"당신의 블록체인 자산을 '수호'해드립니다."

이번 포스팅은 잡플래닛에서 인터뷰한 Jasper의 이야기입니다. 블록체인 보안, 스마트 컨트랙트, 그리고 Security Researcher에 대해 더 알고 싶다면 주목! 인터뷰를 보고 관심이 생긴다면, Jasper가 준비한 세미나를 신청해보세요. 👇👇✨

세미나 신청하기

블록체인과 보안, 둘 중에 하나라도 관심이 있다면 이번 세미나를 통해 자신의 역량을 확장시킬 수 있을 거예요!

세미나에서는 3회차에 걸쳐 실제 스마트 컨트랙트에서 취약점을 찾는 방법을 배우게 됩니다. 이후에 본격적인 레드팀에 합류하고 싶은 분들과 함께 버그바운티와 CTF에 참여하며 'Fun'과 'Profit' 두 마리 토끼를 잡고자 합니다 😋 (대표적인 블록체인 버그바운티 플랫폼 Immunefi의 최대 포상금은 약 천만 달러라는 사실...!)

많은 분들의 참여를 기다립니다 :)

👉신청 링크

- 안녕하세요, Jasper님. 자기 소개 부탁드립니다.

안녕하세요. 수호아이오에서 Security Researcher로 일하고 있는 Jasper입니다. Security Team에서는 가상자산 기반 서비스들이 안전하고 지속 가능하게 서비스를 운용할 수 있게 여러 위험을 사전에 탐지하고 방지하는 일을 하고 있습니다.


- 요즘 시장에서 가장 핫한 분야라면 단연 블록체인이나 가상 자산을 떠올리시는분들 많을 것 같아요. 그런데 한편으로는 좀 어렵게 느껴지기도 하거든요. 수호아이오는 어떤 일을 하는 회사인지 궁금합니다.

수호는 스마트 컨트랙트 보안 감사 Audit으로 시작해서 디파이와 같은 암호화폐 금융 서비스를 만들고 있어요. 보안 감사를 통해 3조 원이 넘는 블록체인 자산을 지켜온 경험과 기술력을 기반으로 누구나 안전하고 쉽게 블록체인을 경험할 수 있는 생태계를 만드는 데 기여하고 있습니다.

작년 6월 시리즈A 50억 원 투자를 유치하고, 수호의 각 스쿼드에서 주도적인 인재분들을 공격적으로 영입 중입니다.

- 회사가 빠르게 성장하는 만큼, 채용도 활발하게 진행 중이라고 들었어요. 그런데 블록체인 관련 경력이 없는 멤버들도 많으시다고요. 어떻게 그럴 수 있죠?

저 같은 경우에는 수호아이오에 오기 전에 블록체인 기업에서 일을 했어요. 하지만 대부분의 멤버 분들이 여러 비 블록체인 기업에서 오셨습니다.

블록체인이라고 하면 흔히들 복잡한 암호학적 배경 지식이 필요하다고 생각하는 경우가 많은데요. 저희는 근본적인 블록체인 기술 그 자체보다는 블록체인 기술을 활용해서 '실생활의 문제에 도전하는 일'에 조금 더 집중하고 있어요. 그래서 블록체인 기술에 대한 심도있는 이해보다는 블록체인 기술에 대해서 전반적으로 이해하고 이 기술을 접목해 볼 수 있는 일들을 상상해 내는 능력이 더 중요합니다.

블록체인 기술에 대한 흥미와 호기심을 가지고 계시다면 누구든지 지원하실 수 있어요. 회사에 오시면 블록체인 기술이나 시장 변화에 대한 사내 세미나에 참석할 기회가 많아요. 그리고 다른 팀원 분들이 개인적으로 많이 알려주시기 때문에 일하면서 블록체인에 대해서 배우실 수 있습니다.

- 블록체인에 대해 배우면서 일할 수 있다니! 관심은 많지만 혹시 '전문적인 지식이 부족하지는 않을까' 싶어서 지원을 망설였던 분들에게 솔깃한 이야기인 것 같아요. Jasper님은 어떤 계기로 블록체인에 관심을 가지게 되셨나요?

많은 분들이 그렇듯, 저도 2017년에 비트코인 가격이 오르면서 블록체인 기술에 관심을 가지게 됐어요. 당시에 수많은 이더리움(Ethereum) 기반의 토큰들이 가상화폐공개(ICO ·Initial Coin Offerings)라는 형태로 모금을 하고 있었는데요. 적게는 수억에서 많게는 수백억 규모로 자금 모금 하는 것을 보면서, “대체 저것이 어떻게 만들어져 있기에 수많은 자금이 들어가는 거지?” 하는 의문이 들었어요. 그렇게 블록체인 기술에 입문해서 여러 프로젝트들의 구조와 코드를 분석해보게 됐죠.

