이 하나의 트랜잭션은 디파이(DeFi : 탈중앙화 금융) 생태계에서 가장 유명한 디와이디엑스·컴파운드·비지엑스·카이버네트워크·유니스와프의 스마트 콘트랙트를 하나씩 호출했다. 그 결과 순식간에 4억원에 달하는 이더 예치금을 탈취하는 데 성공한다. 이 공격으로 예치금을 잃게 된 비지엑스는 암호 자산 담보 대출과 마진 거래를 지원하는 디파이 프로토콜이다.
이 공격은 디파이 생태계에 대한 가혹한 보안 테스트의 신호탄이었다. 그로부터 사흘 뒤인 2월 17일 또 다른 공격이 일어났고 비지엑스는 또다시 7억원에 달하는 예치금을 탈취당하고 만다. 그 이후에도 체인링크·신테틱스·커브파이낸스 등 여러 서비스들이 잇달아 공격받으며 자금을 탈취당하는 사건이 연이어 일어나고 있다.
◆밸런타인데이에 터진 보안 테스트 신호탄
탈중앙화 금융, 열린 금융을 지향하는 디파이는 일종의 자판기인 스마트 콘트랙트를 이용해 중개자의 개입 없는 금융 상품과 서비스를 만들어 낸다. 이번 공격에서 공격자들은 대체로 스마트 콘트랙트의 구현 버그나 관련 자산의 가격을 읽어 오는 오라클상의 취약점을 이용했다. 스마트 콘트랙트는 설계가 완전히 투명하게 공개되기 때문에 공격자들이 취약점을 파악하고 실험해 보기 용이했을 것이다.
디파이의 결합성 또한 이용됐다. 공격자는 하나의 트랜잭션 내에서 여러 개의 서비스를 동시에 호출해 공격의 난이도와 리스크를 효과적으로 낮췄다. 예를 들어 첫째 공격에서 컴파운드·유니스와프·비지엑스의 스마트 콘트랙트를 동시에 호출해 상호작용을 이끌어 내는 것이 불가능했다면 공격 난이도는 훨씬 높아졌을 것이다. 또 여러 개의 트랜잭션에 나눠 공격했다면 그 사이에 일어날 수 있는 외부 간섭 때문에 공격이 실패할 리스크가 커졌을 것이다.
일련의 공격들은 디파이 생태계 참여자들에게 적지않은 충격을 안겨다 줬다. 안전하게만 느껴지던 스마트 콘트랙트 기반의 금융 서비스가 공격받고 자금을 잃어버릴 수 있다는 것을 깨달은 것이다. 또 커뮤니티는 이러한 공격들이 반복될 때 이를 어떻게 바라보고 어떻게 대처해야 하는지 논의하기 시작했다. 가장 화두가 되는 질문들은 다음과 같다.
이번 공격을 통해 가장 크게 주목받은 서비스는 다름 아닌 플래시론이다. 그전까지는 대부분의 디파이 생태계 참여자들이 플래시론이라는 것이 가능한지, 존재하는지조차 몰랐다. 최근에 아아베라는 디파이 서비스가 플래시론을 주요 서비스로 홍보하면서 어느 정도 인지도가 생겼지만 사용 사례는 거의 없었다고 해도 무방하다.
플래시론은 단어 조합 그대로 아주 짧은 시간 동안 자금을 빌려주는 스마트 콘트랙트 기반 서비스다. 자금을 빌려 가는 사용자는 담보를 맡길 필요도 없이 굉장히 큰 규모의 암호 자산을 대출받을 수 있다. 다만 대출을 받는 해당 트랜잭션 내에서 약간의 수수료를 얹어 대출금을 바로 상환해야 한다는 것이 조건이다. 스마트 콘트랙트의 빠른 실행 특성 덕분에 가능한 서비스이고 전통 금융에서는 찾아보기 힘든 재미있는 개념이다.
실제로 첫째 공격에 활용된 것은 디와이디엑스의 플래시론이었는데 디와이디엑스의 플래시론은 그 존재 자체가 거의 외부에 알려지지 않은 기능이었다. 플래시론은 디파이 참여자들이 아주 적은 비용과 리스크로 높은 유동성을 활용할 수 있게 한다. 예를 들어 본인의 암호화폐 포지션을 크게 바꾸려고 할 때 큰 유동성이 없다면 여러 번의 크고 작은 반복 거래가 필요하고 많은 연산과 가스 비용이 요구된다. 하지만 큰 유동성이 있다면 더 작은 거래만으로 이를 달성할 수 있다.
중요한 것은 이러한 속성이 스마트 콘트랙트 공격에도 그대로 활용될 수 있다는 점이다. 비지엑스에 대한 첫째 공격은 1만 개의 이더(ETH)를 활용해 이뤄졌다. 당시 가치로 약 30억원에 해당하는 규모다. 플래시론이 없었다면 공격을 위해 실제로 30억원어치의 이더를 가지고 있어야 하기에 실제 공격을 실행할 수 있는 사람은 극소수에 불과했을 것이다. 또 그 공격의 규모도 훨씬 작았을 가능성이 높다.
하지만 플래시론 덕분에 시골의 초등학생도 코딩만 할 줄 안다면 아주 적은 비용으로 수십억원대의 금융 공격을 할 수 있게 된 것이다. 최근 사건들이 일어난 후 플래시론을 서비스하지 말자는 주장이 힘을 얻고 있다. 플래시론이 스마트 콘트랙트 공격의 비용과 리스크를 줄여 주고 결과적으로 디파이 생태계를 위험에 빠뜨린다는 것이 그 근거다.
