비탈릭 홀리데이 새 기사: 심층 위조 시대의 보안 전략

저자: Vtalik, Ether 공동창업자, 0xjs@GoldenFinance 번역

지난 주, 재무 담당 직원이 CFO를 사칭한 사기꾼에게 은행 송금을 했다가 2천 5백만 달러를 잃은 회사에 관한 기사가 화제가 되었습니다 ...... 그리고 이 기사는 매우 설득력 있는 가짜 영상 통화로 보입니다.

이미지 src="https://img.jinse.cn/7179499_watermarknone.png" title="7179499" alt="hPViINoES1XC5wfCGC5okcVC7kvYczvbKXDZeNDd.png">< /p>

인공지능으로 생성된 가짜 오디오 및 비디오인 딥페이크가 암호화폐 업계와 다른 곳에서 점점 더 빈번하게 등장하고 있습니다. 지난 몇 달 동안 딥페이크는 도그코인뿐만 아니라 다양한 사기를 홍보하는 데 사용되었습니다. 딥페이크의 품질이 빠르게 향상되고 있습니다. 2020년의 딥페이크는 명백하고 부끄러울 정도로 나빴지만, 지난 몇 달 동안의 딥페이크는 점점 더 구별하기 어려워지고 있습니다. 저를 잘 아는 사람들은 최근의 딥페이크 영상에서 제가 "가자"라고 말하는 장면을 보고도 "LFG"를 "찾고 있는 그룹"이라는 의미로만 사용하지만, 제 목소리를 몇 번만 들어본 사람들은 쉽게 납득할 수 있습니다.

위에서 언급한 2,500만 달러 도난 사건에 대해 보안 전문가들은 한결같이 여러 단계에 걸친 기업 운영 보안의 드물고 당황스러운 실패였다는 데 동의했습니다. 표준 관행은 그 규모에 근접하는 송금에 대해 공식적으로 승인되기 전에 여러 단계의 승인을 요구하는 것이 일반적입니다. 하지만 그럼에도 불구하고 2024년이 되면 개인의 오디오 또는 비디오 스트림은 더 이상 신원을 확인하는 안전한 방법이 될 수 없다는 사실은 변함이 없습니다.

그렇다면 안전한 방법은 무엇일까요?

암호화만으로는 문제를 해결할 수 없습니다

사회적으로 복원된 지갑이나 다중 서명 지갑을 사용하는 개인, 비즈니스 거래를 승인하는 기업, 개인적인 용도(예: 스타트업 투자, 제품 구매)로 고액의 거래를 승인하는 개인, 주택, 송금 등 모든 종류의 상황에서 사람들의 신원을 안전하게 확인할 수 있는 것은 모든 종류의 사람들에게 유용합니다. 또는 법정 화폐 등, 심지어 가족 구성원도 비상 시 서로의 신원을 확인해야 할 필요가 있습니다. 따라서 비교적 쉽게 위조할 수 있는 앞으로의 시대에도 살아남을 수 있는 좋은 솔루션을 갖추는 것이 중요합니다.

암호화 업계에서 많이 듣는 이 질문에 대한 한 가지 대답은 "ENS/신원 증명 프로필/공개 PGP 키에 첨부된 주소의 암호화 서명을 제공하면 신원을 확인할 수 있다"는 것입니다. 이는 매력적인 답변입니다. 하지만 거래에 서명할 때 다른 사람을 참여시키는 것이 유용한 이유를 완전히 무시하고 있습니다. 개인 다중 서명 지갑을 사용하는 개인이 몇 명의 공동 서명자가 승인하기를 원하는 트랜잭션을 전송한다고 가정해 보겠습니다. 어떤 상황에서 그들이 승인할까요? 공동 서명자가 귀하가 실제로 송금을 원하는 사람이라고 확신하는 경우. 키를 훔친 해커나 납치범이라면 승인하지 않을 것입니다. 기업 환경에서는 일반적으로 더 많은 방어 계층이 있지만, 그렇다 하더라도 공격자는 관리자로 위장하여 최종 요청뿐만 아니라 승인 절차의 초기 단계에서도 이를 사용할 수 있습니다. 심지어 잘못된 주소를 제공하여 진행 중인 합법적인 요청을 가로챌 수도 있습니다.

따라서 많은 경우 키를 사용하여 서명하면 다른 서명자가 본인임을 인정하므로 전체 계약이 1대1 다중 서명으로 바뀌고, 누군가가 자금을 훔치기 위해서는 하나의 키만 제어할 수 있으면 됩니다!

여기서 우리는 실제로 의미 있는 답을 얻을 수 있습니다: 바로 '보안'입니다.

보안 문제

친구라고 주장하는 누군가에게 문자를 받았다고 가정해 봅시다. 한 번도 본 적 없는 계정에서 문자를 보내며 모든 디바이스를 분실했다고 주장합니다. 그 사람이 진짜 친구인지 어떻게 확인할 수 있을까요?

명백한 답이 있습니다. 그들만 알고 있는 그들의 삶에 대해 물어보세요.

1. 당신은 알고 있다

2. 당신은 그들이 기억하기를 바란다

3. 인터넷은 모른다

4. 추측은 어렵다

5. 맞추기 어렵다

8. 이상적으로 기업 및 정부 데이터베이스를 해킹한 사람들도 모릅니다

자연스러운 질문은 일반적인 경험에 관한 것입니다. 예를 들면 다음과 같습니다.

• 우리 둘이 마지막으로 만났을 때 어떤 식당에서 저녁을 먹었고 어떤 종류의 음식을 먹었나요?

• 우리 친구 중 누가 고대 정치인에 대한 농담을 했나요? 어떤 정치인이었나요?

