인간 중심의 암호화폐 보안: 바이비트 해킹에서 얻은 인사이트

저자: 벤 샤로엔웡, NSEAD 금융학 부교수 출처: coindesk 번역: 굿오바, 골든파이낸스

요약:

- 최근 세계에서 두 번째로 큰 암호화폐 거래소인 바이비트에서 자체 구축한 웹3 프로그램인 Gnosis Safe의 보안 침해 사건이 발생했습니다. strong>

- 최근 세계에서 두 번째로 큰 암호화폐 거래소인 바이비트에서 자체 구축한 웹3 기반 노시스 세이프 프로그램과 관련된 보안 침해가 발생하여 약 35만 건의 출금 요청이 발생했습니다.

- 암호화폐 보안 사고의 주요 취약점은 블록체인 프로토콜 자체의 기술적 결함보다는 사람의 실수에서 비롯되는 경우가 많습니다. 많은 조직이 책임에 대한 인식 부족 또는 맞춤형 솔루션에 대한 과도한 의존으로 인해 시스템을 제대로 보호하지 못합니다.

- 미래의 보안 설계는 비정상적인 행동 탐지 및 다단계 인증과 같은 메커니즘을 통해 사용자 오류의 가능성에도 불구하고 보안을 유지하는 인간 중심적이어야 합니다.

최근 바이비트는 최대 15억 달러에 달하는 대규모 보안 침해 사고를 겪으며 디지털 자산 업계에 충격을 안겨주었습니다. 200억 달러의 고객 자산을 관리하는 이 거래소는 일상적인 오프라인 '콜드월렛'을 일상적인 거래에 사용되는 '핫월렛'으로 전송하는 과정에서 보안 제어 취약점을 악용한 공격자의 공격을 받았습니다. 공격자는 보안 제어 취약점을 악용했습니다.

초기 조사에 따르면 이 취약점은 노시스 세이프가 자체 구축한 Web3 솔루션, 오프체인 확장 기능을 갖춘 다중 서명 지갑, 확장 가능한 중앙 집중식 아키텍처 및 사용자 서명 인터페이스와 관련된 것으로 나타났습니다. 확장 가능한 중앙 집중식 아키텍처와 사용자 서명 인터페이스를 갖추고 있습니다. 공격자는 확장 가능한 아키텍처를 사용하여 악성 코드를 삽입하여 정상적으로 보이는 이체를 변조된 계약으로 바꾸어 결국 약 35만 건의 출금 요청과 사용자들이 자신을 보호하기 위해 자금을 이체하게 만들었습니다.

거액의 금액이 걸려있었음에도 불구하고 이 사건의 영향은 글로벌 암호화폐 시장의 총 시가총액에 비하면 0.01% 미만인 관리 가능한 수준이었으며, 바이비트는 신속하게 준비금 또는 파트너로부터 대출을 통해 미회수 자금을 전액 상환하여 운영의 성숙함을 보여주었습니다. 이는 바이비트의 검증된 운영 능력을 보여줍니다.

그러나 암호화폐가 등장한 이래 가장 큰 보안 위험은 블록체인 프로토콜 자체의 취약점이 아닌 인간의 실수에서 비롯되었습니다. 연구에 따르면 지난 10여 년 동안 큰 영향을 미친 암호화폐 보안 사고는 거의 모두 인적 요인에 기인한 것으로 나타났습니다. 2024년에만 약 22억 달러의 자금이 이러한 사고로 인해 도난당할 것으로 예상됩니다.

더욱 우려스러운 점은 이러한 공격이 반복되는 이유가 놀라울 정도로 유사하다는 것입니다. 많은 조직이 보안에 대한 책임을 명시적으로 지지 않으려 하거나 맞춤형 보안 솔루션에 맹목적으로 의존하여 기존 보안 프레임워크와 "근본적으로 다른" 요구 사항을 잘못 가정하여 시스템을 효과적으로 보호하지 못하는 경우가 많습니다. ". 검증된 솔루션을 채택하지 않고 보안 조치를 재창조하는 이러한 관행은 새로운 취약점을 계속 만들어내고 있습니다.

