전 PayPal 임원이자 Gem COO인 Ken Miller와의 인터뷰

디지털 결제 분야에서 보안은 모든 면에서 최우선 과제였습니다. 지난 10년 동안 디지털 결제 혁명의 최전선에는 페이팔1억 6,500만 개의 활성 고객 계정을 보유하고 하루 약 1,250만 건의 결제를 처리하는 글로벌 결제 플랫폼입니다. PayPal은 SSL과 같은 은행 업계 표준 기술을 사용하여 고객 정보를 안전하게 보호하는 최첨단 사기 방지 시스템 분야의 선두 주자이며, 끊임없이 새로운 사기 방지 기술을 개발하고 있습니다.

비트코인이 페이팔보다 더 안전할 수 있다는 생각은 많은 독자들에게 충격적이지 않겠지만, 비트코인 ​​보안과 페이팔 사이에는 중요한 차이점이 있습니다. 비트코인이 얼마나 더 안전한지, 그리고 어떤 면에서 더 안전한지 알아보기 위해, 페이팔의 전 고위 임원이자 현재 비트코인 ​​보안 회사의 COO인 켄 밀러에게 문의했습니다. 보석.

밀러는 페이팔의 초기 직원 중 한 명이었습니다. 정확히 말하면 22번째였습니다. 그는 페이팔에 입사한 후 처음 몇 년 동안 페이팔의 사기 방지 시스템을 처음부터 구축하는 데 도움을 주었습니다. 당시에는 페이팔의 사업을 유지하기 위해 밀러의 팀이 신속하게 해결해야 할 새로운 유형의 사기나 사기 공격이 항상 있었던 것 같습니다.

"우리는 도난당한 신용카드와 은행 계좌 절도부터 가맹점 측 사기 및 피싱 공격까지 다양한 공격이 끊임없이 발생하는 것을 목격했습니다."
— – 밀러

공격이 빈번했을 뿐만 아니라, 오늘날에는 존재하지 않는 다른 위험들도 있었습니다. 당시 전자상거래는 상당히 새로운 개념이었고, 웹사이트 인증서도 새로 개발되어 널리 신뢰받지 못했습니다. 오늘날 우리가 누리고 있는 P2P 거래나 더 높은 수준의 웹사이트 암호화와 같은 도구는 존재하지도 않았습니다. 이러한 정기적인 공격에 맞서기 위해 밀러와 그의 팀은 전체 시스템을 직접 구축해야 했습니다.

"또한 우리는 사업 감각이 없는 상인들과 그에 따른 위험(사기보다는 파산 위험에 더 가깝습니다)과 같은 전통적인 신용 문제와도 싸워야 했습니다."
— – 밀러

오늘날 전자상거래에서 중요한 역할을 하는 많은 혁신적인 보안 시스템은 Miller와 그의 팀에 의해 구축되었습니다. "제가 거기서 근무한 지 몇 년 후에 우리는 즉시 ACH 결제와 PayPal/eBay 구매자 보호 프로그램 등 다른 멋진 것들을 구축했습니다. 이는 모든 PayPal 거래에 대한 소비자 보호를 제공하는 엄청나고 혁신적인 노력이었습니다."

페이팔에서 승진하며 결국 고위 임원직에 오르는 동안 밀러는 온갖 사기를 목격했습니다. 그가 수년간 목격한 가장 흔한 사기는 자녀에게 멋진 크리스마스 선물을 사주는 부모를 노리는 것이었습니다. 이 사기꾼들은 계절 상품, 특히 일반 소매점에서 이미 품절된 상품을 노렸습니다. 밀러는 "어떤 해는 엘모 인형이었고, 어떤 해는 플레이스테이션 2였습니다."라고 말했습니다.

