Axelar: InteropBeat로 본 상호운용성 솔루션 보안 구조 비교
1. 보안 임계값이란 무엇인가
브릿지의 안전성은 속도나 수수료보다 거래 유효성을 승인하는 권한이 얼마나 분산되어 있는지를 기준으로 봐야 합니다. InteropBeat의 보안 임계값은 이 차이를 비교하기 위한 기준을 제공합니다.
브릿지는 일반적으로 한 체인의 자산을 잠그거나 소각하고, 다른 체인에서 이에 상응하는 자산을 발행하는 방식으로 작동합니다. 이때 목적지 체인은 출발지 체인에서 발생한 상태 변화를 직접 확인하기 어렵습니다. 따라서 목적지 체인은 별도의 검증 주체가 전달하는 정보를 바탕으로 자산 발행이나 메시지 실행을 승인합니다.
InteropBeat는 체인 간 거래의 승인 구조를 보안 임계값(Security Threshold)이라는 지표로 정리하고, 각 솔루션의 검증 권한 분산 정도를 N/M 형태로 비교할 수 있게 합니다. 보안 임계값은 일반적으로 N/M 형태로 표시됩니다. 이는 위조 거래가 승인되기 위해 M개의 검증 주체 중 최소 N개가 침해되거나 담합해야 한다는 의미입니다. N/M 표기 자체는 암호학과 블록체인 보안 분야에서 널리 쓰이는 임계값 표기이며, InteropBeat는 이를 상호운용성 솔루션 비교에 일관되게 적용한 것입니다.
N 값이 클수록 공격자가 동시에 장악해야 하는 검증 주체가 많아지고, 승인 구조의 공격 난도도 높아집니다. 하지만 보안 임계값은 브릿지 보안 전체를 설명하지 않습니다. 실제 손실 가능성은 스마트 컨트랙트 구현, 키 관리, 운영 정책, 애플리케이션별 검증 구성, 검증 주체 간 독립성, 지분 분포 등 여러 요소의 영향을 함께 받습니다.
실제로 2022년 Wormhole 자금 유출은 검증 주체 담합이 아니라 컨트랙트의 서명 검증 결함에서 발생했습니다. 따라서 보안 임계값은 해킹 가능 여부를 단정하는 수치가 아니라, 승인 권한이 얼마나 넓게 분산되어 있는지를 비교하는 기준으로 봐야 합니다. 컨트랙트 결함이나 키 관리는 감사와 개선으로 보완할 수 있는 구현상의 문제에 가깝지만, 승인 권한이 소수에 집중된 구조는 다른 요소가 견고하더라도 단일 실패 지점을 남길 수 있는 설계상의 문제입니다.
2. InteropBeat 기준 주요 솔루션 비교
InteropBeat 기준으로 주요 상호운용성 솔루션의 검증 구조를 비교하면 다음과 같습니다.
보안 임계값은 수치를 검증 구조와 함께 놓고 볼 때 의미가 분명해집니다. Axelar처럼 프로토콜 차원에서 승인 조건이 고정된 구조는 모든 애플리케이션에 동일한 기본 검증 구조가 적용됩니다. 반면 LayerZero처럼 애플리케이션이 검증 구성을 선택하는 구조에서는 각 애플리케이션의 선택에 따라 보안 임계값이 달라질 수 있습니다. LayerZero에서는 이러한 외부 검증 네트워크를 DVN(Decentralized Verifier Network)이라고 부릅니다.
CCIP는 서로 독립된 두 검증 그룹을 모두 통과해야 하는 이중 검증 구조입니다. 하나는 Chainlink 노드 운영자들로 구성된 Committing DON(Decentralized Oracle Network)이고, 다른 하나는 별도로 운영되는 검증 네트워크인 RMN(Risk Management Network)입니다. 두 그룹의 승인을 모두 거쳐야 하기 때문에 하나의 N/M 값으로 단순 비교하기 어렵습니다.
Wormhole의 가디언(Guardian)은 Wormhole이 지정한 19개의 고정된 검증 주체로, 체인 간 메시지를 각자 확인하고 서명하는 역할을 합니다. 이 중 13개 이상이 서명해야 메시지가 승인됩니다.
InteropBeat는 Axelar를 Classic과 Amplifier로 구분하며, 표의 28/53은 Axelar Classic 기준입니다. Amplifier는 19/28로 표시되며, 이 기준으로 보더라도 비교군 중 높은 수준의 보안 임계값을 보입니다.
