카오스 랩스 설립자: 암호화폐 시장에서 결코 확립되지 않았던 방어선

글쓴이: 오머 골드버그 , 카오스 랩 창립자

작성 및 편집: BitpushNews

제가 Chaos를 설립한 이유는 두 가지를 믿기 때문입니다.

금융의 미래는 블록체인에 있다.
미래에는 어떤 버전도 온체인 시스템이 기존 시스템보다 보안성이 떨어지는 것을 허용하지 않을 것입니다.

5년이 지난 지금도 이 두 가지는 여전히 사실입니다.

Chaos는 Aave, Ethena, Kraken, PayPal, LayerZero, Jupiter, GMX 등의 파트너와 함께 수조 달러에 달하는 누적 거래량을 처리하면서 부실 채권을 제로로 유지하는 비전을 실현하기 위해 노력하고 있습니다.

모든 보안 사고는 동일한 시나리오를 따릅니다.

하지만 이 분야에서 5년간 헌신적으로 일했다는 것은 무엇이 잘못되고 있는지를 면밀히 관찰할 수 있다는 것을 의미하기도 합니다.

모든 공격은 동일한 시나리오를 따릅니다.

일부 링크의 오류로 수백만 달러의 손실이 발생하여 암호화폐 트위터에서 큰 분노를 불러일으키고 있습니다.

모두가 이것이 끔찍하다고 동의합니다!

하지만 몇 주 후, 우리는 다음 희극으로 관심을 돌렸습니다. 관심이 시들해지자 실질적인 변화는 아무것도 일어나지 않았습니다.

사람들은 특정 팀, 특정 취약점, 또는 놓친 체크포인트 하나에만 집중하는 경향이 있습니다. 물론 이러한 분석이 중요한 경우도 있습니다. 저는 이 주제에 대해 여러 글을 썼습니다.

하지만 수년간 같은 현상을 관찰한 결과, 그 패턴이 명확해졌습니다. 이러한 실패는 개별적인 사건이 아닙니다.

우리 산업 구조는 이러한 결과를 낳도록 설계되어 있습니다.

자극

찰리 멍거는 "인센티브에 대해 말씀해 주시면 결과를 말씀드릴 수 있습니다."라고 말한 적이 있습니다.

전통적인 금융 및 웹2.0 보안 환경에서 고객 자금이나 중요 시스템에 접근하는 순간부터 위험 관리는 **필수적(부재량적)** 사항이 됩니다. 표준, 감사, 조달 요건, 보험 회사, 규제 기관 등 고려해야 할 사항이 많습니다. 이러한 요소들이 모두 완벽하지는 않지만, 궁극적으로는 최종적인 성과를 좌우합니다.

암호화폐는 그러한 레이어를 구축한 적이 없습니다.

네, 맞습니다. 암호화폐에는 보안 문제가 있습니다.

하지만 이러한 안전 문제는 하류 제품과 관련된 문제인 반면, 상류에는 더 큰 시장 인센티브 문제가 있습니다.

그러한 구조가 없다면 성장은 발전처럼 보이고 위험은 비용으로 보일 것입니다.

합리적인 결정과 올바른 결정은 같은 것이 아니며, 유인 체계가 바뀌기 전까지는 결코 같은 것이 되지 않을 것입니다.

시장은 어떻게 형성되는가

클라우드 보안 회사의 연간 매출(ARR)이 500만 달러이고 적절한 틈새 시장에서 빠르게 성장하고 있다면, 인수 기업과 투자자들은 해당 회사의 매출의 20배에 달하는 가치로 경쟁적으로 인수하려 할 것입니다.

구글은 위즈를 320억 달러에 인수했는데, 이는 위즈의 예상 매출의 30배가 넘는 기업 가치 평가입니다.

이러한 평가액은 근거 없이 나온 것이 아닙니다.

규제가 존재하는 이유는 구매자가 이미 존재하기 때문이며, 구매자가 존재하는 이유는 규제가 그들을 만들어냈기 때문입니다.

