The computer scientist who hunts for costly bugs in crypto code

암호화폐 코드의 버그 잡는 컴퓨터 공학자

블록체인의 프로그래밍 오류로 1억 달러가 눈 깜짝할 사이에 사라질 수 있다. 블록체인 보안 강화를 위해 롱후이 구와 그의 회사 서틱이 나섰다

최근 암호화폐 업계를 강타한 악재들이 터지기 전인 2022년 봄 무렵, NFT 예술가 마이카 존슨(Micah Johnson)은 자신의 작품들을 경매에 부쳤다. 존슨은 우주비행사를 꿈꾸는 흑인 소년 캐릭터 아쿠(Aku)로 암호화폐 업계에 잘 알려진 인물이다. 수집가들은 존슨의 NFT 신작들을 입찰하기 위해 줄을 섰고 경매 당일 총 거래액은 3,400만 달러(약 426억 원)에 달했다.

그리고 비극(보는 관점에 따라 코미디일 수도)이 일어났다. 경매를 암호화폐로 진행하고자 존슨 측 개발자들이 작성한 ‘스마트 계약(smart contract)’의 프로그래밍 코드에 치명적인 버그가 있었다. 그 결과 경매 전체 거래액 3,400만 달러가 이더리움 블록체인에 묶였다. 존슨은 돈을 인출할 수도, 낙찰되지 않은 사람들에게 입찰금을 돌려줄 수도 없었다. 존슨의 암호화폐는 동결되어 손을 쓸 수 없는, 이른바 ‘블록체인에 묶인’ 상태가 되었다.

존슨이 롱후이 구(Ronghui Gu)를 진작에 고용했다면 사정은 더 나아졌을지도 모른다.

들쭉날쭉 변동이 심하고 미래를 예측할 수 없는 암호화폐와 웹 3의 세상에서 롱후이 구는 서틱(CertiK)을 공동 설립해 가장 큰 규모의 스마트 계약 보안감사(Audit) 회사로 성장시켰다. 그는 미국 컬럼비아 대학에서 컴퓨터 공학 교수로 재직 중이며 친절하고 다소 수다스러운 성격을 지녔다. 롱후이 구와 그가 이끄는 250명이 넘는 팀원들은 암호화폐 코드에 버그가 있는지 자세히 살피는 일을 한다.

서틱은 암호화폐의 가치 하락으로 인한 금전적 손실을 막아주지 않는다. 암호화폐 거래소가 고객의 자금을 부적절하게 사용하는 상황도 막을 수 없다. 그러나 지금까지 간과되어 왔던, 소프트웨어적 문제로 발생하는 돌이킬 수 없는 손실을 예방해 준다. 서틱은 BAYC(Bored Ape Yacht Club)와 같은 암호화폐 업계의 큰손들을 비롯해 블록체인 게임을 운영하는 로닌 네트워크(Ronin Network) 등을 고객으로 두고 있다. 수억 달러를 잃고 나서야 롱후이 구를 찾아온 고객들도 있다. 그는 이런 일이 다시 발생하지 않기를 바랄 뿐이다.

“암호화폐 세상은 정말 무서운 곳이다”라고 롱후이 구는 웃으며 말했다.

암호화폐의 코드는 전통적인 소프트웨어와 달리 한 치의 실수도 허락되지 않는다. 예를 들어 실리콘밸리의 소프트웨어 개발자들은 프로그램 출시 전 버그를 최대한 없애려 노력하며, 만약 출시 후 버그가 발견된다 해도 코드 업데이트를 통해 문제를 해결할 수 있다.

