“코드는 거짓말을 할 수 없다…투자자·프로젝트·거래소 위한 플랫폼 만든다”–티오리 박세준 대표 (1)

[블록미디어 정아인 기자] “티오리는 코드 감사 보안 업체로 많이 알려져 있다. 그러나 우리는 웹3의 전반적인 업무를 두루 담당하고 있다.”

티오리(Theori)는 국내 보안감사 업계에서 ‘근본’으로 불린다. 2016년 미국 텍사스 오스틴에서 뿌리내려 2017년 한국 지사를 설립했다. 이후 가파르게 성장해 누적 투자액이 230억 에 이른다. 올해 국가정보원에서 ‘정보보안교육 감사패’를 수상했다.

대표 고객사로 구글, 마이크로소프트, 네이버, 삼성전자, 대한민국 국방부, 두나무 등이 있다. 두나무는 주요 투자사 중 하나다.

티오리의 박세준 공동 창업자이자 CEO는 국내외 해킹대회 70회 이상 우승했다. 카네기멜론대학교 컴퓨터과학 학사와 석사를 지냈으며, 사이버 작전사령부 자문위원으로 활동 중이다.

그런 티오리가 눈을 웹3로 돌렸다. 올해 9월 체인라이트(ChainLight) DART(Digital Asset Risk Tracker)를 런칭하며 웹3 보안 감사에 문을 열었다. 체인라이트는 티오리 산하 웹3 보안을 전문으로 담당하고 있다. 지난 7월 위믹스파이 지갑 자산 구출에 성공해 화제를 모으기도 했다.

박세준 티오리 대표는 “체인라이트가 오딧팅을 진행한 후 사고가 터진 경우는 없다“라고 말했다. 박세준 대표와 티오리 사무실에서 인터뷰를 진행했다. 다음은 일문일답.

위믹스, 클레이튼, 오르빗도 반중앙화됐다. 여기서 오는 장단점은 항상 있다. 어느 정도 중앙화 돼 있다 보니 중간에서 제어할 수 있다. 이는 USDC, USDT 같은 스테이블코인도 마찬가지다.

블랙리스트를 걸 수 있는 기능이 있다. 자산 탈취가 되더라도 블랙리스트를 걸면 사용할 수 없는 타버린 돈이 된다. 그런 프로젝트들도 어떻게 보면 중앙화 돼 있는 부분이 있다.

체인상에서 브릿지를 통해 중간으로 넘어갈 때, 필터를 걸어 탈취된 자금은 지갑에서 옮기는 건 못할 지언정 지갑에서 다른 곳으로 나가는 건 막아 가치를 줄여버릴 수 있다. 만약 락이 될 경우 피해액만큼 다시 찍어서 원래 주인들에게 돌려줄 수도 있는 여러 가지 방법이 있다. 이게 장점이다.

그러나 빠르게 피해를 차단하고, 손실액을 복구할 수 있다는 뜻은 블록체인을 왜 사용하는지, 탈중앙화를 왜 외치는지 생각하게 된다.

이상적인 탈중앙화는 리스크를 감수하는 게 ‘오너십’을 가지고 있다고 볼 수 있다. 다만 사건 사고가 발생할 때 현재 많은 커뮤니티가 책임 소재를 찾고 있다. 현재 탈중앙화를 완전히 받아들이지 못한 단계라고 생각한다.

대신 방어기제는 세워놓을 수 있다고 본다. 타임락이나 탈중앙화에 가까운 방식인 멀티시그(다중서명) 등을 통해 큰 자산들이 한 번에 이동할 수 없게 막는다. 자금 인출 시 얼마 이상의 투표를 통해 승인 받는 형태로 진행할 경우 좀 더 탈중앙을 가져가서 바로 이체할 수 없고, 다른 체인에서 빼내 갈 수 없도록 장치를 걸어둘 수 있다.

