보안 감사에 대해서 설명 (펌)

7 떡상필승 | 2023-02-02 15:45:05 | 조회 : 33 | 추천 : -




Web 3.0이 되면서 많은 사람들이 보안에 더 많은 관심을 가지게 되었다고 해도 과언이 아닙니다. 

지난 한 해, 일어났던 사건들의 대부분은 (루나와 FTX 사건을 제외하고) 보안이 약해서 일어났던 사건들이었습니다.

그러나 약세장임에도 불구하고 Web 3.0 프로젝트 수는 대거 급증했고, 이 중 CertiK에게 보안 감사를 맡긴 프로젝트는 5,046개입니다. 예를 들어 썸씽, 플레이댑, 파우터 등 포괄적인 Web 3.0 분야들로 프로젝트가 대거 나아가고 있죠.

 

보안 감사에 대해서 설명해보겠습니다. 틀린 사항이 있을 수도 있으니 최대한 유념하면서 읽어주시길 바랍니다. 

 

보안 감사는 하기와 같은 종류로 나뉘어집니다.

  1. 스마트 컨트랙트 보안 감사
  2. KYC 신원 인증
  3. 블록체인 분석 - 스카이넷 (Skynet)

 

1. 스마트 컨트랙트 보안 감사

스마트 컨트랙트 보안 감사는 제일 중요한 보안 감사입니다. 애초에 해커들의 주요 공격이 되는 스마트 컨트랙트는 자그마한 코딩 오류가 발생하기만 해도 수백억 달러가 증발하기도 합니다. 대표적인 사건으로는 Uranium Finance에서 발생한 공격 사건으로 해커가 미감사 컨트랙트를 해킹하여 5,700만 달러의 손실을 입혔습니다.

다른 예로는 Value DeFi가 있는데 해킹으로 1,000만 달러의 손실을 입혔습니다. 해당 사태의 원인은 초기화 함수가 빠져있었기 때문입니다. 이러한 유형의 코드 오류는 적절한 동종 업계의 검토, 단위 테스트 및 보안 감사를 통과하기만 하면 방지할 수 있는 실수입니다.

현재까지, 보안감사 업체의 대표격으로 불리는 CertiK은 4,000여개 이상의 기업과 협력하고 있고, 66,000개의 블록체인 코드 취약점을 탐지하여 수정하였으며 3,600억 달러 이상의 자산을 보호했습니다.

스마트 컨트랙트 보안 감사는 Web 3.0 보안의 필수적인 부분이지만, 홀더들은 해당 사항에 주의하여야 합니다. 대다수 프로젝트는 홀더들에게 신뢰를 안겨주기 위해서 처음 1회만 검사하고 그 이후로 검사하지 않는 프로젝트가 대다수이기 때문입니다.

 

2. KYC 신원 인증

KYC 신원 인증 서비스는 옛날부터 있었지만, 보안감사 업체들이 각기 따로 KYC 인증 서비스를 출시하는데는 이유가 있습니다. 다름 아닌 개발을 진행하고 있는 프로젝트 팀에 대한 KYC 신원 인증 서비스입니다. 프로젝트 팀에 의해서 사기가 되고, 망하고, 홀더들을 등쳐먹는 프로젝트가 수십, 수백개에 달하는 요즘은 이제 프로젝트 팀이 누군지에 따라서 프로젝트의 흥망성쇠가 결정되기도 합니다.

이 중 CertiK은 이에 대해서 KYC 배지를 자신들의 신원 인증 서비스를 통과한 프로젝트 팀에게 부여했습니다. 등급은 브론즈, 실버, 골드가 있으며 각기 설명은 다음과 같습니다.

브론즈: 프로젝트 팀은 팀 구성원에 대한 철저한 조사를 성공적으로 통과하여 어느 정도 투명성과 책임감을 보여 사기 리스크를 줄였다.

실버: 전체 핵심 팀 구성원은 신원 증명과 추가 확인이 가능한 배경 정보를 제공하여 더 높은 투명성과 책임성을 보여 사기 리스크를 크게 줄였다.

골드: 핵심 팀 구성원 전체가 전반적으로 검증이 가능한 배경 정보를 제공하여 매우 높은 투명성과 책임성을 보여 리스크를 최소화했다.

따라서 홀더들은 CertiK 신원 인증 감사를 받았다는 프로젝트가 있으면, 해당 신원 인증이 어떤 등급인지 확인하는 과정을 거치는 것도 좋은 방법입니다. 제가 보기에는 실버 이상이 믿음직하고, 골드 이상이면 나쁘지 않을 것으로 보입니다. 또한 해당 배지는 90일마다 업데이트가 되므로, 꾸준히 이어지는 상황인지도 파악을 해야겠네요.

 

3. 블록체인 분석 - Skynet

블록체인 분석 도구는 실시간 온체인 활동을 모니터링하여 Web 3.0 보안을 보장하기도 합니다. 프로젝트 팀은 블록체인 분석 도구가 제공하는 실시간 보안 데이터를 통해 스마트 컨트랙트의 다양한 지표를 파악하고 가능한 한 공격 상황에 즉시 대응하려고 합니다.

이 중 CertiK의 스카이넷을 예시로 들자면 정적인 분석, 온체인 모니터링, 여론, 커뮤니티 거버넌스, 시장 변동, 보안 평가로 이루어진 6가지 보안 요소로 작동됩니다. 

또한 온체인 트랜잭션 모니터링과 같은 오프 체인 데이터의 조합을 사용하여 폴리곤, 시바 이누, 에이브, 샌드박스, BNB 체인, 앱토스를 포함한 수백 개의 Web 3.0 플랫폼을 실시간으로 모니터링하여 포괄적인 보안 분석에 도달합니다.

 

현재 Web 3.0 분야는 여전히 보안 리스크에 묶여 있으며 이로 인해 개발 경로가 방해받을 뿐만이 아니라 많은 공격을 받고 있습니다. 이 차세대 인터넷 혁명에서 보안 논란은 여전히 키워드로 작동하고 있습니다. 그러나, 보안과 기술 발전은 항상 동기화가 되어야 합니다. 완전한 보안은 없을 수 있으나, 프로젝트와 유저가 모두 노력한다면 공동으로 최대한 구축할 수 있다고 믿고 있습니다.

비트코인

< 1 2 3 4 5 >