대화 Web3 보안 슈퍼 유니콘 CertiK: 명성이 자자하고 비난도 자자하다

2023-04-26 18:20:47

수집

CertiK의 해결책은 바이낸스처럼 가능한 한 공개적이고 투명합니다. 현재 CertiK는 모든 보안 감사 보고서를 완전히 공개하는 유일한 Web3 보안 회사입니다.

?저자: 리시윤, 지크 공원

Web3가 약세장에 빠지고 ChatGPT가 대표하는 AI 물결에 관심을 빼앗긴 가운데------여전히 뜨거운 분야가 있다. 바로 Web3 보안이다.

블록체인의 계약은 더 공개적이고 투명하기 때문에 공격받기 쉬운 특성이 있다. 스마트 계약이 배포되면 변경 불가능하고 중단할 수 없기 때문에, 취약점이 발생하면 해커는 소스 코드를 기반으로 실시간으로 공격할 수 있어 사용자에게 금전적 손실을 초래할 수 있다. 한 투자자는 Web3 보안을 "군대"에 비유하며, 그것이 없으면 Web3 "국가는 존재하지 않을 것"이라고 말했다. 그것은 Web3에서 가장 중요한 인프라 중 하나로, Web3 가치의 5%-10%를 차지할 것으로 여겨진다.

이 분야는 약세장에서도 식지 않고 오히려 더 뜨거워졌다. 강세장의 "버블"이 사라진 후 해커의 공격으로 인한 차익이 더욱 기승을 부릴 것이다. 수요가 산업의 폭발을 가져온다. 지크 공원에 따르면, 2022년 중반 약세장 이후 Web3 보안 분야에는 10개 이상의 스타트업이 등장했으며, 자금 조달 규모는 수천만 달러에 달했다.

지난 Web3 약세장에서 등장한 회사 중 하나인 CertiK는 현재 전 세계 Web3 보안 분야의 1위이다.

CertiK를 "스타 기업"으로 묘사할 수 있다. 그 창립자는 두 명의 보안 분야 최고 학자로, 각각 예일대학교 컴퓨터 과학과의 주임 교수이자 종신 교수인 샤오중과 그의 제자인 현재 콜롬비아대학교 컴퓨터 과학과 교수인 구롱후이다. 2016년 그들은 세계 최초의 "무결점, 해킹 불가능"한 보안 운영 체제인 CertiKOS를 개발하고, 2017년에 회사를 설립하여 이 기술을 Web3 분야에 적용했다.

2020년 DeFi(탈중앙화 금융)가 폭발하면서 Web3 보안 회사의 사업이 급증했고, 2021년 CertiK는 빠르게 세계 1위가 되었다. CoinMarketCap(유명한 암호화폐 가격 추적 웹사이트)의 데이터에 따르면, CertiK가 보안 감사를 수행한 모든 DeFi 프로젝트에서 CertiK의 시장 점유율은 70%에 달한다. 동종 업계보다 훨씬 높은 수치다.

CertiK는 "스타" 수준의 자금 조달 대우를 받고 있다. 2021년, 1년이 채 안 되는 시간 동안 CertiK는 5차례 자금을 조달했으며, 골드만삭스, 타이거 글로벌, 소프트뱅크 비전, 세쿼이아, 고릉 등 가장 화려한 투자자들이 경쟁적으로 투자했다. 회사의 가치는 빠르게 20억 달러로 치솟아 슈퍼 유니콘이 되었다------이것은 그들이 계속 "노"라고 말한 결과이기도 하다.

얼마 전, 우리는 베이징에서 CertiK의 공동 창립자 구롱후이를 만났다------이 "콜롬비아 교수"는 겨우 33세로, 갈색 정장을 입고 우리와 열정적으로 악수했다. 그는 일상적으로 중미를 오가며, 이는 그가 가진 드문 미디어 만남이었다. 그의 표현 욕구는 풍부하며, 기술적 실용주의의 그림자가 곳곳에 드러나 있었다. 그의 투자자와 경영진이 묘사한 대로, "창립자와 학자의 정체성을 통합한 드문 인물"이다.

"우리는 (CertiK) 거의 혼자 힘으로 블록체인 보안을 하나의 분야로 만들었고, 많은 관심을 끌었다." 그는 자랑스럽게 말했다.