결제 데이터를 처리하는 경우 PCI DSS는 귀하가 부담해야 할 책임이 무엇인지 알려줍니다.

상장 기업이라면 미국 증권거래위원회(SEC) 규정에 따라 중대한 사이버 보안 사고를 공개해야 합니다.

이러한 책임 메커니즘이 정의되면 예산, 조달 프로세스 및 산업 분류가 뒤따를 것입니다.

게임, 소셜 애플리케이션, B2B 소프트웨어 등을 개발할 수 있었던 천재들이 높은 금전적 보상 때문에 보안 제품 개발을 선택했습니다. 책임감은 수요를 창출하고, 수요는 인재를 끌어들이며, 인재가야말로 시스템 보안을 강화하는 진정한 핵심입니다.

효율적인 시장은 해당 산업이 가장 필요로 하는 인재들을 끌어들일 것입니다.

증거는 규정 준수 서류에 있습니다.

어떤 사람들은 "하지만 암호화폐 분야에도 대형 보안 회사들이 있지 않나요? 체인얼리시스와 TRM은 어떻습니까?"라고 말할지도 모릅니다.

이것이 바로 제 주장을 뒷받침합니다. 이러한 기업들이 존재하는 이유를 생각해 보세요.

미국에서 금융 서비스 사업을 운영하는 경우(대부분의 암호화폐 회사가 이에 해당함), 은행 비밀 유지법(BSA), OFAC 제재 심사 및 FinCEN의 자금 세탁 방지 요건을 준수해야 합니다.

미국 법무부(DOJ)는 앞서 OKX가 자금세탁 방지에 실패한 것을 이유로 5억 달러 이상의 벌금을 부과한 바 있다.
Bittrex는 사용자들이 시리아, 이란, 쿠바에 대한 제재를 우회할 수 있도록 허용하는 대가로 2,900만 달러를 지불했습니다.

더욱이, 이러한 법 집행은 약화되는 것이 아니라 오히려 강화되고 있습니다. GENIUS 법안은 결제 관련 스테이블코인을 BSA(은행비밀보호법)의 적용 범위에 포함시키고 있으며, FinCEN(금융범죄단속네트워크)의 새로운 내부고발자 보호 체계는 모든 전직 직원이 법규 위반을 신고할 경제적 유인을 갖게 되었음을 의미합니다.

기업들은 규정 준수 솔루션을 하나만 구매하지 않습니다. 법무부나 금융범죄단속네트워크(FinCEN)가 책임을 물을 때, 핵심 쟁점은 "최선을 다했는지" 여부이기 때문에 두세 가지 솔루션을 구매합니다.

이것은 "사이버 보안 지원"(CYA)을 위한 인프라입니다.

미국 국세청(IRS)은 수년간 체인애널리시스(Chainalysis)를 사용해 왔음에도 불구하고, 모든 것을 한 곳에 의존하고 싶지 않았기 때문에 TRM이 출시된 직후부터 협력하기 시작했습니다. 당시 TRM의 기업 가치는 10억 달러였고, 체인애널리시스는 최고 86억 달러까지 올랐습니다.

그것들이 존재하는 이유는 단 하나뿐입니다. 구매자들이 이 문제가 중요한지 아닌지에 대해 고민할 필요가 없기 때문입니다.

어떤 부분에서 차이가 있나요?

이제 구체적으로 어떤 영역에서 그러한 강제력이 부족한지 살펴보겠습니다.

20억 달러 규모의 사용자 예금이 예치된 대출 계약에는 은행 비밀 유지법이라는 것이 존재하지 않습니다.
수십억 건의 주문 흐름을 처리하지만 청산 엔진에 대한 스트레스 테스트를 실시하지 않는 무기한 계약 분산형 거래소(Perp DEX)의 경우, 미국 재무부 해외자산통제국(OFAC)과 유사한 책임 메커니즘이 없습니다.
지배구조 매개변수 또는 복수 서명이 변경되어 시스템적 위험이 증가하는 경우 의무적인 공시 요건은 없습니다.
사용자 자금을 사용하여 새로운 금고 전략을 시작하는 계약의 경우 조달 요건이 없습니다.

