라이도의 Web3SOC 인증: 디파이 기관 실사 표준은 만들어지고 있는가

지난 5월 6일, 라이도(Lido)가 보안 회사 칸티나(Cantina)로부터 Web3SOC 인증을 받았음을 발표했다. 거버넌스, 재무 회복력, 보안, 법무 및 컴플라이언스 영역을 점검한 시점 평가(point-in-time assessment)의 결과물이며, 리퀴드 스테이킹 프로토콜로서는 첫 번째 인증 사례 중 하나이다.

이 발표에서 함께 살펴볼 만한 부분은 인증을 받았다는 사실 그 자체보다, 인증이 만들어진 배경이다. 210억 달러가 넘는 ETH가 라이도를 통해 스테이킹된 상황에서, 이를 통합하려는 기관 팀들은 단순히 프로덕트 리스크 뿐 아니라, 조직의 운영 방식도 함께 점검해볼 수 있는 일관된 실사 자료를 필요로 한다. 그러나 디파이 프로토콜을 평가할 때 이러한 요소들을 종합적으로 평가할 수 있는 표준화된 실사 프레임워크는 그동안 충분히 갖춰져 있지 않았다. Web3SOC는 기존 평가 프레임워크에 더하여 이러한 공백을 메우기 위해 제안된 프레임워크이며, 라이도의 인증은 이 시도가 실제 환경에서 어떻게 작동하는지를 가늠해 볼 수 있는 초기 사례에 해당한다.

1. Web3SOC란 무엇이고, 왜 필요한가

기존의 실사 프레임워크인 SOC 2나 ISO 27001은 중앙화된 조직을 전제로 설계되어 있다. 본질적으로 이들은 특정 조직 내부에서 누군가가 시스템에 대한 통제권을 행사하고, 그 통제권이 어떻게 행사되는지를 평가받는 모델이다. 그러나 디파이 프로토콜의 거버넌스는 온체인이고, 운영은 분산되어 있으며, 기술적 고려사항이 스마트 컨트랙트, 밸리데이터 인프라, 키 관리 등 상대적으로 더 넓은 영역에 걸쳐 있다. 따라서 이러한 구조에서는 SOC 2를 그대로 적용하기는 어렵다. 결과적으로 기관 팀들은 디파이를 평가할 때 기존 실사 프로세스를 디파이용으로 변형하거나, 프로토콜마다 처음부터 재구성하는 비표준적인 작업을 매번 반복해 왔다.

Web3SOC는 이러한 비효율성을 해소하기 위해 칸티나가 유니스왑 랩스(Uniswap Labs), 몰포(Morpho), 메이플 파이낸스(Maple Finance), 킬른(Kiln), 스테이크하우스(Steakhouse Financial), L1D, 시큐리움(Secureum) 등 디파이 프로토콜과 보안 회사들과 협력해 2025년 6월 처음 공개된 보안 인증 프레임워크다. 공개 이후 현재까지 코인베이스(Coinbase), 에테나(Ethena), 오일러(Euler), 라이도(Lido) 등이 추가적인 협력자로 합류하였다. 이번 인증은 프레임워크 설계 단계에 참여한 초기 협력자가 인증 수령자가 되는, 디파이에서 표준이 형성되는 흐름을 따르고 있다.

Web3SOC는 네 개의 도메인을 평가한다.

• 운영(Operational): 거버넌스 프로세스, 컨트리뷰터 간 조율, 기타 일반적인 운영 관행
• 재무(Financial): 경제적인 설계 메커니즘, 자본 회복력, 관련 재무 통제
• 보안(Security): 스마트 컨트랙트 보안, 애플리케이션 견고성, 인프라 리던던시(Redundancy), 공격 저항 능력, 보안 사고 대응 절차
• 규제(Regulatory): 법무 및 컴플라이언스 포지션, 기관 측면의 고려사항

Web3SOC는 위 도메인을 종합적으로 평가해 프로젝트에 4단계의 성숙도 티어를 책정한다. 다만 라이도의 이번 발표는 어떤 티어를 받았는지를 공개적으로 명시하지 않았는데, 이는 Web3SOC 자체가 공개 인증 배지와 비공개 상세 보고서를 분리해 운영하는 구조를 채택한 결과로 이해된다. 상세한 평가 결과는 요청에 한해 비공개로 공유된다.