하지만 이것은 단순히 "성공"에 관한 이야기가 아니다. 지크 공원 조사에 따르면, 일부 Web3 보안 업계 동료들은 이 회사에 대해 논란이 많다. 가장 핵심적인 비난은 CertiK의 보안 감사 서비스와 관련이 있으며, 왜 일부 프로젝트가 보안 감사를 통과했음에도 문제가 발생했는지, 누가 CertiK의 감사를 감사하는지 등에 대한 것이다. 우리가 이러한 의문을 구롱후이에게 던졌을 때, 그는 놀라지 않았고 농담을 하며, CertiK는 "명성과 비난이 함께한다"고 말했다.

이 기업가가 직면한 핵심 문제는, 중앙화된 기관으로서 (보안은 전통 산업이며, 데이터의 공개와 투명성을 실현할 수 없고, CertiK는 업계 거대 기업이기 때문에) Web3라는 탈중앙화 세계에서 신뢰를 어떻게 얻을 것인가이다. 이는 바이낸스(현재 가장 큰 중앙화 거래소)가 직면한 문제와 유사하다.

이에 대해 CertiK의 해결책은 바이낸스와 마찬가지로 가능한 한 공개적이고 투명하게 하는 것이다------현재 CertiK는 보안 감사 보고서를 모두 공개하는 유일한 Web3 보안 회사이다.

하지만 구롱후이는 또한 CertiK가 여전히 개선해야 할 점이 많다고 인정했다. 특히 Web3 보안 분야에서 사용자 교육 측면에서 이 길은 더욱 길고 힘든 길이다.

다음은 정리된 대화 전문이다:

1. 보안 공격 방어 외에,

"신뢰성"의 남용을 방지해야 한다

지크 공원: 2월 3일, DeFi 프로젝트 Orion Protocol이 해커 공격을 받아 거의 300만 달러의 손실을 입었습니다. 이 프로젝트는 CertiK의 감사를 받았는데, 왜 CertiK는 코드의 취약점을 발견하지 못했나요?

구롱후이: 문제가 발생한 코드는 우리가 감사한 범위에 포함되지 않았습니다. 예를 들어, 프로젝트 측에 2만 줄의 코드가 있다면, 여러 가지 이유로 그들은 가장 핵심적인 코드만 감사를 진행하고 나머지 수만 줄의 코드는 감사하지 않기 때문에 문제가 발생할 확률이 큽니다. (코드가) 감사 범위에 포함되지 않으면 감사 측은 비난받아서는 안 됩니다. 이건 "책임 전가"처럼 들릴 수 있지만, 실제로 감사 회사가 가장 어쩔 수 없는 부분입니다.

지크 공원: 그러니까 본질적으로 프로젝트 측의 문제라는 건가요?

구롱후이: 보안 감사는 상당한 비용이 드는 작업이기 때문에, 많은 프로젝트 측은 가장 핵심적인 코드만 보안 감사를 진행하고 나머지 코드는 감사하지 않으려 합니다. 또는 첫 번째 버전의 코드만 감사하고 업데이트된 코드는 감사하지 않으려 합니다(주: 스마트 계약이 블록체인에 올라가면 변경할 수 없지만, 새로운 모듈을 추가할 수 있다).

이것이 바로 Web3 보안 회사가 이렇게 많음에도 불구하고 여전히 프로젝트가 도난당하고 보안 사건이 점점 더 많아지는 이유입니다. 프로젝트 측이 보안에 대한 중요성을 충분히 인식하지 못하고 있습니다. 모두가 보안에 돈을 쓰고 있지만, 충분히 쓰지 않고 있으며, 전체 코드 감사를 진행해야 합니다.

지크 공원: 왜 가장 중요한 보안 문제에 대해 프로젝트 측이 투자를 아끼는 걸까요?

구롱후이: 현재 많은 프로젝트 측의 보안 감사 목적은 진정한 "안전"을 위한 것이 아니라 투자자, 사용자, 거래소에 "보고"하기 위한 것입니다. "여러분, 저는 돈을 쓰고 싶어하고, 보안 감사를 받았으며, CertiK를 찾았습니다. 최고의, 가장 비싼 감사 회사입니다." 그러니 그들은 일부 코드만 감사를 진행해도 같은 주장을 할 수 있습니다.

지크 공원: 듣기에는 프로젝트 측이 감사 회사에 "책임을 전가"한 것 같군요?