블록체인과 암호화 기술 자체는 높은 보안성이 입증되었지만, 가장 큰 보안 위험은 여전히 인간 그 자체입니다. 개인 사용자 중심의 암호화폐 초창기부터 오늘날 기관 차원의 도입에 이르기까지 이러한 추세는 변함없이 유지되어 왔으며, 이는 기존 산업의 사이버 보안 문제와 매우 유사합니다.

일반적인 인적 오류는 다음과 같습니다.

- 개인 키 관리 오류: 개인 키의 분실, 오용 또는 공개로 인해 자산 도난으로 이어지는 경우입니다.

- 사회 공학 공격: 해커가 피싱, 사칭 및 기타 수법을 사용하여 피해자를 속여 민감한 정보를 공개하도록 유도합니다.

이 사건은 암호화 보안이 기술에만 의존해서는 안 되며, 불가피한 인적 오류에 대처할 수 있는 사람 중심의 보안 시스템을 구축해야 한다는 점을 업계에 다시 한 번 일깨워주었습니다.

인간 중심의 보안 솔루션

순전히 기술적인 솔루션으로는 근본적으로 인간의 문제를 해결할 수 없습니다. 업계는 기술적 보안 조치에 수십억 달러를 투자해 왔지만, 지속적인 취약성을 유발하는 인적 요인을 해결하기 위한 투자는 상대적으로 거의 이루어지지 않았습니다.

효과적인 보안을 가로막는 장애물 중 하나는 취약한 시스템에 대한 소유권과 책임을 인정하지 않으려는 것입니다. 조직이 통제 대상을 명확하게 정의하지 않거나 기존 보안 원칙을 적용하기에는 조직 환경이 너무 독특하다고 주장하면 공격자가 쉽게 악용할 수 있는 사각지대가 생깁니다.

보안 전문가 브루스 슈나이더가 보안의 법칙이라고 부르는 이 사례는 고유성을 확신하는 팀이 독자적으로 설계한 시스템에는 기존 보안 관행으로 해결할 수 있는 중대한 취약점이 거의 항상 포함되어 있다는 것을 잘 보여 줍니다. 암호화폐 업계는 이러한 함정에 몇 번이고 빠졌고, 전통적인 금융 및 정보 보안에서 잘 작동했던 접근 방식을 채택하기보다는 보안 프레임워크를 처음부터 다시 구축하는 경우가 많았습니다.

사람 중심의 보안 설계 패러다임으로 전환하는 것이 중요합니다. 아이러니하게도 전통적인 금융이 단일 인증(암호화폐)에서 다중 인증(MFA)으로 진화하는 동안, 초기 암호화폐는 암호화만으로 보안을 확보할 수 있는 개인 키 또는 시드 문구를 통한 단일 인증으로 보안을 단순화했습니다. 이러한 지나친 단순화는 위험했고 업계에서는 다양한 취약점과 허점을 빠르게 악용하게 되었습니다. 수십억 달러의 손실을 입은 후, 우리는 전통적인 금융이 보안에 대해 보다 정교한 접근 방식을 채택해야 한다는 것을 깨달았습니다.

최신 솔루션과 규제 기술은 인간이 보안 프로토콜을 완벽하게 준수한다고 가정하기보다는 인적 오류의 불가피성을 인식하고 이러한 오류가 발생하더라도 보안을 유지할 수 있는 시스템을 설계해야 합니다. 중요한 것은 이러한 기술이 근본적인 인센티브를 바꾸지 않는다는 점입니다. 이 기술을 구현하면 직접적인 비용이 발생하고, 이를 피하면 평판이 손상될 위험이 있습니다.

보안 메커니즘은 기술 시스템을 보호할 뿐만 아니라 사람의 실수를 예측하고 일반적인 함정을 방어할 수 있도록 진화해야 합니다. 비밀번호나 인증 토큰과 같은 정적 자격 증명만으로는 예측 가능한 인간의 행동을 악용하는 공격자를 방어하기에 충분하지 않습니다. 보안 시스템은 행동 이상 탐지를 통합하여 의심스러운 활동에 플래그를 지정해야 합니다.

