비트코인 ETF의 가장 큰 위협은 무엇인가요?

글: 데이비드 슈웨드, 전 갤럭시 디지털 상무이사, 코인데스크 글: 파인 스노우, 골든 파이낸스 편집

전 세계와 함께 최초의 비트코인 ETF 승인을 기다리는 동안 저를 괴롭혔던 한 가지는 다음과 같습니다. 피델리티와 반에크 등 몇몇을 제외하고는 거의 모든 신청자가 코인베이스를 수탁기관으로 삼으려 합니다. 피델리티와 반에크를 포함한 몇 곳을 제외하고 거의 모든 비트코인 현물 ETF 신청자는 코인베이스를 수탁기관으로 이용하려고 합니다.

블록체인 중심의 사이버 보안 리더로서 이러한 집중된 위험과 암호화폐 수탁의 본질적인 고위험성 때문에 망설이게 되었습니다.

코인베이스 자체가 걱정되는 것은 아닙니다. 이 회사는 알려진 해킹을 겪은 적이 없기 때문에 많은 기존 조직이 이 회사의 전문성을 신뢰합니다. 하지만 사이버 보안과 자산 관리의 교차점에서 일하면서 얻은 교훈은, 충분한 시간과 리소스가 주어진다면 누구든 해킹당할 수 있다는 것입니다.

저가 우려하는 것은 한 명의 수탁자에게 자산이 극단적으로 집중되는 것입니다. 암호화폐 자산이 현금과 비슷한 성격을 가지고 있다는 점을 감안하면 이는 그 자체로 걱정스러운 일입니다.

아마도 "적격 수탁자" 지정을 재고할 때가 된 것 같습니다. 현재의 규제 방식으로는 위험한 블록체인 기반 자산을 반드시 (또는 이상적으로) 보호할 수 있는 것은 아니기 때문입니다. 또한, 이상적으로는 디지털 자산 수탁기관이 현재보다 더 엄격한 주 및 연방 표준과 숙련된 규제 기관의 감독을 받아야 합니다.

오늘날 대부분의 자격을 갖춘 수탁기관은 주식, 채권 또는 디지털 추적의 법적 잔액을 보호하며, 이는 모두 근본적으로 법적 계약으로 단순히 '도난'당할 수 없습니다. 하지만 비트코인(BTC)은 현금이나 금과 마찬가지로 무기명 상품입니다. 암호화폐 해킹에 성공하는 것은 서부시대의 은행 강도와 같으며, 일단 도둑의 손에 들어가면 돈은 사라집니다.

따라서 암호화폐 관리자에게는 단 한 번의 실수만으로도 자산이 완전히 사라질 수 있습니다.

우리는 또한 전 세계 암호화폐 범죄의 세력이 강력하고 단호하다는 것을 알고 있습니다. 악명 높은 한 가지 예를 들자면, 북한의 라자루스 그룹 해킹팀은 지난 6년 동안 30억 달러 상당의 암호화폐를 훔친 것으로 추정되며, 멈출 기미가 보이지 않고 있습니다. 비트코인 ETF로 유입되는 자금은 첫 거래 주에 60억 달러를 넘어설 것으로 예상되며, 이러한 자금이 주요 타깃이 될 것입니다.

코인베이스가 디지털 금고에 수백억 달러의 비트코인을 보유하게 된다면 북한은 몇 년이 걸리더라도 5천만 달러의 자금을 훔치기 위한 작전을 쉽게 조직할 수 있습니다. 러시아 코지 베어/APT29 그룹과 같은 위협 행위자들도 이러한 자금 풀이 점점 더 커짐에 따라 기관 암호화폐를 노리는 것이 점점 더 매력적이라는 것을 알게 될 것입니다(아마도 더 커질 수도 있습니다).

이것은 주요 은행들이 대처할 준비를 하고 있는 위협 수준입니다. 금융 기관에 널리 사용되는 리스크 관리 모델은 세 가지 계층의 감독을 사용합니다. 첫째, 운영 관리 계층은 보안 관행을 설계하고 구현하며, 둘째, 리스크 계층은 이러한 관행을 모니터링하고 평가하며, 셋째, 감사 계층은 리스크 완화 관행이 실제로 효과적인지 확인합니다.

가장 중요한 것은 기존 금융 기관은 외부 감사인과 외부 IT 감독을 받을 뿐만 아니라 수많은 주 및 연방 규제 기관의 감독을 받게 된다는 점입니다. 많은 사람들이 위험과 보안의 모든 측면을 살펴볼 것입니다.

그러나 이러한 여러 계층의 중복성과 중첩된 안전장치를 구축하려면 직원 수라는 단순해 보이는 한 가지가 필요합니다.

은행 오브 뉴욕 멜론의 디지털 자산 기술 글로벌 책임자로 재직할 당시 이 투자 은행의 직원 수는 약 5만 명이었으며, 이 중 2%인 약 1,000명이 보안 업무를 담당하고 있었습니다. 코인베이스는 최근 사세를 확장한 후에도 여전히 5,000명 미만의 직원을 보유하고 있습니다. 비트고 역시 뉴욕주 및 기타 관할권에서 공인된 적격 수탁기관이지만, 그 수는 수백 명에 불과합니다.

이것은 이러한 조직이나 직원의 의도나 기술에 의문을 제기하려는 것이 아닙니다. 그러나 진정한 감독을 위해서는 중복성이 필요하며, 이러한 신생 조직은 수백억 달러의 무기명 증권을 보호할 수 있는 충분한 중복성을 확보하는 데 어려움을 겪을 수 있습니다.

적격 수탁기관 지정에 대한 사이버 보안 기준을 개선하여 그 규모가 더 커지기 전에(그리고 악의적인 공격자들에게 더 매력적으로 보이기 전에) 사이버 보안 기준을 개선해야 할 시기는 이미 오래 전입니다. 현재 신탁 또는 은행 라이선스는 주 및 연방 규제 기관에서 감독하고 있습니다. 이러한 금융 규제 기관은 주로 전통적인 은행 산업에 초점을 맞추고 있으며, 사이버 보안 전문가가 아니며 암호화폐 전문가도 아닙니다. 당연히 이들은 대차 대조표, 법적 절차 및 기타 금융 운영에 관심을 갖고 있습니다.

그러나 암호화폐 수탁기관에 있어 이러한 감독만이 중요한 것은 아니며, 반드시 가장 중요한 것도 아닙니다. 암호화폐 수탁업체를 위한 사이버 보안 및 위험 관리 관행에 대한 업계 전반의 표준이 없기 때문에 '적격 수탁업체'라는 지위가 말처럼 안심할 수 있는 것은 아닙니다. 이로 인해 투자자뿐만 아니라 신흥 산업 전체가 불투명성과 잠재적으로 심각한 결과에 노출될 수 있습니다.

일련의 비트코인 ETF 승인은 디지털 자산을 금융 시스템에 지속적으로 통합하기 위한 최신 단계에 불과합니다. 암호화폐 업계의 예측을 믿을 필요는 없습니다. ETF를 후원하는 전통적인 거대 기업인 블랙록에 물어보세요. 이러한 발전이 계속됨에 따라 투자자 보호에 진정으로 관심이 있는 규제 당국은 이 새로운 세상에 적응하는 데 집중할 것입니다.이 새로운 세상에서 엄격한 사이버 보안 표준은 정직한 공시 및 재무 감사만큼이나 금융 안정성에 중요합니다.