구롱후이: 부적절한 비유를 하자면, CertiK가 이렇게 큰 시장 점유율을 가진 상황에서, 우리의 "책임"은 거의 감당할 수 없을 정도입니다.

이것이 우리가 보안 감사 보고서를 공개하고 투명하게 하려는 강력한 이유 중 하나입니다. 지금까지 블록체인 산업에서 CertiK 외에는 모든 감사 보고서를 완전히 공개하는 보안 회사가 없습니다. 우리는 사용자가 온라인에서 프로젝트 측이 어떤 코드를 감사했는지, 어떤 코드는 감사하지 않았는지를 명확히 볼 수 있기를 바랍니다. 우리는 CertiK가 "도장"이나 도난 방지 "증명서"가 되어 신뢰성이 남용되는 것을 원하지 않습니다.

지크 공원: 언제 감사 보고서를 공개하겠다는 결정을 내렸나요?

구롱후이: 2020년 하반기입니다. 그때 DeFi가 매우 인기를 끌고 있었고, Web3 보안 회사의 사업이 빠르게 성장하고 있었으며, 우리는 곧 세계 1위가 되었습니다. 그 후 많은 프로젝트가 CertiK의 보안 감사를 받았다고 주장했지만, 사실은 그렇지 않았습니다(감사 범위에 포함되지 않았습니다). 그래서 나는 이 일을 공개적으로 투명하게 만들어야 하며, 사용자가 오해하지 않도록 해야 한다고 생각했습니다.

지크 공원: 이 결정이 효과가 있었나요? 일반 사용자가 정말로 여러분의 보고서를 볼까요?

구롱후이: 대부분의 일반 사용자는 보지 않을 것입니다. 심지어 우리가 공개한 후에는 오히려 많은 사람들이 우리를 비난했습니다. 왜냐하면 우리가 공개한 후, 우리의 관련 프로젝트에서 문제가 발생하면 모두 공개되기 때문입니다. 사용자가 이 프로젝트에서 손실을 입으면, 그들은 이게 당신의 감사 범위에 포함되었는지 신경 쓰지 않고, 반드시 화가 나서 우리를 비난할 것입니다. 그래서 오늘날에도 여전히 우리 회사 내부의 많은 사람들, 투자자들조차도 우리가 보고서를 완전히 공개하는 것에 동의하지 않습니다.

하지만 전문 기관에 대해서는 사람들은 여전히 감사 보고서를 보고 정확한 판단을 내립니다. 2월에 CertiK의 시장 점유율이 처음으로 70%를 초과했으며, 고객 설문조사에서의 만족도도 90% 이상이었습니다. 많은 고객들이 우리에게 진심으로 감사의 말을 전했습니다. 그러나 이러한 고객들은 소셜 플랫폼에서 발언하지 않으며, 그저 여러 번 우리와 협력할 뿐입니다.

Twitter에서 CertiK에 대한 논의 | 이미지 출처: Twitter

지크 공원: 일반 사용자가 이 점을 더 잘 인식하게 하려면 어떻게 해야 할까요?

구롱후이: 우리는 이 산업의 사용자 교육을 완료하기 위해 계속 노력하고 있습니다. 2018년, 우리가 막 창업했을 때, 주로 사용자에게 프로젝트 측이 "보안 감사를 받았는지"를 확인하도록 교육했습니다. 그러나 2020년에는 우리는 보안 대시보드(CertiK Security Board)를 출시하여 일반 사용자에게 보안 감사는 "도장"이 아니라 "동적인 지표"여야 한다고 교육하기 시작했습니다.

우리는 여러 지표를 종합하여 프로젝트 측에 보안 점수(Security Score)를 부여합니다. 이 보안 점수는 15분마다 업데이트되며, 예를 들어 현재 코드에 문제가 없더라도 코드가 업데이트되면 점수가 실시간으로 변동합니다. 사용자는 보안 대시보드에서 프로젝트 측의 몇 가지 주요 보안 지표에 대한 변동 알림을 받을 수 있습니다.

우리는 사용자들이 Web3 보안에 대한 인식을 점진적으로 변화시키기를 희망합니다. 하지만 이것은 매우 긴 길이며, 매우 어렵고 힘든 길입니다.

