CertiK 감사: 최대 규모의 웹3 보안 감사 기관 내부 살펴보기
"CertiK 인증"이라는 문구는 마치 어린이용 카시트에 붙은 안전 스티커처럼 토큰 랜딩 페이지에 흔히 등장합니다. 이는 "누군가 검증했으니 안심해도 된다"는 의미를 내포합니다. CertiK는 웹3 보안 분야에서 가장 유명한 기관이며, 많은 투자자들에게 이 인증 배지는 "아마도 안전할 것"이라는 신호로 받아들여지고 있습니다. 하지만 문제는 이 배지를 달고 있는 여러 프로젝트들이 수백만 달러의 손실을 입었다는 점입니다. 그렇다면 CertiK 인증은 실제로 어떤 가치를 지니는 것일까요? 이 글에서는 CertiK가 무엇인지, 인증 및 스카이넷 점수 산정 방식은 어떻게 되는지, 어떤 부분에서 도움이 되는지, 그리고 인증 배지가 더 이상 큰 의미를 갖지 못하는 지점까지 자세히 살펴봅니다.
CertiK은 누구이며, 왜 웹3 보안 분야를 장악하고 있는가?
CertiK는 스마트 계약 감사를 발명한 것은 아닙니다. 다만 이를 산업화했을 뿐입니다. 이 회사는 소수의 암호학자들이 수행하던 느리고 수작업적인 과정을 프로젝트가 구매하고, 공개하고, 투자자들이 코드의 안전성을 문의할 때 제시할 수 있는 브랜드로 탈바꿈시켰습니다.
예일대 연구실에서 20억 달러 규모 기업으로
2018년, 컬럼비아 대학교의 롱후이 구 교수와 예일 대학교의 중 샤오 교수, 두 명의 컴퓨터 과학 교수가 CertiK를 설립했습니다. 그들의 아이디어는 학문적이었고, 거의 고집스러울 정도로 학문적이었습니다. 소프트웨어가 주장하는 바를 실제로 수행하는지 증명하는 수학적 방법인 형식 검증을 사용하여 블록체인 코드가 단순히 "테스트"된 것이 아니라 "증명 가능한" 정확성을 갖도록 하자는 것이었습니다. 틈새시장 아이디어였지만, 상당한 투자를 유치했습니다. TechCrunch에 따르면 , 2022년 4월까지 CertiK는 골드만삭스, 타이거 글로벌, 세쿼이아, 소프트뱅크 비전 펀드 등으로부터 약 8,800만 달러의 투자를 유치했으며, 기업 가치는 20억 달러로 평가되었습니다. 총 9차례에 걸쳐 약 2억 9,600만 달러를 모금한 것입니다. 컴파일러에 대한 정리 증명으로 시작한 두 학자에게는 놀라운 성과입니다.
'최대 회계법인'이 실제로 측정하는 것은 무엇인가?
CertiK의 주요 수치는 양적인 측면에 초점을 맞추고 있습니다. 6,100개 이상의 프로젝트를 감사했고, 이 보안 감사 과정에서 91,000건 이상의 취약점을 발견했습니다. Aave, Polygon, BNB Chain과 같은 고객사를 포함하여 3,600억 달러 이상의 자산을 검토했습니다. 규모는 상당해 보입니다. 하지만 이것이 바로 함정입니다. "최대 규모"라는 것은 회사가 수행한 감사 건수를 기준으로 할 뿐, 개별 감사의 깊이를 나타내는 것은 아니기 때문입니다. 다른 어떤 회사보다 많은 보고서를 발행하는 것은 인상적일 수 있지만, 양과 엄격함은 같은 것이 아니며, 이 둘 사이의 간극이 바로 비판의 핵심입니다. 구체적인 비판점은 다음과 같습니다. CertiK는 너무 많은 프로젝트를 검토한 나머지, 그 이름이 일회성 밈 토큰과 진지한 프로토콜 모두에 사용되고, 단 이틀짜리 검토와 수개월에 걸친 검토가 동일한 배지를 받습니다. 구매자는 어떤 것이 어떤 것인지 거의 구분하지 못합니다. 이러한 획일화가 바로 배지의 진짜 문제입니다.
