운영 보안은 웹3의 가장 큰 취약점으로 부상했다. 2024년 발생한 보안 사고 중 권한 탈취 등 운영 보안 문제로 인한 해킹 피해액이 스마트 컨트랙트 취약점으로 인한 사고보다 3배 이상 컸으며, DNS 하이재킹, 멀티시그 관리 부실, 직원 기기 해킹 등 웹2 수준의 보안 문제가 대형 사고의 주요 원인이 되고 있다.
SEAL 인증(Certificates)은 웹3 프로젝트의 운영 보안을 표준화된 방식으로 인증하는 최초의 시스템이다. DNS/레지스트리 보안, 작업 환경 보안, 멀티시그 운영, 자금 관리, 사고 대응 계획 등 여러 운영 보안 도메인을 평가하여, 그동안 스마트 컨트랙트 감사만으로는 파악할 수 없었던 프로젝트의 실제 운영 안전성을 검증한다.
SEAL 인증은 기관 투자자 진입을 위한 핵심 인프라로 자리잡을 가능성이 있다. 이더리움의 1조 달러 보안(1TS) 이니셔티브 실현, 온체인 보험료 산정 기준, 거래소 상장 심사 요건 등으로 활용되면서, 인증 보유 프로젝트와 미보유 프로젝트 간 명확한 시장 프리미엄이 형성될 것으로 예상된다.
Source: @_SEAL_Org
11월 19일, 웹3 보안 협의체인 SEAL에서 웹3 프로젝트들의 운영보안에 대한 인증 시스템 SEAL 인증 이니셔티브 제안(Request for Comments, RFC)을 공식 발표했다. SEAL 인증을 통해 각 프로젝트는 스마트 컨트랙트 감사 외에 프로토콜의 운영 보안(Operational Security, OpSec) 성숙도를 표준화된 방식으로 증명할 수 있을 것으로 전망된다.
SEAL 인증은 현재 파일럿 단계로 a16z, 드래곤플라이(Dragonfly), 에테나(Ethena), 라이도(Lido), 지케이싱크(ZKsync), 유니스왑(Uniswap), 펜들(Pendle) 등을 포함한 15개 이상의 프로토콜이 프레임워크를 검증 중이며, 2025년 12월 31일까지 커뮤니티 피드백을 받은 후 2026년 1분기부터 정식 인증을 시작할 예정이다.
Source: SEAL
SEAL(Security Alliance)은 웹3 생태계 보안을 위해 다양하게 기여하는 비영리 조직으로, 웹3 보안 업계에서 가장 널리 알려진 화이트햇 해커이자, 전 패러다임 보안 어드바이저 / 현 템포 보안 리드인 samczsun이 창립했다.
SEAL 창립의 직접적인 계기가 된 사건은 2022년 8월 발생한, 1억 8천만 달러 규모의 피해를 발생시킨 노마드 브릿지 해킹 사건이다. 해당 사건은 브릿지 내 취약점이 대중에 공개되자 수백 명의 악의적 행위자들이 이를 이용해 자유롭게 자금을 탈취하며 대혼돈을 발생시킨 사건이었다. 그러나 정작 화이트햇 해커들은 개입시 발생할 법적 리스크 때문에 개입을 주저했으며, samczsun은 이를 통해 웹3에도 윤리적 해킹을 위한 선조치 합의인 세이프 하버(Safe Harbor) 개념의 도입과 이를 실현시킬 연합체 출범의 필요성을 절감했다고 한다.
2024년 2월 공식 출범한 SEAL은 50개 이상의 웹3 및 사이버보안 조직이 참여하는 연합체로 성장했다. 현재 SEAL은 OtterSec, Hexagate, Hypernative, OpenZeppelin 등 보안 감사 기업들과, 화이트햇 해커 및 다양한 생태계 프로젝트 내 보안 리서쳐들로 구성되어 있다.
웹3 프로젝트의 안전성을 평가할 때 무엇을 기준으로 삼아야 할까? 대부분의 투자자와 사용자는 보안 감사(Audit) 리포트 정도를 확인하는 것이 고작이지만, 이것만으로는 프로젝트의 진정한 안전성을 평가할 수 없다.