보통 분산은 쪼개서 할 수 있지만 공격은 한 번에 이루어진다. 한 번 이상 징후가 감지되면 바로 락이 걸릴 수 있다. 100억의 자산을 한 번에 인출할 수 없게 설정했다고 가정한다. 1억씩 100번을 쪼개서 인출하기는 힘들다.

그런 경우 탈취자는 3억만 인출했는데 97억 인출이 막히는 상황이 발생하면 안 되니 80~90억 정도를 한 번에 뺀다. 이런 걸 대비해 쓰레스홀드(threshold, 임계값) 를 걸어 두면 안전장치가 작동할 수 있다. 이는 정상적인 케이스가 아니니 타임락을 걸어 두면 효과적이다.

이체는 되나 7일 이후 진행될 수 있게 설정한다. 만약 이게 예고된 것이라면 업그레이드를 해 큰 자산을 7일 전에 계산해서 옮기면 된다. 그러나 만약 공격자가 진행할 경우 7일간 락이 걸리니 투표를 통해 이체할 수 없도록 하면 실제로 피해로 이어지지 않을 수 있다.

현재 과도기라 여러 리스크가 발생할 수 있다. 어떤 장단점이 있는지 알기 위해 여러 가지 시도하는 게 더 중요하다고 생각한다. 반중앙화, 탈중앙화, 완전 중앙화 등 여러 시스템을 모두 경험하고 장단점을 배우는 과정이 필요하다.

Q. 티오리는 소위 ‘근본 보안감사’ 회사다. 한국 토종 웹3 감사 업체들은 2018년부터 활발하게 움직이다가 최근 디파이, 월렛 등으로 돌아섰다. 블록체인 시장 침체기에 티오리가 활동하는 이유는?

예를 들어 이더리움 마켓플레이스 블러(BLUR)의 랜딩 프로토콜인 블랜드(Blend)가 세상에 나오기 전 감사를 했다. 버전2도 함께 작업했다.

보안감사는 런칭 이후 진행하면 그만큼 위험에 노출됐다고도 볼 수 있다. 싸이클로 보면 제품 출시 전에 오딧팅을 진행하는 게 맞다.

TVL, 금전적으로 중요한 영역에 있는 프로젝트들과 같이 일하며 레퍼런스를 확장 중이다.

체인라이트는 ICO 붐이 있었을 때는 토큰 감사를 하지 않았다. ICO 붐이 있을 때는 여러 토큰이 유사한 코드와 백서를 복사 붙여넣기했다.

그래서 토큰 감사보다 조금 더 복잡한 로직이 있는 디앱을 중심으로 감사를 진행했다. 디앱이 실력 면에서도 훨씬 더 복잡하고 위험 요소들이 많다.

최근 위믹스 사태에서도 볼 수 있듯 현재 ‘유통량’에 대한 관심이 많아졌다. 이걸 기술적으로 해소할 수 있다고 생각해 이러한 프로덕트를 만들고자 한다.

블록체인 프로젝트들의 유통량 확인을 하나씩 확인하기에는 프로젝트 수가 많다. 또한 프로젝트가 생겼다 없어지는 것들도 많다.

백서를 확인했을 때는 보기엔 너무나 완벽하고 다 좋은 프로젝트들이다. 그러나 실제로 코인 프로젝트들이 잘 운영하는지 확인하기도 어렵다.

코인 프로젝트들의 여러 위험성을 판단할 수 있는 자동화한 툴을 통해 한눈에 볼 수 있게 하는 프로덕트인 ‘DART’를 만들었다.

Q. 다트(DART)란?

다트는 디지털 에셋 리스크 트래커(Digital Asset Risk Tracker)의 줄임말이다. 위험 요소를 추적하고 관리하는 툴이다.

코드는 거짓말을 할 수 없다. 코드에서 자동으로 분석해 백서에 공시된 코인 총발행량과 실제 유통을 비교할 수 있다.

출처 블록미디어