뜨거웠던 수호의 첫 블록체인 보안 세미나

며칠 전, 수호아이오의 보안연구팀 'MATZIP'이 첫 만남을 가졌습니다. 수호는 지난 8월 블록체인 보안 세미나를 개최하고, 함께 연구하며 기술력을 향상시키기 위한 MATZIP 팀원을 모집했었는데요. 오늘은 세미나부터 MATZIP 탄생까지의 스토리를 소개해보도록 하겠습니다!

수호의 첫 공식 세미나, 왜 하는가?

오딧(모의해킹)은 2018년 첫 보고서 발간부터 지금까지 진행하고 있는, 수호의 기반이 되는 프로젝트에요. 오딧과 수호에 대해 더 널리 알리고, 관심 있는 사람들이 우리에게 더 다가와 줬으면 하는 바람이 있었어요.

수호에서는 이제 단순 오딧을 넘어 오펜시브 리서치를 전문으로 하는 레드팀을 운영할 계획이 있어요. 하지만 블록체인 보안이 잘 알려진 분야가 아니다 보니 인력을 모으기가 쉽지 않았고요. 따라서, 블록체인에 입문하고자 하는 보안업계 사람들이나 web3 개발자들에게 블록체인 보안에 대해 알려주고 흥미를 느끼게 하는 자리가 필요하다고 생각했죠.

Bug Hunting Smart Contract for Fun&Profit

그렇게 결성된 세미나 TF팀은 세미나의 타겟이 어떤 사람들인지 구체화하고, 세미나를 집중적으로 홍보할 타겟풀을 리스트업했어요. 그리고 타겟의 수준에 맞고 타겟이 흥미로워할 만한 세미나 주제를 함께 고민했습니다. 저희의 타겟은 ‘블록체인'이나 ‘보안' 각각에 대한 이해도는 있지만, ‘블록체인 보안’에 대해선 더 알아가고자 하는 분들이었기 때문에 3회차에 걸쳐 기초부터 심화까지 폭넓게 탐구할 수 있는 세미나를 기획했어요.

SESSION 01 : Introduction to Web3 and Smart Contract
SESSION 02 : Common Vulnerabilities and Case Study
SESSION 03 : How to find real-world bugs?

그다음엔 브랜드 디자이너 주주와 함께 포스터 디자인과 카피라이팅을 함께 기획했어요. ‘Bug Hunting’이라는 키워드에서 착안하여 취약점을 지명수배하는 컨셉을 정하고 버그 바운티 최대 포상금(무려 천만 달러…!)을 후킹 포인트로 앞세웠죠. 그렇게 주주가 만들어주신 멋진 포스터와 홍보 문구를 SNS, 오픈카톡방, 모임 플랫폼 등 여러 채널에 게재하고 콜드메일을 돌렸어요. 업계가 좁아서 그런지, 홍보 시작 후 얼마 지나지 않아 금세 입소문이 퍼지는 것 같았어요!

갑자기 대책 회의?

수호에서 처음으로 개최하는 세미나였기 때문에, 처음에는 10명 내외의 조그맣고 소소한 모임을 생각하고 시작된 세미나였는데요. 신청자 수가 카페 수용 가능 인원을 넘어가면서 갑작스런 대책 회의가 열렸어요. (당황했지만 조금 신나기도 했습니다🤣) 신청자를 선착순으로 자르기보다, 온라인으로 동시 진행해서 최대한 많은 인원을 수용하기로 결정했어요. 이에 따라 모든 신청자분들을 대상으로 온/오프라인 재조사를 실시했고, 급히 웨비나 촬영까지 준비하게 됐죠.

결과적으로 약 170명이 넘는 많은 분들이 연사 제스퍼와 세미나 주제에 큰 관심을 가져주셔서 굉장히 놀랐어요. 블록체인 보안의 미래가 밝아보입니다… 😲

만반의 준비를 마치고

세미나 TF팀이 알맹이를 제외한 모든 세팅을 준비하고 있을 때, 우리의 연사 제스퍼는 가장 중요한 세미나 자료를 만드느라 며칠 밤을 지새웠습니다 😢 미리 보고 오면 좋을 사전 자료부터 시연을 위한 Github 코드와 영상까지…! 이번 세미나 참여자분들의 만족도가 높았던 결정적 이유는 제스퍼의 철저한 준비가 아니었을까 합니다. 세미나 자료가 궁금한 분들은 이 링크에서 확인하실 수 있어요!