CertiK 감사 절차는 실제로 어떻게 진행되는지 단계별로 살펴보겠습니다.
CertiK 심사는 한 가지로 이루어지는 것이 아닙니다. 두 가지 요소가 결합된 구조이며, 이 차이를 이해하면 최종 보고서에서 무엇을 약속할 수 있고 무엇을 약속할 수 없는지 많은 것을 알 수 있습니다.
형식적 검증 vs 수동 검토
첫 번째 단계는 형식 검증입니다. CertiK는 스마트 계약을 실행하고 결과를 관찰하는 대신, 코드의 수학적 모델을 구축하고 입력값에 관계없이 특정 속성이 항상 유지되는지 증명합니다. 이를 지원하기 위해 DeepSEA 컴파일러가 개발되었습니다. 형식 검증은 "이 잔액이 마이너스가 될 수 있을까?"와 같은 구체적인 질문에는 강력하지만, 사용자가 명시적으로 지정한 속성만 검증한다는 한계가 있습니다.
두 번째 단계는 수동 검토입니다. 엔지니어들이 코드를 한 줄씩 읽으면서 논리 오류, 잘못된 가정, 그리고 모델이 찾아내지 못하는 미묘한 실수들을 찾아냅니다. 모델에게는 그런 오류를 찾아내라고 지시한 사람이 없기 때문입니다. 대부분의 실질적인 발견은 이 단계에서 이루어집니다. 코드의 양과 복잡성에 따라 전체 과정은 작은 코드의 경우 약 48시간에서 대규모 프로토콜의 경우 몇 주까지 걸릴 수 있습니다.
보고서 읽기: "해결됨" vs "확인됨"
최종 결과물은 보고서입니다. 이 보고서는 각 취약점을 심각도(심각, 주요, 경미, 정보)별로 분류하고, 프로젝트에서 해당 취약점에 대해 어떤 조치를 취했는지 기록합니다. 마지막 항목은 사람들이 생각하는 것보다 훨씬 중요합니다. "해결됨"으로 표시된 취약점은 팀에서 수정 후 CertiK에서 재검토를 완료했음을 의미합니다. "인정됨"으로 표시된 취약점은 팀에서 해당 취약점을 확인하고 대수롭지 않게 여겨 배포를 진행했음을 의미합니다. 두 프로젝트 모두 동일한 배지를 달고 있을 수 있지만, 하나는 모든 취약점을 수정했고 다른 하나는 심각한 경고를 무시했을 수 있습니다. 배지 자체로는 두 프로젝트를 구분할 수 없습니다. 보고서가 이를 구분해 줍니다. 보고서의 날짜가 중요한 이유도 바로 이 때문입니다. 코드는 배포된 후 변경됩니다. 1년 전, 그리고 10번의 업그레이드가 지난 시점의 감사 보고서는 검토 당시의 형태로 온체인에 더 이상 존재하지 않을 수도 있는 프로젝트를 설명하고 있습니다.
| 단계 | CertiK의 역할 | 잡다 | 사각지대 |
|---|---|---|---|
| 형식적 검증 | 코드의 특정 속성을 수학적으로 증명합니다. | 정해진 규칙에 수학적, 논리적 오류가 있습니다. | 지정된 속성 외의 모든 것 |
| 수동 검토 | 엔지니어들은 코드를 직접 손으로 읽습니다. | 논리적 오류, 잘못된 가정, 알려진 공격 패턴 | 오프체인 시스템, 감사 후 코드 변경 |
| 보고 및 재감사 | 발견된 문제점을 심각도별로 나열하고, 수정 사항을 다시 확인합니다. | 문제가 해결되었는지 여부 | 팀이 실제로 수정된 버전을 배포했는지 여부 |
스카이넷과 CertiK Web3 보안 점수
감사는 일회성 스냅샷에 불과합니다. 스카이넷은 CertiK이 지속적인 서비스를 제공하기 위한 시도입니다. 프로젝트 출시 후 실시간으로 프로젝트를 모니터링하고 각 프로젝트에 보안 점수를 부여하는 대시보드입니다. CertiK은 현재 2만 개 이상의 프로젝트를 온체인에서 모니터링하고 있다고 밝혔습니다.