그러나 이 방식은 대부분의 암호화폐에 적용되지 않는다. 암호화폐는 스마트 계약 즉, 거래를 주관하는 컴퓨터 코드를 사용한다. (아티스트에게서 NFT 하나를 구매할 때 1 이더리움을 지급한다고 가정하자. 이 경우 아티스트의 암호화폐 지갑에 해당 금액이 도착하면 바로 구매자에게 NFT 토큰을 보내도록 스마트 계약 코드가 작성된다.) 스마트 계약의 코드가 블록체인에서 한번 활성화되면 업데이트가 불가능하다. 버그를 발견해도 작성된 코드를 수정할 수 없기 때문에 돌이킬 수 없다. 더 큰 문제는 블록체인에 올려진 코드가 대중에 공개된다는 점이다. 블랙햇 해커들(black-hat hackers)이 코드를 살펴보고 개발자의 실수를 찾아내 악용할 여지가 충분하다.

암호화폐 해킹은 사례가 엄청나게 많을 뿐만 아니라 거액의 피해가 발생한다. 지난해 초, 웜홀(Wormhole) 네트워크는 3억 2천만 달러(약 4,000억 원) 상당의 암호화폐를 도난당했다. 이어서 로닌 네트워크도 6억 달러(약 7,500억 원) 상당의 암호화폐를 해킹으로 잃었다.

롱후이 구는 “역사상 가장 큰 액수의 해킹 사례”라며 믿을 수 없다는 듯이 고개를 저었다. 이어서 그는 “웹 3가 세상을 지배한다고들 하지만, 그 웹 3를 지배하는 자들은 해커들”이라고 강조했다.

최근 몇 년 사이 스마트 계약 보안감사 사업은 크게 성장했다. 서틱은 그중에서도 가장 큰 규모의 회사로 20억 달러의 자산 가치를 가졌고 전체 스마트 계약 보안감사의 70% 정도를 수행하고 있다. 이 회사는 스마트 계약을 모니터링해 해킹 여부를 실시간으로 감지하는 시스템도 운영하고 있다.

우연히 업계에 발을 들인 사람 치고는 나쁘지 않은 결과다. 사실 롱후이 구는 암호화폐가 아닌 소프트웨어 분야에서 박사학위를 취득하면서 수학적으로 예측할 수 있는 방식으로 작동하는 코드 개발을 연구했다. 그러다 자신의 연구가 스마트 계약에 적용될 수 있음을 깨닫고 2018년 박사학위 지도 교수와 스틱을 공동 설립하게 된다. 롱후이 구는 이제 학계와 암호화폐 업계 양쪽에서 두각을 나타내고 있다. 여전히 그는 컬럼비아 대학에서 시스템 소프트웨어의 컴파일러 및 정형 검증에 대한 수업을 진행하고 몇 명의 대학원생들의 지도 교수를 도맡고 있다. (참고로 이 대학원생 중 한 명은 양자 컴퓨팅의 컴파일러를 연구한다.) 그리고 롱후이 구는 전 세계를 누비면서 다보스 포럼과 모건 스탠리 행사 등 중요한 자리에 참석한다. 트레이드 마크인 검은색 셔츠와 재킷을 말끔히 차려 입고 암호화폐 업계 및 금융업계 거물들이 블록체인 해킹의 심각함을 인지할 수 있도록 설득하고 있다.

암호화폐 업계는 호황과 불황의 주기를 순환한다. 지난해 11월 FTX 거래소의 파산은 업계에 타격을 입힌 사건 중 하나다. 롱후이 구는 앞으로 수년 간 할 일이 무척 많다고 생각한다. 스틱은 은행 등 주류 기업들과 협력하고 있다. 그리고 “한 유명 검색엔진”이 자체적으로 개발해 출시를 앞둔 블록체인 상품들을 안정적으로 운영하고자 서틱을 고용했다고 그는 전했다. 기존 기업들이 블록체인에 더 많은 코드를 등록하기 시작하면 국가 안보를 위협하는 사이버 첩보부대를 비롯한 많은 해커들이 유입될 것이 분명하다. 롱후이 구는 “우리가 직면한 위협이 계속 커지고 있는 상황”이라고 말을 맺었다. 

미리보기 2회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.