"이 악당들은 장난감이 풍부하다고 주장하는 가짜 웹사이트를 만들어 아무것도 모르는 부모들에게 사라고 강요했습니다. 그런 다음 악당은 수천 달러를 훔쳐 달아났고, 영웅이 될 거라고 생각했던 부모는 이제 장난감도 없고 돈도 모두 잃었습니다."
— – 밀러

휴일은 차치하고라도, 일 년 내내 다른 사람들을 속이는 사람들을 흔히 볼 수 있었습니다. "예전에는 시스템을 속여 무지하다고 변명하거나 기술적인 문제를 이용해 이득을 취하려는 사람들도 있었습니다." 밀러는 설명했습니다. "한번은 이베이 판매자가 플레이스테이션 박스 전면 사진을 첨부하여 경매 글을 올렸는데, 당시 플레이스테이션의 시세보다 약간 낮은 가격으로 경매 가격을 책정한 적이 있었습니다. (예를 들어, 당시 경매 가격은 300달러 정도였던 것 같은데, 판매자가 275달러로 책정한 것입니다.)"

경매가 마감되었고 구매자가 돈을 보냈습니다. 그런데 판매자가 빈 플레이스테이션 상자를 보내면서, 사진에 나온 게 전부였으니 진짜라고 주장했습니다. 거기서부터 엄청난 혼란이 벌어졌습니다.
— – 밀러

밀러는 사기 방지 분야에서 이룬 업적으로 세간의 주목을 받았지만, 때로는 목숨까지 위험에 빠뜨렸습니다. 페이팔의 사기 방지 성공 사례와 혁신에 대한 밀러의 기사를 다룬 한 잡지 기사는 과도한 관심을 불러일으켰습니다.

"얼마 전 러시아의 조직범죄단으로부터 영어로 된 살해 협박 이메일을 받았는데, 그들은 우리가 하는 일을 좋아하지 않고, 내가 누구이고 어디에 사는지 알고 있으며, 그들의 활동을 표적으로 삼는 것을 그만두지 않으면 보복이 있을 것이고, '원한다면 너희를 제거할 수도 있다'고 했습니다."
— – 밀러

법 집행 기관이 개입하여 조치를 취했습니다. 그럼에도 불구하고 밀러는 한동안 불안한 마음을 떨쳐낼 수 없었습니다. "말할 필요도 없이 그 후 몇 주 동안 차 시동을 거는 건 정말 즐거웠습니다."

그 위협에도 불구하고 밀러는 보안 분야에서 일하는 것을 멈추지 않았고, 나중에는 "흥미로운 경험"이라며 웃어넘겼습니다. 그는 사건 이후 수년간 페이팔에 근무하다가 마침내 비트코인 ​​사업에 뛰어들었습니다.

PayPal에서 비트코인으로 전환하면서 밀러는 사기 방지에 대한 모든 지식을 갖추고 비트코인으로 해결된 과제와 아직 해결되지 않은 과제에 대한 독특한 이해를 갖게 되었습니다.

"비트코인 결제 시스템은 비트코인이라는 기술 프로토콜을 기반으로 구축되었는데, 이는 우리가 이전에 본 적 없는 독보적인 기술입니다. 빠르고, 저렴하며, 즉각적이고, 공개적으로 검증 가능합니다. 기존의 결제 시스템은 수십 년 된 레거시 플랫폼 위에 구축되었는데, 이러한 플랫폼들은 나뭇가지와 덕트 테이프로 고정되어 있고, 보안 취약점이 있으며, 사용료가 비쌉니다."
— – 밀러

이러한 이해는 그의 새로운 회사 비트코인 ​​지갑 개발에 중요한 역할을 했습니다. 밀러는 "비트코인 프로토콜은 다중 서명 거래를 허용하는데, 이는 제대로 구현된다면 탁월한 보안 기능입니다. 개인 키를 사용하여 거래에 안전하게 서명하고, 신뢰할 수 있고 안전한 제3자가 해당 반서명된 거래를 공동 서명하도록 하는 기능은 매우 강력합니다. 비트코인의 장점은 https처럼, 나중에 비트코인을 삽입하는 대신, 이미 예상되는 거래에 바로 내장할 수 있다는 것입니다. 기업들은 수년간 구축해 온 아키텍처를 다시 구축해야 하는 번거로움을 겪지 않아도 됩니다."라고 설명했습니다.