초기 웹3 생태계는 개발 생태계와 보안 인식의 미성숙으로 인해 소스코드 단위(노드, 컨트랙트 불문)의 사고가 피해의 대부분을 차지했다. 그러나 2025년 현재, 웹3 컴포넌트에 대한 보안은 이전에 비해 훨씬 성숙한 궤도에 올라와 있으며, 오히려 운영 측면에서의 보안이 주요 리스크로 대두되고 있다.
문제는 운영 보안으로 인해 발생하는 공격들의 피해 규모가 압도적으로 크다는 점이다. 체인라이트(ChainLight)의 2024년 웹3 해킹 사후보고서에 따르면, 2024년 발생한 총 204건의 보안 사고 중 웹2 수준의 문제로 발생한 권한 탈취 공격은 총 57건에 달했다. 이는 컨트랙트 취약점으로 인한 공격(120건)에 비해 절반 수준에 불과하나, 총 피해 규모는 권한 탈취 공격($1.19B)이 컨트랙트 취약점($390M)에 비해 3배 이상 컸다.
그러나 웹2 보안 요소가 갖는 잠재적 위험요소가 큼에도 불구하고 대부분의 프로젝트가 웹2 보안 인증이나 감사를 받지 않거나 정보를 공개하고 있지 않다. 프로젝트의 보안성을 측정함에 있어 웹2 운영 보안 상태가 현재 사용자에게 가장 비대칭적으로 제공되는 정보인 셈이다.
SEAL 인증은 단순한 스마트 컨트랙트 코드 감사를 넘어, 프로젝트가 실제로 운영되는 환경의 안전성을 보장하기 위해 5가지 핵심 도메인을 정의하고 있다. SEAL은 각 도메인이 최근 몇 년간 발생한 대형 해킹 사고의 주요 원인이었던 취약점들을 방어하기 위해 설계되었다고 설명하고 있는데, 이에 대한 구체적인 예시가 없어 필자가 직접 각 요소로 인해 발생한 보안 사고 사례를 들어 그 필요성을 설명해보도록 하겠다.
DNS/BGP 하이재킹 공격은 2023~2024년 크립토 프로젝트에 대해 가장 높은 빈도로 발생한 공격 유형 중 하나이다. DNS는 쉽게 말해 웹사이트 주소라고 생각하면 되는데, 공격자가 도메인 등록자의 계정을 소셜 엔지니어링 등을 통해 탈취하면 정상적인 주소를 통해 접근을 시도한 사용자를 공격자의 피싱 사이트로 리다이렉팅하는 방식의 공격이 가능하다. 이런 류의 공격은 최초 접근 시도시 정상적인 주소의 입력을 통해 접근이 이루어지고, 사용자에게 노출되는 피싱사이트의 화면 또한 기존과 다르지 않게 구현되기에 피해자 입장에서 서명 직전까지 정상 여부를 의심하기 힘들다는 어려움이 존재한다.
Source: Curve Finance
대표적으로 2023년 커브 파이낸스(Curve Finance)와 밸런서(Balancer)에 DNS 하이재킹 공격이 발생한 바 있으며, 피해자들은 앤젤 드레이너(Angel Drainer) 등 월렛 드레이너가 설치된 피싱 사이트에 노출되어 자산을 탈취당했다. 2024년에도 컴파운드 파이낸스(Compound Finance), 셀러 네트워크(Celer Network), dYdX 등이 동일한 유형의 공격으로 피해를 입은 바 있다.
이러한 공격은 명백히 도메인 등록자 계정에 대한 운영 상의 미숙 또는 서드파티에 대한 의존으로 발생하는 문제이기 때문에, 지속적인 모니터링 시스템 구축과 운영 보안 강화로 충분히 예방이 가능하다.
SEAL 인증은 도메인 등록업체(Registrar) 계정에 대한 강력한 접근 제어(하드웨어 키 기반 2FA 등), 레지스트라 락(Lock) 설정, 권한 분리 등을 인증 조건으로 두고, 이를 통해 도메인 하이재킹을 원천 차단하는 것을 목표로 하고 있다.
작업 환경 보안은 팀원들의 개인 기기(노트북, 모바일 등)와 개발/운영 환경이 외부 위협으로부터 보호되는 것을 의미한다. 웹3 프로젝트는 원격 근무가 보편화되어 있고, 팀원이 전 세계에 분산되어 있는 경우가 많아 기기 하나만 침투되어도 멀티시그 키나 관리자 권한이 유출될 위험이 크다. 또한 운영의 미숙으로 전 직원(ex-employee)에 대한 권한을 철회(revoke)하지 않는 경우에도 치명적인 권한 탈취 문제가 발생할 수 있다.
