Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그
0

Web3란?

인터넷은 여러 단계의 진화를 거쳐 발전해왔습니다. 최근의 변화는 인터넷 아키텍처에서 읽기나 쓰기 모델에서 Web3.0으로 알려진 최신 모델로 크게 이루어지고 있음을 확인할 수 있습니다.

Web3.0은 중앙화된 소수의 대기업을 대신하여 사용자와 전체 커뮤니티에 인터넷 소유권이 부여된다는 점에서 이전의 모델과 차이를 보입니다. Web3는 동적 블록체인 기술을 사용하여 더욱 탈중앙화된 웹을 만듭니다. 블록체인은 특정 서버에 호스트되는 독립된 웹 사이트와는 달리 더욱 뛰어난 복원력과 검열에 대한 보호기능 향상 등 여러 이점을 갖고 있습니다.

Web3은 이를 활용하는 웹사이트의 보안을 크게 향상시킨다고 주장하는 새로운 기술이지만, 탈중앙화(분산화)되어 있고, 블록체인, 암호화폐 및 NFT를 기반으로 한다는 것은 여전한 사실입니다. 이러한 점은 기업이 새로운 리스크와 Web3 보안 문제를 충분히 준비하지 못하게 하며, 모든 발생 가능한 보안문제를 예측하고, 예방할 수 있는 기업이 이러한 경쟁에서 승자가 될 것입니다.

이번 글에서는 보안문제를 더 잘 해결해나갈 수 있도록 Web3 보안의 여러 가지 적용 모범 사례를 제시합니다.

Web3 보안

이러한 새로운 기술의 등장에 대한 전망이 흥미로워 보이는 만큼, Web3 보안은 모든 이들에게 주요한 관심사입니다. 조직의 규모(스타트업이나 대기업)와 무관하게 Web3 보안에 관한 리스크를 완화하기 위해 여러분이 따를 수 있는 8 가지 모범 사례는 다음과 같습니다.

1. 보안을 고려한 설계 접근방식의 적용

보안은 새로운 기술혁신이 시장에서 성공하기 위한 가장 필수적인 요소입니다. 여기에서 바로 보안을 고려한 설계라는 개념이 나타났습니다.

Web3 개발자는 이러한 접근방식을 통해 해커가 침해할 수 없는 강력한 인프라와 보안이 완벽하게 보장된 코드를 갖춘 제품을 개발할 수 있습니다.

이러한 과정에서 개발자는 사이버 공격의 범위를 줄이기 위해 선제적으로 적절한 조치를 취해야 합니다. 이를 위한 최선의 방안 중 하나는 제로 트러스트 프레임워크를 보장하는 것입니다. 보안을 고려한 설계 원칙의 또 하나의 장점은 분리되고 제한된 권한을 보장하는 데 도움이 된다는 것입니다.

2. 보안 감사의 우선순위 지정

Web3은 개발자가 적기에 시장에 출시하는 것뿐만 아니라 프로젝트 코드를 테스트하고 철저하게 평가하는 시간에도 집중해야 하는 새로운 기술입니다. 이를 효율적으로 수행하기 위한 가장 좋은 방법 중 한가지는 내부 보안팀이 놓쳤을 수도 있는 잠재적인 버그를 찾기 위해 전문적이고 신뢰할 수 있는 외부의 보안 감사 수행인원을 활용하는 것입니다.

보안 감사의 우선순위를 정하지 않으면 피해를 입을 수 있으며, 이로 인해 사이버 보안에 대한 다양한 우려와 상당한 손실이 발생할 수 있습니다. 그렇기 때문에 사이버 범죄자와 해커가 취약점을 악용하기 전에 모든 알려진 취약점에 대한 적절한 보안 대책을 적용하는 것이 중요합니다.

또한, Web3 개발자는 기존의 소프트웨어 개발과 함께 이루어지는 더 광범위한 보안 거버넌스를 이해하지 못할 수 있기 때문에 정기적으로 스마트 컨트랙트 보안 감사를 수행하는 것이 바람직합니다. 이러한 감사를 통해 모든 잠재적 버그를 조기에 발견할 가능성을 높이기 때문에 개발 속도를 유지하고, 보안이 보장된 애플리케이션을 개발할 수 있습니다.