2. 라이도의 기존 외부 평가 자료

Source: Staking Rewards

Source: Credora

라이도를 외부에서 평가한 자료가 Web3SOC 인증만 있는 것은 아니다. stETH는 이미 스테이킹 리워즈(Staking Rewards)의 리스크 프레임워크와 크레도라(Credora)의 디파이 평가 프레임워크에서 높은 등급의 평가를 받고 있다. 다만 Web3SOC를 포함한 이 셋은 평가 대상의 종류가 서로 다르다.

• 스테이킹 리워즈 리스크 평가: 스테이킹 자산 자체에 대한 리스크 점수에 초점을 둔다. 슬래싱 리스크, 분산도, 운영 리스크 등 주로 자산 보유자 입장에서의 위험을 정량화한다.
• 크레도라 디파이 평가: 프로토콜과 시장, 디파이 위험을 종합적으로 평가하는 자료이다. 자산보다는 프로토콜과 시장 단위의 위험 노출에 초점을 둔다.
• 칸티나 Web3SOC 인증: 프로덕트의 리스크 평가 자체보다는 조직의 성숙도가 기관 실사 기준을 충족하는가에 초점을 둔다. 운영, 재무, 보안, 규제 도메인 전반을 통합적으로 점검한다.

정리하면 스테이킹 리워즈와 크레도라가 자산과 프로토콜의 리스크를 정량적, 정성적으로 측정하는 자료라면, Web3SOC는 조직 자체의 실사 가능성을 평가하는 자료에 가깝다. 기관 팀이 라이도를 통합할 때 사용하는 내부 리스크, 컴플라이언스, 카운터파티 리뷰 프로세스에 그대로 결합할 수 있도록 설계되었다는 점이 차별화 지점이다. 결과적으로 세 자료를 모두 갖추게 된 라이도는 자산과 프로토콜, 그리고 조직이라는 세 차원에서 모두 외부 평가 자료를 보유한 디파이 프로토콜이 되었다.

3. 시사점

라이도의 Web3SOC 인증은 단일 발표로서의 임팩트보다, 이를 둘러싼 큰 흐름에 대한 신호로서의 의미가 더 크다고 본다. 디파이 프로토콜이 기관 자본을 받아들이기 위해 필요한 인프라가 개별 프로토콜의 노력에 의존하지 않고, 공통의 표준 위에서 만들어지는 단계로 진입하고 있다는 것이다.

이러한 흐름은 운영 단에서의 보안 사고가 지속적으로 발생하고 있는 현재 시점에서 특히 더 큰 의미를 갖는다. 디파이 생태계 전반에서 스마트 컨트랙트가 아닌 조직 운영 단의 침해로 인해 대규모의 자산 손실이 발생하고 있으며, 라이도가 Web3SOC로 평가받은 운영 보안 통제 환경은 현재 크립토 생태계가 직면한 공격 벡터에 직접적으로 대응한 초기 사례 중 하나라고 생각된다. 이번 사례는 다른 프로토콜들이 자체 운영 성숙도를 정비할 때 참조할 수 있는 대표적인 본보기로 기능할 수 있기에, 단일 프로토콜의 인증이 아닌 산업적 가치를 함께 갖는다.

표준화된 실사 프레임워크의 등장은 양면적인 측면을 갖는다. 기관이 참조할 수 있는 실사 자료가 갖춰지면서 디파이 채택 장벽이 낮아질 수 있지만, 이러한 표준에 빠르게 대응할 수 있는 자원과 컴플라이언스 인프라를 갖춘 대형 프로토콜과 그렇지 못한 소규모 프로토콜 사이의 격차가 벌어질 가능성 또한 존재한다. SOC 2 인증을 갖춘 SaaS 회사와 그렇지 않은 SaaS 회사 사이에 기관 영업의 격차가 만들어지는 구조와 유사하다. 라이도의 경우, 이번 인증으로 이미 갖추고 있던 외부 평가 자료 위에 정형화된 인증이 추가되었으며, 현재 시점에서 기관 실사를 위한 표준 자료가 가장 잘 갖춰진 디파이 프로토콜 중 하나가 되었다. 이는 stETH가 더 다양한 기관 채널을 통해 통합되는 동력이 될 가능성을 보여준다.