인터뷰

당신의 블록체인 자산을 '수호'해드립니다

[인터뷰]수호아이오의 Security Researcher를 소개합니다

2022. 07. 12 (화) 09:36 | 최종 업데이트 2022. 07. 12 (화) 11:04
“임직원 여러분이 우리 회사의 주인입니다”라는 말, 진부하게 들린다고요? ‘수호아이오에서는 진짜’라고 하는데요. 신뢰를 바탕으로 팀원이 무엇을 하고 싶은지, 어떤 생각을 가지고 있는지 서로의 목소리에 귀 기울여준다고 합니다. 또 팀원 모두가 주도적으로 하고싶은 일을 할 수 있다고 해요. 수호아이오에서는 이런 팀원들을 ‘수호다운 수호자’ 라고 부른다고 하고요. 

‘수호아이오’는 국내 최초 스마트 컨트랙트(smart contract) 취약점 자동 분석 서비스 ‘오딘(ODIN)’을 운영하고 있는 블록체인 기술 스타트업입니다. '오딘'을 통해 고객들은 스마트 컨트랙트 상의 결함과 해결 방법을 자동으로 확인할 수 있죠. 그만큼 스마트 컨트랙트 대한 전문성이 뛰어나다는 얘기겠죠. 이미 오딘을 통해 가상 자산을 비롯해 디파이(DeFi·Decentralized Financial), DApp, 메인넷과 같은 다양한 블록체인 소프트웨어의 결함을 1만 건(누적) 이상 자동으로 탐지해 낸 바 있습니다. *스마트 컨트랙트: 계약 조건을 블록체인에 기록하고 조건이 충족됐을 경우 자동으로 계약이 실행되게 하는 프로그램. 금융 거래 등 다양한 계약에 활용할 수 있다.

이같은 기술력을 시장은 이미 알아봤습니다. 업비트 UDC해커톤, 바이낸스 SAFU 해커톤에서 각각 대상, 최고기술상 등을 받으면서 수준 높은 기술력을 인정받았고, 이를 바탕으로 50억원(시리즈A)의 투자 유치를 이뤄내기도 했습니다. 

탄탄한 기술력과 사내문화를 자신있게 말하는 수호아이오, 정말일까요? Security Researcher로 일하고 있는 Jasper님을 통해서 팀원 모두가 크리에이터가 되는 ‘수호아이오’에 대한 생생한 이야기를 들어보시죠.     
- 안녕하세요, Jasper님. 자기 소개 부탁드립니다.

안녕하세요. 수호아이오의 Audit 스쿼드(Squad)에서 Security Researcher로 일하고 있는 Jasper입니다. Audit 스쿼드 에서는 가상자산 기반 서비스들이 안전하고 지속 가능하게 서비스를 운용할 수 있게 여러 위험을 사전에 탐지하고 방지하는 일을 하고 있습니다. 


- 요즘 시장에서 가장 핫한 분야라면 단연 블록체인이나 가상 자산을 떠올리시는분들 많을 것 같아요. 그런데 한편으로는 좀 어렵게 느껴지기도 하거든요. 수호아이오는 어떤 일을 하는 회사인지 궁금합니다. 

수호는 스마트 컨트랙트 보안 감사 Audit으로 시작해서 디파이와 같은 암호화폐 금융 서비스를 만들고 있어요. 보안 감사를 통해 3조 원이 넘는 블록체인 자산을 지켜온 경험과 기술력을 기반으로 누구나 안전하고 쉽게 블록체인을 경험할 수 있는 생태계를 만드는 데 기여하고 있습니다. 

작년 6월 시리즈A 50억 원 투자를 유치하고, 수호의 각 스쿼드에서 주도적인 인재분들을 공격적으로 영입 중입니다.
- 회사가 빠르게 성장하는 만큼, 채용도 활발하게 진행 중이라고 들었어요. 그런데 블록체인 관련 경력이 없는 멤버들도 많으시다고요. 어떻게 그럴 수 있죠?

저 같은 경우에는 수호아이오에 오기 전에 블록체인 기업에서 일을 했어요. 하지만 대부분의 멤버 분들이 여러 비 블록체인 기업에서 오셨습니다.

블록체인이라고 하면 흔히들 복잡한 암호학적 배경 지식이 필요하다고 생각하는 경우가 많은데요. 저희는 근본적인 블록체인 기술 그 자체보다는 블록체인 기술을 활용해서 '실생활의 문제에 도전하는 일'에 조금 더 집중하고 있어요. 그래서 블록체인 기술에 대한 심도있는 이해보다는 블록체인 기술에 대해서 전반적으로 이해하고 이 기술을 접목해 볼 수 있는 일들을 상상해 내는 능력이 더 중요합니다.

