Web3 보안 소개

Web3는 탈중앙화 웹입니다. 이것이 Web3의 정신이지만 “탈중앙화"는 여전히 추상적인 면이 있습니다. 그 의도와 목적이 어떻든 오늘날 탈중앙화란 (Web 2.0이 그렇듯) 중앙집중식 서버가 아닌 블록체인 네트워크상에 거주하는 사이트와 앱으로 정의할 수 있습니다. Web3가 반드시 암호화 및 블록체인 네트워크에 의존해야만 하는 것은 아니지만 이 개념을 가능하게 하는 기술이므로 떼어 놓고 생각할 수 없습니다.

Web3는 새로운 기술을 바탕으로 찾아온 혁신으로, 신기술에는 이점과 위험이 동시에 존재합니다. Web3는 투명하고 검열에 강하며 가장 중요한 것은 탈중앙화되어 있습니다. 이 탈중앙화는 사용자가 개인적 위험을 더 많이 지고 책임이 무거워진다는 이면이 있습니다.

이상적인 형태의 Web3는 중앙집중식 기관이나 서버에 의존하지 않으며 이용자가 다수의 제3자를 신뢰하지 않아도 됩니다. 하지만 현재 존재하는 Web3는 중앙집중식 당국에 대한 신뢰나 의존에서 완전히 탈피하지 못했습니다. 온라인에 접속하기 위해서도 지정된 사이트와 앱, 하드웨어를 이용해야 하며 그래야 데이터, 금전, 신변이 안전하게 보장된다고 합니다. 이는 Web 2.0에서는 절대적 진실이었고 Web3에서도 마찬가지입니다. 따라서 Web3를 정의할 때는 타자에 대한 신뢰의 필요성을 최소화하고 비즈니스 프로세스(프로토콜이라고도 함)에 더 많은 비중을 두는 새로운 신뢰 모델이라고 하는 편이 더 정확합니다.

Web3 이용자는블록체인 네트워크, 암호화폐 월렛, 거버넌스 프로세스, 탈중앙화 앱(DApp)이 구축된 스마트 컨트랙트를 구성하는 코드를 신뢰해야 합니다. 이런 개념에서는 Web3도 완벽하게 탈중앙화되고 “신뢰가 필요 없는” 것이라 하긴 힘듭니다. 하지만 Web3 지지자들은 이런 형태를 최종적으로 지향하고 조금씩 나아가고 있습니다.

이 짧은 기사에서는 남아 있는 보안 위험과 Web3에서 자신을 보호하는 방법을 설명합니다.

Web3의 시스템적 위험

시스템적 위험이란 사용자 대부분이 어찌할 수 없는 광범위한 에코시스템 규모의 위험성을 의미합니다. Web3의 시스템적 위험은 대표적으로 다음과 같은 것들이 있습니다.

• 광범위한 경기 침체 또는 암호화폐 시장의 높은 변동성(Web3 DApp 대다수의 기반인 블록체인에 악영향)
• Web3 또는 암호화폐 시장에 불리한 법률 입안(대부분의 Web3 DApp에게 타격을 입힐 수 있음)
• 트래픽 차단, 지원 중단 또는 일부 중앙집중식 Web3 서비스(예: 노드 공급자)의 검열
• 블록체인 네트워크의 기술적 오류(예: 노드 운영자를 신뢰할 수 없거나 네트워크가 악의적인 행위자의 공격을 받음)

자산의 시장 변동성은 당연한 것이지만, (비트코인, 이더리움 등) 대부분의 주요 블록체인 네트워크는 심각한 기술적 실패에 몇 년간 지옥과 천당을 오갔습니다. 이러한 위험은 블록체인 및 암호화폐 산업과 Web3라면 피할 수 없는 고유한 특성입니다. 하지만 몇 가지 위험은 (최소한 줄일 수 있고) 심지어 완전히 통제할 수 있습니다.

해결 가능한 Web3 보안 위험

Web3 이용자가 알아두어야 할 실질적인 위험은 다음과 같습니다.

• 비공개 키 분실
• 사용자의 암호화폐 월렛 또는 비공개 키(의도와 목적을 불문하고 오늘날 Web3에서 암호화폐 월렛을 다룰 수 있도록 하는 일종의 고유한 디지털 여권)를 노리는 피싱, 사기, 해킹
• 스마트 컨트랙트 실패 및 악용
• 재래식 서비스와 동일한 수준의 정부 감시 (또는 미국 FDIC 등의 보호)가 없어 자의적으로 운영하는 블록체인 또는 암호화폐 회사/거래소의 경영 실패

다행히도 이러한 위험으로부터 스스로를 보호할 수 있는 방지책이 있습니다.

