많은 이들이 저축, 대출 등의 암호자산 금융서비스의 ‘탈중앙화’ 혹은 ‘중앙화’ 여부를 두고 논쟁을 벌이고 있습니다. 그 중 암호자산 옹호가들은 제3자에게 자산을 맡길 필요가 없고 해킹, 악의적인 행동, 정부에 의한 몰수, 기타 오류 등으로 인해 자금을 잃어버릴 걱정이 없는 탈중앙화 서비스가 더 안전하다고 주장합니다.
하지만 현실에서 탈중앙화와 중앙화의 경계는 매우 모호합니다. 물론 탈중앙화라는 단어가 내포하고 있는 이상은 매력적이지만 오늘날 제공되는 암호자산 관련 금융 상품 혹은 서비스에 대해 평가할 때 칼로 자르듯 중앙화 정도를 정확히 규정지을 수는 없습니다. 그 대신, 신뢰 스펙트럼(trust spectrum) 모델을 통해 기준을 설정하면 중앙화의 정도를 이해하기 더 수월합니다.
본 글에서는 ‘신뢰’를 중점적으로 다루며, 이를 탈중앙화 혹은 중앙화와 같이 이분법적으로 분류하기보다는 다차원적으로 이해해야 한다는 내용을 다룹니다. 이후 신뢰의 각 특성(property)들을 정의하고, 현(現) 암호자산 시장 내 최고 수준의 제품과 서비스 각각에 “신뢰 점수"를 매기면서 신뢰 스펙트럼의 어느 지점에 해당하는지를 분석합니다. 마지막으로, 자산 수탁에 따른 위험이 전체적인 신뢰점수를 결정 짓지 않는다는 점을 주장하고자 합니다.
해당 글에서 다루는 신뢰의 각 특성들은 다음과 같이 세가지 하위 섹션으로 나뉩니다.
- 신뢰 점수 스펙트럼
- 신뢰 스펙트럼 상에서 정의되는 최고의 제품과 서비스
- 분석 결과
신뢰의 특성
프로토콜과 회사들에 신뢰 점수를 매기기에 앞서 우선 기준을 설정해야 합니다. 멀티코인은 특정 제품 및 서비스가 필요로 하는 신뢰를 다음과 같은 다섯가지 특성으로 정의합니다.
- 수탁
- 불가변성
- 검증가능한 보안성
- 법률 및 규제 감독
- 보험
해당 특성들은 “사용자가 자금을 잃어버릴 수 있는 경우는 무엇인가?” “만약 자금을 잃어버렸다면 이를 복구할 수 있는 방법은 무엇인가?”라는 두 질문을 바탕으로 정의되었습니다.
먼저, 사용자가 자금을 잃어버릴 수 있는 경우는 다음과 같습니다.
- 운영자에 의한 도난(수탁)
- 해커에 의한 도난(수탁)
- 운영자에 의한 동결(수탁)
- 제3자에 의한 동결(예: 법 집행 기관)(수탁)
- 버그로 인한 동결(검증가능한 보안성)
- 부족한 시스템 설계로 인한 관리 실책(검증가능한 보안성)
- 시스템 상 규칙의 변화로 인한 상기 6가지 경우의 가능성 노출(불가변성)
이들 중 몇몇 경우에는 사용자가 공식적인 보험 정책(온체인 혹은 오프체인)이나 법적 대응을 통해 자산을 복구할 수 있습니다.
자사는 위에서 정의된 신뢰의 다섯가지 특성을 활용하여 제품 혹은 서비스에 1부터 5까지 점수를 부여하는 기준을 설정할 것이며, 점수 체계는 높을수록 긍정적인 구조입니다. 가장 낮은 점수는 제품이나 서비스가 사용자의 신뢰를 가장 많이 필요로 하는 경우이며, 가장 높은 점수는 신뢰가 크게 필요하지 않은 경우를 의미합니다. 다음에서는 각 특성을 구체적으로 설명하고 점수 산정 기준을 정립합니다. 또한 거래소, 대출 서비스, OTC 등 다양한 분야와 규모의 21개 제품에 해당 기준을 이용하여 신뢰 점수를 부여합니다. 해당 표본은 독자분들의 이해를 돕기 위해 가장 잘 알려진 업체들로 구성했습니다.
수탁
수탁은 신뢰와 가장 밀접하게 관련된 특성입니다. 다만, 수탁은 탈중앙화와 중앙화 정도를 이분법적으로 구분할 수는 없죠. 수탁 관련해서는 다음과 같이 5점 척도 상에 점수가 부여됩니다.
신뢰 스펙트럼
[1] 수탁과 [5] 완전한 비수탁은 정의내리기 쉽지만 이 사이에 위치하는 제품과 서비스들은 각각의 운영방식에 대한 깊은 이해를 필요로 합니다. 멀티코인은 Chris Blec의 글에서 영감을 받아 가장 관련성이 높은 세가지 특성에 대해 정의를 내렸습니다. 첫 번째는 어드민 키의 존재 여부와 자금을 압수 혹은 동결할 수 있는 권리이며, 두 번째는 타임락(time-lock), 마지막은 어드민 키에 대한 보안성(op-sec)을 기준으로 정의내렸습니다. [2], [3], [4]와 같은 경우는 제품 혹은 서비스가 해당 특성을 보유하고 있는 정도에 따라 구분지어집니다. 특정 프로토콜이 이 특성들을 많이 가지고 있을 수록 더욱 높은 점수를 받는 것이지요.
- 수탁: 해당 서비스에서는 사용자 자금을 제품 혹은 서비스의 운영자가 직접 수탁합니다. 예를 들면 코인베이스가 사용자 자금의 직접적인 수탁자죠.
- 비수탁 (어드민 키): 해당 서비스에서는 운영자가 아닌 스마트 컨트랙트가 사용자들의 자금을 수탁합니다. 만약 누군가(통상 스마트 컨트랙트를 작성한 개발자) 컨트랙트 상의 자산을 동결, 수정, 사용할 수 있는 권리를 가지고 있다면 보안성이 떨어질 수 있습니다. 예를 들어, Compound의 이전 버전에서는 타임락없이 어드민 키를 허용하여 사용자의 자금이 임의로 갈취된 적이 있죠. 물론 Compound 팀 내부자 소행이 아닌 악의적인 행위자가 저지른 악행이었습니다.