체인애널리시스와 TRM은 제 주장을 반박하는 것이 아닙니다. 오히려 그것들이 바로 제 주장의 핵심입니다. 의무적인 규제가 있는 곳에는 시장이 형성되고, 규제가 없는 곳에는 시장이 존재하지 않습니다.

저는 규제를 옹호하러 온 것이 아닙니다.

2013년, 제가 처음 비트코인 백서에 매료되었을 때 (덕후 티가 나네요), 언젠가 이런 글을 쓰게 될 거라고 누가 말했더라면 저는 믿지 않았을 겁니다.

저는 학교에서 퇴학당했고 대학도 중퇴했습니다. 원래 남의 지시를 따르는 타입이 아니었거든요. 메타/인스타그램에서 오랫동안 일했는데, 그곳의 모토는 "빠르게 움직이고, 기존 질서를 파괴하라"였습니다.

따라서 저는 중앙 권력이 우리에게 무엇을 해야 할지 지시하지 않아도 더 나은 것을 만들 수 있다는 확고한 믿음을 가지고, 권위주의에 대한 강한 반감을 품고 암호화폐 업계에 뛰어들었습니다.

하지만 십여 년이 지난 지금에서야 저는 사용자 보호를 위한 기준과 규칙이 존재하는 이유를 비로소 이해하게 되었습니다. 그것들이 완벽해서가 아닙니다. 분명 완벽하지는 않습니다.

오히려, 우리가 완전히 마음대로 할 수 있게 되면, 우리의 진정한 우선순위가 무엇인지 끊임없이 드러내기 때문입니다.

우리는 자유를 얻었다. 우리는 시간을 얻었다.

현재 업계의 상황은 우리의 선택의 결과이며, 그 결과는 자명합니다.

역선택

강제적인 조치가 없다면 시장은 역전될 것이다.

건전한 시장에서는 보안 제어가 가장 필요한 주체들이 이를 도입할 가능성이 가장 높습니다. 왜냐하면 보안 제어는 필수적이기 때문입니다.

하지만 암호화폐 업계에서는 상황이 정반대입니다.

최고의 팀들은 장기적인 생존을 위해 일찌감치 보안/위험 관리 인프라를 구축할 것입니다.
가장 역량이 부족한 팀은 미루거나, 초점을 좁히거나, 수요가 불가피해지는 사건이 발생할 때까지 가격만 비교할 것입니다. 그리고 이러한 팀이 실패할 가능성이 가장 높습니다.

이 범주는 궁극적으로 역선택에 의해 형성되었습니다. 시스템적 관점에서 볼 때 가장 많은 보호가 필요한 팀들이 바로 그 비용을 지불할 가능성이 가장 낮은 팀들입니다.

핵심적인 비대칭성은 매우 간단합니다.

성장세는 대시보드와 투자자 업데이트에 반영될 것입니다.

보안 측면에서 보면, "아무 일도 일어나지 않는 것"이 가장 큰 문제로 작용합니다. 규제 시장에서는 "아무 일도 일어나지 않는다"는 것은 여전히 규정 준수, 감사 준비, 이사회 보고, 보험 회사 요구 사항 충족 등을 의미합니다. 하지만 암호화폐 시장에서는 "아무 일도 일어나지 않는 것"은 아무런 이득도 가져다주지 않습니다. 오히려 비용 항목으로 여겨져 줄일 수 있는 여지가 생길 뿐입니다.

이러한 인센티브 메커니즘 내에서 움직이는 합리적인 구매자는 언제나 투자를 연기할 이유를 찾을 수 있습니다.