Source: Ledger
대표적인 사례로 2023년 렛저(Ledger)사의 커넥터 키트(Connect Kit)에 악성 코드가 삽입된 공급망 공격을 들 수 있다. 해당 공격의 시발점은 퇴사한 직원의 깃허브 계정을 소셜 엔지니어링으로 탈취한 것이었으며, 이로 인해 dYdX, 지케이싱크 등 수십 개 프로토콜의 프론트엔드가 오염되어 수백만 달러 규모의 지갑 드레이닝이 발생했다.
이러한 유형의 문제, 즉 개인의 기기가 회사 전체의 인프라에 영향을 미치는 문제는 최근의 공격에서도 쉽게 찾아볼 수 있다. 가장 큰 사건으로는 바이빗(Bybit) 해킹 사고를 들 수 있는데, 사후보고서에 따르면 해당 사고의 원인은 세이프월렛(Safe{Wallet}) 개발자의 기기가 소셜 엔지니어링으로 침투당해 프론트엔드를 서비스하는 AWS S3 버킷까지 접근이 가능했기 때문이었다. 이는 결과적으로 바이빗의 서명을 공격자의 것으로 바꿔치기해 $1.5B 가량의 이더리움을 탈취하는 초대형 피해로 이어졌다.
이외에도 북한 해커 그룹인 라자루스(Lazarus)가 링크드인 등을 통한 피싱으로 개발자 노트북에 AnyDesk와 같은 원격 제어 툴을 설치하고, 키로거를 심어 시드 프레이즈 등 주요 정보를 탈취하는 사례는 웹2/웹3를 불문하고 다수 보고되는 공격 사례이다.
이러한 공격은 대부분 엔드포인트(Endpoint) 보안 미비, 피싱 교육 부족, 또는 클라우드 동기화에서 비롯된다. SEAL 인증은 하드웨어 기반 MFA(YubiKey 등), EDR(Endpoint Detection and Response) 솔루션 의무화, 정기적인 기기 스캔, 별도 작업 전용 기기 사용, 피싱 시뮬레이션 훈련 등을 인증 기준으로 요구하여 개인 기기 수준의 침투를 원천적으로 차단하고자 한다.
멀티시그는 웹3 프로젝트들의 자산 관리에 핵심이 되는 도구이지만, 잘못된 설계나 운영 미숙으로 인해 오히려 단일 실패 지점(Single Point of Failure)이 되는 경우가 빈번하다. 키 홀더 집중, 불충분한 쿼럼 설정, 또는 키 홀더 본인의 작업 환경 취약점이 주요 원인이다.
Source: Rekt News
2022년 로닌 네트워크(Ronin Network) 해킹 당시 브릿지 자금 출금을 위해서는 총 9개 키 중 5개 키가 필요한 멀티시그 구조를 갖추고 있었는데, 이 중 4개의 서명을 담당하는 밸리데이터들이 보안 공격으로 한번에 탈취당하는 치명적인 운영 보안 미숙을 범했다. 이는 나머지 하나의 키가 로닌 네트워크의 가스비 절감 관련 업데이트로 인해 무제한적으로 허용되는 이벤트가 발생하며 브릿지 자금 전체가 탈취당하는 결과로 이어졌다.
2024년에는 밀라디(Milady) 공동창업자 샬롯 팽(Charlotte Fang)의 패스워드 매니저 계정이 탈취당해 밀라디 프로젝트 트레저리 내 총 백만 달러 규모의 다수의 밀라디 NFT들이 시장에 덤핑된 사건이 있었다. 트레저리 지갑은 멀티시그로 관리되고 있었지만, 문제는 정작 서명을 담당하는 지갑들의 시드 프레이즈가 하나의 패스워드 매니저에 보관되어 있었다는 것이었다.
SEAL 인증은 최소 5-of-8 이상의 키 분산, 키 홀더의 지리적/조직적 분리, 하드웨어 월렛 필수 사용, 정기적인 키 로테이션 및 오프라인 백업, 서명 세션 시뮬레이션 및 2인 검토 프로세스 등을 요구하며, 이를 통해 “한 명만 뚫리면 끝”인 구조를 방지하고자 한다.