- 비수탁 (어드민 키, 타임락): 해당 서비스는 위 [2]와 유사하지만 타임락이 있어 운영자가 사용자의 자산에 접근하는 것이 어려운 경우입니다. 예를 들어, 현재 버전의 Compound는 아직도 스마트 컨트랙트를 수정하기 위해 어드민 키를 허용하지만 48시간의 대기 시간을 거쳐야만 사용할 수 있습니다. 이는 사용자들로 하여금 자산을 인출할 수 있는 충분한 시간을 주는 장치인 셈이죠.
- 비수탁 (어드민 키, 타임락, 강력한 어드민 키 보안): 해당 서비스는 [3]번과 같지만 어드민 키의 보안과 관련된 행위들이 고지되어 있거나 검증 가능한 경우입니다. 멀티코인이 선정한 업체들은 어드민 키 사용에 의한 사용자 자금 유실이 불가능하고, 타임락과 강력한 어드민 키 보안성을 보유하고 있었습니다. 특히 올해에는 이런 부류의 프로젝트들이 보안성을 강화하고 이를 바탕으로 사용자와 소통함으로써 긍정적인 변화가 일어날 것으로 예상됩니다.
- 완전한 비수탁: 해당 모델은 오로지 스마트 컨트랙트만이 사용자의 자금을 수탁하고 그 어떤 백도어(back door)도 없는 형태를 의미합니다. 이에 대한 예시로는 Uniswap이 있죠.
신뢰 점수
분석
위 차트에서 세 가지 흥미로운 사실을 도출할 수 있습니다.
우선, Uniswap과 같이 절대적으로 신뢰가 최소화된 서비스는 업그레이드가 용이하지 않다는 점을 인지해야 합니다. 자금 수탁과 관련해 상대적으로 신뢰 최소화가 이루어진 서비스들 중 신뢰 점수 5점을 받은 MakerDAO와 Uniswap를 예시로 들어 비교해보겠습니다. 단적으로 MakerDAO는 기존에 정의된 거버넌스 시스템을 통해 해당 시스템의 매개변수(parameter)를 업그레이드 할 수 있지만, Uniswap은 기존의 컨트랙트를 통한 변경이 불가합니다. 이는 MakerDao가 기존의 컨트랙트를 버리지 않고도 업데이트를 위해 자산을 새로운 컨트랙트로 전송할 수 있음을 의미합니다. 반면, Uniswap의 경우 기존의 컨트랙트 혹은 매개변수에서 이탈하지 않고서야 수정이 불가하며, 체계 상 규칙이 한번 정해지면 변경이 불가하다는 것이죠.
다음으로 현재 가장 많이 사용되는 탈중앙화 금융(DeFi) 상품 및 서비스들은 사람들이 이상적으로 생각하는 탈중앙화보다는 중앙화 서비스에 더 가깝습니다. 특히, 스테이블 코인은 대부분 법정화폐를 담보로 하기 때문에 많은 신뢰를 필요로 하죠. Compound와 dYdX 또한 각 DeFi 프로토콜에 담보로 맡긴 자산의 규모가 큽니다. 이들 프로젝트는 각 팀이 타임락과 같은 특정 조건에 부합하는 경우 어드민 키를 사용해 스마트 컨트랙트를 수정할 수 있는 권한을 가지고 있습니다.
마지막으로 2-5점 사이에 있는 서비스들 중 대부분은 ‘비수탁’이라는 점을 강조해 신뢰 최소화를 이뤄냈기 때문에 안전하다고 광고합니다. 하지만 실제로 일부 사용자들은 어느 정도의 위험을 감수하고 있습니다. 사용자들이 해당 서비스들을 안전하게 사용하기 위해서는 각 시스템이 어떻게 설계되었는지 이해해야 합니다. 비수탁 프로토콜에 대한 맹목적인 신뢰는 굉장히 위험한 행동이죠.
불가변성
만약 규칙을 마음대로 바꿀 수 있다면 무슨 의미가 있을까요? 규칙은 (a) 투표권이 있는 이해관계자들의 규칙을 변경하고자 하는 의지와 (b) 규칙 변경의 허용범위에 따라 변경될 수 있습니다. 물론 (a)는 수치화할 수 없기 때문에 본 게시물에서는 (b), 즉 시스템의 가변성을 집중적으로 다루고자 합니다.
신뢰 스펙트럼
아래 차트에서는 운영자들이 모든 것을 수정할 수 있는 서비스에 [1] 완전한 가변성을 부여합니다. 그 반대로 그 누구도 컨트랙트의 논리, 매개변수, 포인터/레퍼런스 등을 변경할 수 없는 서비스들은 [5] 완전한 불가변성에 해당하죠. 그 사이의 [2], [3], [4]는 시스템이 수정될 수 있는 범위에 따라 결정됩니다.
- 1점은 운영자가 시스템의 모든 영역을 임의로 변경할 수 있는 독자적인 권한을 의미합니다. 바이낸스, 코인베이스 등의 중앙화된 거래소들이 그 예시에 해당하죠. 이는 거래소 토큰이 거버넌스에 미치는 영향력에 따라 달라질 수 있습니다.
- 2점은 운영자가 시스템 영역의 대부분을 변경할 수 있는 권한을 가지고 있는 경우입니다. 예로 Compound와 같이 거버넌스 토큰 없이 운영되는 DeFi 상품 및 서비스들이 있습니다.
- 3점은 운영자가 시스템의 일부분을 변경할 수 있는 권한을 가지고 있는 경우입니다. 자사가 표본으로 선정한 업체 중에서 유일하게 3점을 받은 서비스는 Unchained Capital인데, 그 이유는 해당 서비스의 다중서명 “금고(vault)” 자체는 불가변하나 이 외의 부수적인 상품들의 가변성이 높기 때문입니다.
- 4점은 제한된 범위에서 시스템 변경이 가능하며 이마저도 탈중앙화 거버넌스를 통해서만 가능한 경우를 의미합니다. 예를 들어, MakerDAO와 같이 토큰 홀더들이 중요한 결정에 참여하는 DeFi 상품 및 서비스들이 있죠.
