펠릭스 응 지음
아키 첸, 우 슈오 블록체인 편집
전체 내용은 다음과 같습니다.
호찌민시에서 불과 40분 거리에 있는 냉장 양철 창고에서 미라이 랩스 CEO 코리 윌튼은 암호화폐 에어드랍 남용의 규모를 처음으로 실감했습니다. "정말 끔찍했습니다." 윌튼은 인터뷰에서 말했습니다. 그는 베트남 남부의 "폰 농장"을 방문했는데, 원룸 아파트 크기의 방에 최소 3만 대의 스마트폰이 쌓여 있는 것으로 추정했습니다.
지난 4년 동안 윌튼은 2021년 자신의 주력 NFT 경마 게임인 페가시(Pegaxy)를 무너뜨렸던 것과 같은 이면의 작전을 목격하기를 오랫동안 바랐습니다. "페가시는 성공 가도를 달리고 있었고, 일일 활성 사용자 수가 약 50만 명에 달했습니다."라고 윌튼은 회상합니다. "그때 '봇 농장'에 대한 신고가 들어오기 시작했습니다." 이 봇들은 수백 개의 계정을 동시에 조작하고, 확률이 높은 말들을 재빨리 사들이고, 게임 내 화폐를 얻기 위해 경주에 반복적으로 참여하여 현실에서 현금으로 환전할 수 있었습니다. "사람들이 수십 개 또는 이십 개의 앱을 동시에 실행하는 스크린샷을 볼 수 있었고, 비슷한 이미지들이 소셜 미디어 곳곳에 퍼져 나갔습니다."라고 그는 설명합니다.
페가시(Pegaxy)는 15마리의 말이 등장하는 경마 게임으로, 시스템에 의해 자동으로 운영됩니다. 윌튼은 봇 농장이 게임의 흐름을 "누가 이길 수 있는가"에서 "누가 가장 빨리 가치를 창출할 수 있는가"로 바꾸었다고 말했습니다. 이러한 변화는 게임의 역동성에 변화를 가져왔고, 프로젝트의 쇠퇴를 가속화했습니다.
현장 방문: 베트남의 "전문가급" 휴대폰 팜 공개
올해 5월, 윌튼은 마침내 소원을 이루었고, TikTok에서 우연히 이 농장을 발견한 전 Pegaxy 플레이어 덕분에 베트남의 "고도로 전문화된 휴대폰 농장"을 단독으로 둘러볼 기회를 얻었습니다.
"제가 있던 곳에서 차로 40분 정도 떨어진 비교적 외딴 지역인 두 곳에 갔어요."라고 그는 회상했다. "외국인은 절대 그곳에 가지 않을 거고, 아무도 그곳에 대해 아는 걸 원하지 않았어요." 윌튼은 그중 한 곳을 길가에 있는 양철 창고라고 묘사했는데, 에어컨은 "최대한 춥게" 틀어 놓았다고 했다.
창고 안에는 수천 개의 스마트폰이 빽빽하게 쌓인 금속 선반들이 있어, 직원들이 지나갈 수 있는 좁은 통로만 남았습니다. 전체적인 구조는 마치 가짜 암호화폐 채굴장을 연상시킵니다.
윌튼은 회사가 고객이 어떤 용도로든 휴대전화 팜을 임대할 수 있도록 하는 "리스" 사업의 측면을 시연했다고 설명했습니다. 기존의 로봇 서버와 달리, 휴대전화 팜의 각 기기에는 고유한 SIM 카드와 기기 지문이 장착되어 있습니다. 또한 IP 주소와 위치를 위장하여 탐지를 더욱 어렵게 만들 수 있습니다. 이는 각 계정을 휴대전화 번호와 연결해야 하는 시스템에 특히 적합합니다. 더욱이 휴대전화는 컴퓨팅 성능과 비용 대비 높은 가성비를 제공하며, 기기가 손상되더라도 전체 운영에 큰 영향을 미치지 않고 신속하게 교체할 수 있습니다.