프로토콜이 보유한 온체인 자산(DAO treasury, 운영 펀드 등)을 보관하는 트레저리는 대부분 멀티시그로 관리되지만, 서명 프로세스와 모니터링이 부실로 인해 대량 유출로 이어지는 경우가 종종 발생한다.
2024년에는 다수의 중앙화 거래소에서 자금 운영 보안 부실로 인한 사고가 발생했는데, DMM Bitcoin과 WazirX가 대표적인 피해 사례이다. 이들은 트레저리 키를 단일 클라우드 HSM에 보관했거나, 실시간 이상 거래 모니터링 시스템을 갖추지 못해 공격자가 수시간 동안 자유롭게 자금을 빼돌린 사례이다.
SEAL은 시간 지연 및 다단계 승인을 거치는 트레저리 전용 멀티시그 설계, Fortress, Tenderly 등 온체인 트랜잭션 시뮬레이션 도구의 사용, 실시간 이상 탐지 알림, 정기적인 자체 트레저리 감사 및 외부 감사 연계를 인증 조건으로 제시하고 있다.
보안사고 대응 능력 부족은 초기 피해를 기하급수적으로 키운다. 대부분 프로젝트가 “무슨 일이 일어났을 때 누구에게 연락해야 할지”조차 정리되어 있지 않기 때문이다. 그러나 막상 보안사고가 발생하고나면 프로젝트 자체적으로나, 법적으로나 처리해야할 조치가 매우 많아 프로젝트들은 큰 혼잡을 겪게 된다.
Source: Security Alliance
SEAL은 프로젝트들과 보안 리서쳐들이 보안 사고에 대해 효과적이고 빠르게 대응할 수 있도록 많은 프로그램을 진행해왔는데, 간략하게 설명하자면 아래와 같다.
세이프 하버(Safe Harbor) 프로그램: 웹3 보안의 가장 큰 비효율 중 하나는 화이트햇 해커들이 법적 리스크(예: 미국의 CFAA 위반 등)로 인해 취약점 제보를 주저한다는 점이다. SEAL은 프로젝트로 하여금 표준화된 화이트햇 면책 조항을 사전에 채택, 취약점 발견시 화이트햇 해커가 즉시 개입해 악성 해커보다 먼저 해킹을 수행하더라도 법적 책임을 묻지 않겠다는 약속을 미리 혹은 즉시 수행할 수 있도록 한다.
SEAL 911: SEAL은 해킹 발생 시 신속한 대응을 할 수 있도록 공개적으로 제보를 받고 대응하는 텔레그램 핫라인 SEAL 911을 운영하고 있다. 약 80여 명의 검증된 자원봉사 화이트햇 해커들이 제보에 대해 대응하고 있으며, 실제로 돌로마이트(Dolomite), 몰포(Morpho), 로닌 브릿지(Ronin Bridge) 익스플로잇 당시 도난 자금 방지 및 회수에 혁혁한 기여를 남겼다.
SEAL 워게임(Wargame): 프로젝트들이 실제 보안 사고가 발생했을 때의 프로세스를 훈련할 수 있도록 스트레스 테스트를 제공하고, 이에 대한 절차를 수행하는 프로그램이다.
SEAL 인텔리전스: SEAL은 인텔리전스 플랫폼 OpenCTI와 협업, 웹3 내 공격자들에 대한 정보를 수집하고 공유할 수 있도록 데이터셋을 구축하고 있다.
SEAL 인증은 보안사고 대응 계획 수립을 위해 사전에 작성된 IR Playbook 보유, 24/7 대기조 운영, SEAL 911 등 외부 전문가 연락처 사전 등록, 정기적인 테이블탑/레드팀 훈련, 온체인 긴급 중지(pause) 기능 테스트 등을 요구하고 있다. 프로젝트들은 위에서 언급한 SEAL의 다양한 프로그램을 통해 보안 사고 발생시 프로세스에 대해 사전에 인지하고 빠르게 대응할 수 있을 것이다.
Source: Ethereum Foundation
2025년 5월 이더리움 재단은 'Trillion Dollar Security(1TS)' 이니셔티브를 발표한 바 있다. 1TS의 목표는 수십억 명의 개인이 각각 최소 1,000달러 이상을 온체인에 편안하게 보관할 수 있도록 하며, 기업이나 정부가 단일 컨트랙트나 애플리케이션에 1조 달러 이상의 가치를 저장할 수 있을 정도로 이더리움을 안전하게 만드는 것이다. 이는 현재 웹3의 보안 수준이 기관 투자자의 기대치에 미치지 못하고 있다는 반증이기도 했다.