- 5점은 아무도 시스템을 변경할 수 없는 경우입니다. 자사가 선정한 업체 중 Uniswap이 유일하게 5점을 받았습니다.
신뢰 점수
분석
자사가 평가한 대부분의 제품들은 가변성이 일정 수준 이상이어서 1점에 가까운 점수를 받은 업체가 대다수입니다. DeFi 프로젝트들마저도 더 불가변하다고 평가할 수 있는 경우는 없었습니다. 이는 DeFi 혹은 CeFi 사용자들이 이용하는 해당 서비스의 규칙이 언제든 변경될 수 있음을 감안해야 한다는 것을 시사합니다. 무엇보다 특정 시점에는 신뢰 최소화 요건을 충족하더라도 서비스 운영자가 언제든 규칙을 변경할 수 있기에 시스템이 취약할 수 있음을 인지해야 합니다.
대부분의 경우 규칙 변경은 프로토콜에 위해를 가하지 않으며 사용자 입장에서는 이러한 변경이 예측 가능합니다. 예를 들어, 중앙화된 거래소가 KYC 절차를 추가한다면 규칙이 변경됨을 뜻하는 것이죠. 이미 많은 주요 거래소들이 KYC 절차를 추가했고, 올해 이러한 변경은 더 많이 진행될 것으로 판단됩니다. 하지만 규칙이 변경되지 않더라도 사용자들은 악의적인 운영자가 규칙을 임의로 변경할 수 있다는 최악의 시나리오를 염두에 두어야 합니다. Bitconnect와 같이 운영자가 자금을 동결해버리고 도망가버리는 사기 행위가 일어날 수 있기 때문이죠.
이와 같은 상황을 방지하기 위해선 사용자 참여방식(opt-in)을 주목할 필요성이 있습니다. MakerDAO의 다중담보 DAI 혹은 0x의 세 번째 버전과 같이 주요 프로토콜이 업데이트된다면 사용자들과 외부 개발자들은 이전 버전에서 새로운 버전의 프로토콜로 자산을 옮겨야 합니다. Uniswap이 새롭게 업그레이드된다면 마찬가지로 자산을 옮겨야하죠. 이는 매우 번거로운 절차이므로 시스템의 불가변성은 사용자들에게 마찰로 느껴지게 됩니다. 그러나 동시에 불가변성은 규칙을 임의로 바꾸어 이익을 탐하는 악의적인 행동을 방지하는 장치이기도 합니다. 즉, 개발자들이 사용자에게 규칙 변경을 강요할 수 없고 사용자들이 능동적으로 참여한다면 악의적 행동을 방지할 수 있는 것입니다.
검증 가능한 보안성
아침에 눈을 떴을 때 자신의 자산이 모두 사라져있는 상황은 투자자들에게 있어 최악의 악몽일 것입니다. 안타깝게도 이러한 악몽은 다수의 암호자산 투자자에게 익숙한 현실입니다. 거래소 해킹은 2014년도 Mt. Gox 해킹 사태를 필두로 최근에 벌어진 2019년 업비트 해킹에 이르기까지 빈번하게 발생해온 하나의 예시죠.
“거래소 해킹”이란 해커들이 거래소의 보안상 허점을 이용해 개인키를 도용하여 자산을 훔치는 경우를 뜻하는데, 사용자들이 돈을 잃는 경우는 비단 거래소 해킹 뿐만이 아닙니다. 스마트 컨트랙트 버그로도 자산이 동결되거나 해킹에 취약하게 될 수 있습니다. 백만 개가 넘는 ETH를 동결시킨 것으로 악명 높은 Parity bug가 대표적인 예시입니다. 최근에는 bZx 프로토콜 상의 버그를 사용해 두 명의 해커가 두 건의 거래를 통해 각 건마다 미화 370,000 달러와 665,000 달러를 훔친 사건도 발생했습니다.
사용자들은 특정 제품의 보안성에 대해 스스로 판단해야 합니다. 물론, 이에 필요한 정보가 아예 없어 오리무중인 상황일 때도 있습니다. 반면, 모든 코드가 오픈소스이고 명망있는 회사의 감사를 받은 제품도 있습니다. 전자의 경우 사용자들은 해당 제품에 대한 맹목적인 신뢰를 가져야 하는 반면, 후자는 사용자들이 자체적으로 보안을 검증할 수 있습니다.
(참고: 재무, 보안, 운영, 경제 감사 등 다양한 종류의 감사가 있으나, 본 게시물의 목적을 위해 보안 감사에만 초점을 맞추겠습니다.)
신뢰 스펙트럼
아무런 정보도 제공하지 않는 곳에는 [1], 검증 가능한 보안을 제공하는 곳은 [5]를 부여합니다. 회색지대에 놓여진 서비스들에 대해서는 프로젝트 운영 및 코드의 투명성 정도와 감사 시행 여부, 감사 주체 등에 기준을 두고 점수를 산정하였습니다. 감사를 받은 서비스가 그렇지 않은 제품보다 낫고, 다수의 독립적인 감사를 받는 경우가 최상입니다. 또한, 투명하게 운영되는 서비스가 그렇지 못한 곳보다 낫다고 판단합니다. (참고: 형식 검증이 계약 보안 위험을 감소시킴에 있어 더 효과적이지만 표본 중 이 요건은 갖춘 곳이 없기 때문에 본 게시물에서는 다루지 않습니다.)
- 불투명하고, 감사를 받지 않은 경우. 대표적인 예로 독립적인 감사를 받지 않은 중앙화된 거래소를 들 수 있습니다. 사실 막 개업한 신규 거래소들 사이에서는 흔히 보이는 양상입니다.
- 불투명하고, 감사를 받았다고 주장하는 경우. 예를 들어, 테더(Tether)는 지불상환능력에 대한 감사를 받았다고 주장하지만 이러한 주장을 뒷받침할만한 근거는 찾기 힘듭니다.
- 투명하면서 감사를 받았다고 주장하는 경우. BitMEX와 FTX는 독립적인 감사를 진행했다고 주장하지만 실제로 이들이 독립적인 감사를 받았다고 증명하는 보고서를 찾을 수 없었습니다.