당시에는 허황된 프로젝트들이 너무 많아서 ‘그냥 폰지 사기가 아닌가’ 생각도 했었어요. 그런데 이후 크립토(Crypto) 시장의 겨울을 겪으면서 허황된 프로젝트들이 많이 사라졌죠.

그때부터 기술에 대한 본질적 논의가 시작됐어요. ‘탈중앙화 금융’이라는 개념이 등장했고요. 어떠한 제약없이 24시간 작동하는 자산 시장으로서 ‘가상자산 시장’이 굉장한 매력과 잠재력을 가지고 있다는 확신을 가질 수 있었습니다.

블록체인 기술에 대한 관심은 의심에서 시작됐지만, 결과적으로 그 성장 잠재력을 볼 수 있는 계기가 된 셈이지요.

- 블록체인에서 ‘보안’이 굉장히 중요하다는 이야기는 많이 들었어요. 수호아이오의 시작도 스마트 컨트랙트 보안 감사라고 하셨잖아요. 왜 보안이 중요한가요?

탈중앙화 서비스들은 주로 ‘스마트 컨트랙트’라고 하는 블록체인 네트워크 위에 존재하는 프로그램에 기반해서 작동하는데요. 이 스마트 컨트랙트는 누구나 코드를 볼 수 있고 실행할 수 있습니다.

코드가 회사 서버 컴퓨터 안에 숨겨져 있다면, 취약점이 있어도 해커가 취약점의 존재를 파악하기 어렵고, 취약점을 찾아낸다 해도 취약점을 실행하기 위해서 여러 절차를 거쳐야 하겠지요. 쉽게 말해서 코드가 숨겨져 있으면 해커가 취약점을 공격하기 어렵습니다.

반면 누구나 볼 수 있는 스마트 컨트랙트 코드에 취약점이 있으면 해커는 언제든지 공격해서 이득을 취할 수 있어요. 실제 많은 탈중앙화 서비스들이 취약점을 공격당해 수십, 수백억 달러 규모의 자산을 탈취당하고 있습니다.

- 스마트 컨트랙트의 활용 분야가 확대되고 있지만, 취약점 공격 위험에 노출되어 있어서 보안 감사가 중요하다고 들었어요. 그래서 보안감사 기술력을 가지고 있는 수호아이오의 Security Researcher 역할이 중요해지고 있고요. 그럼에도 불구하고 스마트 컨트랙트라고 하면 아직 생소한 분들이 많으실 것 같아요. 스마트 컨트택트에 대해 설명해주세요.

스마트 컨트랙트의 투명성은 양날의 검과 같은 것입니다. 기존의 은행이나 중앙화된 금융 서비스들은 내 투자금이 어떻게 사용되는지 알 수 없습니다. 약관에 설명된 대로 자금이 운용되는지 아닌지 확인할 방법이 없지요. 대부분의 중앙화 서비스들이 그렇습니다. 스마트 컨트랙트는 코드가 블록체인 네트워크에 올라가 투명하게 공개되고, 자산의 이동이나 서비스의 작동이 블록체인 상에 공개되기 때문에, 내 투자금이 어디에 어떻게 운용되고 있는지 정확하게 확인할 수 있습니다.

또한, 서비스가 중앙화된 서버가 아닌 블록체인 네트워크 위에서 작동하기 때문에, 회사가 서비스를 중단하면 사용하지 못하는 중앙화 서비스와 달리, 누구나 언제든지 서비스에 접근할 수 있다는 장점도 있습니다. 물론, 누구나 접근할 수 있으며 코드가 공개되어 있기 때문에 공격의 가능성에 항상 노출되어 있는 것도 사실이지만, 견고한 테스트 코드 작성과 철저한 보안 감사 등을 통해서 위험을 최소화 할 수 있습니다.

- 블록체인과 보안 두 분야에 모두 전문성이 있는 직무가 Jasper님의 Security Researcher 라고 들었어요. 시장에서도 흔치 않은 포지션이라고 하는데요. 구체적으로 어떤 일을 하시는 지 궁금합니다.

Security Researcher는 탈중앙화 서비스들이 안전하고 지속 가능하게 서비스를 운영할 수 있도록 여러 위험을 사전에 탐지해서 방지하도록 돕는 일을 합니다. 업무를 크게 둘로 나누면 '보안 감사' 업무와 '연구' 업무를 합니다.

우선 ‘보안 감사 업무’는 탈중앙화 서비스들의 스마트 컨트랙트나 서비스 코드를 보고 발생 가능한 보안 위험들을 찾아서 보고서로 발행하는 일입니다. 개발자의 의도와 다르게 구현되거나, 서비스 운영에 지장을 주거나, 자산을 탈취당할 수 있는 코드를 찾아서 개발자에게 수정하도록 권고합니다. 또 수정된 코드를 확인해 위험이 확실히 사라졌는지까지 확인하죠. 이 보고서는 비단 개발자와 서비스만을 위한 것이 아니예요. 투자자들이 서비스의 구조적 위험과 개발 수준에 대하여 알 수 있는 척도가 됩니다.