CertiK 보안 대시보드 | 이미지 출처: CertiK

지크 공원: 작년, 여러분의 보안 대시보드 공식 트위터에서 "당신은 알고 있습니까? @orion_protocol은 CertiK 웹사이트에서 유일하게 보안 점수가 100/100인 프로젝트입니다."라고 말했습니다. 프로젝트에 문제가 발생한 후, 많은 사람들이 트위터 댓글에서 여러분을 비난했습니다. 구롱후이: 맞습니다. 그 당시 이 프로젝트는 실제로 가장 높은 보안 점수를 기록했습니다. 그러나 이 보안 점수는 동적이며, 15분마다 변동이 발생합니다. 하물며 1년 이상에 걸쳐서 말이죠.

지크 공원: Web3 동료들이 여러분을 진정한 인터넷 사고방식으로 제품을 만든다고 평가했습니다. 이 평가에 동의하십니까?

구롱후이: 저는 우리의 출발점이 사용자와 산업의 요구와 문제점을 고민하는 것이라고 생각합니다.

간단히 말해, 보안 공격 방어는 첫 번째 단계일 뿐이며, 보안 공격 방어만으로는 안 됩니다. 사람들이 현재 CertiK를 보는 것처럼, 보안 공격 방어가 기본이지만, 더 중요한 것은 우리의 "신뢰성"입니다.

그렇다면 다른 사람들이 여러분의 "신뢰성"을 이용해 나쁜 일을 하는 것을 어떻게 방지할 수 있을까요? 이것은 우리가 끊임없이 고민하게 만드는 문제입니다. 이 산업의 대다수 회사는 아직 "신뢰성"에 대한 고민이 없으며, 사용자들이 트위터에서 그들을 비난하는 압박이 없습니다. 우리는 정말로 강제로 이 문제를 해결하게 되었습니다.

2. 이상 징후가 있는 프로젝트를 감지하면,

우리는 적극적으로 공개합니다

지크 공원: Web3 보안 감사는 기술적 측면뿐만 아니라 인간적 측면도 포함됩니다. 예를 들어, 일부 프로젝트 측은 "자기 도둑질"을 하여 의도적으로 코드 취약점을 설계하고 사용자의 돈을 빼앗습니다. 인간성은 기술보다 감사하기 더 어려운 것인가요?

구롱후이: 우리는 항상 탈중앙화와 코드를 믿습니다. 그러나 코드에도 인간성의 문제가 발생할 수 있습니다. 예를 들어, 일반적으로 "토끼 프로젝트"라고 불리는 고위험 프로젝트는 본질적으로 설계 문제나 코드 문제로 인해 투자자에게 심각한 손실을 초래할 수 있습니다.

오늘날, Web3 세계에서 (프로젝트 측에 의해) 사기당한 돈이 (해커에 의해) 도난당한 돈보다 더 많습니다.

지크 공원: 이러한 "토끼 프로젝트"를 어떻게 식별할 수 있을까요?

구롱후이: 사실 코드만 보고 판단하는 것은 매우 어렵습니다. 그들이 우리에게 제공하는 코드는 실제 배포된 코드와 일치하지 않을 수 있습니다.

그래서 우리는 KYC(고객 신원 확인) 서비스를 출시했습니다. 우리는 내부에 두 개의 KYC 팀이 있으며, 하나는 일반 KYC로, 프로젝트가 들어오면 계약을 체결할 수 있는지 기본적인 평가를 진행합니다. 그러나 이로 인해 할 수 있는 것은 제한적입니다. 다른 하나는 현재 업계에서 가장 엄격한 KYC 서비스로, 매우 엄격한 심사 프로세스를 거치며, 통과한 프로젝트 측에 KYC 전용 배지를 수여하고 이를 웹사이트에 공개합니다. 현재 KYC 배지를 받은 프로젝트는 문제가 발생한 적이 없습니다. 그러나 우리는 프로젝트 측이 이러한 엄격한 KYC 배지를 신청하도록 강제할 수는 없습니다.

CertiK의 KYC 서비스 | 이미지 출처: CertiK

이 두 KYC 팀을 합치면 20명 이상이며, 일부 작은 보안 감사 회사보다 인원이 더 많고, 비용이 큽니다. 우리는 왜 이렇게 투자하냐면, 이러한 고위험 프로젝트를 최대한 피하고 싶기 때문입니다.