스카이넷 점수는 여러 요소를 종합하여 산출됩니다. 프로젝트가 감사를 받았는지, 팀이 CertiK의 KYC 검사(골드, 실버, 브론즈 등급으로 구분)를 통과했는지, 그리고 계약 동작 방식 등을 고려합니다. 스카이넷은 런타임 모니터링을 통해 온체인에서 계약 동작을 분석하고 이상 징후를 감지하여 표시합니다. 또한, 먹튀 및 악용에 대한 온체인 모니터링 경고를 제공하고, 프로젝트 순위를 매기는 리더보드도 운영합니다. 스카이넷 점수는 첫인상으로는 매우 유용합니다. 전체 보고서를 읽는 것보다 빠르고, 명백한 위험 신호를 알려줍니다. 하지만 스카이넷 점수는 CertiK가 판매하는 상품이며, CertiK가 제공하는 입력값을 기반으로 구축됩니다. 따라서 높은 점수가 프로젝트의 안전성을 보장하는 것은 아닙니다. 점수는 하나의 데이터일 뿐, 절대적인 판단으로 받아들여서는 안 됩니다. 과거 사례를 보면, 악용되거나 조용히 버려지기 직전까지 높은 스카이넷 점수를 유지했던 프로젝트들이 많았습니다. 이는 과거 동작에 크게 의존하는 점수 체계가 악의적인 변경을 예측할 수 없기 때문입니다. 그것은 프로젝트가 아직 실패하지 않았다는 것을 알려줍니다. 하지만 결코 실패하지 않을 것이라고는 말할 수 없습니다.
감사 그 이상: CertiK의 생태계 전반
감사가 핵심이지만, CertiK는 그 외에도 훨씬 더 광범위한 서비스를 제공합니다. 침투 테스트는 지갑, 거래소, 앱에 모의 공격을 가하는 방식입니다. 플랫폼 수수료 없이 운영되는 버그 바운티 프로그램은 외부 해커에게 범죄자보다 먼저 취약점을 찾아내도록 비용을 지급합니다. 또한 익명의 설립자 뒤에 실명을 부여하는 KYC 서비스, MiCA 및 DORA 규정에 따라 규제를 받는 기업이 필요로 하는 컴플라이언스 및 자금세탁 방지 업무를 지원하는 SkyInsights, 그리고 문제가 발생한 후 여러 블록체인에서 도난 자금을 추적하는 SkyTrace 서비스도 있습니다. 이 모든 서비스는 감사를 대체하는 것이 아니라, 감사를 보완하는 역할을 합니다. 즉, 일회성 서비스가 탈중앙화 프로젝트의 전체 수명 주기를 아우르는 구독 서비스로 조용히 전환되는 것입니다.
감사 후 해킹: 공격 경로가 침투하는 경우
화려한 설명 자료들이 빼놓는 부분이 바로 여기입니다. 코드 감사는 특정 시점의 특정 코드에 대한 스냅샷일 뿐입니다. 이는 보증이 아니며, 보증처럼 취급하는 것이 서류상으로는 모든 것을 "제대로" 한 프로젝트에서 손해를 보는 이유입니다.
감사에서 다루지 않는 사항
스마트 계약 감사는 계약 자체를 검사하는 것입니다. 설립자들이 자금 풀을 비울 수 있는 관리자 키를 보유하고 있는지 여부는 검사하지 않습니다. 웹사이트, 서버 또는 그 뒤에 있는 개인 키도 검사하지 않습니다. 감사가 끝난 후 팀이 배포하는 코드 버전(검토 당시 버전과 다를 수 있음)도 검사하지 않습니다. 그리고 단순히 자금을 가지고 도망치는 팀을 막을 수는 없습니다. 프로젝트를 텅 비게 만드는 대부분의 공격 경로는 감사 대상 계약의 버그가 아니라 계약 주변의 허점에 숨어 있습니다.