비공개 키를 안전하게 보관

자산을 (중앙집중식 거래소의 반대 개념인) 자체 보호관리 월렛에 저장하면 비공개 키와 자산을 혼자서 통제할 수 있습니다. 이 중 가장 중요한 비공개 키는 특정 순서의 12단어 또는 24단어 고유 세트인 복구 문구로 백업하여 암호화폐 월렛 주소에 액세스할 수 있습니다. 사람이 읽을 수 있는 마스터 키와 같은 역할을 하며, 은행 인증서와 비슷한 기능을 합니다. 복구 문구가 있으면 비공개 키를 가진 것과 마찬가지로 월렛의 자산을 완전히 통제할 수 있으므로 조심해서 보관해야 합니다.

많은 사람들은 복구 문구를 종이보다 손상에 더 강한 재질(강판에 새기기 등)에 기록하여 방화 금고 속에 보관합니다. 복구 문구의 사본을 여러 부 만들어 은행 금고와 집 안의 금고 등 여러 곳에 저장하는 것도 좋은 방법이지만 복구 문구의 물리적 개수가 늘어나면 도난 위험이 높아지므로 극히 신중하게 선택해야 합니다.

자체 보호관리의 장단점에 대해 자세히 알아보세요.

피싱 시도, 사기 및 해킹으로부터 스스로 보호

비공개 키와 복구 문구는 디지털 도난으로부터도 보호해야 합니다. 대부분의 암호화폐 해킹, 사기, 피싱 시도는 비공개 키나 복구 문구를 노립니다. 해커가 둘 중 하나라도 확보하면 자산에 대한 통제권도 손에 넣습니다.

피싱 시도는 월렛에 액세스하려는 공격자가 가장 많이 시도하는 방법입니다. (지원팀 담당자 등의) 타인을 사칭하여 이메일이나 문자 메시지로 복구 문구를 요청합니다. 확신할 수 있는 메시지가 아니라면 링크를 클릭하기 전에 반드시 Twitter, Discord 등 고객 지원 수단을 통해 회사에 직접 문의하세요. (무료 암호화폐 등) 경품에 당첨됐다며 민감한 월렛 정보를 요청하는 사기 수법도 있습니다. 비공개 키와 복구 문구는 그 누구와도 공유하지 않는다는 것이 원칙입니다.

자동화된 공격 및 맬웨어로부터 비공개 키를 안전하게 보호하는 전략은 바로 자체 보호관리 월렛, 즉, “콜드 스토리지” 속에 오프라인으로 보관하는 것입니다. Ledger 및 Trezor 등과 같은 디바이스를 이용하면 물리적으로 오프라인인 스토리지 내에 비공개 키를 저장할 수 있습니다. 이러한 오프라인 상태에서 비공개 키로 트랜잭션에 안전하게 “서명”(승인)합니다. 콜드 월렛이 인터넷에 연결되면 서명된 트랜잭션이 브로드캐스팅됩니다. 따라서, 온라인 상태일 때는 비공개 키가 노출되지 않습니다. 하드웨어 월렛은 안전한 오프라인 암호화폐 스토리지의 정석이지만 복구 문구와 마찬가지로 안전한 곳에 잘 보관해야 합니다.

참고: Brave는 절대로 Brave 월렛 복구 문구를 요청하지 않습니다. 이 정보는 그 누구와도, 심지어 Brave에도 공유하지 마세요.

스마트 컨트랙트 실패 및 악용에 주의

탈중앙화 웹은 블록체인 네트워크상의 사이트와 DApp으로 가득합니다. 이러한 네트워크는 전적으로 (또는 최소한 일부 핵심 로직이라도) 스마트 컨트랙트 기반으로 구축됩니다. 자동으로 실행되는 블록체인 기반 프로그램인 스마트 컨트랙트는 Web3의 기초입니다. 상당히 새로운 것이기에 코드에 (자동으로 실행되면 재앙을 초래하는) 오류가 있을 가능성이 높습니다. 스마트 컨트랙트 코드에서 오류를 찾아 DApp 또는 사용자로부터 돈을 훔치려는 해킹범도 있습니다. 암호화폐 월렛에서 자산을 빼내도록 의도적으로 설계된 스마트 컨트랙트를 개발하는 악의적인 행위자도 있습니다.