블록체인 기술에 대한 흥미와 호기심을 가지고 계시다면 누구든지 지원하실 수 있어요. 회사에 오시면 블록체인 기술이나 시장 변화에 대한 사내 세미나에 참석할 기회가 많아요. 그리고 다른 팀원 분들이 개인적으로 많이 알려주시기 때문에 일하면서 블록체인에 대해서 배우실 수 있습니다.
 
- 블록체인에 대해 배우면서 일할 수 있다니! 관심은 많지만 혹시 '전문적인 지식이 부족하지는 않을까' 싶어서 지원을 망설였던 분들에게 솔깃한 이야기인 것 같아요. Jasper님은 어떤 계기로 블록체인에 관심을 가지게 되셨나요?

많은 분들이 그렇듯, 저도 2017년에 비트코인 가격이 오르면서 블록체인 기술에 관심을 가지게 됐어요. 당시에 수많은 이더리움(Ethereum) 기반의 토큰들이 가상화폐공개(ICO ·Initial Coin Offerings)라는 형태로 모금을 하고 있었는데요. 적게는 수억에서 많게는 수백억 규모로 자금 모금 하는 것을 보면서, “대체 저것이 어떻게 만들어져 있기에 수많은 자금이 들어가는 거지?” 하는 의문이 들었어요. 그렇게 블록체인 기술에 입문해서 여러 프로젝트들의 구조와 코드를 분석해보게 됐죠. 

당시에는 허황된 프로젝트들이 너무 많아서 ‘그냥 폰지 사기가 아닌가’ 생각도 했었어요. 그런데 이후 크립토(Crypto) 시장의 겨울을 겪으면서 허황된 프로젝트들이 많이 사라졌죠. 

그때부터 기술에 대한 본질적 논의가 시작됐어요. ‘탈중앙화 금융’이라는 개념이 등장했고요. 어떠한 제약없이 24시간 작동하는 자산 시장으로서 ‘가상자산 시장’이 굉장한 매력과 잠재력을 가지고 있다는 확신을 가질 수 있었습니다.

블록체인 기술에 대한 관심은 의심에서 시작됐지만, 결과적으로 그 성장 잠재력을 볼 수 있는 계기가 된 셈이지요.  
- 블록체인에서 ‘보안’이 굉장히 중요하다는 이야기는 많이 들었어요. 수호아이오의 시작도 스마트 컨트랙트 보안 감사라고 하셨잖아요. 왜 보안이 중요한가요? 

탈중앙화 서비스들은 주로 ‘스마트 컨트랙트’라고 하는 블록체인 네트워크 위에 존재하는 프로그램에 기반해서 작동하는데요. 이 스마트 컨트랙트는 누구나 코드를 볼 수 있고 실행할 수 있습니다. 

코드가 회사 서버 컴퓨터 안에 숨겨져 있다면, 취약점이 있어도 해커가 취약점의 존재를 파악하기 어렵고, 취약점을 찾아낸다 해도 취약점을 실행하기 위해서 여러 절차를 거쳐야 하겠지요. 쉽게 말해서 코드가 숨겨져 있으면 해커가 취약점을 공격하기 어렵습니다. 

반면 누구나 볼 수 있는 스마트 컨트랙트 코드에 취약점이 있으면 해커는 언제든지 공격해서 이득을 취할 수 있어요. 실제 많은 탈중앙화 서비스들이 취약점을 공격당해 수십, 수백억 달러 규모의 자산을 탈취당하고 있습니다. 
- 스마트 컨트랙트의 활용 분야가 확대되고 있지만, 취약점 공격 위험에 노출되어 있어서 보안 감사가 중요하다고 들었어요. 그래서 보안감사 기술력을 가지고 있는 수호아이오의 Security Researcher 역할이 중요해지고 있고요. 그럼에도 불구하고 스마트 컨트랙트라고 하면 아직 생소한 분들이 많으실 것 같아요. 스마트 컨트택트에 대해 설명해주세요. 