하지만 비트코인은 전적으로 소프트웨어로 존재하며, 각 회사는 자사 제품을 구동하는 기반 하드웨어를 제공할 책임이 있습니다. 보안 분야에서는 작업에 적합한 하드웨어를 선택하는 것이 특히 중요하며, 밀러는 다시 한번 산업 표준에 대한 지식을 발휘했습니다.

밀러는 비트코인 ​​세계가 다른 곳에서 채택한 하드웨어 보안 관행을 도입함으로써 이점을 얻을 수 있다고 지적하며, "이의 좋은 예가 하드웨어 보안 모듈(HSM)입니다. HSM은 다른 산업(금융 서비스, 항공우주, 정부)에서 개인 키를 생성하고 저장하는 데 사용되는 하드웨어 장치로, 제대로 구축하면 해킹 시도를 강력하게 방어할 수 있습니다."라고 말했습니다.

Gem에서는 실제로 FIPS-140-2-레벨 3 인증 장비를 사용하여 Gem의 모든 공동 서명 키를 생성하고 저장합니다. 즉, 현장에 악의적인 직원이 장치를 부수고 내부에서 카드를 훔치려고 시도하더라도 장치가 자체 파괴되도록 설계되어 매우 안전하다는 의미입니다.
— – 밀러

이 하이브리드 시스템의 결과물은 비트코인 ​​세계나 기존 금융 시스템이 단독으로 달성할 수 없는 수준의 보안을 갖춘 지갑입니다. "멀티시그와 블록체인 기술 자체의 이점에 HSM과 같은 기술을 더하면 기존 금융 서비스에서 볼 수 있는 것과는 차별화된 보안을 구현할 수 있는 매우 매력적인 기회가 제공됩니다."

밀러가 자신의 이야기를 나누는 동안, 그가 모든 것을 처음부터 구축하고, 업계 선두를 유지하기 위해 최선을 다하며, 끊임없이 새로운 아이디어와 시스템을 개발해 온 자신의 업적에 얼마나 자부심을 느끼는지 쉽게 알 수 있었습니다. 페이팔은 오늘날까지도 사용되고 있는 많은 혁신적인 시스템을 도입했습니다.

"페이팔은 당분간 더 나은 시스템을 구축했지만, 앞으로도 계속 그럴 필요는 없습니다. 우리는 은행 계좌 확인을 위해 캡차와 무작위 소액 입금을 모두 사용한 최초의 기업이라는 점에서 매우 혁신적이었습니다."
— – 밀러

이 두 도구는 기존 은행 업계는 물론 코인베이스를 포함한 일부 비트코인 ​​회사에서도 흔히 사용됩니다. 밀러는 "얼마 전까지만 해도 캡차처럼 기본적인 것도 사용되지 않았다는 게 믿기지 않습니다."라고 말했습니다.

비트코인에는 없지만 페이팔에는 충분한 인력이 있다는 것이 핵심입니다. 밀러는 프로토콜보다 사람들이 더 잘할 수 있는 부분들이 있다고 생각합니다. 이를 설명하기 위해 밀러는 페이팔의 통계학자 및 코더 팀과 협력하여 사기 방지를 위한 정교한 모델링을 어떻게 개발했는지 자세히 설명했습니다.