윌튼은 자신이 목격한 사례에서 운영자가 컴퓨터를 통해 "마스터 폰"을 제어했고, 이 컴퓨터는 다시 500대가 넘는 "슬레이브 폰"에 연결되었다고 설명했습니다. 마스터 폰에서 수행된 모든 동작은 모든 슬레이브 기기에 복제되었습니다. "그들의 고객은 대부분 웹2(Web2) 업계 종사자입니다. 예를 들어, K팝 기획사는 트래픽을 늘리기 위해 이러한 기기를 임대하고, 카지노는 실제 플레이어를 시뮬레이션하여 게임을 더욱 '실제처럼' 보이게 하는 데 사용합니다. 하지만 실제로는 플레이어를 제압하고 돈을 잃게 하도록 설계된 기기입니다."
그는 "일부 웹2 플레이어들은 모바일 게임을 대량으로 플레이하며 계정을 생성한 후 업그레이드된 계정을 판매하기도 합니다."라고 덧붙였습니다. 그러나 윌튼은 이 농장의 핵심 사업은 사실상 "제조"라고 말했습니다.
이 사업자는 손상되었거나 노후된 스마트폰을 저렴한 가격에 매입한 후, 소프트웨어 및 기타 수단을 사용하여 개조한 후, 최종적으로 "셀프 서비스 폰 팜"에 포장하여 해외에 판매합니다. 이 프로젝트는 매주 1,000대 이상의 즉시 사용 가능한 팜폰을 생산하며, 각 "폰 팜 키트"에는 약 20대의 기기가 들어 있습니다. 윌튼은 이들이 직접 휴대폰을 조작하지 않는다고 설명했습니다. 에어드랍을 수집하거나 다른 작업을 직접 수행하지도 않습니다. 이들의 주요 사업은 해외에서 휴대폰을 사용하고 싶어 하는 사람들에게 포장하여 판매하는 것입니다. "그러면 휴대폰을 온라인 상태로 유지하고 연결하기 위해 휴대폰을 추가로 구입하기만 하면 됩니다."라고 그는 설명했습니다.
윌튼은 "봇을 이용한 암호화폐 에어드랍 사기"가 암호화폐 업계에서 고질적인 문제가 된 것은 당연한 일이라고 한탄했습니다. 암호화폐 에어드랍 사기는 다수의 지갑 주소를 생성하고 사용자 행동을 스푸핑하여 진정한 얼리 어답터를 위한 무료 토큰을 획득하는 수법입니다. 대부분의 암호화폐 에어드랍은 전화번호 인증을 요구하지 않지만, 고유 기기 지문과 IP 주소를 사용하면 시빌 방지(anti-Sybil) 메커니즘을 우회할 수 있습니다.
이러한 유형의 "에어드랍" 사기는 종종 사용자가 토큰을 받은 후 즉시 매도하게 만들어 시장 가격에 영향을 미치고 실제 사용자가 에어드랍에 접근하기 어렵게 만듭니다. 많은 프로젝트가 에어드랍 전에 상당한 허위 활동을 경험하지만, 에어드랍이 완료되면 사용자 수와 토큰 가격이 급락하는 경우가 많습니다.
암호화폐 에어드랍은 논란의 여지가 있으며, 그 행동에 대해 봇이 책임을 져야 한다는 주장이 널리 제기되고 있습니다.
다수의 휴대폰이나 단일 컴퓨터로 제어되는 봇 활동은 암호화폐 에어드랍에 큰 타격을 입혔습니다. 지난 6월, 이더리움 제로지식(ZK) 레이어 2 확장 프로젝트인 ZKsync는 자사 에어드랍이 다수의 봇의 표적이 된 후 광범위한 비난에 직면했습니다. 사용자들은 ZKsync가 "봇"의 악용을 조장한다고 비난했습니다.
온체인 데이터 분석 플랫폼 Lookonchain은 한 "에어드랍 헌터"가 85개 지갑 주소에서 300만 개 이상의 ZKsync(ZK) 토큰을 획득했다고 발표했으며, 당시 총 가치는 75만 3천 달러에 달했습니다. 또 다른 사용자는 소셜 미디어를 통해 "매우 효율적인 $ZK 시빌 공격 전략"을 통해 거의 80만 달러의 수익을 올렸다고 자랑했습니다.
