리플, XRP 원장에 AI 기반 레드팀 투입… 발견 내용 공개

잔물결 통합 인공지능의 전체 개발 수명주기 XRP 원장 (XRPL)자동화된 코드 스캔, 적대적 테스트, 그리고 AI 지원 레드팀을 포함한 다양한 공격 기법을 활용하고 있습니다. 이러한 노력은 이미 성과를 내고 있으며, 레드팀은 10개 이상의 버그를 발견했고, 그중 심각도가 낮은 문제들은 지금까지 공개되었습니다.

리플은 왜 지금 XRP 원장 보안을 전면 개편하는 걸까요?

XRP Ledger는 지속적으로 운영되고 있습니다. 2012 이후그동안 1억 건 이상의 원장 항목을 처리하고 30억 건 이상의 거래를 처리했습니다. 이러한 실적은 매우 중요하지만, 동시에 실질적인 문제점도 안고 있습니다. 바로 10년 이상에 걸친 엔지니어링 결정이 반영된 코드베이스이며, 그중 일부는 최신 보안 도구가 등장하기 이전에 만들어진 것이라는 점입니다.

리플은 최근 블로그 게시물에서 "네트워크 초기 단계에서 이루어진 설계 결정, 소규모에서 유효했던 가정, 그리고 현대적인 도구가 등장하기 이전의 패턴들이 모두 합쳐져 오늘날 시스템 작동 방식을 형성한다"고 언급했습니다.

회사 측은 이번 개편의 시기를 XRPL의 역할 확대와 연관 짓고 있습니다. 현재 XRPL 네트워크는 기관 결제, 실물 자산 토큰화, 그리고 싱가포르 통화청(MAS)의 BLOOM 이니셔티브와 같은 금융 인프라 프로젝트를 지원합니다. BLOOM 이니셔티브는 중앙은행이 지원하는 디지털 화폐 및 결제 시스템 연구 프로그램입니다. 업무량이 증가하고 중요도가 높아짐에 따라, 리플은 기존의 테스트 방식만으로는 더 이상 충분하지 않다고 주장합니다.

현대 보안 테스트에서 AI의 역할

인공지능(AI)은 소프트웨어 보안 분야에서 새로운 기술은 아니지만, 블록체인 프로토콜에 대한 적용은 최근 들어 가속화되고 있습니다. 머신러닝 도구는 방대한 코드베이스를 체계적으로 탐색하고, 예외적인 상황을 찾아내며, 수동 검토로는 따라잡을 수 없는 규모로 공격자의 행동을 시뮬레이션할 수 있습니다.

관련 데이터 하나를 소개하자면, 앤트로픽의 클로드 오푸스 4.6 모델은 2주간의 실험에서 파이어폭스 브라우저에서 22개의 취약점을 발견했으며, 그중 14개는 심각도가 매우 높은 것으로 분류되었습니다. 이러한 결과는 업계 전반의 블록체인 개발자들이 AI 기반 보안을 더욱 진지하게 고려하게 만드는 계기가 되었습니다.

리플의 입장은 악의적인 공격자들이 이미 유사한 도구를 사용하여 취약점을 찾고 있으므로 개발 측에서도 상응하는 대응이 필요하다는 것입니다.

리플의 AI 보안 전략에는 실제로 무엇이 포함되어 있습니까?

이 전략은 코드 작성 방식부터 실제 네트워크에 대한 변경 사항 승인 방식까지 모든 것을 포괄하는 6가지 핵심 요소로 구성되어 있습니다.

핵심 기술 구성 요소는 다음과 같습니다.

• 모든 풀 리퀘스트(PR)에 대한 AI 기반 코드 스캔: 모든 코드 변경 제안은 병합되기 전에 공격자 스캐닝 도구를 사용하여 검토되므로 프로세스 초기에 문제를 발견할 수 있습니다.
• 자동화된 퍼징 및 적대적 테스트: Ripple은 퍼징(fuzzing)을 실행하는데, 이는 무작위 입력이 아닌 명확한 위협 모델에 따라 시스템에 예상치 못한 입력이나 잘못된 형식의 입력을 입력하여 시스템의 반응을 확인하는 것을 의미합니다.
• 위협 모델링 및 공격 표면 매핑: 새로운 기능과 기존 기능은 각각 독립적으로 어떻게 작동하는지가 아니라 서로 어떻게 상호 작용하는지를 분석합니다.
• 예외 상황 시뮬레이션: AI 도구는 특히 기존 코드와 새로운 기능이 만나는 경계면에서 수동으로 구성하기에는 비현실적인 스트레스 시나리오를 생성합니다.

AI 지원 레드팀

보안 분야에서 레드팀이란 공격자처럼 생각하고 행동하는 그룹입니다. 리플은 XRPL 코드베이스에 특화된 AI 기반 레드팀을 구성했습니다. 이 팀은 각 기능을 개별적으로 테스트하는 대신, 실제 환경에서 기능들이 어떻게 상호 작용하는지 살펴봅니다. 이는 장기 운영 시스템에서 가장 취약한 부분입니다.