지크 공원: 여러분의 고위험 프로젝트 판별은 주관적인가요, 아니면 현실과 규칙에 기반한 기준인가요?

구롱후이: 감사와 유사하게, KYC는 주관적인 판단과 객관적인 규칙이 모두 포함됩니다. 사실 KYC 서비스를 통해 우리는 30% 이상의 고객을 거부했습니다. 그렇지 않으면 우리의 시장 범위는 더 넓어질 것입니다.

지크 공원: 그러나 2022년 1월, 여러분이 감사한 프로젝트 Arbix Finance가 "Rug Pull"(사기 도망)로 표시되었는데, 그 당시 이를 인식하지 못했나요?

구롱후이: 우리는 프로젝트 측이 제공한 객관적인 정보를 기반으로 판단해야 하며, 이 자체가 어려운 일입니다. 프로젝트 측이 의도적으로 숨기거나 조작할 경우, 실마리를 찾는 것은 더욱 어려워집니다.

하지만 강조하고 싶은 것은, Arbix Finance 사건은 우리가 이상 징후를 감지한 후 적극적으로 공개한 것입니다. 이는 우리에게 불리한 일이지만, 다른 서비스 회사가 이런 일을 하는 것을 보지 못할 것입니다. 그러나 우리는 이를 웹사이트에 공개했습니다. 왜냐하면 이는 해야 할 일이라고 생각하기 때문입니다.

지크 공원: 고객의 이익과 공공의 이익 사이에서, 후자를 선택하시겠습니까?

구롱후이: 네. 만약 여러분이 어떤 프로젝트에 문제가 있을 것 같다면, 소리쳐야 하지 않겠습니까? 저는 그렇게 해야 한다고 생각합니다. 설령 그것이 우리의 고객이라 하더라도 말입니다.

우리의 감사 보고서에는 프로젝트 측의 "중앙화 문제"에 대한 장이 별도로 작성되어 있으며, 핵심은 대중이 프로젝트의 중앙화 위험을 이해하도록 하는 것입니다. 많은 서비스 회사는 이렇게 하지 않으려 합니다. 왜냐하면 고객을 불쾌하게 만들기 때문입니다. 그러나 우리는 반드시 그렇게 해야 한다고 고집합니다.

지크 공원: 프로젝트 측과의 관계가 어색해지는 것이 두렵지 않나요?

구롱후이: 고객은 분명히 불만을 가질 것이며, 이는 우리의 성과에 부정적인 영향을 미칠 것입니다. 그리고 여러분이 이 프로젝트에 문제가 있다고 보고하면, 프로젝트의 투자자는 여러분을 싫어할까요? 참여자는 여러분을 싫어할까요? 협력자는 여러분을 싫어할까요? 정말로 부정적인 피드백이 큽니다.

트위터에서 CertiK에 대한 대부분의 부정적인 내용은 해커 공격과는 관련이 없으며, 주로 우리가 프로젝트 측의 부정적인 정보를 공개한 것에 대한 것입니다. 예를 들어, 우리가 이 프로젝트에 중앙화 위험이 있다고 폭로하면, 프로젝트의 사용자들은 우리를 비난하기 시작하고, 심지어 여론을 조직하여 우리에게 낮은 점수를 주기도 합니다.

하지만 여전히 그 말이 맞습니다. 만약 이것이 산업에 유익한 일이라면, 우리는 반드시 해야 합니다.

지크 공원: 여러분은 소셜 플랫폼에서 그런 부정적인 댓글을 보시나요?

구롱후이: 저는 정말로 모두 봅니다. 외부에서는 CertiK가 대단하다고 생각하며, 이렇게 좋은 숫자와 많은 자금을 보유하고 있습니다. 그러나 실제로 외부에서는 우리에 대한 많은 부정적인 평가와 보도가 있으며, 우리는 압박이 큰 돈을 벌고 있습니다.

저는 이전에 "명성과 비난이 함께한다"는 말을 들었습니다. 많은 일은 양면성을 가지고 있습니다. 명성은 그들이 당신의 제품을 사용하고 있다는 것을 의미하고, 비난은 그들이 사용하면서 비난하고 있다는 것을 의미합니다. 저는 이것이 좋은 일이라고 생각합니다. 그래야 어디가 부족하고 어떻게 개선할 수 있는지 알 수 있습니다.