공격자가 침해해야 하는 최소 검증 주체 수, 즉 N 값을 기준으로 보면 분산 정도는 다음과 같이 나뉩니다.
권한 분산 스펙트럼
※ 스펙트럼은 하나의 N/M 값으로 표시 가능한 솔루션만 포함하며, 이중 검증 구조인 CCIP는 제외했습니다.
스펙트럼의 왼쪽에 있는 솔루션일수록 더 많은 검증 주체의 승인이 필요합니다. 반대로 오른쪽으로 갈수록 최소 구성에서 소수 검증 주체에 대한 의존도가 높아집니다. 즉, 보안 임계값의 차이는 단순한 숫자 차이가 아니라 공격자가 동시에 장악해야 하는 검증 범위의 차이를 의미합니다.
3. 애플리케이션별 검증 구성의 유연성과 한계
애플리케이션별로 검증 구성을 선택할 수 있는 구조에도 장점은 있습니다. 각 애플리케이션은 리스크 수준, 비용 구조, 운영 환경에 맞춰 검증 강도를 선택할 수 있습니다. 그러나 실제 운영에서는 비용, 편의성, 개발 속도 등의 이유로 낮은 검증 구성이 선택될 수 있습니다. 따라서 검증 구성을 유연하게 선택할 수 있다는 점과 실제 운영에서 충분히 분산된 구성이 사용되는지는 별개의 문제입니다.
Dune의 LayerZero DVN Setups 대시보드는 LayerZero 애플리케이션의 DVN 구성에서 낮은 검증 구성이 실제로 널리 사용되고 있음을 보여 줍니다. 배포 건수 기준으로는 전체 LayerZero 배포 중 41.3%가 검증 주체가 1개뿐인 1/1 구성에서 운영됐고, 가장 강한 4/4 구성은 전체의 0.5%에 그쳤습니다.
메시지 전송량 기준으로도 낮은 검증 구성의 비중은 높았습니다. 90일간 약 210만 건의 메시지 중 1/1 구성은 전체 전송량의 40.1%, 2/2 구성은 53.0%를 차지했습니다. 1/1 전송량 상위에는 wBTC, Stargate ETH 같은 대형 자산이 포함되어 있습니다.
토큰별 화면에서도 유사한 흐름이 나타납니다. USDe, USDT0, weETH 등 LayerZero 기반 주요 자산 다수는 2/2 구성으로 운영되고 있으며, Stargate ETH는 전송 경로에 따라 1/1과 2/2 구성이 나뉩니다. 이는 같은 프로토콜, 같은 자산이라도 출발 체인에 따라 승인 구조가 달라질 수 있음을 보여 줍니다.
사례: 2026년 4월 KelpDAO
2026년 4월 KelpDAO 자금 유출은 검증 구성을 애플리케이션 단위로 선택하는 구조에서 발생할 수 있는 리스크를 보여 준 사례입니다. Chainalysis는 공격자가 KelpDAO의 LayerZero 브릿지에서 약 2억 9,200만 달러, 116,500 rsETH를 탈취했으며, 이는 스마트 컨트랙트 버그가 아니라 오프체인 인프라를 겨냥한 공격이었다고 설명했습니다. LayerZero의 공식 설명은 당시 rsETH가 단일 검증 주체(DVN) 구성으로 운영되고 있었다는 점을 언급했습니다.
여기서 중요한 것은 책임 소재보다 검증 경로가 충분히 분산되지 않았을 때 발생하는 구조적 리스크입니다. 승인에 필요한 검증 주체 수는 보안 설계와 직결되며, 단일 검증 주체에 가까운 구성은 사실상 단일 실패 지점으로 작동할 수 있습니다. 또한 브릿지된 자산이 다른 대출 서비스나 디파이 프로토콜의 담보로 사용될 경우, 피해는 인접 서비스로 확산될 수 있습니다.
이 지점에서 비교 기준은 다시 승인 권한의 분산 정도로 이어집니다. 검증 강도가 애플리케이션마다 달라지는 구조와 달리, 프로토콜 차원에서 승인 조건을 고정하는 구조는 단일 승인 의존 리스크를 낮추는 방향으로 설계됩니다.