개인 키를 쉽게 액세스할 수 있는 단일 위치에 저장하면 심각한 보안 위험을 초래할 수 있습니다. 오프라인 환경과 온라인 환경 사이에 키를 저장하면 전체 키 유출의 위험을 완화할 수 있습니다. 예를 들어, 키의 일부를 하드웨어 보안 모듈에 저장하고 다른 일부는 오프라인에 보관하면 전체 액세스 권한을 얻기 위해 여러 번의 인증이 필요하므로 보안을 강화할 수 있으며, 이는 암호화폐 보안에 다단계 인증 원칙을 다시 도입하는 것입니다.

사람 중심의 보안 접근 방식을 위한 가능한 단계

사람 중심의 포괄적인 보안 프레임워크는 여러 계층의 암호화폐 취약성을 해결하고 고립된 솔루션이 아닌 전체 생태계에 걸쳐 조율된 접근 방식을 취해야 합니다. 솔루션.

개인 사용자의 경우 하드웨어 지갑 솔루션이 여전히 최고의 표준입니다. 그러나 많은 사용자가 보안 책임보다 편의성을 선호하므로 차선책은 거래소가 고액 이체에 대한 기본(그러나 조정 가능한) 대기 기간, 승인 수준이 다른 계층화된 계정 시스템, 주요 의사 결정 시점에 활성화되는 상황에 맞는 보안 교육과 같은 전통적인 금융 관행을 구현하는 것입니다.

거래소와 기관은 사용자의 완전한 규정 준수를 가정하는 것에서 인적 오류를 예상하는 시스템 설계로 전환해야 합니다. 이는 어떤 구성 요소와 프로세스를 제어하고 따라서 보안을 보장할 책임이 있는지 명확히 인식하는 것에서 시작됩니다.

책임의 경계를 부정하거나 모호하게 만드는 것은 보안 노력을 직접적으로 약화시킵니다. 책임 소재가 확립되면 조직은 행동 분석을 구현하여 비정상적인 패턴을 탐지하고, 고가 전송에 대해 다중 승인을 요구하며, 위협 발생 시 잠재적 피해를 제한하기 위해 자동화된 '회로 차단기'를 배포해야 합니다.

또한 Web3 도구의 복잡성은 거대한 공격 표면을 만들어냅니다. 기존 보안 모델을 단순화하고 채택하면 기능 저하 없이 취약성을 줄일 수 있습니다.

업계 차원에서 규제 기관과 리더들은 보안 인증에 표준화된 인적 요소 요건을 설정할 수 있지만, 혁신과 보안 사이에는 상충되는 부분이 있습니다.

암호화 보안의 미래는 모든 인적 오류를 제거한다는 불가능한 목표를 추구하는 것이 아니라, 불가피한 인적 오류에도 불구하고 보안을 유지하는 시스템을 설계하는 데 있습니다. 이를 위해서는 먼저 보안 침해로 이어지는 모호성을 유지하는 대신 시스템의 어떤 측면이 조직의 책임인지 파악하는 것이 필요합니다.

인간의 한계를 인식하고 이에 적응하는 시스템을 구축함으로써 암호화폐 생태계는 보안 프로토콜을 완벽하게 준수한다고 가정하기보다는 투기적 호기심에서 강력한 금융 인프라로 계속 발전할 수 있습니다.

이렇게 점점 성숙해지는 시장에서 효과적인 암호화폐 보안의 핵심은 더 복잡한 기술 솔루션이 아니라 인간 중심의 사려 깊은 설계입니다. 행동 현실과 인간의 한계를 고려한 보안 아키텍처의 우선순위를 정함으로써 인적 오류가 발생하더라도(발생하더라도) 안전하게 운영되는 보다 탄력적인 디지털 금융 생태계를 구축할 수 있습니다.