세미나 당일이 되자 심장이 두근거리더군요. 떨리는 마음으로 참여자분들께 안내 문자를 돌리고, 장비를 세팅하기 시작했어요. 웨비나를 위한 장비가 상당히 많고 복잡했는데, 평소 장비에 빠삭했던 차차가 없었다면 분명 사고가 났을 거라고 확신합니다. 🤯 "이게 필요한데 왜 없죠?" "이거 안 되면 방송 못해요." 세미나 시작 한 시간 전에 쏟아지는 문제들을 차차는 침착하게 하나씩 해결해나갔어요. 덕분에 아무 사고 없이 무사히 세미나를 마칠 수 있었습니다.

뿐만 아니라 많은 수호자분들이 나서서 참여자분들께 드릴 음료를 만들고 진행을 도와주셨어요. 😭🙏 제스퍼는 단 한 번의 막힘 없이 술술 설명을 이어 나갔는데, 과연 발표 천재다웠어요.

세미나 참여자분들을 위해 특별한 리워드도 제공했어요. 바로 수호 굿즈, 그리고 카페 이용에 혜택에 있는 NFT 토큰! 세미나 참여자만 NFT를 발급 받을 수 있는 POAP(출석 증명 프로토콜)을 활용했어요. 해당 NFT를 보유하신 분들께서는 올해까지 수호 카페에서 음료 1+1(무제한), 무료 회의실 대관(1시간) 혜택을 이용하실 수 있습니다.

첫 번째 세션을 성공적으로 마치고 다음 세션를 위한 회고의 시간을 가졌어요. 저희가 셀프로 부족했던 점을 피드백해 보기도 하고, 또 여러 참여자분들께서도 도움 되는 의견을 주셨는데요.

입장부터 출석 체크, 굿즈와 음료 수령, 착석까지 안내 문구 표시
발표 중간에 한 번 끊고 Q&A 시간 가지기
소스코드 리뷰 시 설명하고 있는 부분을 강조표시(ex. 붉은 펜) 해주기
수호 소개는 대표인 짓구가 직접!
대형 스크린 추가 대여

등등 아쉬웠던 부분을 개선하고 다음 세션에 반영했어요. 그 결과 “1회차보다 훨씬 매끄러웠어요!”라는 피드백을 받을 수 있어서 기뻤답니다.

세미나가 끝나고

결과적으로 약 100여명의 분들이 온오프라인에서 세미나에 참석해주셨고, 매 세션을 진행하는 동안 세미나 도중 이탈률이 1% 미만일 정도로 뜨거운 열정을 보여주셨어요. 만족도 조사에서도 평균 4.65/5점이라는 높은 점수와 따뜻한 피드백들을 받을 수 있어서 그간의 노력이 헛되지 않았다는 생각이 들었습니다. 수호자들의 지인이나 행사에서 만난 분들이 모두 수호의 세미나 소식을 알고 참여 요청을 주신 점도 놀라웠어요! 수호의 기술력이 조금 더 널리 알려진 것 같아 뿌듯합니다.

무엇보다 한 달 동안 고생한 TF팀 멤버 젠, 제스퍼, 주주, 차차, 그 외에도 불금에 늦게까지 남아 세미나 진행을 도와주신 모든 수호자분들께 다시 한번 감사드립니다 🙏 TF 활동을 통해 평소 교류가 많지 않았던 다른 스쿼드 멤버들의 멋진 능력을 엿볼 수 있었답니다.

블록체인 보안 맛집

세미나 참여자 중 총 17명이 보안 연구 활동에 지속적인 관심을 보이고 MATZIP 팀에 최종 합류해주셨어요. 앞으로 MATZIP 팀은 여러 Web3 제품에 대한 연구와 분석을 통해 각종 취약점을 제보하고 블록체인 산업의 보안성을 제고할 계획이에요. 앞으로의 활약을 지켜봐 주세요! 다양한 버그바운티와 CTF 대회에서 MATZIP의 이름이 보이기를 🙏