"시빌 공격"은 공격자가 네트워크 시스템에서 부당한 이득을 얻기 위해 여러 개의 가짜 신원을 생성하는 보안 위협입니다. 이 용어는 다중인격 장애를 가진 한 여성의 사례를 다룬 책 "시빌"에서 유래했습니다. ZKsync의 경쟁사인 폴리곤(Polygon)의 보안 책임자인 무딧 굽타(Mudit Gupta)는 이를 "역사상 가장 악용되기 쉽고 과도하게 악용된 에어드랍"이라고 칭하며, 문제의 원인을 봇 방지 메커니즘의 부재에 돌렸습니다. ZKsync가 시빌 공격을 방지하기 위해 7가지 자격 기준을 설정했음에도 불구하고 말입니다.
ZKsync는 공식 FAQ에서 현재의 Sybil 공격 전략은 점점 더 복잡해지고 실제 사용자와 구별하기 어려워지고 있다고 답변했습니다. 또한 지나치게 엄격한 선별 기준을 채택하면 일부 Sybil 공격자는 차단할 수 있지만 많은 실제 사용자가 실수로 피해를 입을 수 있다고 덧붙였습니다.
하지만 지난달 바이낸스는 "바이낸스 알파 포인트" 프로그램 내에서 봇 활동을 단속하면서 다른 관점을 제시했습니다. 바이낸스 대변인은 인터뷰에서 "기존 봇은 일반적으로 예측 가능하고 반복적인 행동 패턴을 따르기 때문에 식별이 비교적 쉽습니다."라고 말했습니다. "하지만 AI 기반 봇의 등장으로 이제 우리는 인간의 행동과 더욱 유사한 시스템을 다루고 있습니다. 브라우징 습관부터 상호작용 시간까지, 이 시스템은 실제 사람의 행동을 매우 유사하게 모방할 수 있어 식별이 훨씬 더 어려워졌습니다." 바이낸스는 플랫폼이 봇 방지 노력을 지속적으로 강화하고 대규모 행동 패턴에서 이상 행위를 식별하는 새로운 도구를 개발하고 있다고 밝혔습니다. 예를 들어, 주소-엔터티 상관관계 분석(AER)은 동일한 행위자가 관리하는 지갑 클러스터를 식별하는 데 도움이 될 수 있으며, 이러한 지갑들이 독립적으로 보이더라도 마찬가지입니다.
이러한 분석은 특히 AI 기반 봇이 실제 참여와 유동성을 조작하기 위해 흔히 사용하는 전술인 위장 보유량, 멀티샌드 조작, 워시 트레이딩과 같은 조작을 적발하는 데 매우 중요합니다. 암호화폐 에어드랍만 피해를 보는 것은 아닙니다. 봇은 시장에 가치 없는 밈 코인을 대량으로 유통시킨다는 비난을 받고 있습니다. 코인베이스 제품 매니저 코너 그로건은 최근 X 플랫폼에 "현재 PumpFun과 LetsBonk 플랫폼에 상장된 토큰의 대부분은 봇에 의해 조종됩니다."라는 글을 게시했습니다. 그는 밈 코인 플랫폼 LetsBonk에서 상위 계정들이 평균 3분마다 새로운 토큰을 발행하고 있음을 발견했습니다.
a16z Crypto의 데이터 과학자이자 파트너인 대런 마츠오카는 시빌 공격이 비교적 최근의 문제라고 생각합니다. 그는 a16z Crypto 팟캐스트 4월 에피소드에서 "암호화폐 역사의 대부분 동안 레이어 1 블록체인의 가스 요금이 항상 높았기 때문에 시빌 공격에 대한 내재적인 저항성을 가지고 있었습니다."라고 말했습니다.