멀린 DEX 사건: 경고되었지만 악용됨
Merlin DEX는 가장 명확한 사례입니다. CertiK에서 감사를 진행했고, 감사 보고서에서 실제로 문제점을 지적했습니다. 프로젝트 계약이 위험할 정도로 중앙 집중화되어 있어 악의적인 내부자가 악용할 수 있는 특권 접근 권한이 부여되어 있다는 것이었습니다. 2023년 4월, 바로 그 취약점을 이용해 약 182만 달러가 유출되었습니다. 감사 보고서는 틀리지 않았습니다. 위험 요소를 정확히 지적했으니까요. 하지만 경고는 "해결됨" 항목이 아닌 "인식됨" 항목에 기록되었고, 결국 보고서는 이미 지적했던 취약점을 그대로 이용해 공격이 이루어졌습니다. 결함을 발견하는 것은 쉬운 일이었지만, 그에 따른 조치는 고객의 몫이었고, Merlin 팀은 결국 아무런 조치도 취하지 않았습니다.
전체적인 상황을 살펴보면 이러한 추세는 업계 전체에 불안감을 조성합니다. CertiK의 Hack3d 보고서에 따르면 손실액은 감소하는 것이 아니라 오히려 증가하고 있습니다. CertiK는 2024년에 760건의 해킹 사건에서 약 23억 6천만 달러가 도난당했다고 집계했으며, 2025년에는 630건의 해킹 사건에서 약 33억 5천만 달러가 도난당했다고 예측했습니다. 하지만 2025년 수치는 14억 5천만 달러 규모의 Bybit 해킹 사건 하나로 인해 부풀려진 것입니다. 독립적인 데이터 분석 기관인 Chainalysis는 2025년 해킹 피해액을 약 34억 달러로 추산했으며, 이 중 약 20억 2천만 달러는 북한과 연계된 해킹 그룹과 관련이 있다고 밝혔습니다. 이러한 해킹 조직들은 계약 자체보다는 계약과 관련된 인력과 인프라를 노리는 경우가 점점 늘어나고 있는데, 이는 해킹 감사가 다루지 않는 영역입니다. 해킹 감사가 강화되었다고 해서 범죄가 줄어든 것은 아닙니다.
| 년도 | 보고된 손실 | 사건들 | 최대 싱글 히트 |
|---|---|---|---|
| 2024 | 23억 6천만 달러 | 760 | — |
| 2025 | 33억 5천만 달러 | 630 | 바이빗, 14억 5천만 달러 |
크라켄 사건과 CertiK의 신뢰 문제
신뢰를 파는 회사에게 있어, 회사의 행동은 곧 상품의 일부입니다. 하지만 최근 두 건의 사건으로 인해 그 관계가 곤란해졌습니다.
2024년 6월, CertiK 연구원들은 거래소 Kraken에서 제로데이 취약점을 발견하고, 단순히 보고하는 데 그치지 않고 이를 이용해 Kraken 시스템에서 약 3백만 달러를 인출했습니다. CertiK는 이를 해당 취약점의 심각성을 입증하는 사례라고 주장했습니다. Kraken은 이를 갈취라고 비난하며, CertiK가 압박을 받을 때까지 자금 반환을 거부했다고 밝혔습니다. 결국 자금은 반환되었지만, 보안 회사가 자사의 주장을 관철하기 위해 대규모로 고객사를 악용한 사건은 시장의 이미지를 실추시켰습니다. 이어 2025년 초, CertiK는 캄보디아의 Huione이라는 회사와 관련된 보안 감사 업무에 대해 사과했습니다. Huione은 이후 강제 노동 사기 사건과 연루된 것으로 드러났습니다. 이러한 사건들이 CertiK의 감사가 완전히 무가치하다는 것을 의미하는 것은 아닙니다. 다만, 시장에 신뢰를 요구하는 회사가 이제 신뢰도를 회복해야 한다는 것을 의미하며, CertiK는 현재 약 20억 달러의 기업 가치로 기업공개(IPO)를 준비하고 있는 것으로 알려져 있습니다.