3. 향상된 사용자 제어 키 관리

Web3 패러다임에서 트랜잭션을 수행하는 사용자의 역량은 주로 암호 키에 따라 달라지는데, 이러한 키는 다루기가 매우 어렵습니다.

전반적인 비즈니스가 키 관리를 기반으로 이루어지기 때문에 개인 키 관리와 관련된 리스크는 소비자가 비보관 지갑을 대신하여 호스팅된 지갑을 선택하게 하는 주요 요인 중 하나입니다. 이는 상당한 기술의 변화를 필요로 합니다.

이러한 종류의 Web3 보안 혁신은 개방된 환경에서 가장 흥미로운 개발의 하나이기 때문에 보다 혁신적인 솔루션을 위해 공동으로 작업을 해나가야 할 필요성이 증가하고 있습니다.

4. 보안의 전략적 적용

Web3 보안에 있어 보안의 전략적 적용은 보안을 고려한 설계 접근방식의 적용만큼 중요한 요소입니다. 개발자 팀은 프로젝트에 활용할 블록체인 기술의 종류를 사전에 고려해야하며, 이더리움(ETH)과 같은 퍼블릭 블록체인과 프라이빗 블록체인 중에서 무엇을 활용할 것인지 선택해야 합니다.

이는 누구나 다양한 수준의 익명성으로 참여할 수 있는 퍼블릭 블록체인과는 달리 프라이빗 블록체인은 사용자가 자신의 신원, 액세스 권한 및 기타 관련 세부정보를 확인해야 하기 때문에 중요합니다.

이때 고려해야 할 몇 가지 요소는 다음과 같습니다.

  • 퍼블릭, 프라이빗 또는 하이브리드(멀티체인, 크로스체인, 사이드체인) 등 모든 블록체인에는 각각의 해결해야 할 과제가 있습니다. 이는 탈중앙화 애플리케이션의 전반적인 보안에 영향을 미치며, 이에 따라 보안에 관해 각각의 고유한 접근방식이 필요합니다.
  • Web3 개발자는 소프트웨어 개발주기 동안 피싱 등의 위협과 워크플로와 전체 프로젝트 아키텍처에 미칠 수 있는 영향을 해결하기 위해 필요한 조치를 취해야 합니다.
  • 또한, 데이터의 품질과 반복되는 과정에 존재하는 리스크도 고려해야 합니다.

5. 2단계 인증

시각적으로 공감할 수 있는 정보를 활용한 소셜 해킹은 최근 일반적으로 나타나는 위협의 유형 중 하나입니다. 이는 사용자가 자신의 개인정보나 기밀정보를 해커에게 제공하도록 유도하는 데 사용됩니다.

Web3 분야에서 많이 사용되는 애플리케이션을 복제하여 실제 애플리케이션과 똑같아 보이게 하는 것이 일반적입니다. 그런 다음 복제된 애플리케이션은 실제 애플리케이션의 사용자 계정에 접속하기 위해 사용자의 세부정보를 수집합니다.

2단계 인증은 단지 암호뿐만 아니라 인증 목적으로 사용되는 기기의 유효성을 검사하는 과정이 포함되어 있어 해커/사기행위자의 액세스를 줄일 수 있기 때문에 이러한 문제를 해결하는데 대단히 효과적입니다.

 6. Web3 시장의 전반적인 역학관계 고려<h3>

Web3의 범위는 다른 단순한 표준기술에 비해 훨씬 광범위합니다. 여기에는 문화적, 법적, 경제적 요소를 포함하여 다양한 다른 요소와의 관계도 고려해야 합니다. 예를 들어, 신원과 관련하여 일부 Web3 통합은 GDPR, KYC 등의 기존의 규제준수 지침과 직접적으로 상충될 수 있습니다.

또한, 이와 유사하게 조직과 개발자도 암호화폐 영역을 규제하는 규정이 국가/법적 관할권에 따라 크게 다르다는 점을 고려해야 합니다.