지크 공원: KYC에 대해, 제가 들은 바에 따르면, 여러분의 어떤 프로젝트 측이 도망간 후, 사용자가 CertiK에 연락했지만 CertiK는 프로젝트 측과 연락이 되지 않았다고 합니다. 이게 사실인가요?

구롱후이: 그런 경우가 있습니다. 일반 KYC는 너무 쉽게 조작될 수 있기 때문에, 여러분이 KYC 자료를 요청했지만, 문제가 발생하면 아무도 찾을 수 없습니다. 만약 프로젝트 측이 우리가 가장 엄격한 KYC를 통과했다면, KYC 배지를 가진 경우는 다릅니다. 이 경우 우리는 반드시 법 집행 기관과 협력할 수 있습니다.

지크 공원: 사용자의 돈이 도난당한 후, 회수 가능성이 높나요?

구롱후이: 우리는 많은 규제 기관과 대화해본 결과, 자금을 회수하는 가장 큰 문제는 반드시 법 집행력이 있어야 한다는 것입니다. 그러나 많은 경우 우리는 법 집행력이 없습니다.

3. 학계에서 Web3 세계로,

기술적 실용주의와 탈중앙화 신념

지크 공원: 당신이 처음 블록체인에 접촉한 것은 언제인가요?

구롱후이: 대략 2012년, 2013년입니다. 그때 저는 청화대학교에서 학부를 졸업하고 예일대학교 컴퓨터 과학과의 "고신뢰 소프트웨어 공동 연구 센터"에 들어가 샤오중 교수(주: 샤오중은 중과기대-예일 고신뢰 소프트웨어 공동 연구 센터의 주임 교수)와 함께 박사 과정을 밟았습니다.

같은 사무실에 있던 선배는 장신위라는 이름으로, 그의 별명은 "Friedcat 구운 고양이"입니다(주: 구운 고양이는 "중국 내 암호화폐 업계의 1인자"로 알려져 있습니다). 제가 블록체인에 처음 관심을 가지게 된 것은 그로부터 알게 되었습니다.

지크 공원: 구운 고양이는 블록체인 세계에서 매우 유명하며, 국내 비트코인의 초기 전도자입니다.

구롱후이: 그는 ASIC 기계를 사용하여 채굴을 시작한 초기 그룹 중 하나로, 채굴기를 성공적으로 제작하여 블록체인 세계에 큰 영향을 미쳤습니다. 결국 그는 박사 과정을 중단하고 귀국하여 이 일을 하게 되었습니다.

돌이켜보면, 왜 구운 고양이가 블록체인 세계에서 성공했는지, 저는 아마도 연구의 사고 방식 때문이라고 생각합니다. 우리는 더 기본적인 차원에서 이러한 문제를 고려하기 때문에 많은 혁신적인 것을 만들어낼 수 있었습니다.

지크 공원: 그 당시 당신은 직접 암호화폐를 구매했나요?

구롱후이: 그 당시에는 구매하지 않았습니다.

지크 공원: 구운 고양이와 같은 원칙주의자는 당신에게 어떤 영향을 미쳤나요?

구롱후이: 저는 그가 제 학문적 측면에 더 큰 영향을 미쳤다고 생각합니다. 그는 제 선배로서 연구에서 많은 도움을 주었고, 형식적 검증(formal verification)에 대한 많은 지식을 제공했습니다. 우리는 심지어 같은 프로젝트인 CertiKOS에서 함께 작업했지만, 그는 나중에 떠났습니다.

지크 공원: CertiKOS는 당신이 나중에 창업하는 데 중요한 기술적 기반이 되었습니다.

구롱후이: 맞습니다. 우리가 연구한 형식적 검증 기술은 간단히 말해, 수학적 방법을 통해 코드와 설계가 동등하며, 결함이 없음을 증명하는 것입니다.

이 기술은 소프트웨어(운영 체제)에서의 적용이 항상 학문적 문제였습니다. 과거에는 하드웨어에 적용되었는데, 하드웨어는 고정되어 있어 증명 공간이 제한적이기 때문입니다. 그러나 소프트웨어는 프로그래밍 가능하므로 증명 공간이 무한대에 이를 수 있습니다. 저는 박사 과정을 밟을 때 이 문제를 해결하고자 했습니다.