- 투명하면서 감사를 한 번 받았거나, 불투명하지만 감사를 여러 차례 받은 경우. 대부분의 대규모 중앙화 거래소가 이에 해당합니다. 예를 들어 코인베이스와 바이낸스는 불투명하지만 수차례의 독립적인 감사를 받은 케이스죠.
- 시스템의 모든 부분이 공개되어 있으며 다수의 전문적인 감사를 받은 경우. 대부분의 대규모 DeFi 제품과 서비스가 이에 해당됩니다.
신뢰 점수
분석
DeFi 프로토콜은 퍼블릭 체인 상에서 운영되므로 투명성을 갖추며, 이에 따라 누구나 검증할 수 있다는 장점이 있습니다 (참고: 스마트 컨트랙트는 오픈소스일 필요는 없으나 모든 주요 컨트랙트는 오픈소스입니다). 사용자들의 자산이 위험에 노출될 수 있고 스마트 컨트랙트 코드 자체를 보안성이 높게 작성하는 것이 어렵기 때문에 주요 DeFi 프로젝트들은 독립적인 감사를 여러차례 받습니다. 사용자들이 이렇게 새롭게 등장한 DeFi 프로토콜에 큰 규모의 자산을 보내면서도 안심할 수 있다는 것은 오픈소스와 독립적 보안 감사가 전제되기 때문이라 할 수 있습니다.
기존의 중앙화된 거래소는 지난 몇 년간 급속도로 성장하며 제도화되었습니다. 산업이 성숙해지고 사용자들의 기대치가 높아지면서 자연스럽게 발생하는 현상이라 할 수 있죠.
그러나 아직까지도 규제를 따르지 않거나(예: BitMEX), 벼락출세를 한(예: FTX) 서부영화의 무법자 같은 거래소들도 있습니다. 흥미롭게도 이들은 검증 가능한 보안성을 갖추지 못했음에도 불구하고 출시 이후 사용자와 거래량을 성공적으로 모집하였습니다. BitMEX는 세계 최대 규모를 자랑하는 거래소 중 하나이며, FTX는 가장 빠른 성장세를 보여주는 거래소 중 하나입니다. 어떤 이들은 검증 가능한 보안성의 부재가 사실 단점이 아닌 장점이라 주장하기도 합니다. 그들의 논리는 “검증 가능한 보안성"을 갖추기 위해서는 다수의 투자자가 꺼려하는 수준의 KYC를 수반하고, 파생 상품 규제 기관의 공식적인 감독 대상이 되어 혁신과 신제품 개발이 어려워진다는 것입니다.
법률 및 규제 감독
암호자산 업계에 종사하는 많은 이들은 기존 금융 상품과 서비스에 적용되던 법률과 규제 프레임워크에서 벗어나는 것을 추구하는 반면, 대부분의 일반인들은 무언가 잘못됐을 때 의지할 수 있는 법제 체계를 희망합니다. 또한, 사람들은 특정 주체와 비즈니스를 하기에 앞서 상대방이 과연 신뢰 가능한 규제 및 법률 체계에 속해 있는지에 대해서 궁금해합니다. 특히 기관투자자들은 상대방의 강력한 법적 및 규제적 보증을 선호하며, 이를 종종 요구합니다.
신뢰 스펙트럼
자사는 “사용자의 자산이 도난당하면, 법적 및 규제적 보호 조치를 통해 복구할 수 있는 가능성은 얼마나 될까?”라는 질문에 기반하여 점수를 산정했습니다. DeFi 제품들은 특히 의존할 수 있는 법적 선례가 없기 때문에 법률 제도가 발전됨에 따라 지속적으로 점수를 업데이트 해야될 것입니다. 이하 평가 결과들은 현재 주어진 정보에 입각하여 최선의 판단을 내린 것입니다.
- 보호되지 않음. 대부분의 DeFi 제품 및 서비스들이 이에 해당됩니다.
- 사용자들이 법규 및 규제에 의해 보호될 가능성이 낮음. 금융 규제가 관대한 관할권(예: 세이셸 제도)에 속해 있는 중앙화 금융 상품 및 서비스가 이에 해당됩니다.
- 사용자들이 법규 및 규제에 의해 보호될 가능성이 상당히 있음.
- 규제에 의해 보호될 가능성이 높음.
- 법규 및 규제에 의해 보호될 것이라는 점이 강하게 보장됨. 대부분의 선진국이 보유한 중앙화 금융 상품 및 서비스가 이에 해당됩니다.
신뢰 점수
분석
법률 및 규제에 의한 감독은 모든 신뢰 특성 중 가장 이분법적인 특성입니다. 즉, 법적 보호 장치가 거의 전무하거나 법적 보호 장치가 아주 강력한 경우라는 두 가지 선택지만 존재한다는 것이지요.
비제도권 프로토콜들이 가장 적은 법적 및 규제적 보호를 받고 있습니다. 무언가 잘못되었을 때 어느 규제 기관이 개입할 것인지, 심지어 그런 기관이 존재하는지조차 불명확하죠.
오픈 파이낸스 프로토콜들이 법정에서 책임을 추궁 받지 않는 반면, 모든 회사들은(세이셸과 같이 관대한 관할권에 속한 주체들 포함) 특정 법률 체계의 통제를 받습니다. 이러한 거래소들은 손실에 대해 안정장치 역할을 하는 사법 체계가 존재하기 때문에 2로 산정했습니다.
스펙트럼의 다른 극단에는 미국, 유럽, 한국, 중국, 일본 등의 선진국에 소재한 기업들로, 가장 강력한 법적 및 규제적 보호를 받고 있습니다.
보험
암호자산 업계 내 보험 서비스는 대다수 미국 은행의 안전장치 역할을 하는 FDIC와 같은 친숙한 서비스부터 스마트 컨트랙트 버그로 인한 손실로부터 사용자를 보호하는 탈중앙화 보험에 이르기까지 다양한 종류가 존재합니다.
암호자산 거래소들 중에서는 코인베이스가 훌륭한 표준이라 할 수 있습니다. 사용자당 $250,000까지의 현금 예치금에 대해 FDIC 보험을 가입해놓았고 핫월렛 상의 암호자산 예치금에 대해서도 보험을 준비해 두었습니다. Gemini 또한 법정화폐와 암호자산 예치금 보험을 갖추었습니다.