CertiK와 다른 웹3 보안 업체 비교
CertiK은 블록체인 보안 분야에서 가장 유명한 이름이지만 유일한 업체는 아니며, 많은 프로젝트에서 당연한 선택으로 여겨지지는 않습니다. 감사 시장은 크게 규모가 큰 업체와 소규모 전문 업체로 나뉩니다. 소규모 업체는 고객 수가 적지만 심층적인 감사를 제공하며, 대규모 업체가 감당할 수 있는 수준을 뛰어넘는 자체적인 보안 기준을 설정하는 경우가 많습니다. 막대한 자금을 다루는 프로토콜은 바로 이러한 이유로 소규모 업체에 제2의 의견을 의뢰하기도 합니다. 규모와 심층적인 감사는 같은 의미가 아니며, 적합한 업체를 선택하는 것은 프로젝트의 단계와 예산에 따라 달라집니다. 가격 또한 이러한 차이를 반영하여, 소규모 토큰 감사는 수천 달러 정도인 반면, 복잡한 프로토콜에 대한 전체 검토는 수십만 달러에 달하기도 합니다.
| 단단한 | 집중하다 | ~로 알려져 있음 | 모델 |
|---|---|---|---|
| CertiK | 광범위한 웹3 보안 | 볼륨, 스카이넷, 브랜드 인지도 | 규모 |
| 트레일 오브 비츠 | 높은 수준의 보안 | 심층적인 수동 검토, 연구 | 부티크 |
| 오픈제플린 | 스마트 계약 보안 | 널리 사용되는 계약 라이브러리 | 부티크 |
| 할본 | 블록체인 및 인프라 보안 | 침투 테스트, 고급 익스플로잇 | 중형 |
| 하켄 | Web3 감사 및 모니터링 | 비용 효율적인 감사 | 중형 |
CertiK 인증 배지 읽는 방법
프로젝트에서 "CertiK 감사 완료"라는 문구를 보셨다면, 바로 신뢰하기 전에 실제 보고서를 열어 다음 다섯 가지를 확인하세요. 첫째, 감사 범위: 어떤 계약이 검토되었는지, 그리고 여러분의 자금이 관련된 부분이 검토 대상에 포함되었는지 확인하세요. 둘째, 감사 날짜와 커밋 해시를 확인하고, 실제 운영 중인 코드와 비교해 보세요. 날짜와 해시가 종종 다르기 때문입니다. 셋째, 감사 결과: 심각한 문제점은 몇 건이었는지, 그리고 해결되었는지 아니면 단순히 확인만 되었는지 확인하세요. 넷째, 감사 대상 버전과 실제 배포된 버전이 일치하는지 확인하세요. 다섯째, 스카이넷 점수만으로 판단하지 마세요. 스카이넷 점수는 요약 정보일 뿐, 보고서 전체 내용이 아닙니다.
티커에 대해 간단히 설명드리겠습니다. 많은 분들이 혼동하시는 것 같아서요. CertiK라는 회사는 비상장 회사이며 주식을 발행하지 않습니다. CTK는 CertiK의 초기 사업과 관련된 별도의 지분증명(Proof-of-Stake) 네트워크인 Shentu 체인의 토큰입니다. CTK를 구매하는 것은 회계 감사 사업의 지분을 구매하는 것이 아닙니다. 혹시 "CertiK 주식"을 찾고 계신다면, 아직 그런 주식은 없습니다.
CertiK 감사의 실제 가치는 무엇일까요?
그렇다면 CertiK 감사는 정말 가치가 있을까요? 네, 어느 정도 한계는 있습니다. 감사의 기준을 높여주고, 허술한 코드를 걸러내고, 실제 위험 요소를 문서화하며, 책임감 있는 팀에게 해결해야 할 문제점 목록을 제공합니다. 하지만 CertiK 감사가 담당자의 책임을 보장해 줄 수는 없습니다. 배포된 코드가 감사 내용과 일치한다는 보장도 없고, 지적된 위험 요소가 실제로 해결되었다는 보장도 없습니다. CertiK 인증 배지는 검증 과정의 시작일 뿐, 최종 목표가 아닙니다. 다음에 "CertiK 감사 완료"라는 문구를 보게 되면, 거의 아무도 하지 않는 지루한 일을 해보세요. 바로 보고서를 열어 어떤 부분이 수정되었는지 확인하는 것입니다. 만약 프로젝트 담당자가 보고서를 보여주지 않는다면, 그것은 바로 보고서 공개를 꺼리는 이유일 뿐입니다. 확인할 수 없는 배지는 그저 상징일 뿐입니다.