4. Axelar의 위치
이 기준에서 Axelar는 InteropBeat 기준 28/53의 보안 임계값을 보이며, 비교군 중 가장 높은 수준으로 구분됩니다. 또한 이 승인 조건은 애플리케이션별 설정이 아니라 프로토콜 차원에서 적용되기 때문에, Axelar를 사용하는 애플리케이션이 검증 구성을 1/1처럼 낮출 수 없습니다. Amplifier 기준인 19/28로 보더라도 Axelar는 비교군 중 높은 수준의 보안 임계값을 유지합니다.
따라서 Axelar는 애플리케이션마다 보안 수준이 달라지는 구조와 달리, 기본 승인 조건이 일관되게 유지됩니다. 높은 보안 임계값과 프로토콜 차원의 승인 조건은 단일 승인 의존을 줄이는 방향의 설계로 볼 수 있습니다.
높은 보안 임계값은 경우에 따라 지연이나 비용 증가를 수반할 수 있습니다. 그러나 대형 브릿지 자금 유출이 반복되어 온 상황을 고려하면, 상호운용성 인프라의 보안성은 단순한 성능 지표와 분리해 평가하기 어렵습니다.
5. 상호운용성 보안은 검증 권한의 분산 문제다
같은 상호운용성 솔루션으로 묶이더라도 검증 구조의 차이는 큽니다. 공격자가 침해해야 하는 검증 주체가 28개인 구조와 1개인 구조가 같은 “브릿지”라는 이름으로 쓰이고 있으며, 낮은 검증 구성이 예외가 아니라는 점은 실제 운영 데이터에서도 확인됩니다.
따라서 브릿지를 선택하거나 브릿지된 자산을 다룰 때 필요한 질문은 “몇 개 체인을 지원하는가”가 아니라 “이 경로의 승인 권한이 실제로 몇 개의 검증 주체에 분산되어 있는가”입니다. LayerZero처럼 애플리케이션이 검증 구성을 선택하는 구조에서는 프로토콜 이름이 아니라 해당 애플리케이션의 검증 구성이 보안 수준을 결정합니다.
이 기준에서 Axelar는 비교군 중 가장 높은 보안 임계값을 보이며, 개별 애플리케이션이 해당 임계값을 낮출 수 없다는 점에서 구분됩니다. 상호운용성 경쟁은 흔히 연결 범위와 속도로 이야기되지만, 반복된 자금 유출이 가리키는 기준은 다릅니다. 중요한 것은 얼마나 많은 체인을 연결하는지가 아니라, 그 체인 간 거래를 몇 개의 검증 주체가 함께 승인하는가입니다.
아티클 핵심 정보 출처
InteropBeat - Interoperability Security Comparison Dashboard
Dune - LayerZero DVN Setups Dashboard
Chainlink - Seven Key Cross-Chain Bridge Vulnerabilities Explained
Chainlink Docs - CCIP Architecture
Wormhole Docs - Guardians
Chainalysis - Wormhole Hack February 2022
Chainalysis - Inside the KelpDAO Bridge Exploit
LayerZero Blog - KelpDAO Incident Statement
면책 조항
본 보고서의 내용은 단순 정보 제공을 목적으로 하며, 어떠한 경우에도 법률, 비즈니스, 투자 및 세무 자문을 위한 권고나 근거로 사용될 수 없습니다. 본문에 언급된 특정 자산이나 증권은 정보 전달만을 위한 것으로, 해당 자산에 대한 매수·매도 제안이나 투자 권유를 의미하지 않습니다. 모든 투자 결정에 따른 책임은 투자자 본인에게 있으며, 본 보고서는 회계나 법률적 판단의 지침이 될 수 없습니다.
필자는 리서치 및 집필 과정에서 인지한 미공개 정보를 이용하여 관련 자산을 거래하지 않음을 원칙으로 하고 있습니다. 본 리포트의 저자 및 카탈라이즈는 보고서에서 다루는 자산 또는 토큰에 대해 개인적·경제적 이해관계를 가질 수 있으며, 특정 네트워크의 전략적 파트너일 수 있습니다.
본 보고서에 기술된 분석 및 의견은 저자 개인의 견해로, 카탈라이즈 또는 관련 기관의 공식 입장을 대변하지 않습니다. 또한, 모든 내용은 리포트 작성 시점을 기준으로 하며 시장 상황 및 신규 정보에 따라 사전 통보 없이 변경될 수 있습니다.