[편집자주] 2025년 1분기, 해킹과 사기로 얼룩진 디지털 자산 업계에서는 무려 20억 달러에 달하는 암호화폐가 유출되는 사건이 발생했다. 세계 부호들과 비트코인 보유자들이 늘어난 보유량만큼이나 높아진 위협 앞에서, 이들은 어떻게 자신의 자산을 지키고 있을까? 이 질문의 답을 찾기 위해 Xapo Bank의 최고 정보 보안 책임자인 Andrew Mannoukas와의 인터뷰를 마련했다. 비트코인 전용 사설 은행인 Xapo는 군사 수준의 보안 시스템과 스위스 알프스 산맥 깊숙한 위치에 자리한 벙커를 결합한 최첨단 방어 체계를 갖추고 있다. 그는 물리적 보안과 다중 당사자 계산(Multi-Party Computation)등의 첨단 기술을 활용해 자산을 보호하는 방식, 디지털 자산 산업의 최신 트렌드와 보안 실천법의 진화 과정을 상세히 설명한다. 또한, 스위스 알프스의 안전한 은신처에 보관된 암호화된 키 조각이 어떻게 거래 서명을 위해 사용되는지 등, 가장 강력한 보안 체계의 내부 모습을 들여다본다.
다음은 앤드류 만누카스 Xapo 은행 최고 정보 보안 책임자가 직접 작성한 글이다
보안 산업에서의 배경은 무엇인가? 이 분야에 진출하게 된 동기는?
어릴 때부터 컴퓨터와 그 작동 방식에 깊은 흥미를 가졌다. 아버지와 함께 컴퓨터를 조립하면서 기술적 관심과 문제 해결에 대한 열정이 생겼다. 처음엔 IT 분야에서 경력을 쌓았고, 보안은 호기심과 창의적 사고 능력에 맞는 자연스러운 다음 단계가 됐다. 이 분야에서 빠르게 발전했고, 항상 암호화폐에 관심이 있었기에 2021년에 Xapo에 합류했다.
위협이 빠르게 진화하고 고도의 공격이 헤드라인을 장식하고 있다. 현재 업계의 보안 상태에 대해 어떻게 생각하는가?
산업은 보안을 개선하기 위한 큰 진전을 이뤘다. 그래도 고도의 공격은 우리가 결코 방심할 수 없도록 하는 시기 적절한 경고 역할을 한다. 증가된 규제는 기업들이 보다 엄격한 보안 조치를 이행하게 할 긍정적인 발전이다. 더 큰 투명성은 암호화폐 사용자를 보호하려는 의지를 보여준다. 결국, 비트코인을 둘러싼 자본의 대규모 증가로 보안 강화에 대한 책임이 그 어느 때보다 커졌다. 궁극적으로 우리는 사람들의 부와 번영에 책임이 있으며, 이를 결코 잊어선 안 된다.
현재 업계의 보안 상태는 다양하다. 전통 금융은 수십 년 동안 보안의 유산을 쌓아왔지만, 암호화폐는 따라잡고 있다. 우리는 올바른 방향으로 나아가고 있으며, Xapo 같은 기업이 업계를 선도하고 있다.
개인이 암호화폐를 관리할 때 직면하는 가장 흔한 보안 위험은 무엇인가?
암호화폐 순수주의자들이 극찬했지만, 자기 보관은 당신이 자신의 자산의 보안요원 역할을 하게 만든다; 이는 디지털 상으로 돈을 매트리스 밑에 보관하는 것과 같다. 이러한 자산을 안전하게 지키는 것은 평균적인 개인에게 큰 과제이며, 이로 인해 잘못될 수 있는 수많은 사례가 있다. 전통적인 저장 방법을 대상으로 하는 정교한 사이버 공격의 증가와 지속적인 인프라 한계로 인해, 비기술적 사용자가 관리하기에는 많은 것들이 있다. 자기 보관에는 항상 자리가 있을 것이지만, 기술적으로 능숙하지 않다면 항상 최선의 선택은 아닐 수 있다.
Xapo가 비트코인을 보관하기에 안전한 장소인 이유는?
Xapo 은행에서 우리는 고객 자산을 보호하기 위해 물리적 벙커를 사용하는 원칙을 기반으로 "비트코인의 포트 녹스"로서의 명성을 쌓았다. 우리는 다당계산(Multi-Party Computation, MPC)을 독립된 도구가 아닌 정교한 보안 아키텍처의 핵심 요소로 활용하는 더 발전된 보안 모델을 개발했다. 이는 최고 수준의 물리적 보안을 디지털 솔루션과 혼합한 것이다. 암호화폐 업계의 많은 플랫폼과 달리, 우리는 암호화폐 업계의 많은 플랫폼과 달리, 지브롤터 금융 서비스 위원회(GFSC)가 부여한 전 은행 라이선스와 가상 자산 서비스 제공자(VASP) 라이선스를 보유하고 운영한다. 이는 모든 운영 과정에서 바젤 자본 요건, KYC, AML, CTF, 소비자 의무, 운영 탄력성 규정을 엄격히 준수해야 한다.
다중 당사자 계산(MPC) 기술이란 무엇인가? 더 자세히 설명해 줄 수 있는가?
MPC는 전통적인 단일 개인키 개념을 여러 암호화 조각으로 대체한다. 이러한 조각들은 수학적으로 구조화되어 전체 개인키가 단일 장소에 결코 재구성되지 않으며, 거래 서명 과정에서도 마찬가지다. 각 당사자는 자신의 조각으로 작업을 수행하여, 다른 조각을 드러내거나 결합하지 않고 공동 결과에 기여한다. 이를 통해 전체 개인키는 시간이나 공간의 어느 지점에서도 존재하지 않으며, 전통적인 저장 방법에 흔히 있는 단일 실패 지점을 제거한다.
마치 다섯 개의 별도 물리적 열쇠로만 열 수 있는 금고와 같다. 각 열쇠는 비공개 위치에 보관된다. 어느 한 사람도 모든 열쇠를 본 적이 없으며, 열쇠들이 한곳에 모인 적도 없다. 대신, 각 열쇠 보유자는 독립적으로 잠금 해제 과정을 수행하며, 전체 열쇠 세트를 어느 누구에게도 공개하지 않고도 금고를 여는 데 필요한 만큼만 기여한다.