당신은 성장에 따라 보상을 받는 구매자들에게 "재앙의 부재"를 마케팅하고 있습니다.

시장 구조의 부재는 "누가 구매하는가"뿐만 아니라 "무엇을 구매하는가"와 "얼마나 구매하는가"에도 영향을 미칩니다.

뱅크 오브 아메리카는 수익의 6~10%를 규정 준수에 사용합니다.

미국과 캐나다의 금융기관들은 금융 범죄 규정 준수에 매년 610억 달러 이상을 지출합니다. 이러한 지출은 근본적인 책임이 협상 불가능하기 때문에 발생합니다.

한편, 2025년 DeFi 업계 전체의 버그 바운티 지출 총액은 1억 1200만 달러에 달할 것으로 예상됩니다. 이는 업계의 선제적 보안 투자 규모를 측정할 수 있는 몇 안 되는 정량적 지표 중 하나이지만, 프로토콜 수익 310억 달러의 약 0.33%에 불과합니다. 같은 해에 업계는 취약점 악용으로 인해 34억 달러의 손실을 입었습니다.

손실이 발생할 경우, 예방 예산은 그저 오차 범위에 불과합니다.

이러한 차이는 우연이 아닙니다. 규제 산업에서는 보안 예산이 분기별 시장 심리가 아닌 의무 사항을 따라 책정됩니다. 책임감이 일정하게 유지되기 때문에 시장 침체에도 잘 견뎌냅니다. 하지만 암호화폐 업계에서는 지출이 재량적이어서 경기 변동에 민감합니다.

그들은 하락세 동안 사라졌습니다.

동일한 프로토콜이라도 인센티브, 토큰 상장, KOL 홍보, 컨퍼런스 후원 등에 막대한 투자를 할 수 있지만, 위험하거나 보안 관련 프로젝트에 대해서는 다시 인색해질 수 있습니다.

이는 대부분의 사람들이 예상하지 못했던 복리 효과를 만들어냅니다.

위험 및 보안 인프라를 구축하는 기업은 수요에 따라 미리 인력을 고용할 수 없고, 경기 침체기에 연구 개발을 유지할 수 없으며, 안정적인 매출 기반을 가진 기업처럼 복리 이자를 창출할 수도 없습니다.

각 주기마다 제품 범주의 성숙도가 재설정되므로 업계의 보안 인프라는 보호 대상 규모에 비해 항상 미흡한 상태입니다.

1,300억 달러에 달하는 사용자 예치금을 보호하는 업계가 마치 선택적 부가 기능을 구매하는 것처럼 위험/보안에 투자하고 있습니다.

약세장에서도 공격은 멈추지 않지만, 위험 관리 및 보안 예산은 줄어듭니다.

이 분야에서 5년간 일하면서 저는 신념에 따라 자금을 지원받는 범주와 실제 필요에 의해 주도되는 범주의 차이를 알게 되었습니다.

이 사실은 규제 기관의 도움 없이도 누구나 알 수 있는 것입니다.

앱이 사용자 예금을 허용한다면 축하합니다! 당신은 위험 관리 사업에 뛰어든 것입니다. 프로토콜이 인프라, 수익 플랫폼, 또는 탈중앙화된 무언가로 자신을 규정하려 하든, 가치를 예치하거나 레버리지를 제공하기 시작하는 순간 위험 관리는 선택 사항이 됩니다.

이는 단지 한 참가자만의 문제가 아닙니다.

이는 각 참여자가 위험을 타인의 책임으로 간주할 합리적인 이유가 있는 공급망입니다.

투자자들은 성장을 평가하고, 회계감사인은 감사 범위를 좁히고, 거래소는 상장 최적화를 추진하며, 수탁기관은 엄격한 통제 요건을 부과하지 않습니다. 누구도 비합리적인 것이 아닙니다. 바로 그게 문제입니다.

