본문 바로가기

2026.06.24 | 6월 24일 찰스 : SeconFi 라이브 번역

LyADA 발행일 : 2026-06-24
반응형

https://www.youtube.com/watch?v=-E8Xyg5-1Ok

 

 

웜 써니 콜로라도.


원래는 레이오스에 관해 이야기하고 싶었지만 카르다노는 늘 카르다노답게 굽니다. 그래서 들려온 소식에 따르면 창립 주체 중 하나인 Emurgo의 제품, SecondFi에서 문제가 있었던 것 같습니다. 그래서 그들이 올린 X 게시글을 읽어 보려고 합니다.

이건 오늘 콜로라도 시간으로 오전 5시 21분에 SecondFi가 올린 글입니다.

“저희 팀은 영향 범위를 파악하기 위해 온체인 분석을 완료했으며, 이제 선도적인 블록체인 보안 회사와 함께 독립적인 기술 검토를 마무리하여 우리의 발견을 검증하고 있습니다. 현재 단계에서, 총 영향에 대한 우리의 현재 추정치는 약 16백만 ADA입니다. 우리는 운영 대응을 계속 처리하고 있으며, 영향을 받은 사용자들을 지원하는 데 전념하고 있습니다. 커뮤니티 여러분께: 우리는 이 사건을 심각하게 받아들이고 있으며, 영향을 받은 사용자들을 보상하기 위해 노력하고 있습니다. 지갑이 영향을 받은 사용자들을 위해, 가능한 한 남은 자산을 보호하기 위해 이미 특별한 조치를 취했습니다.”...

이와 관련한 향후 발표는 Emurgo가 하도록 두겠습니다. SecondFi에 어떤 형태의 해킹(hack)이 있었던 것으로 보이며, 그 결과 사용자 자금 손실이 발생한 것으로 보입니다. 그 규모가 어느 정도인지 지금 시점에서 말하기 어렵습니다. IO 측에서 그들에게 요청한 것은 독립적인 감사와 별도의 독립 보안 감사입니다.

더 넓게 보자면, 지갑 소프트웨어의 어려움은 '작동하지 않을 때까지는 완벽하게 작동한다.'는 데 있습니다. 그러다가 무언가가 발생합니다. 설명되지 않는 이상 현상일 수도 있고, 내부자 위협일 수도 있고, 해킹일 수도 있습니다. 그리고 그 결과 자금이 손실됩니다. 문제는 그것을 어떻게 해결해야 하는지가 명확하지 않다는 것입니다.

기존 금융 세계에는 이런 문제를 해결하기 위한 보험이라는 것이 있습니다. 집이 불타거나, 차가 손상되거나, 병에 걸리는 것처럼 나쁜 일이 생기면 보험이 그 상황의 손실을 보전합니다. 이런 사고에는 세 단계가 있습니다. 하지만 우리 생태계 전체로 보면 이것은 교훈의 순간입니다. 그리고 여기에 네 번째 단계를 어떻게 추가할 것인지에 대해 논의해야 합니다.

첫 번째 단계는 상황의 분류와 응급 대응입니다. 저는 오늘 아침 Phil과 이야기했고, 어제도 Phil과 이야기했습니다. 그 팀은 지금 매우 힘든 시간을 보내고 있고, 상황을 분류하고 억제하려고 노력하고 있습니다. 그들이 우리에게 말한 바에 따르면, 그 부분은 통제되고 있는 것 같습니다. 초기 응급 대응이 끝나면 두 번째로는 투명성 단계가 필요합니다. 무슨 일이 있었는지, 왜 그런 일이 벌어졌는지, 무엇이 잘못되었는지, 그리고 그 상황에 대한 해결책이 무엇인지 완전히 열거해야 합니다. 세 번째로는 실제로 그 해결책을 실행해야 합니다. 그리고 감사인, 신뢰할 수 있는 제삼자, 외부 제삼자가 그 해결책이 실제로 이행되었는지를 검증해야 합니다.

더 넓게, 생태계 차원에서 네 번째 단계는 이것입니다. 카르다노 지갑이 여러분의 돈을 보관하려면 우리는 정말로 카르다노 지갑 인증 제도를 지향해야 합니다. 그리고 생태계가 함께 협력해 그것을 만들기 시작해야 합니다. 이것은 나쁜 코드, 악성 코드, 그리고 흔한 공격 벡터들이 존재하지 못하게 하는 데 도움이 됩니다.