‘연구 업무’는 탈중앙화 서비스 생태계가 더욱 안전해지기 위해서 필요한 다양한 연구를 주도적으로 수행하는 업무입니다. 취약점 분석을 자동화해주는 도구를 만들거나, 최근 발생한 해킹 사건을 분석하거나, 새로운 취약점을 발굴하는 등 다양한 연구를 하고 있어요. 연구원들은 저마다 관심 있는 연구주제가 다른 편인데요. 회사는 연구원 각자가 원하는 주제를 연구할 수 있도록 최대한 지원해드리고 있어요. 자율성을 가지고 주도적으로 연구하는 분위기라고 할 수 있죠. 연구 주제가 없더라도 팀원분들이 다양한 아이디어를 가지고 있으니 재미있는 아이디어를 하나 골라서 연구할 수도 있습니다.

- 보안 감사와 연구를 함께 하는 직무네요. 얘기만 들어도 업계 전문가여야 할 수 있을 것 같다는 생각이 들어요. 블록체인에 관심있는 분이라면 전문성을 키울 수 있는 업무라서 더 관심 가실 것 같은데요. 반면 흔치 않은 포지션이기 때문에 '나도 할 수 있을까' 라는 생각도 들 것 같은데, Jasper님은 어떤 과정을 거쳐서 이 업무를 하게 되셨는지 궁금합니다.

저는 원래 은행이나 자동차에 들어가는 코드의 취약점을 자동으로 분석하는 연구를 하는 연구실에서 공부를 했었습니다. 연구실에 있을 때 선배들에게 웹 서비스나 IoT 소프트웨어의 취약점을 찾는 방법을 배웠어요. 그러다 우연한 기회로 학교 선배가 만든 블록체인 개발 회사에 들어가면서 블록체인을 접하게 되었습니다. 그곳에서 스마트 컨트랙트를 접하면서 코드 크기도 작고, 코드 재사용도 많이 되어 자동 분석하기가 쉽겠다고 생각을 했어요. 그렇게 블록체인 보안 연구 쪽으로 뛰어들게 되었습니다.

블록체인이 10년이 조금 더 된 역사가 짧은 분야라서, 사실 개발이나 보안 하시는 분들이 조금만 관심을 가지고 보시면 생각보다 쉽게 입문할 수 있는 분야입니다. 저도 블록체인에 정통하기 보다는 기존의 보안 관련 지식을 바탕으로 이 분야에 입문하게 되었고, 그 이후에 다양한 탈중앙화 금융 프로젝트들을 감사할 수 있는 기회를 얻게 되어서 지금에 오게 되었습니다.

- 수호아이오는 현재 Security Researcher를 채용 중이신데요. 어떤 동료와 함께 일하고 싶으신지 궁금해요.

다양한 부분이 있겠지만 한 줄로 요약해보자면, “하루 종일 추리 퍼즐을 즐기면서 집중하실 수 있는 분"과 함께 일할 수 있다면 좋을 것 같아요. 취약점을 찾는 일이라는 것이 약간 추리 퍼즐과 비슷한 부분이 있거든요. 퍼즐을 풀기 위해서는 다양한 해결 방법을 상상하고, 여러가지 상식이나 배경 지식에 대한 공부를 해나가야 하잖아요? 보안 연구도 숨은 취약점을 하나하나 찾아내기 위해서 다양한 공격 시나리오를 상상하고, 다양한 해킹 사례와 탈중앙화 서비스들에 대한 공부를 해야 합니다. 그런 일을 함께 즐길 수 있었으면 좋겠어요. 새로운 공격 기법을 찾으면 흥분해서 같이 떠들 수 있는 그런 분이 합류하기를 기대하고 있습니다! 기다리고 있어요!

-앞으로 수호아이오에서 이루고 싶은 목표가 있다면요?

아직까지 한국 출신 기업 중에 블록체인 기술 기업이 국제적으로 잘 알려진 경우가 잘 없어요. 어떤 블록체인 커뮤니티에 가서도 '수호아이오’라고 이야기 했을 때, “아 블록체인 보안 업무를 하는 곳, 신뢰할 수 있는 기업”이라는 이야기를 들을 수 있었으면 좋겠습니다.

한국을 대표하는, 믿을 수 있는 블록체인 기술 기업을 함께 만들어 가실 분을 찾고 있습니다. 정말 후회하지 않으실 거예요. 일단 문을 두드려 주세요!

당신의 블록체인 자산을 ‘수호’해드립니다
[인터뷰]수호아이오의 Security Researcher를 소개합니다
(주)수호아이오Jasper의 블로그 보러 가기
인터뷰 출처 - 잡플래닛
Security Researcher
Audit 스쿼드는 이러한 미션을 가지고 문제를 해결합니다.
Security Researcher
수호 Security Researcher 채용 공고
Interview 시리즈 모아보기
업무하다가 마사지 받는 회사
핀테크 회사 대표가 된 개발자
Security Researcher를 소개합니다