• 최근에 우리가 본 영화 중 마음에 들지 않았던 영화는 무엇입니까?

• 지난주에 ____ 연구와 관련하여 ____ 에 도움을 요청하는 것이 어떻겠냐고 제안하셨나요?

최근 누군가 내 신원을 확인하기 위해 사용한 보안 질문의 실제 예시입니다.

질문은 독특할수록 좋습니다. 상대방이 몇 초 동안 생각하다가 답을 잊어버릴 수도 있는 질문이 좋지만, 상대방이 잊어버렸다고 주장한다면 세 가지 질문을 더 물어봐야 합니다. 제3자가 우연히 알아내기 어려운 '거시적' 세부 사항보다는 '미시적' 세부 사항(좋아하는 것과 싫어하는 것, 구체적인 농담 등)에 대해 물어보는 것이 더 좋은 경우가 많습니다(예: 누군가 인스타그램에 저녁 식사 사진을 올렸다고 해도 현대의 LLM은 그 사진으로 무엇을 했는지보다는 무엇을 하고 있는지에 더 관심을 가질 가능성이 높습니다). 저녁 식사 사진을 인스타그램에 올리면 최신 LLM은 해당 사진을 캡처하여 실시간으로 위치를 제공할 수 있을 만큼 빠를 가능성이 높습니다.) 질문이 추측이 가능할 것 같으면(몇 가지 가능한 옵션만 의미가 있다는 의미에서) 다른 질문을 추가하여 엔트로피를 높이세요.

사람들은 안전 수칙이 지루하면 참여를 중단하는 경우가 많으므로 안전 질문을 재미있게 만드는 것이 좋습니다! 긍정적인 공유 경험을 기억하는 방법이 될 수 있습니다. 또한 이러한 경험을 실제로 소유하려는 동기가 될 수 있습니다.

보완적인 보안 질문

완벽한 보안 전략은 없으므로 여러 가지 기술을 함께 사용하는 것이 가장 좋습니다.

• 사전 합의된 비밀번호: 함께 있을 때는 나중에 서로를 인증하는 데 사용할 수 있는 공유 비밀번호를 미리 합의해 두세요.

• 협박용 단어에 합의하기: 상대방에게 협박이나 위협을 받고 있다는 신호를 조용히 보낼 수 있는 단어를 문장에 무심코 삽입할 수 있습니다. 이 단어는 자연스럽게 사용할 수 있을 만큼 충분히 흔하지만, 실수로 연설에 삽입하지 않을 정도로 드물어야 합니다.

• 누군가가 이더리움 주소를 보내면 여러 채널(예: Signal 및 트위터 DM, 회사 웹사이트, 지인을 통해)을 통해 확인하도록 요청하세요

• 중간자 공격 방지: 시그널 "보안 번호 ", 텔레그램 이모티콘 및 이와 유사한 기능을 쉽게 이해하고 주의할 수 있습니다.

• 일일 제한 및 지연: 심각하고 돌이킬 수 없는 결과를 초래하는 행동에 대해 지연을 부과할 수 있습니다. 이는 정책 수준(서명하기 전에 서명자와 N시간 또는 며칠을 기다리기로 미리 합의)이나 코드 수준(스마트 컨트랙트 코드에 제한 및 지연을 부과)에서 수행할 수 있습니다.

공격자가 승인 프로세스의 여러 단계에서 임원 및 결재권자를 사칭하는 잠재적으로 정교한 공격입니다.

보안 문제와 지연 모두 이를 방지할 수 있으므로 두 가지를 모두 사용하는 것이 더 나을 수 있습니다.

보안 질문이 좋은 이유는 사용자 친화적이지 않아 실패하는 다른 많은 기술과 달리 보안 질문은 인간이 자연스럽게 잘 기억하는 정보를 기반으로 하기 때문입니다. 저는 수년 동안 보안 질문을 사용해 왔으며, 다른 보호 계층과 더불어 워크플로에 통합할 가치가 있을 정도로 자연스럽고 부끄럽지 않은 습관 중 하나입니다.

위와 같은 '개인 대 개인' 보안의 사용 사례는 다른 나라를 여행 중인데 신용 카드가 17번이나 비활성화된 후 다시 활성화하기 위해 은행에 전화하거나 40분 동안 지긋지긋한 음악 대기열에서 기다리다 지친 상태에서 은행에 전화하는 경우 등 '기업 대 기업' 보안과는 매우 다르다는 점에 유의하세요. 예를 들어, 다른 나라를 여행하는 동안 신용 카드가 17번 비활성화된 후 다시 활성화하기 위해 은행에 전화하거나 40분 동안 성가신 음악 대기열에서 기다린 후 은행 직원이 나타나 이름, 생년월일, 최근 거래 3건을 물어볼 것입니다. 개인이 답을 알고 있는 질문의 유형과 기업이 답을 알고 있는 질문의 유형은 매우 다릅니다. 따라서 두 가지를 개별적으로 고려하는 것이 좋습니다.

사람마다 처한 상황이 다르기 때문에 인증이 필요한 사람과 공유하는 고유한 정보의 종류는 사람마다 다를 수 있습니다. 일반적으로 기술을 사람에 맞추는 것이 아니라 사람에 맞게 기술을 조정하는 것이 가장 좋습니다. 기술이 완벽할 필요는 없습니다. 이상적인 접근 방식은 여러 기술을 동시에 겹쳐서 사용하다가 가장 적합한 기술을 선택하는 것입니다. 위변조 이후의 세상에서 우리는 위조가 얼마나 쉬워지고 위조가 얼마나 어려워졌는지에 대한 새로운 현실에 맞게 전략을 조정해야 하지만, 그렇게 하는 한 안전을 유지하는 것은 여전히 충분히 가능합니다.