스마트 컨트랙트의 투명성은 양날의 검과 같은 것입니다. 기존의 은행이나 중앙화된 금융 서비스들은 내 투자금이 어떻게 사용되는지 알 수 없습니다. 약관에 설명된 대로 자금이 운용되는지 아닌지 확인할 방법이 없지요. 대부분의 중앙화 서비스들이 그렇습니다. 스마트 컨트랙트는 코드가 블록체인 네트워크에 올라가 투명하게 공개되고, 자산의 이동이나 서비스의 작동이 블록체인 상에 공개되기 때문에, 내 투자금이 어디에 어떻게 운용되고 있는지 정확하게 확인할 수 있습니다.

 또한, 서비스가 중앙화된 서버가 아닌 블록체인 네트워크 위에서 작동하기 때문에, 회사가 서비스를 중단하면 사용하지 못하는 중앙화 서비스와 달리, 누구나 언제든지 서비스에 접근할 수 있다는 장점도 있습니다. 물론, 누구나 접근할 수 있으며 코드가 공개되어 있기 때문에 공격의 가능성에 항상 노출되어 있는 것도 사실이지만, 견고한 테스트 코드 작성과 철저한 보안 감사 등을 통해서 위험을 최소화 할 수 있습니다.
- 블록체인과 보안 두 분야에 모두 전문성이 있는 직무가 Jasper님의 Security Researcher 라고 들었어요. 시장에서도 흔치 않은 포지션이라고 하는데요. 구체적으로 어떤 일을 하시는 지 궁금합니다. 

Security Researcher는 탈중앙화 서비스들이 안전하고 지속 가능하게 서비스를 운영할 수 있도록 여러 위험을 사전에 탐지해서 방지하도록 돕는 일을 합니다. 업무를 크게 둘로 나누면 '보안 감사' 업무와 '연구' 업무를 합니다. 

우선 ‘보안 감사 업무’는 탈중앙화 서비스들의 스마트 컨트랙트나 서비스 코드를 보고 발생 가능한 보안 위험들을 찾아서 보고서로 발행하는 일입니다. 개발자의 의도와 다르게 구현되거나, 서비스 운영에 지장을 주거나, 자산을 탈취당할 수 있는 코드를 찾아서 개발자에게 수정하도록 권고합니다. 또 수정된 코드를 확인해 위험이 확실히 사라졌는지까지 확인하죠. 이 보고서는 비단 개발자와 서비스만을 위한 것이 아니예요. 투자자들이 서비스의 구조적 위험과 개발 수준에 대하여 알 수 있는 척도가 됩니다.

‘연구 업무’는 탈중앙화 서비스 생태계가 더욱 안전해지기 위해서 필요한 다양한 연구를 주도적으로 수행하는 업무입니다. 취약점 분석을 자동화해주는 도구를 만들거나, 최근 발생한 해킹 사건을 분석하거나, 새로운 취약점을 발굴하는 등 다양한 연구를 하고 있어요. 연구원들은 저마다 관심 있는 연구주제가 다른 편인데요. 회사는 연구원 각자가 원하는 주제를 연구할 수 있도록 최대한 지원해드리고 있어요. 자율성을 가지고 주도적으로 연구하는 분위기라고 할 수 있죠. 연구 주제가 없더라도 팀원분들이 다양한 아이디어를 가지고 있으니 재미있는 아이디어를 하나 골라서 연구할 수도 있습니다.
- 보안 감사와 연구를 함께 하는 직무네요. 얘기만 들어도 업계 전문가여야 할 수 있을 것 같다는 생각이 들어요. 블록체인에 관심있는 분이라면 전문성을 키울 수 있는 업무라서 더 관심 가실 것 같은데요. 반면 흔치 않은 포지션이기 때문에 '나도 할 수 있을까' 라는 생각도 들 것 같은데, Jasper님은 어떤 과정을 거쳐서 이 업무를 하게 되셨는지 궁금합니다. 

저는 원래 은행이나 자동차에 들어가는 코드의 취약점을 자동으로 분석하는 연구를 하는 연구실에서 공부를 했었습니다. 연구실에 있을 때 선배들에게 웹 서비스나 IoT 소프트웨어의 취약점을 찾는 방법을 배웠어요. 그러다 우연한 기회로 학교 선배가 만든 블록체인 개발 회사에 들어가면서 블록체인을 접하게 되었습니다. 그곳에서 스마트 컨트랙트를 접하면서 코드 크기도 작고, 코드 재사용도 많이 되어 자동 분석하기가 쉽겠다고 생각을 했어요. 그렇게 블록체인 보안 연구 쪽으로 뛰어들게 되었습니다.