이와는 별개로 Web3 기술은 소셜 엔지니어링 공격에 매우 취약하기 때문에 Web3 프로젝트가 사이버 범죄에 대해 어떻게 관심을 유도하고, 인센티브를 제공할 것인지에 관한 브레인스토밍이 필요합니다. 이러한 분야에서 크로스 체인 취약점과 코드 익스플로잇으로 인한 통상적인 DeFi 해킹이 좋은 사례입니다.

 7. 취약점 보고를 위한 명확한 절차

기업을 위한 또 하나의 최적의 적용 사례는 잠재적인 취약점을 보고하기 위한 명확한 방안을 마련하는 것입니다. 이는 사안에 대한 세부정보, 특히 심각한 취약점이 공개되지 않도록 주의를 기울이면서 이루어져야 합니다.

이러한 접근을 통해 해커가 어떠한 지점을 식별했을 때 이들이 취약점을 조작하기 위한 충분한 시간을 가질 수 없도록 이러한 지점에 대한 침해행위를 위한 시간을 전략적으로 단축시키기 위한 것입니다. 또한, 사용자들이 버그를 책임감 있게 제시하기 위한 버그 바운티 프로그램이 이러한 과정의 일환이라고 할 수 있습니다.

 8. 시작부터 끝까지 보안에 대한 우선순위 유지

개발자는 보안이란 Web3에 대한 보안 리스크를 완화하는 데 있어서 시작부터 일관성을 갖고 접근해야 하는 지속적인 과정임을 명심해야 합니다. 예를 들면, 이러한 분야에서 보안은 전체 시스템 아키텍처를 철저히 평가하는 것에서 시작해야 합니다. 아키텍처 수준에서 보안을 고려하지 않으면 해커가 쉽게 침입하여 시스템에 침해행위를 할 수 있습니다.

또한, 소프트웨어 개발과정에서 악용되거나 잠재적 위협이 발생할 가능성을 평가해야 합니다. 이러한 위협 평가를 통해 소프트웨어 개발 수명주기에서 중단될 수 있는 상황이나 가능성을 생각해볼 수 있습니다. 이와 관련하여 다음의 질문에 대한 답을 생각해보아야 합니다.

  • 어떤 분야에 대해 조치를 취해야 할 것인가?
  • 어떠한 분야가 잘못되지 않도록 어느 부분을 모니터링해야 할 것인가?
  • 해결해야 할 과제와 리스크를 해결하기 위해 현명한 개인이 취해야 할 다양한 조치사항
  • 보안 리스크를 완화하기 위한 조치사항에 대한 평가

종합적으로, Web3와 관련된 보안 리스크를 완화하기 위해서는 일정 수준의 전문지식이 필요하다는 점을 명심해야 합니다. 이러한 지식이 부족하면 전문 파트너와 협업하거나 이러한 어려움을 집중적으로 해결할 수 있는 능력을 갖춘 전문가를 고용하는 것이 가장 좋습니다.

향후 추진방향

Web3는 아직 초기 단계이며, Web2를 완전하게 대체하기까지는 상당한 발전이 이루어져야 합니다. 앞으로 기술이 발전하면서 일부 보안 리스크는 해결될 수 있고, 새로운 리스크가 생겨날 수 있습니다.

하지만, 중요한 점은 Web3 및 블록체인의 보안을 보장하기 위해서는 선제적인 접근방식을 적용하고, 위에서 제시한 최적의 적용 사례를 따라야 한다는 것이며, 결국 보안에 대한 이해와 구현에 있어서 Web3은 복잡한 영역이라는 점을 명심해야 합니다. 그러나, 보안 전문가들이 다양한 과제를 잘 해결할 수 있다면, 다른 소프트웨어 보안 환경에서도 다양한 조치를 취할 수 있을 것입니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.
블루투스 보안 가이드AppSealing News, 앱실링 블로그
Flutter(플러터) 보안 – 보안 리스크를 방지하기 위한 10가지 팁AppSealing News, 앱실링 블로그