대부분의 암호자산 거래소는 사용자 예치금에 대해 FDIC와 유사한 보험을 제공하지는 않지만, 다른 형태의 독특한 보험을 제공합니다. Binance의 SAFU 편드를 예로 들어보겠습니다. 2018년 7월에 설립된 SAFU 펀드는 수취하는 거래 수수료의 10%을 해킹과 같은 극단적인 상황에서 사용자들을 위해 활용될 지갑으로 예치합니다. SAFU 펀드는 2019년 5월에 바이낸스에서 7,000 BTC가 해킹되었을 당시 한 번 사용되었으며, 바이낸스는 해당 펀드를 통하여 손실을 복구했습니다.
SAFU 펀드가 해킹 등 예측불가한 취약점으로부터 사용자들의 예치금을 보호해주는 한편, BitMEX 보험 펀드는 과도하게 레버리지를 건 주체들이 채무 불이행 상태에 이른 경우 수익을 거둔 주체의 이익분을 보장합니다. BitMEX 보험 펀드 설립 후, 바이낸스, FTX, OkEx 등 기타 거래소들도 비슷한 형태의 보험 펀드를 설립하였습니다. 그러나, 보험 펀드 또한 거래소에 수탁되어 있는 형태이므로 공격 대상이 될 수 있음을 인지해야 합니다. 또한, 언젠가 거래소가 자금 유통을 위해 자신의 SAFU 펀드를 활용할 수도 있다는 점 역시 염두에 두어야 할 것입니다.
몇몇 탈중앙화 프로토콜들 역시 극한 상황에 닥칠 경우에 대비한 보험과 유사한 장치가 있습니다. 예를 들어 Maker의 경우, 담보 자산 풀이 어떤 이유로든 부족해진다면 프로토콜이 자체적으로 MKR을 발행함으로써 해당 손실을 복구합니다. 단기적으로 이는 MKR 토큰 보유자들의 자산을 희석시키긴 하지만 프로토콜이 건전한 상태로 운영될 수 있도록 합니다.
대부분의 DeFi 프로토콜과 소규모 해외 거래소들의 경우 공식적인 보험 상품을 제공하진 않습니다. Synthetix와 dYdX와 같은 프로토콜들을 예로 들 수 있습니다. 사용자들의 펀드가 대부분 소진된다면 이를 보상할 수 있는 자본이 남지 않는 것이죠. 이러한 상황에서 사용자들은 스마트 컨트랙트에 내재된 위험을 감수하고 보증을 서주는 제3자 서비스를 활용할 수 있습니다. Nexus Mutual, Opyn 등이 이러한 서비스에 해당되지만, 아직은 실험 단계로 판단되기 때문에 본 문서에서 언급은 있겠지만 실제 신뢰 점수에 영향은 없습니다.
신뢰 스펙트럼
보험에 대한 점수 산정은 다음과 같이 이뤄집니다.
- 무보험. 실질적으로 거의 모든 DeFi 프로젝트와 몇몇 거래소가 해당 카테고리에 속합니다.
- 특정 상황 (과부채에 따른 지불 불능 상태)에 대한 보험. BitMEX와 같이 마진 거래 기능을 제공하는 거래소들은 이와 같은 위험에 대한 보험 펀드를 갖추곤 합니다.
- 어느 정도의 공식성을 가진 보험. Bakkt의 1억 5천만 달러 상당의 BTC 예치금 보험, 현금화 상황에서 고객들을 채무 이행 최우선순위에 두는 자본 구조를 갖춘 BlockFi 등과 같이 표준적이진 않지만 보험의 형태를 같춘 몇몇 거래소가 해당됩니다.
- 부분 보상 보험 (예: FDIC). 코인베이스의 경우, 법정화폐와 암호자산 예치금에 대해 일정 금액을 보장해주는 보험을 갖추고 있습니다.
- 완전 보상 보험. 표본에 있는 회사 중 완전한 보상 범위를 보장하는 보험을 갖춘 곳은 없었으며, 근시일 내에 이러한 경향은 바뀌지 않을 것으로 판단됩니다.
신뢰 점수
분석
현재 암호자산 시장에는 포괄적 보험이 거의 없습니다.
보험 스펙트럼의 최상단에는 예치금 보험이 있습니다. 해당 보험은 현금 예치금만 다루는 보험과(예: FDIC) 현금 및 암호자산 예치금 모두를 다루는 보험 등이 포함됩니다. 스펙트럼의 중간지대에는 비공식적이거나 극단적인 상황만을 다루는 보험들이 있습니다.
다른 극단에는 사용자들이 어떠한 공식적인 보험도 갖추지 못한 경우도 있습니다. 이는 스마트 컨트랙트를 기반으로 하는 DeFi 제품 및 서비스와 USDT 같은 맞춤형 암호자산 금융 제품들을 포함합니다.
DeFi는 프로토콜 차원에서 보험을 제공하지는 않습니다. 그러나 해당 분야가 더 발전할 경우 제3자 스마트 컨트랙트 보험의 역할이 더욱 커질 수 있을 것입니다. Nexus Mutual의 경우, 2019년에 설립된 이후 시장 수요가 급격히 성장하고 있습니다.
또한, 어떤 영역들에 대해서 직접적인 보험이 없더라도 문제 발생 시 많은 거래소들은 사용자들에게 배상을 하기 위한 선의의 노력을 보이고 있습니다. 특히, 코인베이스와 바이낸스는 시스템 오류(예: 플래시 크래시) 상황에 대해 배상한 선례가 있죠.
대부분의 사용자들은 기존 금융 상품 및 서비스에 보험이 내장되어 있을 것으로 기대합니다. 그러나 암호자산 시장은 아직 성숙도가 낮아 이러한 보험을 당연시해서는 안 됩니다. 암호자산 업계 내에서 일어나는 대부분의 경제 활동은 기존 금융 상품처럼 강력한 보험을 갖추지 않은 경우가 더 빈번하기 때문입니다.