블록체인이 10년이 조금 더 된 역사가 짧은 분야라서, 사실 개발이나 보안 하시는 분들이 조금만 관심을 가지고 보시면 생각보다 쉽게 입문할 수 있는 분야입니다. 저도 블록체인에 정통하기 보다는 기존의 보안 관련 지식을 바탕으로 이 분야에 입문하게 되었고, 그 이후에 다양한 탈중앙화 금융 프로젝트들을 감사할 수 있는 기회를 얻게 되어서 지금에 오게 되었습니다.


- 수호아이오는 현재 Security Researcher를 채용 중이신데요. 어떤 동료와 함께 일하고 싶으신지 궁금해요. 

다양한 부분이 있겠지만 한 줄로 요약해보자면, “하루 종일 추리 퍼즐을 즐기면서 집중하실 수 있는 분"과 함께 일할 수 있다면 좋을 것 같아요. 취약점을 찾는 일이라는 것이 약간 추리 퍼즐과 비슷한 부분이 있거든요. 

퍼즐을 풀기 위해서는 다양한 해결 방법을 상상하고, 여러가지 상식이나 배경 지식에 대한 공부를 해나가야 하잖아요? 보안 연구도 숨은 취약점을 하나하나 찾아내기 위해서 다양한 공격 시나리오를 상상하고, 다양한 해킹 사례와 탈중앙화 서비스들에 대한 공부를 해야 합니다. 그런 일을 함께 즐길 수 있었으면 좋겠어요. 새로운 공격 기법을 찾으면 흥분해서 같이 떠들 수 있는 그런 분이 합류하기를 기대하고 있습니다! 기다리고 있어요! 
-지원자들이 회사를 선택할 때, 직무도 중요하지만 회사도 중요하게 생각하잖아요. 수호아이오는 ‘수호다운’ 크리에이터를 영입하고 있고, 수호다운 크리에이터 영입을 위해 없는 포지션이라도 만들어서 영입할 계획이 있다고 들었어요. 이쯤에서 궁금하신 분들 많을 것 같아요. 도대체 '수호다움'이란 무엇인가요? 

최근 수호의 리브랜딩이 진행되면서 ‘수호다움’에 대한 기준도 더욱 명확해졌는데요. 한 마디로 설명하자면 ‘슈퍼 주도적인 사람’을 말합니다. 수호에서는 주도적으로 문제를 해결하기 위해서 신뢰, 연결, 리드 세 가치를 늘 머릿속에 새기고 있어요. 

우선 ‘신뢰’는 서로를 존중함으로써 모두가 높은 자율과 책임을 지니는 것을 의미해요. ‘연결’은 서로 다르기 때문에 함께 할 때 임팩트 있는 시너지를 내는 것이고, ‘리드’는 깊은 고민과 경험을 통해 타인에게 영감을 주는 것을 뜻합니다. 

이 세 가지 가치에 공감하고 그 가치를 추구하면서 일 할 때 행복하신 분들을 모시기 위해서, 영입 프로세스에서 컬쳐핏을 굉장히 중요시하는 편입니다. 

“뭐 하고 싶어요?” 수호에서는 이 질문을 자주 주고받아요. 그만큼 하고 싶은 걸 존중해주고, 도전해볼 수 있다는 게 수호의 큰 매력이에요. 아무리 스타트업이라도 서로 깊이 신뢰하지 않는 이상 쉽지 않은 일이라고 생각해요. 

영입 과정에서부터 개인이 하고 싶은 것과 수호의 방향성이 잘 맞는지에 대한 철저한 검증을 거치기도 하고요, 입사 후에도 계속해서 서로의 방향성을 공유하기 때문에 가능한 일인 것 같아요. 


-앞으로 수호아이오에서 이루고 싶은 목표가 있다면요? 

아직까지 한국 출신 기업 중에 블록체인 기술 기업이 국제적으로 잘 알려진 경우가 잘 없어요. 어떤 블록체인 커뮤니티에 가서도 '수호아이오’라고 이야기 했을 때, “아 블록체인 보안 업무를 하는 곳, 신뢰할 수 있는 기업”이라는 이야기를 들을 수 있었으면 좋겠습니다. 

한국을 대표하는, 믿을 수 있는 블록체인 기술 기업을 함께 만들어 가실 분을 찾고 있습니다. 정말 후회하지 않으실 거예요. 일단 문을 두드려 주세요! 
 
Jasper님의 이야기가 더 궁금하다면 Jasper의 블로그 보러 가기