AI 시대에는 특히 그렇습니다. 최근 미국 정부의 발표를 보셨을 겁니다. 새롭게 등장한 AI 모델들 때문에 우리의 모든 보안 인가 시스템이 단 몇 시간 만에 침해되었습니다. 이제 공격자가 하는 일은 매우 간단합니다. 검열되지 않은 프런티어 모델을 사용합니다. 그리고 “이걸 공격해서 백도어를 찾아라.”라고 말합니다. 그러면 몇 시간 동안 계산을 돌리고, 보통은 정말 고급 해커가 되어야만 찾을 수 있는 매우 난해하고 이국적인 공격 벡터를 찾아냅니다. 그리고 인프라에 침투할 수 있게 됩니다.

 

또한 내부자 위협도 악화됩니다. AI가 내부자에게 나중에 악용할 무언가를 어떻게 심어둘 수 있는지 안내해줄 수 있기 때문입니다. 지갑 팀에서는 이런 일이 흔합니다. 저희도 Lace 팀에 지원해서 일하려고 했던 북한 출신 인물을 만난 적이 있고, 저희는 그를 잡아냈습니다. 이런 일은 Kraken, Coinbase 등 다른 곳에서도 일어났습니다. 어떤 때는 잡아내고, 어떤 때는 잡아내지 못합니다. 그리고 그들은 심각하고 파멸적인 피해를 일으킬 수 있습니다.

 

그래서 일반적으로 네 번째 단계는 우선 AI의 위험을 견뎌낼 수 있는 인증 프로그램이 필요하다는 것입니다. 또한 보험 상품에 대해 논의하고 만들어가기 시작하는 것이 우리에게 필요합니다. 지갑을 사용하는 사람들이 어떤 형태의 공동 기금에 비용을 납부하고, 무언가가 발생했을 때 그 기금이 해결책을 만드는 데 쓰일 수 있도록 하는 것입니다.

손실된 자금에 대해 무엇을 할지는 Emurgo가 결정할 일입니다. IO는 그 문제에 아무런 역할, 소유권, 연결 관계가 없습니다. 우리는 그들에게 어느 한쪽 방향으로 조언하지 않을 것입니다. 물론 도울 수 있는 곳에서 도울 수 있을 때 지원은 하겠습니다. 저희 정보보안 팀과 기술 팀은 요청이 있을 경우 포렌식으로 도울 수 있습니다. 하지만 무슨 결정을 하고 무엇을 할지는 궁극적으로 그들의 결정입니다.

 

우리는 긴급 대응과 생태계 차원의 대응을 분리해야 합니다. 생태계 차원의 대응은 2027년을 목표로 해야 합니다. 지갑 구축에 대한 경계 수준을 높이고, 지갑 인증을 도입하고, 위협 벡터를 이해하고, 공격이 발생했을 때의 복구 모델을 이해하고, 이런 일이 벌어졌을 때 하방 보호를 제공할 수 있는 상품을 만들려고 시도하는 것입니다. 저는 그것이 앞으로의 경쟁력 있는 차별점이 될 것이라고 생각합니다.

IO는 언제나 투명성 쪽을 택합니다. 그래서 1단계가 끝나고, 초기 응급 대응이 끝나고, 피해가 억제되면, 우리는 Emurgo에 이 문제에 대한 완전한 투명성을 요구할 것입니다. 감사 보고서도 포함되어야 하고, 외부 기관들이 무엇이 잘못되었는지, 왜 잘못되었는지에 대한 조사 결과를 공개해야 합니다. 그리고 물론 우리는 해결책을 보고 싶습니다. 또한 그 해결책이 달성되었다는 독립적인 검증도 보고 싶습니다. 이런 상황이 발생했을 때 항상 살펴봐야 하는 것이 바로 그것입니다.

그들이 이런 일을 겪고 있다는 점은 유감입니다. 생태계가 이런 일을 겪고 있다는 점도 유감입니다. ADA의 양이 아주 거대한 수준은 아닌 것처럼 보이지만 자금을 잃은 사람들에게는 전혀 위로가 되지 않습니다. 그들에게는 그것이 자신이 가진 ADA 전부일 수도 있고 적어도 상당한 양일 수도 있기 때문입니다. 애초 무엇이든 잃게 되면 고통입니다.

 

이것이 크립토의 불행한 현실입니다. 저는 이 업계에 15년 동안 있었습니다. 마운트곡스 사건도 생생하게 기억하고 있고, 그 이후 수년 동안 수많은 해킹 사건을 보아왔습니다. 실제로 컸던 사건은 Nomad 브릿지 해킹이었다고 생각합니다. 약 2천만 달러에서 3천만 달러 규모의 해킹이었습니다. 저도 개인적으로 그 해킹에서 돈을 잃었습니다. 이더리움의 Nomad 브릿지를 통해 스테이블코인을 가지고 있었기 때문입니다. 대부분은 회수할 수 있었지만, 이런 것이 바로 현실입니다.