신뢰 점수 스펙트럼
위에서 열거한 평가들을 통해 결론을 도출하기에 앞서 주목해야할 사항은 사용자별로 원하는 것이 다를 수 있다는 것입니다. 이와 같은 전제를 바탕으로 신뢰 점수를 산정할 때 하나의 총점으로 내기보다는 각 특성 별로 점수를 매겼습니다. 각 프로토콜과 회사들에 대한 신뢰 모델을 시각화하면서 자사는 레이더 차트를 활용하였습니다.
자사는 0x(청색), BitMEX(주황색), Coinbase(황색), Compound(초록색) 등 4개의 프로젝트를 꼽아 해당 차트에 표현했습니다. 0x의 경우 차트 상 우측의 많은 부분을 차지하는 반면, Coinbase는 좌측 하단의 큰 영역을 차지하는 것을 보실 수 있습니다. Compound는 Coinbase보다는 0x와 더 유사한데, 둘다 “DeFi”로 분류된다는 점에서 납득하실 수 있을 겁니다. 그러나 0x 대비 Compound가 차지하는 영역이 더 적은 이유는 현시점에서 Compound가 0x보다 아직 더 많은 신뢰를 필요로 하기 때문입니다. BitMEX는 암호자산 산업 내 그 어떤 제품이나 서비스보다 더 많은 신뢰를 필요로 하는 것으로 보입니다.
한 가지 더 눈여겨볼 점은 사용자에 따라 신뢰 특성 중 선호하는 영역이 천차만별이라는 것입니다. 이를테면 탈중앙화 예찬론자는 수탁, 불가변성, 검증가능한 보안 등과 같은 특성을 보험이나 법률 및 규제 보호책보다 더 중요시할 수 있습니다. 그래서 그들은 가능하다면 Coinbase보다는 0x와 같은 프로토콜 사용을 더 선호하는 것이죠. 기관투자자들은 오히려 이와 반대로 보험, 법적 및 규제 보호책, 검증가능한 보안을 우선시 할 것입니다. 이들은 수탁 서비스와 가변성을 더 선호할 것이고, Coinbase가 더 적합한 제품일 것입니다.
케이스 스터디: bZx 해킹
2020년 2월 15일, “탈중앙화" 마진 대출 및 거래 플랫폼인 bZx의 채권자들은 단체로 62만불에 해당하는 손실을 입게 되었습니다. 이는 해당 플랫폼이 기반을 둔 스마트 컨트랙트 상의 허점을 찾아낸 악의적인 공격자가 저지른 행위입니다. 해커는 담보비율 포지션과 탈중앙화 거래소의 오더북이 가진 취약점을 악용하여 37만 불에 달하는 이득을 얻었습니다. 다음 링크는 해당 공격이 어떻게 이루어졌는지에 대한 Korantin Auguste의 자세한 설명입니다.
탈중앙화 프로토콜로 잘 알려진 bZx였지만, 프로토콜 내 자금의 유출이 일어난 것입니다. 웹사이트에 나온대로라면 “비수탁형"이고 무허가성 프로토콜인데 말이죠.
신뢰의 5가지 특성을 이번 사례에 대입하여 살펴보겠습니다. bZx 프로토콜의 점수는 굵은 글씨로 적었습니다:
- 수탁: [2] 비수탁형 서비스로 어드민 키는 존재하나 타임락은 없습니다. 어드민 키에 대한 어떠한 보안 체계가 갖추어져 있는지 불명확합니다.
- 불가변성: [1] bZx 팀에 의해 일방적인 결정이 내려집니다. 물론 플랫폼 내 거버넌스를 위해 존재하는 네이티브 토큰이 있지만, 아직까지 그 어떠한 결정에도 영향을 미치지 못했습니다.
- 검증가능한 보안: [3] 해당 플랫폼은 오픈소스이며 독립된 감사 주체로부터 감사를 받은 사실이 있습니다. 하지만 감사 이후에 코드가 수차례 변경되었는데, 이는 감사 이후에도 스마트 컨트랙트 상에 버그가 존재하는 강력한 이유로 판단됩니다. 이번 공격과 취약점은 보안감사가 주기적으로 이루어지는 것이 중요하다는 것을 잘 보여주는 사례입니다.
- 법적 및 규제적 보호책: [2] bZx의 사업장은 미국에 소재한 것으로 보이며 법적 보호 가능성은 있습니다. 하지만, 이와 같은 사례에 대한 법적 조치가 아직 전무합니다.
- 보험: [1] 보험 펀드가 있긴하지만, 실질적으로는 비어있는 것이나 마찬가지입니다.
bZx를 레이더 차트로 표현해보면 다음과 같은 모습이 됩니다:
우선, 이번 공격의 배경과 맥락에 대해서 더 살펴보겠습니다. bZx를 공격하기 위해서 해커는 일정 수준의 wBTC를 담보물로서 담보비율이 부적합한 bZx 대출 상에 남겨놓아야 했습니다. bZx 팀은 이렇게 남겨놓은 담보물에 대해 즉시 청산하는 것이 적합하다고 판단하였고, 담보물을 청산한 후 이를 원금에 대한 이자 지급 용도로 사용하였습니다. bZx 사태를 마무리하는 시점에서 남겨져있던 wBTC 담보물은 시가로 1,902.26 ETH였습니다. 즉, 202년 동안 원금 대출에 대한 이자로 쓰일 수 있는 금액이었죠.
2222년이 되면 전체 채권자 풀이 감당하는 손실은 4,698.02 ETH가 되어있을 것입니다. 물론, 202년이라는 시간은 bZx 보험 펀드 금액이 커지기에 충분한 시간인 것은 사실입니다. bZx 팀은 이번에 입은 피해를 실질적으로 갚아야하는 시점이 도래했을 때 bZx 보험 펀드가 충분히 피해액을 갚을 수 있을 것으로 판단하고 있습니다.
이를 통해 우리는 다음과 같이 분석할 수 있습니다. bZx 팀은 손실액을 자신들의 어드민 키를 이용해 최소화할 수 있습니다. 어드민 키가 있다면 프로토콜의 작동을 잠시 멈추고 담보물을 청산하여 채권자들에게 이자를 지급할 수 있기 때문입니다. 물론 어드민 키가 있다는 사실은 시스템이 비수탁형이라는 bZx팀의 주장을 약화시키긴 하지만, 사태가 악화되는 것을 막게 해주죠.