"과거에는 에어드랍 자격을 얻기 위해 몇 달러에서 수십 달러에 달하는 거래 수수료를 지불해야 했습니다. 하지만 인프라의 지속적인 최적화를 통해 운영 비용이 매우 낮아졌습니다. 이는 공격 및 방어 메커니즘의 판도를 완전히 바꿀 것이라고 확신합니다." a16z Crypto의 최고기술책임자(CTO)인 에디 라자린은 "인간 증명" 메커니즘 구축의 중요성을 강조해 왔습니다.
"AI는 이제 방대한 양의 현실적인 행동 기록을 생성할 수 있습니다. 가장 발전된 봇 팜(bot farm)도 이제 확실하게 식별하는 것이 거의 불가능하며, 중간 수준의 기술을 가진 팜조차도 곧 탐지하기 어려워질 것입니다."라고 라자린은 올해 5월 기사에서 밝혔습니다. 라자린은 "인격 증명(proof of personhood)" 메커니즘 구축에 가장 큰 관심을 두고 있습니다. 이 메커니즘은 실제 사람이 자신의 신원을 쉽고 자유롭게 확인할 수 있도록 하는 동시에 봇이나 사기꾼이 대규모 사기를 저지르는 것을 어렵게 하고 비용을 절감할 수 있도록 합니다. 그는 샘 알트먼(Sam Altman)의 홍채 스캐닝 프로젝트인 월드(World)를 이러한 유형의 메커니즘의 대표적인 사례로 꼽습니다. 이 프로젝트의 핵심 개념은 각 사람이 월드 ID를 한 번만 등록할 수 있으며, 홍채 스캔을 통해 고유성을 검증한다는 것입니다(모든 사람의 홍채는 고유하기 때문입니다).
라자린은 에어드롭 팟캐스트에서 "생체 인식과 개인정보 보호 기능을 결합하여 사람들을 단 하나의 신원으로 제한하는 World ID와 같은 시스템을 더 많은 사람들이 실험하는 모습을 보고 싶습니다."라고 덧붙였습니다.
하지만 이더리움 공동 창립자 비탈릭 부테린은 "1인 1ID"가 완벽한 해결책이 아니라고 주장합니다. 과거의 모든 행위가 단일 공격 지점, 즉 해당 신원과 관련된 키에 얽매일 수 있기 때문입니다. 일단 유출되면 그 위험은 엄청납니다. 그는 또한 생체 인식 및 정부 신원 정보 자체도 위조될 수 있다고 지적합니다.
왜 암호화폐 에어드랍을 취소하지 않는 걸까?
암호화폐 에어드랍이 그렇게 쉽게 조작될 수 있다면, 가장 간단한 해결책은 에어드랍 메커니즘을 폐지하는 것일지도 모릅니다. 하지만 에어드랍이 여전히 중요한 의미를 지닌다는 의견도 있습니다. 프로토콜에 실제로 참여하는 사용자에게 토큰을 에어드랍하는 것은 프로젝트 거버넌스를 탈중앙화하는 데 도움이 될 뿐만 아니라, 투표권 부여 등의 수단을 통해 통제권을 분산시킵니다. 또한, 에어드랍은 종종 많은 화제를 불러일으킵니다. 라자린은 "한 가지 분명한 이유는 가치가 있을 수 있는 많은 토큰을 배포하면 많은 관심을 끌 수 있고, 이는 그 자체로 마케팅 효과를 가져온다는 것입니다."라고 말했습니다. "에어드랍은 본질적으로 마케팅 도구입니다."
윌튼은 이에 동의하며, 프로젝트는 일부 사용자가 토큰을 판매할 것이라고 가정해야 한다고 지적했습니다. 이는 본질적으로 사용자 확보를 위한 마케팅 비용입니다. 핵심은 이러한 사용자가 실제 사용자이고 "장기적으로 사용할 의향이 있는" 사용자인지 확인하는 것입니다. 한편, 바이낸스는 자동화된 봇이 본질적으로 해롭지 않다고 생각합니다. 실제로 특정 상황에서 봇은 적절하고 투명하게 사용된다면 오히려 긍정적인 역할을 할 수 있습니다. 예를 들어 유동성 제공, 사용자를 대신한 전략 실행, 감사 중 스트레스 테스트 시뮬레이션 수행 등이 있습니다.