유망한 프로젝트를 발견하세요...

유망한 프로젝트...

(광고)

기사는 계속됩니다...

레드팀은 이미 10개 이상의 버그를 발견했습니다. 리플은 발견된 모든 문제를 우선순위에 따라 수정하고 있으며, 더욱 중요한 발견 사항은 조직적인 공개 절차를 통해 처리하고 있다고 밝혔습니다.

Ripple은 구조적인 코드 문제를 어떻게 해결하고 있습니까?

리플은 적극적인 테스트 외에도 기본 코드베이스 자체를 현대화하기 위해 노력하고 있습니다. 이는 테스트만으로는 완전히 해결할 수 없는 문제들을 해결하기 위한 것입니다.

수명이 긴 시스템에서는 버그가 개별적인 실수보다는 구조적인 문제에서 비롯되는 경우가 많습니다. 리플은 XRPL에서 이러한 문제들을 몇 가지 발견했습니다.

• 타입 안정성이 제한적이라는 것은 함수가 어떤 종류의 데이터를 입력받거나 반환할 수 있는지에 대한 엄격한 규칙을 코드가 항상 준수하지 않는다는 것을 의미합니다.
• 네트워크 역사에서 서로 다른 시점에 추가된 기능들 간의 상호 작용 패턴이 일관되지 않습니다.
• 시스템이 어떻게 동작해야 하는지에 대한 가정이 코드 자체에서 공식적으로 검증되지 않는, 불변성 강제력이 불충분한 경우.
• 개발자들이 암묵적으로 의존하지만 시스템에서 검증하지 않는, 문서화되지 않았거나 강제되지 않은 가정들.

이러한 문제를 해결하면 시스템이 더욱 예측 가능하고 이해하기 쉬워져 예상치 못한 상호 작용으로 인한 버그 발생 가능성이 줄어듭니다.

XRPL 개정안은 어떻게 변경되나요?

수정안은 XRP 원장에서 프로토콜 수준의 변경 사항을 활성화하는 메커니즘입니다. 수정안이 효력을 발휘하려면 검증자들의 합의가 필요합니다.

리플은 프로토콜 변경 사항을 활성화하기 전에 평가하는 기준을 높이고 있습니다. 향후 중요한 프로토콜 변경 사항에 대해서는 여러 독립적인 보안 감사, 외부 연구원들의 참여를 유도하기 위한 버그 바운티 프로그램 확대, 그리고 공격자 테스트(참가자들이 새로운 기능을 실제로 작동시키기 전에 적극적으로 취약점을 찾아내는 구조화된 이벤트)를 통한 공격자 테스트를 의무화할 예정입니다.

리플은 XRPL 재단과 협력하여 명확한 보안 준비 기준을 정의하고 발표할 것이며, 네트워크에 적용되기 전에 수정 사항이 충족해야 하는 테스트, 검토 및 위험 평가에 대한 명확한 기준을 설정할 것이라고 밝혔습니다.

XRP 레저의 다음 행보는 무엇일까요?

리플은 차기 XRPL 릴리스가 새로운 기능 추가 없이 버그 수정 및 코드 개선에만 집중될 것이라고 확인했습니다. 이는 기초 작업에 집중하기 위해 기능 개발을 의도적으로 중단한다는 것을 의미합니다.

또한, 회사는 XRPL Commons, XRPL 재단, 독립 보안 ​​연구원, 검증자 운영자 및 외부 보안 회사 등 외부 파트너와의 협력을 강화할 계획입니다. 다양한 관점을 가진 여러 조직에 보안 노력을 분산하는 것은 중요 인프라에서 일반적인 관행이며, 리플은 이제 XRPL에 대해 이러한 방식을 공식화하고 있습니다.

보안 관련 정보 공개, 발표된 조사 결과 및 얻은 교훈은 명확한 투명성 약속의 일환으로 더 넓은 커뮤니티와 공개적으로 공유될 것입니다.

맺음말

리플은 개별 코드 변경 검토부터 실제 네트워크에 대한 대규모 공격 시뮬레이션에 이르기까지 XRP Ledger 개발의 모든 단계에 AI를 접목하고 있습니다. 

레드팀은 이미 10개 이상의 버그를 발견했으며, 차기 XRPL 릴리스에는 새로운 기능이 포함되지 않을 예정입니다. 또한 XRPL 재단과 협력하여 수정 사항에 대한 새로운 보안 기준을 개발하고 있습니다. 이러한 노력은 기관 결제 및 자산 토큰화 분야에서 네트워크의 역할이 확대됨에 따라 인프라 장애에 대한 허용치가 거의 제로에 가까워진 상황에 대한 직접적인 대응입니다.

리소스

1. Ripple의 블로그 게시글AI를 활용하여 XRP 원장 보안을 강화하고 차세대 성장을 도모합니다.

2. Tech In Asia의 보고서리플, XRP Ledger 개발 전반에 AI 보안 검사 기능 추가

3. CoinDesk의 보고서기관 사용 사례가 증가함에 따라 리플은 XRP 원장의 스트레스 테스트를 위해 AI를 활용합니다.