SEAL 인증은 이러한 1TS 비전을 실현하는 핵심 도구가 될 수 있다. 이더리움 재단은 1TS의 일환으로 월렛 보안, 스마트 컨트랙트 도구, 인프라, 그리고 프로토콜 보안 등 다양한 영역에서 보안을 강화하고 있는데, SEAL의 운영 보안 인증은 이러한 기술적 보안 조치를 보완하는 운영 차원의 안전장치를 제공할 수 있다.
현재 SEAL의 창립자인 samczsun은 1TS 이니셔티브를 리드하는 3인 중 한 명이기도 하기에, SEAL 인증은 이더리움 생태계의 보안 표준화에 있어 핵심적인 역할을 수행할 가능성이 크다.
기관 투자자는 규제 준수와 리스크 관리 정책상 반드시 외부 검증된 보안 기준을 요구한다. 그러나 현재는 스마트 컨트랙트 감사 보고서 외에 운영 보안에 대한 신뢰할 만한 지표가 부재하여, 실사 과정에서 과도한 비용과 시간이 소요되고 있다. SEAL 인증은 기관 투자자들이 프로젝트의 운영 보안 성숙도를 매우 적은 비용으로 판단할 수 있게 해줄 수단이 될 것이며, 결과적으로 인증을 보유한 프로젝트와 그렇지 않은 프로젝트 간에 명확한 시장 프리미엄이 형성될 것이라고 예상한다.
넥서스 뮤추얼(Nexus Mutual)을 필두로 소수의 디파이 보험 프로토콜들이 현재 서비스되고 있으나, 이들에 대한 평가 기준이 주관적이고 비표준화되어 있어 보험 인수 심사가 복잡하고 보험료가 과도하게 높게 책정되는 문제가 존재했다. SEAL 인증은 온체인 보험 프로토콜과의 직접적인 통합을 통해 인증 등급에 따라 자동으로 할인된 보험료, 또는 더 높은 커버리지 한도가 적용되는 구조 등 다양한 설계를 가능하게 할 것이라고 예상한다. 넥서스 뮤추얼은 현재 SEAL 인증 파일럿 프로그램에 참여중인 15개 프로토콜 중 하나이기도 하다.
중앙화 거래소(CEX)는 시장의 실질적인 게이트키퍼로서, 상장 심사 기준은 산업 전체의 자원 배분과 보안 수준을 결정짓는 강력한 레버리지다. 필자는 향후 주요 거래소가 SEAL 인증을 실사 비용 절감 및 상장 프로세스의 실질적 반영 요소로 채택할 가능성이 높다고 생각하는데, 그 이유는 다음과 같다.
실사 비용 절감 및 효율성 제고: 거래소는 연간 수백 개의 상장 신청 프로젝트를 심사해야 하나, 운영 보안 실사는 전문 인력과 시간이 많이 소요된다. SEAL 인증은 표준화된 체크리스트와 감사 결과를 제공함으로써 1차 필터링 역할을 수행, 거래소가 비즈니스/유통량 등 주요 요소에 대한 분석에 집중할 수 있게 한다.
법적, 평판 리스크 헤징: 상장 후 해킹 사고 발생 시 거래소는 투자자 보호 소송 등에 노출된다. SEAL 인증 보유 여부를 상장 필수 요건 또는 가점 요소로 명시하면, 거래소는 선관주의 의무를 다했다는 객관적 증거를 확보할 수 있다.
블록체인 산업은 “신뢰 없는 신뢰(trustless trust)”를 이상으로 삼지만, 아이러니하게도 최종 사용자와 기관 투자자 수준에서는 전통 금융을 초월하는 “기관급 신뢰 검증”이 요구된다. 코드는 누구나 검증할 수 있지만, 그 코드를 운영하는 주체의 프로세스와 대응 능력을 검증할 수단이 부재했기 때문이다. SEAL 인증은 이러한 간극을 메우는 최초의 표준화된 솔루션으로서, 웹3가 진정한 기관 금융 인프라로 도약하기 위한 필수 관문을 열어줄 것이다.
Solana
Bitcoin
Arch
Sui
Hyperliquid
Monad
Rialo