다행히도 많은 Web3 개발자들은 기밀한 코드의 중요성을 확실히 인지하고 있습니다. 모든 오픈 소스 프로젝트가 그렇듯, 개발자들은 특히 이용자들의 금전이 관계되어 있다면 코드를 단순하게 유지하고, 엄격하고 정기적인 보안 감사를 수행하고, 제품을 대중에게 출시하기 전에 공식적인 검증을 받는 것의 중요성에 동의합니다. 하지만 대부분의 일반인은 코드를 평가하여 서비스 또는 DApp이 안전한지 확인할 방도가 없어 돈을 훔치려는 공격자들의 표적이 되기 쉽습니다.

그러면 어떻게 해야 할까요? 몇 가지 팁을 드립니다.

• 안전하다는 평판을 얻은 DApp만 이용
• 위험이 상대적으로 더 크므로 최신 DApp이나 서비스는 지켜보기
• 사용하는 서비스의 URL을 재확인(Brave 월렛 트랜잭션 서명 프로세스 중에 수행 가능)하여 사칭 사이트로 리디렉션되지 않도록 하고, 확인된 URL을 북마크에 추가

기업 경영 상황에 유의

이 기사의 소개에서 언급했듯 현재 Web3는 과도기라 탈중앙화되어 있기도, 아니기도 합니다. 과도기임을 나타내는 대표적 사례는 바로 중앙집중식 암호화폐 거래소(CEX) 등의 중앙집중식 Web3 기업입니다. 이런 회사 하나가 흔들리면 암호화폐 시장을 송두리째 뒤흔들며 이용자들에게 엄청난 타격을 입힐 수 있습니다.이와 같은 단일 엔티티가 실패하면 암호화 시장에 광범위한 변동성을 가져올 수 있으며 사용자에게 직접적인 영향을 미칠 수 있습니다(대표적 사례로 Three Arrows Capital, 테라폼랩스, 최근의 FTX 사태). 이들 세 가지 사례에서 이들은 각각 다른 역할의 암호화폐 회사(투자 그룹, 블록체인 개발팀, CEX)이지만 공통점은 탈중앙화 Web3 공간에서 활동하는 중앙집중식 회사라는 점입니다. 이들이 붕괴하며 투자자와 이용자들이 어마어마한 손해를 감내해야 했습니다.

인터넷 어디든 마찬가지지만 Web3에도 악의적인 행위자가 있습니다. 가능하면 평판이 좋고 규모가 큰 Web3 회사만 이용해야 합니다. 물론, 암호화폐 업계에서 가장 유명한 회사도 몰락했기에 많은 사람들이 쓰는 서비스라고 해서 안전하다는 보장은 없습니다.

이러한 위험을 완전히 피하려면 자체 보호관리를 이용하면 됩니다. 다시 강조하지만, Web3라고 해서 위험을 완전히 해소할 수는 없습니다. 하지만 누구를 신뢰할지 결정할 수 있는 선택의 폭을 넓혀줍니다.

Web3 보안 관련 팁

Web 2.0의 많은 보안 모범 사례는 일반적으로 Web3에서도 유효합니다.

• 이중 인증(2FA) 사용
• 강력한 (더 긴) 암호 만들기
• 서비스 간에 비밀번호를 재사용하지 않기
• 사기 및 피싱 시도에 주의하고 다운로드하기 전에 출처 확인하기

다변화도 현명한 전략입니다. 자체 보호관리 월렛, CEX, 오프라인 하드웨어 월렛 등으로 암호화폐 자산을 다변화하면 한 월렛에 문제가 생겨도 다른 월렛에 보관된 자산은 안전하게 보호할 수 있습니다. DApp에 사용되는 스마트 컨트랙트 및 플랫폼도 다변화하면 모든 자금을 하나의 프로토콜에 몰아 예치하지 않아도 됩니다.

Web3는 스스로 자산의 보호관리자가 될 수 있는 진정한 기회를 제공합니다. 하지만 이 경우 정보를 제대로 알고 조심해야 합니다. 우리가 온라인에서 하는 모든 것은 어떤 면으로든 신뢰와 연관되어 있습니다. Web3는 Web 2.0처럼 아직 보편적이지 않지만, Web3의 핵심 정신은 이러한 무지의 요소를 최소화하고 모든 것을 더 개방적이고 검증 가능하게 만드는 것입니다.

처음으로 자기 보호관리 월렛을 이용하거나 Brave 수준의 보호가 제공되는 월렛이 필요한 분들은 Brave 월렛을 사용해보세요. 암호화폐 자체 보호관리의 뛰어난 프라이버시 및 보안 성능을 갖춘 브라우저 네이티브 월렛입니다.