하지만, 사람에 의존하는 현재 시스템은 확장성이 크게 떨어진다는 문제가 있다.
마 CEO는 "스마트 컨트랙트 보안 취약점에 대한 전문가는 많지 않은데, 감사를 받으려는 블록체인 프로젝트는 점점 많아지고 있다"며 "지금처럼 전문가에 의존하는 프로세스에서 한번 감사를 받으려면 대기 명단에 이름을 올리고 적어도 2달~4달 이상 기다려야 하는 상황이다"고 설명했다.
퀀트스탬프는 스마트 컨트랙트 보안 감사 SW로 자동으로 버그를 체크하는 방식과 버그 파운더(오류 발견자)가 수동으로 체크하고 보상을 받는 두 가지 방식을 사용해 '확장성을 확보한 감사 프로토콜'을 만들고 있다.
자동화된 SW는 스마트 컨트랙트 결함을 체크하는 보안평가도구를 작동시킨다. 상당한 컴퓨팅 파워를 필요로 하는 작업으로, 이더리움 네트워크상의 특수 노드인 퀀트스탬프 검증 노드를 통해 연산을 실행한다. 노드 제공자들은 퀀트스탬프토큰(QSP)을 보상으로 받게 된다.
이와 함께 버그 파운더가 스마트 컨트랙트 검증에 참여해 오류를 발견하면 보상으로 QSP를 지급하는 수동 체크 방식을 병행하고 있다.
퀀트스탬프는 네트워크 상에서 스마트 컨트랙트 감사를 더 빨리, 많이 처리할 수 있도록 완전 자동화된 프로토콜 개발을 목표하고 있다.
완전 자동화된 시스템이 되기 위해 필요한 SW 업그레이드는 보안 전문가들의 코드 기여를 통해 확보할 계획이다. 코드 기여 대한 보상으로 역시 QSP토큰을 제공한다. 기여받은 모든 코드는 오픈소스로 공개되기 때문에, 커뮤니티에 있는 다른 전문가들이 코드에 대한 유효성을 또 검증을 할 수 있다.
마 CEO는 "블록체인 프로젝트 수가 매우 빠르게 늘어나고 있다"며 "확장성을 확보한 스마트 컨트랙트 보안 감사 프로토콜 확보가 중요하다고 보고 완전 자동화된 시스템 개발에 집중하고 있다"고 말했다.
또 "우리는 스마트 컨트랙트 분야의 보안 표준을 정립하고 있는 중이라고 생각한다"며 자신감을 보였다.
■"스마트 컨트랙트 보안 감사 필수 되고 있다"
마 CEO에 따르면 모든 스마트 컨트랙트 프로젝트는 사전에 보안 검증을 반드시 받을 필요가 있다. 한번 블록체인 위에 올라간 코드 오류는 수정할 방법이 없기 때문이다.
그는 "블록체인 기술 특성상 블록체인에 기록된 스마트 컨트랙트 코드는 수정이 어렵다. 버그가 발견되도 손 쓸 방법이 없기 때문에, 기존 코드와 토큰을 다 버리고 새로 만들어야 한다. 또 기존 토큰 보유자에게 새 토큰을 바꿔줘야 한다. 이 방법이 유일한 옵션이다. 이 또한 프로젝트에 악영향을 미치고, 투자자 피해로 이어질 수 있다"고 말했다.
또 "지금까지 이더리움 스마트 컨트랙트 버그로 인해 발생한 해킹 피해금액이 2억5천만 달러(약 2천800억원)에 이른다"며 "(스마트 컨트랙트 보안 감사를 소홀히 한 일부 프로젝트로 인해) 블록체인 산업 전체에 악영향을 미칠 수 있는 사건들이 매순간 일어날 수 있다"고 경고했다.
최근 여러 사고가 발생하고, 스마트 컨트랙트 보안 감사가 중요하다는 인식이 높아졌다. 세계 최대 암호화폐 거래소 바이낸스도 퀀트스탬프를 통해 수 백 개에 이르는 상장 코인에 대한 검토를 진행하기도 했다.
바이낸스는 상장 토큰 중 특정 취약점에 노출된 토큰이 없는지 확인하기 위해 보안 감사를 진행했다. 마 CEO에 따르면 퀀트스탬프 자동 SW를 이용해 바이낸스 모든 토큰을 36시간 만에 검토했다. 바이낸스는 빠른 시간 안에 모든 코인이 이 문제에서 안전하다는 객관적인 인증을 확보할 수 있었다는 설명이다.
관련기사
- 은행도 당하는 대출 사기, 블록체인 도움될까2018.08.02
- 커넥트큐브, 블록체인·핀테크 접목한 사업 진행한다2018.08.02
- 운동 보상 블록체인 림포, 네오글로벌캐피탈 투자 유치2018.08.02
- "블록체인으로 머신러닝 연산"...AIN, 3일 밋업2018.08.02
퀀트스탬프는 블록체인에 대한 관심이 높은 한국에서도 활발하게 활동할 계획이다.
마 CEO는 "캐리프로토콜을 포함해 현재 많은 한국 블록체인 프로젝트들이 퀀트스탬프를 통한 스마트컨트랙트 보안 감사에 관심을 보이고 있다"고 말했다. 또 "한국에는 실력있는 개발자들이 많은 만큼 코드 기여 개발자 생태계를 만들기 위한 활동도 펼칠 계획"이라고 덧붙였다.