우리가 미드나이트를 만든 이유 중 하나도 바로 이것입니다. 여러 이유가 있지만, 더 정교한 암호 기술을 도입하고 사용자 보호를 강화하기 위한 것이었습니다.  미드나이트 패스포트와 영지식 증명의 존재가 그렇습니다. 이것들이 우리에게 해주는 일은, 트랜잭션을 수행할 더 안전한 장소를 제공한다는 것입니다.

 

따라서 Emurgo와 관련한 구체적인 문제가 해결된 뒤, 생태계 전체로서 “우리는 무엇을 해야 하는가.”라는 네 번째 범주에서, 저는 혁신이 우리에게 엄청난 도움을 줄 수 있다고 믿습니다. 미드나이트 패스포트의 1세대는 올해 중 어느 시점에 사용 가능해질 것입니다. 그리고 당연히 미드나이트에는 많은 고급 암호 기술이 들어가고 있습니다. 우리의 희망은 그것을 지갑 영역으로 끌어오는 것입니다. 에이전트 기반 거래와 다른 신흥 분야에 사용하는 것뿐만 아니라, 카르다노 지갑 인증 스택의 일부로도 활용해 이런 일이 앞으로는 일어나지 않게 하는 것입니다.

IO가 말할 수 있는 것은 여기까지입니다.

인터넷에는 때때로 이 점을 이해하는 데 어려움을 겪는 사람들이 있으니 다시 말씀드립니다. 우리는 Emurgo가 아닙니다. 우리는 Emurgo에 대한 소유권도, 통제권도, 영향력도 없습니다. 우리는 그들의 일상적인 운영을 하지 않습니다. SecondFi는 IO, Input Output의 제품이 아닙니다. 우리는 회사로서 어떤 형태로도 그들을 대신해 말할 수 없고, 그들에게 영향력을 행사할 수도 없습니다. 우리는 그 코드를 작성하지 않았고, 그것과 연결되어 있지도 않습니다.

 

물론 우리는 파트너 회사들이 성공하기를 바랍니다. 우리는 Emurgo를 처음부터 알고 있었고, 그들을 돕고 여러 일을 해주기 위해 여기 있습니다. 하지만 이번 상황에서 피해를 입은 사람들에게 우리가 어떤 구제책을 제공할 수는 없습니다. 또한 우리는 이에 대해 책임지지 않을 것입니다. 책임질 것이 없기 때문입니다. 우리는 이 일들 중 어느 것과도 관련이 없습니다.

제가 여러 번 태그되었고, 사람들이 “우리가 무엇을 할 것이냐.”고 묻고 있습니다. 하지만 이것은 우리가 할 위치나 역할이 아닙니다. 우리는 도움의 손길을 내밀 수 있고, 적절한 정리 작업이 어떻게 이루어져야 하는지, 그리고 회사들과의 관계에서 우리의 레드라인이 무엇인지에 대해 많은 조언과 제안을 할 수 있을 뿐입니다. 앞으로 우리가 함께 일하는 누구든 미해결 청구나 문제가 있다면 우리는 그들에게 그것을 해결하고 사람들에게 바로잡으라고 요구할 것입니다. 우리는 과거에도 이런 일을 여러 번 해왔습니다.

1단계를 지나고, 그 피해 범위가 해결되고, 즉각적인 우려가 해소되면, 그 다음에는 신뢰 회복과 명예 회복을 향한 긴 길이 남아 있습니다. 그 일부에는 신뢰할 수 있는 독립적인 제3자들이 무엇이 일어났는지, 왜 일어났는지에 대한 보고서를 공개하는 것이 반드시 포함되어야 합니다. 그리고 회사는 이 상황에 대해 어떤 구제책을 만들 것인지 논의해야 합니다. 이 문제에 대해 우리가 말할 수 있는 것은 여기까지입니다.

물론 저희 자신의 보안도 점검해야 한다는 점을 모르는 것은 아닙니다. 우리가 아는 한 우리 제품에는 아무 문제도 없습니다. 하지만 이미 내부 검토를 진행하고 있으며, Lace와 다른 인프라에 대해서도 다시 한번 감사를 진행할 가능성이 있습니다. AI 시대에는 모든 것이 완전히 안전한지 알기 어렵습니다. 그래도 분명히 한 번 더 깊이 살펴보고 확인할 것입니다. 우리가 무언가를 놓치지 않았는지 확인하고 싶기 때문입니다. 여기에는 우리 인프라의 모든 부분이 포함됩니다. 들어주셔서 감사합니다.

이것이 제가 하는 마지막 공개 발언이 될 것입니다. 이후에는 IO 채널을 통해 할 수 있으면 향후 입장을 공유하겠습니다. 나머지 PR은 Emurgo가 하도록 두겠습니다. 모두 감사합니다.

반응형

댓글