현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.
막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.
불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.
현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.
현재 상한가는 200만 달러 2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어-2 확장 솔루션 회사 옵티미즘(Optimism)에서 약 200만 달러(한화 약 23억 원)의 포상금을 받았다고 밝혔다.
암호화폐 현상금으로 200만 달러를 벌어들인 사람이 프리먼만 있는 건 아니다. 지난 2021년 10월 게허드 와그너는 폴리곤 플라즈마 브리지(Polygon Plasma Bridge)에 8억 5,000만 달러 규모의 피해를 입힐 수 있었던 취약점을 발견해 200만 달러의 포상금을 벌었다. 이어 12월에는 화이트햇 해커 레온 스페이스워가 180억 달러의 손실을 가져올 수 있는 취약점을 식별해 220만 달러의 포상금을 받았다. 이는 모두 웹3 버그 현상금 플랫폼 이뮨파이(Immunefi)를 통해 지급됐다.
한편 프리먼의 포상금이 공개된 날, 이더리움 기반 프로토콜 메이커다오(MakerDAO)는 이뮨파이와 함께 스마트 계약의 보안 위협을 제보하는 화이트햇 해커에 최대 1,000만 달러(한화 약 119억 원)의 포상금을 제공하는 버그 바운티 프로그램을 진행한다고 발표했다.
가치 있는 버그가 무엇이냐?
암호화폐 현상금이 7~8 자릿수에 달하면서 유능한 해커들은 돈이 있는 곳으로 향하고 있고, 이에 따라 (적어도 장기적으로 봤을 때) 전통적인 버그 바운티 프로그램에서도 포상금을 인상하라는 압박이 커질 수밖에 없다. 버그크라우드(Bugcrowd)의 설립자 겸 CTO 케이시 엘리스는 “그렇다. 인재와 데이터에 관한 금전적 경쟁이 있다. 이에 대응해야만 한다”라며, “암호화폐 회사들은 ‘가치 있는 버그가 무엇이냐?’라는 질문에 간결하게 대답하고 있다”라고 말했다.
이어서 그는 “전통적인 시장에서 iOS 익스플로잇은 200만 달러 이상을 호가하지만 상대하기 까다롭고 이러한 취약점을 미래에 사용하기 위해 살려두려는 구매자가 대부분이다. 유명하고 평판 좋은 탈옥범이 (암호화폐 붐으로 인해) 비교적 쉽게 수익을 낼 수 있는 쪽으로 선회하는 것을 보면 취약점 데이터 시장이 어디로 가고 있는지 가늠할 수 있다”라고 덧붙였다.
이뮨파이의 설립자 겸 CEO 미첼 어메이도는 “암호화폐에서 벌어지는 일과 관계없이 웹2의 현상금 규모가 커지고 있다”라면서, “너나 할 것 없이 인프라, 워크플로우, 비즈니스 로직, 운영을 디지털화하고 있다. 이에 따라 상대적으로 짧은 시간 동안 공격 서비스가 엄청나게 증가했다”라고 언급했다.
따라서 암호화폐 버그 현상금이 급상승했다고 해도 전통적인 버그 현상금 해커의 필요성을 없애지는 못할 것이라고 아메이도는 지적했다. 그는 “기존의 버그 (현상금 해커) 기반을 도려내지는 못하리라 본다. 특정 취약점을 쫓으면서 수익성 높고 전문적인 기술을 개발해온 해커가 많다. 이들은 해왔던 일을 계속할 것이다”라고 설명했다.
유능한 해커들은 암호화폐로 이동한다
어메이도는 “유능한 해커들은 암호화폐 진영으로 이동할 것이다. 사람들은 해커 커뮤니티에서 가장 어려운 문제를 해결하고 싶어 한다. 그렇게 하면 아무도 할 수 없었던 일을 하는 것이기 때문에 막대한 영향력과 평판을 얻는다. 자신이 최고임을 증명할 수 있다”라고 전했다.
엄청난 보상을 받는 동시에 가장 복잡한 문제를 해결하려는 도전은 유능한 인재들에게 매력적일 수밖에 없다. 그는 “지금까지 최대의 보상과 기술적으로 가장 어려운 암호화폐 문제를 결합했다. 이는 해킹 커뮤니티의 상위 10%인 최상위 계층이 암호화폐로 이동하는 속도를 극적으로 가속화하리라 예상된다. 이러한 문제를 풀려면 뛰어난 재능을 가지고 있어야 하고, 수년간의 훈련과 경험이 있어야 한다”라고 덧붙였다.