2016년, 우리는 마침내 이 기술적 돌파구를 이루어 CertiKOS를 만들었습니다. 이는 현재 세계에서 첫 번째이자 유일하게 완전히 형식적 검증을 받은 다중 코어 운영 체제 커널입니다. 그때 우리는 이를 무인차 Landshark에 적용했으며, "흠잡을 데가 없다"는 평가를 받았습니다. 2018년 우리는 CertiK를 설립하여 이 기술을 실제 생산에 적용하고자 했습니다.

지크 공원: 이 기술이 적용될 수 있는 분야는 많지만, 왜 최종적으로 블록체인이나 Web3 분야에 적용하기로 선택했나요?

구롱후이: 그 당시 Web3에서 몇 가지 큰 보안 사건이 발생했습니다. 2016년, The DAO 공격은 인류 역사상 가장 큰 공격 사건으로 여겨지며, 수백만 개의 이더가 도난당했고, 현재 가치로는 수십억 달러의 손실에 해당합니다. 그때 블록체인은 막 시작되었고, 이러한 공격 사건은 모두에게 Web3 보안이 매우 중요하다는 것을 인식시켰습니다. 모두가 블록체인의 보안 상황을 변화시키기를 원했습니다.

그 당시 이더리움 재단과 V 신(이더리움 창립자) 본인도 많은 조사를 진행했습니다. 그리고 그들은 같은 시기에 CertiKOS라는 기술적 돌파구가 있다는 것을 발견했습니다. 그때 많은 사람들이 우리와 여러 차례 대화하며 이 기술을 블록체인 분야와 스마트 계약 분야에 적용할 가능성을 탐색했습니다. 이후 우리는 CertiK를 설립하고 이더리움 재단의 보조금을 받았습니다.

지크 공원: CertiK의 탄생은 새로운 기술 성과와 시장 수요의 충돌로 보입니다.

구롱후이: 블록체인이 직면한 보안 도전은 전례가 없는 것입니다. 블록체인의 계약은 공개적이고 투명하여 공격받기 쉬운 특성이 있습니다.

전통적인 보안 플랫폼은 취약점을 발견하면 패치를 적용하고 시스템을 업그레이드할 수 있습니다. 그러나 블록체인은 세계 컴퓨터(world computer)로, 아무도 이를 중단할 수 없으며, 스마트 계약이 배포되면 변경하기 어렵습니다------이는 마치 판도라의 상자를 여는 것과 같습니다.

이 장면은 무엇과 비슷할까요? 만약 제가 해커라면, 저는 여러분의 소스 코드를 보며 취약점을 찾아 실시간으로 공격할 수 있습니다. 그리고 여러분은 공격을 막기 위해 패치를 적용할 수 없으며, 그저 제가 돈을 가져가는 것을 지켜볼 수밖에 없습니다. 전통적인 보안에서 손실되는 것은 일부 사용자 데이터에 불과하지만, 블록체인에서는 직접적으로 돈을 잃게 됩니다. 이러한 이유로 우리의 형식적 검증 기술은 블록체인 세계의 방어에 매우 적합합니다.

지크 공원: 그러나 많은 Web3 보안 회사들이 형식적 검증 기술을 보유하고 있다고 주장합니다.

구롱후이: 우리, 특히 샤오중 교수는 형식적 검증 기술의 세계적 권위자이며, CertiK는 가장 먼저 형식적 검증 기술을 Web3 분야에 적용한 회사입니다. 시스템 형식적 검증의 많은 이정표적 연구 성과는 샤오중 교수의 연구실과 제가 콜롬비아 대학교의 연구실에서 만들어낸 것입니다. 현재 많은 보안 회사들이 형식적 검증 기술을 주장하지만, 대부분은 홍보 목적일 뿐이며, 기술적 준비가 부족합니다.

지크 공원: 당신의 투자자가 이 기술 성과가 다른 많은 보안 분야에도 적용될 수 있다고 말했습니다.

구롱후이: 맞습니다. 우리는 이미 칩, 클라우드, 운영 체제 등 여러 분야에 적용했습니다. 예를 들어 ARM(세계 선도적인 칩 회사) V9 프로세서의 프라이버시 컴퓨팅 아키텍처(CCA)의 보안 검증, 앤트 그룹의 클라우드 네이티브 HyperEnclave(앤트 프라이버시 컴퓨팅 일체형 기계의 핵심 기술)의 보안 검증도 우리가 수행했습니다. 이러한 것들은 모두 기본적인 구축이 필요하며, 배포 전에 최대한 안전하게 만들어야 하며, 안전률은 99% 이상이어야 합니다.