그의 팀은 상대적인 거래 규모, 가입 절차 완료 시간, 로그인 빈도, IP 주소 위치 불일치 등의 변수를 상세 모델에 통합하여 사기꾼에 맞서 엄청난 이점을 얻었습니다. 심지어 이 데이터를 활용하여 암시장에 침투할 수도 있었습니다. "우리는 도난당한 페이팔 계정이 거래되고 판매되는 지하 IRC 채널을 모니터링하는 등 매우 창의적인 작업을 수행했습니다. 또한, 가끔은 일부 채널을 구매하여 해당 채널을 통제하고, 시스템이 어떻게 해킹을 탐지하지 못했는지 역공학을 시도했습니다."

리버스 엔지니어링 노력은 성과를 거두었지만, 이런 방식으로 사기를 예방하려면 끝없는 에스컬레이션이 필요하다는 사실을 암시했습니다. "엄청나면서도 유익한 경험이었습니다."

"도난당한 PayPal 계정의 가격이 치솟는 것을 보면 우리는 흥분했습니다. 왜냐하면 PayPal 계정을 구하기가 점점 더 어려워지고, 따라서 암시장에서 가치가 더 높아진다는 것을 의미했기 때문입니다."
— – 밀러

PayPal과 Bitcoin의 보안 분야에서 폭넓게 일한 Miller는 일반 대중이 두 가지 요소가 모두 충족될 때 Bitcoin이 기존 은행 계좌보다 더 안전하다고 느낄 것이라고 생각합니다.

첫째, 밀러는 비트코인 ​​금융 상품이 훨씬 더 안전해야 한다고 생각합니다. 즉, 매달 발생하는 해킹과 보안 침해는 과거의 일이 되어야 한다는 것입니다.

"지금까지 비트코인 ​​10개 중 약 1개가 분실되거나 도난당했는데, 이는 심각한 문제입니다. 하지만 페이팔 초창기처럼, 단기간에 수용 가능하고 관리 가능한 수준으로 낮출 수 있으며, 이러한 문제와 사건들은 대부분 사라질 것입니다."
— – 밀러

둘째, 밀러는 사람들이 시간이 지남에 따라 비트코인의 사용 방식에 익숙해져야 한다고 확신합니다. 매번 비트코인을 사용할 때마다 익숙해지는 심리적 효과가 있기 때문입니다.

"시간이 지나고 인식이 바뀌면서 편안함도 함께 찾아옵니다. 고객이 비트코인 ​​지갑을 6개월 동안 20번 사용한다면, 처음에 느꼈을 불안감은 제품과 그 보안에 익숙해지면서 사라지기 시작할 것입니다."
— – 밀러

이 점을 보여주기 위해 밀러는 비유를 들었습니다. "처음 면허를 땄을 때 어머니는 제가 며칠 안에 자살하거나 다른 여러 사람을 죽일 수 있는 끔찍한 운전자라고 생각하셨을 겁니다. 6개월 후, 어머니의 인식과 편안함은 주로 시간과 사고 감소 덕분에 바뀌었습니다. 개인의 돈이 개입되는 새로운 지불 시스템도 같은 방식으로 작동할 것입니다. 기존 옵션과 동등하거나 더 안전하게 만들고, 사고 없이 사용하는 데 익숙해지도록 하면, 그들의 사고 공간을 조금 차지하게 될 것입니다."

비트코인과 페이팔은 모두 최대한의 보안을 추구하지만, 차이점도 있습니다. 밀러는 더 많은 시간과 개발이 이루어진다면 비트코인이 모든 결제 시스템 중 가장 안전한 시스템이 될 수 있다고 믿습니다.

"궁극적으로 비트코인은 PayPal을 포함한 기존의 모든 금융 서비스 시스템보다 훨씬 더 안전할 수 있는 잠재력을 가지고 있습니다."
— – 밀러

하지만 이미 몇몇 성공 사례가 나타나고 있는데, 특히 그의 Gem 지갑과 같은 지갑이 그렇습니다. 밀러는 페이팔 계좌와 Gem 지갑 중 어느 쪽에 오늘 1000달러 상당의 저축을 보관하고 싶은지 단도직입적으로 묻자 "쉽죠. Gem이죠."라고 답했습니다.