이번 사태를 통해 또 다시 얻을 수 있던 교훈은 bZx가 채무 불이행 사태를 대비한 보험 펀드를 가지고 있긴 했지만, 스마트 컨트랙트 버그 혹은 사용자 예치금에 대한 보험은 가지고 있지 않았기 때문에 사용자들은 제3자 보험 제공자가 필요했다는 것입니다. 실제로 일부 bZx 사용자들은 Nexus Mutual에 보험을 들어두었고, bZx 프로토콜 상의 버그가 있었기 때문에 Nexus Mutual 보험의 가입자들은 혜택을 볼 수 있었습니다. 스마트 컨트랙트 버그로 인해 돈을 잃은 사용자들에게 탈중앙화 보험 풀이 실제로 돈을 처음으로 지급한 역사적인 사건이기도 합니다.
가장 중요한 평가는 bZx가 검증가능한 보안 측면에서 높은 점수를 받았지만 감사 이후에 수천 번의 업그레이드를 진행했다는 것입니다. 즉, 투명한 구조와 최소한 1개 이상의 독립적인 보안 감사를 받았더라도 주기적으로 보안감사가 이루어지지 않으면 어떤 결과가 초래되는지를 보여준 사례인 것이지요.
물론 이번 사태는 상대적으로 적은 100만불 정도 수준에서 피해가 마무리되긴 했습니다. 그러나 만약 더 악의적인 마음을 품은 이가 공격을 감행했고 더 대규모 시스템을 대상으로 했다면 얼마나 큰 규모의 피해가 결과로서 초래되었을지 상상하는 것은 그닥 어렵지 않습니다.
한계점과 추후 과제
이번 게시물에서는 개괄적인 프레임워크와 시장 평가를 보여드리고자 했습니다. 이를 위해 상당히 복잡다단한 주제들과 내용들을 5점짜리 척도로 단순화하게 되었습니다. 물론 이러한 접근법은 시장이 돌아가는 전반적인 양상을 손쉽게 이해할 수 있게 해준다 생각하지만, 금번 분석의 범위를 벗어나는 상당히 많은 내용이 존재하며 앞으로도 예의주시해야 한다는 사실도 인지하고 있습니다.
우리의 접근법은 다음과 같이 평가할 수 있습니다:
- 신뢰가 초래하는 문제점에 대해 사고할 수 있는 프레임워크는 제공하나, 하나의 제품을 다른 것과 총체적으로 비교해볼 수 있는 툴을 제공하지 못합니다.
- “오라클 리스크"나 특정 제품 혹은 서비스가 사용하는 오라클이 기타 방식으로 오작동하는 경우에 대한 고려하지 않습니다. 물론 프로토콜 결합성이 야기하는 기타 리스크 역시 고려하지 않습니다.
- 토큰 보유자들이 거버넌스에 참여하는 제품들에서 보여지는 중앙화에 대해서 다루지 못합니다. 예를 들어, 특정 프로토콜이 이론상으로 불가변할 수 있으나 실제로는 토큰의 집중도로 인해 가변성이 높은 부분을 고려하지 못한다는 뜻입니다.
- 보안 감사에만 초점을 두고 금융, 과정, 경제 관련 감사 등에 대해서는 다루지 않았습니다.
- 법적 및 규제 영역을 일반적인 하나의 개념으로 다루어 접근하였습니다. 실제로 법률 혹은 규제는 각각 엄청난 복잡성을 띠는 주제들이며, 지리적인 요소와 같이 특수하게 감안해야 할 부분들이 있는 상이한 영역들입니다.
앞으로 우리의 접근법을 더 개선시키길 희망하며, 어떠한 피드백도 환영합니다.
글을 마치며
금번 에세이를 통해 자사가 추구한 바는 실제 암호자산 관련 금융 상품과 서비스 사용자들에게 신뢰가 갖는 의미에 대한 담론을 시작하는 것이었습니다. 한 가지 확실한 점은 “탈중앙화" 혹은 “중앙화"라는 이분법적인 잣대만으로는 사용자들로 하여금 자산에 대한 위험도를 충분히 인지할 수 있도록 하기에는 불충분하다는 것이었습니다. 수탁, 불가변성, 검증가능한 보안, 법적 및 규제적 보호책, 보험 등과 같은 분야에 대한 평가가 같이 이루어져야 조금이나마 더 리스크를 이해할 수 있습니다. 오늘날 프로토콜들은 신뢰 모델의 스펙트럼 상에서 다양한 위치에 있고, 이러한 각기 상이한 모델이 사용자에게 어떤 리스크로 다가올 수 있는지를 사용자가 직접 평가하기란 너무나 어렵습니다.
수탁 측면에서 평가하자면 상당히 많은 비수탁형 서비스들이 실제로는 상당한 수탁 리스크가 내재되어 있었습니다. 이는 어드민 키의 존재에서 비롯되는 리스크이며, 어드민 키는 운영자가 유저들이 예치한 자금을 동결하거나 이체하는 것을 가능케 하기 때문입니다. 대부분의 경우 해당 리스크는 타임락과 검증가능하며 강력한 보안책에 의해 완화되긴 하지만, 사용자 측면에서는 인지하고 있어야할 리스크입니다. 즉, 비수탁형 제품이나 서비스라고 해서 맹신해서는 안된다는 것입니다.
또한, 우리는 대부분의 경우 시스템의 운영규칙이 언제든 변경될 수 있음을 발견했습니다. 신뢰를 구성하는 불가변성 외 4가지 특성들 역시 운영자에 의해 영향을 받을 수 있죠. 시스템의 운영규칙이 변하는 경우 거의 대부분이 사용자들에게 긍정적인 변화였습니다. 그러나 소수의 예시에서는 운영진이 사용자들의 신뢰를 악용하여 사기 행각을 벌이는 일도 있었습니다. 그렇기 때문에 유저의 입장에서 운영규칙이 변경되는 사유와 방식에 대해서 이해하는 것은 필수적이게 되었습니다.