하지만 현재 우리의 주요 사업은 여전히 Web3 분야에 있으며, 저는 한 가지 일을 잘 해내는 것이 매우 어렵다고 생각합니다. 저는 이렇게 큰 문제를 지켜보면서 다른 일을 할 수는 없습니다.

지크 공원: 연구 기술의 학자에서 회사를 창립하는 기업가로의 신분 전환은 어려운가요?

구롱후이: 창업하기 전에 저는 구글에서 1년을 보냈습니다. 그때 저는 예일대학교에서 박사 과정을 마친 후(2016년) 콜롬비아 대학교에서 조교수 제안을 1년 연기했습니다. 저는 만약 제가 나중에 창업을 한다면, 큰 격차가 있을 것이라고 생각했습니다. 왜냐하면 저는 학계에만 있었고, 업무 경험이 없었기 때문입니다. 그래서 저는 구글이라는 최고의 인터넷 회사에서 경험을 쌓기로 결정했습니다.

이 경험은 제가 CertiK를 창립하는 데 큰 도움이 되었습니다. 그것은 저에게 "다른 사람들이 하지 않은 일을 할 때, 어떻게 해야 하는가?"를 고민하게 만들었습니다. 구글은 검색 엔진을 최초로 만든 회사로, 이 것이 무엇인지, 어떤 모습이어야 하는지를 스스로 답해야 했습니다. 이는 제가 CertiK를 창립할 때의 느낌과 유사합니다.

CertiK의 감사 보고서 | 이미지 출처: CertiK

지크 공원: 학자와 기업가는 모두 쉽지 않은 직업인데, 어떻게 두 가지를 모두 잘 할 수 있나요?

구롱후이: 교수와 기업가는 거의 모두가 가장 바쁜 두 직업이라고 생각합니다. 그러나 저는 이 두 가지 정체성이 도전적인 문제를 찾고, 그 문제에 전념하여 해결하는 것이라는 공통점이 있다고 생각합니다. 저에게는 이 두 가지 목표가 거의 일치합니다. 이것이 제가 계속할 수 있는 이유입니다.

물론 이 두 정체성의 차이는 학자는 상업화가 언제 이루어질지를 고려하지 않지만, 기업가는 일정 시간 내에 최소한 상업적으로 수용 가능한 답변을 제시해야 한다는 것입니다. 이것이 많은 학자 기업의 도전입니다. 그러나 많은 투자 기관들은 우리가 그들이 본 중에서 비교적 성공적인 학자 기업이라고 말합니다.

지크 공원: Web3 기업가로서 탈중앙화 신념이 있습니까?

구롱후이: Web3의 탈중앙화는 "코드를 신뢰한다"(in code we trust)라는 것이지만, 만약 이 코드가 본질적으로 신뢰할 수 없다면 어떻게 해야 할까요? 즉, 코드 버그(code bug)입니다. 이것이 CertiK가 해결해야 할 문제입니다. 신념을 말하자면, 우리의 신념은 바로 이것입니다.

지크 공원: 당신의 동료들은 Web3 보안도 "정의감"이 필요하다고 말합니다. 당신은 그런 것이 있나요?

구롱후이: 제가 이해하는 정의감은 우리가 하는 일이 과연 올바른 것인지, 이 세상에 어떤 가치를 창출했는지에 관한 것입니다.

저는 자랑스럽게 말할 수 있습니다. 우리는 ARM의 V9 프로세서의 CCA 아키텍처의 보안 검증을 통해 미래에 수천만 대의 장치의 프라이버시 안전을 보장할 수 있습니다. 우리는 Web3의 스마트 계약과 블록체인 시스템에서 6만 개의 버그를 찾아 프로젝트의 위험을 줄였습니다. 이것들은 올바른 것이며, 우리가 창출한 가치입니다. 그리고 이것은 다른 사람들이 제 논문을 통해 이루어진 것이 아니라, 제가 직접 이루어낸 것입니다.

이러한 기여는 학문을 조금이라도 발전시키거나 사용자의 손실을 조금이라도 줄이는 것이라면, 모두 정의감에 의해 추진된 것이라고 할 수 있습니다.