그 시스템은 인센티브 메커니즘이 예측한 대로 정확히 작동했지만, 취약점 악용으로 인해 위험은 항상 모두가 공유하는 것이라는 사실이 다시금 모두에게 상기되었다.

금융의 미래가 온체인에 있다면, 그 길은 글로벌 자본을 수용할 만한 시스템을 구축하는 데 있다.

더 나은 (??) 경제적 이익을 위해 사용자가 더 많은 위험을 감수하도록 요구하는 시스템보다는.

동기 부여 및 결과

시장은 이러한 층을 구축하거나, 아니면 그 부재에 대한 비용을 계속해서 지불하게 될 것이다.

어떤 기관이 디파이(DeFi)를 검토한 후 위험 관리 모델이 위험 노출을 정당화할 만큼 충분히 성숙하지 못했다고 판단하는 경우, 이는 가상의 비용이 아닙니다. 이는 업계가 매 주기마다 지불해야 하는 측정 가능한 비용이며, 악용 사례 및 예방 가능한 손실과 함께 발생합니다.

이 분야에서 5년간 일하면서 한 가지를 깨달았습니다. 시장의 다른 모든 유인책이 프로토콜을 반대 방향으로 끌어당기는 상황에서 프로토콜이 위험 및 보안 인프라에 투자할지 여부를 결정하는 데 있어 독립적이고 일관성을 유지할 것이라고 기대할 수는 없다는 것입니다.

자발적 모델은 한계에 도달했습니다. 사건 발생 후 아무리 강력한 처벌을 내리더라도 이 한계를 영구적으로 높일 수는 없습니다. 무책임을 조장하는 시스템 속에서 개별 창업자나 팀에게 더 큰 책임을 요구하는 것은 전략이라고 보기 어렵습니다.

하지만 저는 다른 양상이 나타나기 시작했다고 생각합니다. 온체인 금융과 전통 금융의 융합은 대부분의 사람들이 예상했던 것보다 훨씬 빠르게 진행되고 있습니다. 두 영역의 경계가 모호해짐에 따라 암호화폐 업계가 원하든 원하지 않든 규제의 무게는 점점 더 커지고 있습니다. 이 분야에 진출하는 기관들은 자신들의 규정 준수 기대치, 조달 프로세스, 위험 관리 체계를 함께 가져오고 있습니다.

암호화폐는 자체적인 표준 체계를 구축한 적이 없으며, 궁극적으로 표준 없이는 작동할 수 없는 사람들이 이를 도입할 가능성이 있습니다.

동시에 더욱 근본적인 변화가 일어나고 있습니다. 금융 역사의 대부분 동안 최고 수준의 위험 분석 정보는 기관 예산의 제약 속에 갇혀 있었습니다. 하지만 인공지능(AI)은 누가 이러한 정보에 접근할 수 있는지를 바꾸고 있습니다. 이제 사용자가 사용하는 애플리케이션이 위험 및 보안에 투자했는지 여부와 관계없이 기관 수준의 위험 분석 도구를 사용자와 투자자에게 직접 제공하는 것이 가능해지고 있습니다.

하지만 기술만으로는 시장 구조 문제를 해결할 수 없습니다.

업계는 여전히 그것의 진정한 가치를 규명해야 합니다.

매 주기마다 우리는 지난번 공격이 경각심을 일깨워준 계기였고, 앞으로는 상황이 달라질 거라고 스스로에게 되뇌입니다.

암호화폐 업계는 새로운 금융 기본 요소를 만들어내는 데 탁월한 능력을 보여왔습니다. 하지만 사람들이 그 요소들을 신뢰할 만큼 충분히 안전하게 만드는 것은 공학적인 난제이며, 저는 이제 그 기술적 기반이 마련되었다고 생각합니다. 그러나 이러한 공학적 노력이 의미를 갖는 것은 업계가 '보안'을 단순한 부가적인 요소가 아닌 필수적인 요소로 인식할 때입니다.

인센티브를 보여주시면 결과를 보여드리겠습니다.