검증가능한 보안이란 관점으로 신뢰 스펙트럼을 살펴보면 DeFi 프로젝트들에 자연스럽게 높은 점수가 부여됨을 알 수 있었습니다. 이는 우선 DeFi 프로젝트들이 갖는 내재적인 투명성과 수차례에 걸쳐 진행되는 독립적인 보안 감사의 영향입니다. 흥미롭게도 중앙화된 금융 상품들 역시 이 부분에서는 높은 점수를 획득했는데, 이는 거래소들이 지난 수년간 제도화의 길을 걸어오면서 자연스레 생긴 결과라 생각합니다.
법률의 영역에 대해 살펴보면서 사용자들이 강력한 보호를 받거나 아예 보호를 받지 못하는 것을 알 수 있었습니다. 미국, 유럽, 중국, 일본, 한국 등에 소재하지 않은 제품 혹은 서비스의 사용자들은 대부분 전혀 보호받지 못한다고 가정하여야 할 것입니다. 단, 위의 장소들에 소재지를 둔 제품이나 서비스의 경우 사용자에 대한 법적인 보호를 받을 수 있습니다.
마지막으로 보험과 관련하여 조사를 하면서 가장 큰 거래소들마저도 보험 적용 범위가 제한된다는 사실이 놀라운 점이었습니다. Coinbase만이 암호자산과 법정화폐 예치금에 대한 보험을 제공할 뿐, 다른 거래소들은 이보다 훨씬 제한적인 보험만을 제공하였습니다. 또한, DeFi 프로토콜들은 과도한 부채로 인해 채무불이행이 된 부분에 대한 보험금은 준비한 반면, 그 외 다른 보험은 제공하지 않았습니다. 이는 제3자 보험 제공자인 Nexus Mutual이나 Opyn 같은 서비스가 현재 시장에서 기회가 있음을 뜻하기도 했지만, 해당 서비스들의 실질적인 실효성 혹은 활용성을 정확히 이해하기 위해선 더 많은 사례가 필요하다고 판단됩니다.
신뢰에 대한 다양한 특성들을 정의함으로써 우리는 신뢰를 다양한 각도로 살펴볼 수 있었습니다. 또한, 이를 통해 다양한 신뢰 모델들과 수반되는 리스크를 사용자가 사용하는 제품 혹은 서비스를 충분히 평가하기 위해 살펴야하는 다양한 영역을 도출할 수 있었습니다. 이번 글을 통해 제시되는 프레임워크가 사용자들에게 암호자산 금융 상품 및 서비스를 평가할 때 도움이 되길 희망합니다. 또한, 개발자들이 자신들의 시스템을 설계하고 개선하고자 할 때 비판적으로 사고할 수 있는 도구로 사용될 수 있다고 생각합니다. 물론 MakerDAO 개발자들이 사용자의 리스크를 줄이기 위해 타임락을 추가하고 Compound 팀이 탈중앙화 거버넌스 체계를 지향하고자 주기적으로 시스템을 개선하는 것처럼 이미 긍정적으로 발전 중인 프로토콜들이 있죠. 마지막으로, 피드백을 통해 해당 게시물에서 다루는 내용을 함께 논의하고 발전시키는 등 암호자산 업계 내 다양한 분들과 협력이 이루어지길 기대합니다.
본 게시물을 읽으신 분들의 피드백은 언제든 환영합니다. 피드백을 희망하시는 독자분들은 tony@multicoin.capital 혹은 ben@multicoin.capital 로 연락주시기 바랍니다.
본 글에 피드백을 제공해주신 Calvin Liu, Nic Carter 및 Cyrus Younessi님께 감사의 말씀을 전합니다.
고지사항: 멀티코인은 Bakkt에 투자하였으며, BTC와 USDC를 보유하고 있습니다.
Disclosure: Unless otherwise indicated, the views expressed in this post are solely those of the author(s) in their individual capacity and are not the views of Multicoin Capital Management, LLC or its affiliates (together with its affiliates, “Multicoin”). Certain information contained herein may have been obtained from third-party sources, including from portfolio companies of funds managed by Multicoin. Multicoin believes that the information provided is reliable and makes no representations about the enduring accuracy of the information or its appropriateness for a given situation. This post may contain links to third-party websites (“External Websites”). The existence of any such link does not constitute an endorsement of such websites, the content of the websites, or the operators of the websites.These links are provided solely as a convenience to you and not as an endorsement by us of the content on such External Websites. The content of such External Websites is developed and provided by others and Multicoin takes no responsibility for any content therein. Charts and graphs provided within are for informational purposes solely and should not be relied upon when making any investment decision. Any projections, estimates, forecasts, targets, prospects, and/or opinions expressed in this blog are subject to change without notice and may differ or be contrary to opinions expressed by others.
The content is provided for informational purposes only, and should not be relied upon as the basis for an investment decision, and is not, and should not be assumed to be, complete. The contents herein are not to be construed as legal, business, or tax advice. You should consult your own advisors for those matters. References to any securities or digital assets are for illustrative purposes only, and do not constitute an investment recommendation or offer to provide investment advisory services. Any investments or portfolio companies mentioned, referred to, or described are not representative of all investments in vehicles managed by Multicoin, and there can be no assurance that the investments will be profitable or that other investments made in the future will have similar characteristics or results. A list of investments made by funds managed by Multicoin is available here: https://multicoin.capital/portfolio/. Excluded from this list are investments that have not yet been announced (1) for strategic reasons (e.g., undisclosed positions in publicly traded digital assets) or (2) due to coordination with the development team or issuer on the timing and nature of public disclosure.
This blog does not constitute investment advice or an offer to sell or a solicitation of an offer to purchase any limited partner interests in any investment vehicle managed by Multicoin. An offer or solicitation of an investment in any Multicoin investment vehicle will only be made pursuant to an offering memorandum, limited partnership agreement and subscription documents, and only the information in such documents should be relied upon when making a decision to invest.
Past performance does not guarantee future results. There can be no guarantee that any Multicoin investment vehicle’s investment objectives will be achieved, and the investment results may vary substantially from year to year or even from month to month. As a result, an investor could lose all or a substantial amount of its investment. Investments or products referenced in this blog may not be suitable for you or any other party.
Multicoin has established, maintains and enforces written policies and procedures reasonably designed to identify and effectively manage conflicts of interest related to its investment activities. For more important disclosures, please see the Disclosures and Terms of Use available at https://multicoin.capital/disclosures and https://multicoin.capital/terms.