‘착한 해커’ 꿈꾸는 영맨들 지킨다…그들의 성지 DVP는?

이번 달 초 글로벌 코인거래소 바이낸스는 고객신원확인(KYC) 정보가 유출됐다는 구설에 올랐다. 바이낸스에 가입하기 위해 고객이 본인 여권과 함께 자신의 얼굴을 찍은 것으로 보이는 셀카 사진들이 한 텔레그램 채널을 통해 무작위로 유포됐다. 이 중에는 한국인도 상당수 포함돼 있었다. 바이낸스 측은 “피싱사이트에 의해 수집된 개인정보로 추정된다”고 해명했다. 

하지만 바이낸스 KYC 데이터를 탈취했다고 주장하는 해커가 등장했다. 암호화폐 전문매체 코인데스크에 따르면 이 해커는 “좋은 취지에서 해킹을 시도했다”고 주장했다. KYC 시스템 취약점을 파고든 후 이를 알려주는 대가로 바이낸스 측에 버그 바운티(포상금) 협상을 시도했다고도 밝혔다. 해커는 협상이 결렬되자 이 정보를 텔레그램에 배포하기 시작했다고 설명했다.

지난 22일 서울 강남 디센트레 카페에서 블록인프레스와 만난 DVP 다니엘 온(Daniel Wen) 대표는 이번 사례가 “화이트 햇(white hat)과 프로젝트 사이의 관계를 정확히 보여주는 사례”라고 말했다.

해커 입장에선 버그를 찾는 작업이 비트코인 채굴처럼 시간과 비용이 드는 일이다. 보상을 요구하게 된다. 정당한 보상을 받게 되면 시스템 취약점을 공격하기보단 당사자에게 이를 알려 개선하도록 하는 ‘화이트 해커(화이트 햇)’가 된다는 뜻이다.

바이낸스 KYC 유출 텔레그램방에선 ‘한국인 정보도 달라’는 메시지가 오갔다.

온 대표는 “DVP가 양쪽이 협상하는 프로세스를 더 원활하게 하려는 블록체인 프로젝트”라고 소개했다. 블록체인, 토큰, 스마트컨트랙트 기술을 활용해 해커와 프로젝트가 버그 제보에 관해 협상하는 자동화 프로세스를 제공한다는 설명이다. 온 대표는 인터뷰를 통해 화이트 햇의 협상 과정, 미래 사회를 반영한 해커 커뮤니티, DVP가 10~20대 청소년 해커들에게 적합한 이유에 대해 언급했다.

Q.화이트 햇이 어떤 사람들인지 설명해주세요.

화이트 햇은 1965년도부터 존재했습니다. 그 당시를 표현한 미국 서부 영화에서 좋은 카우보이는 대개 흰 모자(화이트 햇)를 쓰고 있었어요. 정직함, 선의의 상징이 됐죠. 

자연스럽게 해커 커뮤니티에서는 해킹을 통해 밝혀진 정보를 자신의 이익을 위해 활용하지 않는 해커를 이 용어로 부르게 됐습니다. 이들은 해킹한 사실을 관련 프로젝트에 바로 알립니다. 그래서 취약점이 악의적으로 쓰이기 전에 프로젝트가 버그를 고칠 수 있도록 합니다. 

만약 당신이 해커라고 가정하고 버그를 발견한다면 몇 가지 선택지를 만나게 될 겁니다. 시스템을 공격해서 자산이나 정보를 훔치거나 딥웹이나 다크웹 마켓에서 이 데이터를 팔 수도 있어요. 세 번째 선택지는 화이트 햇이에요. 해당 프로젝트에 이 사실을 전달해 이들이 버그를 고치도록 돕는 거죠. 

이렇게 하는 이유에는 분명 경제적 유인도 있고요. 일반적으로 화이트 햇은 화이트 해킹 과정을 통해 스킬을 늘리는 배움을 추구합니다. 보안 분야에서 자신의 리서치를 더 완벽하게 갈고 닦기 위함입니다. 인센티브에 경제적인 부분도 있지만, 여러 동기부여가 있습니다.

Q.기업마다 보안팀을 보유하고 있지 않나요? 화이트 햇이 취약점을 제보하는 플랫폼도 이미 존재하는 것으로 알고 있습니다.

기본적으로 보안 문제를 다룰 때 3가지 모델이 존재합니다. 먼저 정규직을 고용하는 형태가 있습니다. 이 형태에선 보안 이슈를 발견했을 때 자체 팀에서 해결할 수 있다는 점이 좋습니다. 대신 팀의 규모와 무관하게 모든 보안 문제를 다 커버할 수 없다는 문제점도 있습니다. 보안 시스템은 굉장히 복잡합니다. 99%를 다 커버하더라도 1%가 취약점을 보일 수 있어요. 이 1% 가능성으로 인해 공격받을 수 있습니다.