◆블록체인업계 성숙 계기 될 것
반면에 플래시론의 존재에 찬성하는 주장도 있다. 애초에 스마트 콘트랙트를 통해 지원되는 서비스를 ‘중단’하는 것이 불가능할 뿐만 아니라 애초에 플래시론을 통해 공격당할 위험이 있는 콘트랙트는 플래시론이 없어도 공격당할 수 있다는 것이 그들의 주요 주장이다. 또 그 위험성 때문에 플래시론을 중단하기에는 플래시론이 실제로 긍정적으로 활용될 수 있는 영역이 많다는 의견 또한 있다.
디파이에 대한 공격을 바라보는 가장 흥미로운 관점 중 하나는 이 공격을 해킹이 아니라 영리한 차익 거래로 봐야 한다는 주장이다. 스마트 콘트랙트는 그 규칙이 코드를 통해 정의돼 있는 자판기다. 이 때문에 규칙대로 거래해 이익을 본 사람은 해커가 아니라는 주장이다. 이 주장을 좀 더 확장하면 그 사람이 얻은 이익은 정당하고 나머지 사람들이 감당해야 할 손해도 정당하다는 주장으로까지 이어진다. 모든 행동이 정당하기 때문에 여기에는 어떠한 도의적인 또는 법적인 문제가 없다고 보기도 한다. 블록체인 커뮤니티에서는 이러한 주장을 ‘코드가 법이다(Code is law)’라는 문장으로 요약한다.
어쨌든 개발팀이나 일반 사용자들이 의도하지 않은 방식으로 스마트 콘트랙트가 작동했고 사용자들이 손해를 볼 수 있는 상황에 처한 이상 개발자들에게 책임이 없다고 주장하기는 어렵다. 또 커뮤니티에서 공격이 발생하게 된 경위를 조사하는 과정에서 개발자들의 개발 프로세스, 기술 감사 등의 과정에 느슨한 부분이 있었을 수 있다는 지적이 있다.
그렇다면 사용자들의 손실 금액을 개발팀이 물어 줘야 하는 것일까. 만약 개발자들이 배상을 거부한다면 사용자들은 법을 근거로 손해 배상을 강제할 수 있을까. 위 질문에 대해서는 아직도 의견이 분분하다. 특히 개발팀이 순전히 ‘공공의 이익’을 위해 아무런 수익 모델 없이 무료 오픈 소스 소프트웨어로서 서비스를 개발하고 있는 경우도 여럿 있는데 이런 상황에서 수억원에 달하는 손해 배상을 해야 하는 것은 부당하게 느껴지기도 한다.
특히 ‘개발팀은 스마트 콘트랙트에 대해 어느 정도까지 통제권을 가져야 하는가’라는 질문은 이번 공격에서 활용된 보안 취약점들보다 더 크게 이슈가 된 질문이다. 공격을 받은 후 비지엑스 개발팀은 스마트 콘트랙트를 더 이상 사용하지 못하도록 ‘중단(pause)’시켰고 이 동작은 개발팀이 보유한 관리자 암호(admin key)를 통해 이뤄졌다. 또 취약점을 해결하기 위해 스마트 콘트랙트를 수정했다.
이러한 조치들이 없었다면 더 많은 자금이 위험에 노출되거나 탈취당할 수도 있었을 것이다. 하지만 이는 개발팀의 독보적인 권한 없이는 불가능한 일이다. 비지엑스뿐만 아니라 다른 대부분의 디파이 서비스들도 비슷한 구조로 관리자 암호를 이용해 서비스를 중단하거나 변경할 수 있도록 돼 있다. 아무리 훌륭하게 개발된 스마트 콘트랙트라고 하더라도 개발팀이 독보적인 권한을 가지고 있는 이상 개발팀에 대한 신뢰에 의존할 수밖에 없는 것 아니냐는 질문이 나온다.
이번 계기를 통해 디파이가 아직은 미성숙한 부분이 많고 사용자들이 안심하고 이용하기 위해서는 더 정교한 개발 프로세스와 보안 감사, 개발 문서 등이 필요하다는 인식이 공유됐다.
하지만 더 중요한 것은 위에서 제시한 철학적인 질문들이다. 디파이 생태계가 힘을 합쳐 위 질문에 답을 내고 합의점을 찾지 못한다면 계속해 잡음이 생길 것이다. 이런 관점에서 블록체인은 기술 실험이라기보다 사회 실험에 가깝다. 같은 기술을 사용하더라도 어떤 과정을 통해 어떤 합의에 이르는지에 따라 전혀 다른 결과가 나올 것이다.
공들여 개발한 스마트 콘트랙트가 공격을 받고 사용자들의 자금이 탈취당하는 일은 가슴 아픈 일이다. 하지만 이번 사건을 계기로 업계가 한층 더 성숙하게 될 것이라는 게 업계 전문가들의 공통된 생각이다. 누구도 풀지 못한 문제를 풀어나가게 될 디파이 창업자들을 응원한다.
[본 기사는 한경비즈니스 제 1267호(2020.03.09 ~ 2020.03.15) 기사입니다.]
© 매거진한경, 무단전재 및 재배포 금지