장기적으로 봤을 때 포상금을 인상할 가능성이 매우 크다
버그 바운티 활동을 부업으로 하고 있는 해커원(HackerOne)의 솔루션 아키텍트 데인 셔럿은 “암호화폐 버그 현상금 상승으로 인해 (전통적인 버그 바운티 진영에서 지금 당장은) 실질적인 상승 압박이 나타나지는 않으리라 보지만 장기적으로는 매우 가능성이 크다”라고 밝혔다.
그는 (앞서 언급한) 스마트 계약 프로젝트의 버그 현상금이 왜 이렇게 높은지 이해하는 것이 중요하다고 말했다. 셔럿은 “타당한 보상이 필요하다. 메이커다오(MakerDAO)는 1,000만 달러의 현상금을 걸었다(물론 이 프로젝트에는 수십억 달러가 있으므로 새 발의 피 수준이라고 할 순 있다). 실제로 강력한 보안 태세를 갖춰야 하고, 아울러 강력한 보안 태세를 갖춰야 더 많은 사용자가 참여하기 때문에 포상금이 매우 높을 수밖에 없다. 이 스마트 계약에 걸린 돈이 얼마나 많은지를 감안하면 이는 타당한 수준이다”라고 설명했다.
전통적인 해커는 암호화폐 시장에 맞춰 재정비가 필요하다
셔럿에 따르면 현재 전통적인 버그 현상금 프로그램에 참여해왔던 해커들은 암호화폐 버그 현상금 프로그램에 참여하는 데 필요한 스킬이 부족하다. 이러한 화이트햇 해커는 IT 스킬을 재정비하고, 암호화폐에 관해 더 많이 배워야 한다. 그는 “세계 최고의 웹 해커일지라도 자동화된 마켓 메이커(암호화폐 자산 거래의 중개자를 없애기 위해 도입된 분산형 거래소의 일부)가 어떻게 작동하는지 모른다면 해커로서 이를 익스플로잇할 방법을 찾아낼 수 없을 것”이라고 지적했다.
현상금은 수억 달러에 이를 수 있다
이러한 이유로 전통적인 버그 현상금 사냥꾼이 암호화폐 세계에서 많은 돈을 버는 수준에 이르는 데 최소한 2년이 걸릴 것이다. 셔럿은 “해커가 ‘오늘 웹 3.0을 해킹하고 싶다’라고 말할 수 있는 수준을 넘어서는 학습 곡선이 있다”라고 언급했다.
“장기적으로 미래가 이곳을 향한다는 전제를 받아들인다면 수많은 사람이 이에 뛰어들고 있는 모습을 발견할 수 있을 것”이라고 그는 말했다. 그리고 이때가 전통적인 버그 현상금 프로그램이 유능한 해커를 유인하기 위해 포상금을 늘려야 한다는 압박을 느끼기 시작하는 시점일 것이라는 게 셔럿의 설명이다.
또한 (장기적으로 봤을 때) 오래된 인터넷 회사들이 스마트 계약 및 블록체인 기술을 (자사) 제품에 통합할 전망이고, 이는 더 많은 해커가 웹3 진영으로 뛰어들도록 자극할 것이다. 심지어 오늘날에도 틱톡(TikTok), 트위터(Twitter), 게임스탑(GameStop) 등 선도 기술 기업들은 대체 불가능 토큰(Non-Fungible Tokens; NFTs) 등의 웹3 기능을 서비스에 적용하고 있다.
어메이도는 “이 시장은 기본적으로 미개척 상태다”라면서, “고려해야 할 점은 메이커다오가 현재 150~200억 달러의 계약을 맺고 있다는 사실이다. 실로 엄청난 자금이다. 많은 국가가 자국 은행에서 유통하는 돈보다 훨씬 더 많다. 결과적으로 이를 보호하려는 동기가 지극히 높을 수밖에 없다. 버그 현상금이 수억 달러에 이를 것이라고 생각하지 않을 이유가 없다”라고 말했다. ciokr@idg.co.kr