자연히 외부에서 재능을 빌려오기도 해야 합니다. 그래서 한 곳에서 운영하는(centralized) *크라우드소싱 플랫폼이 등장합니다. 이 플랫폼에는 여러 해커가 등록돼 있습니다. 

*크라우드소싱(crowd-sourcing) : 기업의 전 활동 중 일부에 소비자가 참여할 수 있도록 개방해 기업은 이들의 기여를 통해 성과를 얻고, 소비자는 수익을 공유하는 모델.

하지만 대부분의 화이트 햇은 신분이 드러나는 걸 꺼립니다. 익명으로 남기를 원합니다. 이들이 나쁜 짓을 하기 위해 숨는 게 아닙니다. 가령 이들이 이미 특정 회사에서 보안 관련 정규직으로 일하면서 자기 스킬을 가다듬기 위해 (화이트 해커로) 버그 사냥을 할 경우 고용주가 이 상황을 아는 걸 원치 않을 수 있습니다. 화이트 해커가 설령 좋은 일을 하더라도 자기 신분이 드러났을 때 불이익을 받을 수도 있어요. 

중앙화 플랫폼은 해커가 자기 정보를 등록한 후 이 신원 정보가 한 플랫폼에 모여 있다는 문제를 품고 있습니다. 만약 누군가 당신에게 나쁜 마음을 품는다면 당신을 차단해버릴 수도 있는 구조랄까요. 일반적인 중앙화 플랫폼이 가지는 *단일 장애점(single point of failure, SPOF)이에요. 여러 측면에서요.

*SPOF : 시스템 구성 요소 중 제대로 동작하지 않을 시 전체 시스템이 중단되는 한 가지 요인을 일컫는 개념

Q.’한 곳에 모든 권한이 집중되지 않은 크라우드소싱 플랫폼’이 필요한 맥락이겠네요.

블록체인과 토큰 인센티브 기술을 활용해 화이트 햇이 최대한 실력을 발휘할 수 있어요. 여전히 화이트 햇과 프로젝트 사이에 교환하는 데이터 프라이버시를 유지하면서도 말이죠. 블록체인 기술이 주목받기 전에는 달리 서로를 신뢰할 방도가 없었습니다.

예를 들어 프로젝트가 DVP에 등록되면 공개키를 노출합니다. 화이트 햇이 버그를 발견하면 이에 대한 데이터를 이 공개키로 암호화합니다. 

DVP에서 화이트 해커들이 활동한 이력.

화이트햇이 플랫폼에 등록되지 않은 프로젝트의 버그를 발견하기도 합니다. 이때 플랫폼이 화이트 햇이 관련 프로젝트에 연락해 시스템에 버그가 있다는 걸 알리도록 도와줍니다. 상대적으로 덜 민감한 정보를 해당 프로젝트에 제공해서 프로젝트가 어떤 버그인지 짐작하고, DVP에 등록해 암호화 키를 생성하도록 돕는 겁니다. 

이후 커뮤니케이션은 화이트 햇과 (공개키로 암호화한 내역을 복호화할 수 있는 개인키를 가진) 프로젝트 사이의 일이 됩니다. 플랫폼도 둘 사이의 커뮤니케이션, 콘텐츠를 알 수 없습니다. 민감한 정보를 외부에 최대한 노출하지 않는 방식이죠.

Q.버그 바운티에 대한 협상이 원활하게 이뤄지지 않는 경우도 생기지 않을까요?

블록체인과 관련된 전체 기술 패키지가 프로젝트와 화이트 햇 사이에 좀 더 신뢰할 법한 툴을 제공한다고 생각합니다. 그전까지 프로젝트는 화이트 햇의 도움이 필요하면서도 동시에 다른 목적으로 취약점을 약용하지 않을까 염려해야 했습니다. 정보 교환이나 다른 곳에 이 정보를 거래하진 않을지에 대해서도요. 

탈중앙화 플랫폼을 활용하기 좋은 지점이라고 봅니다. 프로젝트가 취약점 제보를 받은 후에 이에 대해 보상하기 꺼리는 경우도 있습니다. 이를 방지하기 위해 프로젝트는 스마트컨트랙트에 토큰을 걸어둬야 합니다. 화이트 햇이 정보를 제출해서 프로젝트가 확인하면 직접 이 토큰이 (자동화 프로그램으로) 지급됩니다. 

별도의 협상도 존재합니다. 어떤 버그에 얼마를 보상해야 하는지에 관한 겁니다. 심각한 버그일수록 화이트 햇과 프로젝트 사이에 협상이 이뤄집니다. DVP는 슈퍼노드 그룹을 운영할 계획입니다. 이들은 보안 회사로서 이런 협상이 발생할 경우 전문가를 통해 보상 수준을 정하도록 할 겁니다. 물론 이 메커니즘이 덜 사용되길 바랍니다. 

시간이 쌓여 커뮤니티 내에 최대한 객관적인 기준이 형성되도록 돕고자 합니다. 플랫폼이 성장할수록 더 많은 트랜잭션이 발생할 테고, 이 기록을 바탕으로 비슷한 버그가 어떻게 협상을 거쳤는지 참고할 수 있겠죠. 

100여 개가 넘는 블록체인 프로젝트들이 포상금을 미리 암호화폐로 DVP에 예치해뒀다.

Q.‘화이트 햇’의 크라우드소싱이 여전히 기존 산업에선 낯선 개념일 것 같습니다.

현재 100여개 이상의 프로젝트를 모으는 과정에서 탈중앙화 크라우드 소싱의 이점에 대해 교육하고 있습니다. 여전히 프로젝트 입장에선 염려되는 부분이 있다는 반응이 나옵니다. 하지만 이미 크라우드소싱 플랫폼이 주류가 되고 있다는 점을 강조하고 싶습니다. 

대표적으로 해커원이라는 기존 플랫폼은 2016년 미국 국방부(DOD)과 계약을 맺었습니다. DOD는 에어포스(공군)를 해킹하는 프로그램으로 시작해 최근에는 펜타콘 시스템을 해킹하도록 지원했습니다. DOD가 이런 형태의 접근에 개방적이라는 걸 알 수 있습니다. 해킹 크라우드소싱은 더 주류가 될 것으로 보입니다.

블록체인으로 분산형 자율조직(DAO)을 시도해볼 좋은 기회라고도 생각합니다. 우버나 크라우드소싱 등을 볼 때 사회가 점점 일에서 보상을 얻고, 반드시 정규직으로만 일하지 않는 형태로 구성된다는 걸 알 수 있습니다. 

블록체인 이전에는 불가능해 보였지만, 이젠 스마트컨트랙트 등의 기술이 이런 부류의 신경제를 실현하게 합니다. 화이트 햇 커뮤니티는 (크라우드펀딩에 해당하는 ICO를 포함한) 금융 그 이상입니다. (DAO와 같은) 구조를 구성하는 최적의 방법이라고 생각합니다.

Q.한국에도 화이트 햇을 꿈꾸는 이들이 적지 않다는걸 알게 됐습니다.

화이트 햇은 굉장히 독특한 계층입니다. 40% 이상이 29살 미만입니다. 굉장히 젊은, 열정적인 이들입니다. 배움의 기회로 화이트 햇을 활용합니다. 배움과 함께 경제적 지원도 필요하죠. 

그래서 DVP가 이들에게 최적이라고 생각합니다. 이 커뮤니티에 참여해 리더십을 가진다면 경제적 지원뿐 아니라 훗날 커리어를 준비할 때 그간 해온 이력을 선보일 수도 있어요. 

웹사이트에는 랭킹도 있습니다. DVP를 통해 어떤 규모의 바운티를 얻었는지, 얼마나 많은 버그를 찾아 제보했는지, 어떤 분야에서 버그를 찾아왔는지 등의 내용입니다. 이 이력은 블록체인에 기록돼 변조되지 않죠. 자신이 좋은 일을 해왔다는 걸 증명할 수 있습니다.

DVP 화이트 해커 랭킹.

Q.DVP의 향후 계획이 궁금합니다.

단기적으로는 객관적인 랭킹 시스템을 구축해 각 블록체인 프로젝트가 패치를 신속히 대응하는지 등을 확인할 수 있도록 하려고 합니다. 화이트 햇 평판 시스템도 만들고자 합니다. 블록체인 기반의 툴을 더 많이 제공하기를 바랍니다. 커뮤니티뿐 아니라 투자자를 포함한 일반 사용자도 참고할 수 있는 방향으로요. 

물론 변화는 고지를 넘기 전까지는 천천히 옵니다. 저희는 혁명(revolution)이라기보단 진화(evolution)라고 말합니다. 혁명이라는 단어는 블록체인 업계에서 너무 많이 거론됐습니다.

특히 젊은이들은 자기 삶에 대해 전혀 다른 관점을 갖고 있습니다. 해커 커뮤니티를 늘리기 위해 베이징에서 해커톤 행사도 연 적이 있어요. 16~17세들도 이 행사에 참여했습니다. 굉장히 어리지만 실력 있었어요.  

모두 풀타임 정규직이길 원하지도 않습니다. 그냥 사무실에 앉아 있는 것보다는 더 다채로운 일을 하길 원해요. 점점 세상이 바뀌고 있다고 해야할까요. 이에 대응해야 한다고 봤습니다. 젊은이들이 여러 가지 모자를 쓸 수도 있는 거잖아요.

DVP는 이들이 바라는 목표를 최대한 이뤄주는 것과 일맥상통하는 것 같습니다. (이들에 발맞춰) 자율적으로 관리되는(self-governed) 조직으로 나아가는 겁니다. 쉽지 않은 작업이지만, 이룰 수 있는 목표라고 봅니다. 신기술, 새로운 방식을 받아들이는 데 적극적인 해커들과 함께니까요.

썸네일 출처 : DVP