Web3.0 시대의 정보보안
저자: 재키 싱
원문 편집: Baize Research Institute (원저자의 전재 승인)
Jackie Singh은 비영리 기술 감독 프로젝트의 이사이자 Web3.0 커뮤니티의 활동적인 회원입니다. 미 육군 베테랑이자 전 국방 계약자인 Singh은 이전에 사이버 보안 컨설팅 회사인 Spyglass Security를 설립했으며 Biden의 대선 캠페인에서 최고 사이버 사고 대응자로 일했습니다.
웹 3.0은 과거의 사이버 보안 실수에서 벗어날 수 있는 기회를 제공합니다. 기술의 잠재력을 깨닫고 투자한 열린 마음의 정보 보안 전문가입니다.
Web3.0의 급속한 발전으로 정보 보안 실무자로서 점점 더 많은 관심을 기울이지 않을 수 없습니다. 기술 산업의 많은 사람들은 여전히 블록체인, 암호화폐 및 NFT가 사기이며 경제를 파괴하고 있으며 파멸했다고 믿고 있습니다. 그러나 디지털 자산에 대한 Biden 대통령의 최근 행정 명령은 말할 것도 없고 이러한 기술의 빠른 채택, 많은 다국적 기업의 채택은 Web 3.0이 단순한 유행어 이상임을 보여줍니다.
첫 번째 레벨 제목
MP3 공유에서 블록체인으로
내가 이 규모의 탈중앙화 혁신을 처음 본 것은 1999년에 설립된 P2P 오디오 스트리밍 서비스 제공업체인 Napster였습니다.
최근 "클라우드"는 블록체인과 같은 유행어가 되었습니다. 10년 전 동료들과 나는 용어의 무의미함에 대해 농담을 했습니다. "클라우드가 없고 다른 사람의 컴퓨터만 있습니다."
오늘날 클라우드 컴퓨팅은 우리가 예상했던 것보다 훨씬 더 커졌습니다. 실제로 특정 공급업체의 플랫폼을 전문으로 하지 않고는 클라우드 기술 보안과 관련된 뉘앙스를 이해하기 어려울 수 있습니다. 유행어에서 근본적인 인터넷 기술에 이르기까지 Web 3.0에서도 동일한 진화가 일어날 것으로 기대합니다.
첫 번째 레벨 제목
정보 보안 포장 마차
오늘날 많은 기업들이 사이버 보안에 그 어느 때보다 많은 비용을 지출하고 있지만 거의 매주 새로운 블록버스터 데이터 침해 소식을 듣습니다. 동시에 정보 보안의 혁신은 클라우드 컴퓨팅과 같은 다른 기술 영역에 비해 시들었습니다.
사용자가 잘못된 링크를 클릭하거나 온라인에서 자신을 안전하게 유지하는 방법을 모르는 등 사기의 희생양이 되는 정보 보안 분야의 인적 요소에 대한 일반적인 관심이 부족합니다. 예를 들어 웹 사이트로 리디렉션되는 QR 코드를 특징으로 하는 Coinbase의 Super Bowl 광고에 대한 최근 논란을 생각해 보십시오. 사람들이 QR 코드 스캔에 대해 걱정해야 합니까?
동시에 정보보안 커뮤니티는 비효율적인 방어에 계속 의존하는 경향이 있으며, 우리는 이전에 방어 네트워크를 M&M 네트워크로 설명했습니다. 반면에 모든 기능적 보안 운영 센터의 핵심 기능인 민감한 로그 데이터의 중앙 집중화는 대규모로 악화될 모니터링 관련 데이터 거버넌스, 규정 준수 및 윤리 문제를 생성합니다.
첫 번째 레벨 제목
Web3.0 입력
궁극적으로 블록체인과 같은 분산 생태계의 기본 방어에 의존하는 것이 개인 중앙 집중식 모니터링으로 취약한 네트워크를 악용하는 것보다 더 효과적입니다.
PoW를 사용하지 않는 보다 효율적인 블록체인은 비트코인과 같은 시스템의 에너지 소비에 대한 우려를 완화할 수 있습니다. 저를 포함한 많은 사람들은 많은 에너지 사용량이 필요하지 않은 합의 메커니즘으로의 이더리움의 장기 계획된 업그레이드를 기다리는 데 지쳤습니다. 이더리움의 선점자 이점에도 불구하고 다른 블록체인은 이더리움이나 비트코인의 작업 증명 메커니즘보다 더 친환경적인 속성을 가지고 등장했습니다. 예를 들어, Solana는 개발자가 Rust 프로그래밍 언어를 사용하여 구현된 스마트 계약을 통해 처음부터 보안을 구축할 수 있는 탄소 중립 블록체인입니다. Rust를 사용하면 모든 종류의 보안 위험이 제거되며 아마도 코드 취약성을 방지하기 위한 최고의 도구 중 하나일 것입니다.
사용자에게 인터페이스를 노출하는 것보다 버그를 발견하는 더 좋은 방법은 없을 것입니다. 공격자와 방어자가 동일한 정보에 액세스할 수 있으면 보다 예방에 중점을 둔 방식으로 경기장을 평준화할 수 있습니다. 이를 통해 정보 보안 산업은 시간이 지남에 따라 시스템의 약점을 해결할 수 있습니다.
그러나 오늘날 완전히 분산된 블록체인은 없습니다. 진정한 탈중앙화는 많은 Web 3.0 열광자들에게 여전히 높은 목표로 남아 있습니다. 그러한 시스템이 실제로 어떤 모습일지 설명하려고 시도한 사람은 거의 없습니다. 그러나 무신뢰와 무허가는 Web 3.0 생태계에서 시스템 설계를 적극적으로 안내하는 핵심 원칙으로 남아 있습니다. 이상적으로는 블록체인 자체와 여기에 배포된 스마트 계약이 관리자만 볼 수 있는 서버의 불투명한 코드가 아니라 사용자 간의 트랜잭션을 중재합니다.
블록체인을 통해 우리는 암호화를 통해 기본적인 사실을 확인할 수 있고, 무언가를 알아야 할 때 블록체인을 살펴봅니다. 탈중앙화 애플리케이션(dApp) 개발자는 데이터를 온체인에 저장하고, 오프체인에서 중요한 계산을 수행하지 않으며, 개인 지갑 이외의 액세스 메커니즘을 개발하도록 장려됩니다. 이것은 더 높은 데이터 무결성과 입력, 계산 및 출력의 더 완전한 관찰 가능성으로 변환됩니다.
사용자는 데이터에 대한 더 큰 주권이 필요한 반면 개발자는 개인 정보 보호를 위해 데이터 수집을 최소화하는 데 관심이 있습니다. 웹 3.0은 키 관리권을 사용자에게 이전하여 사람들이 자신의 데이터에 대해 더 많은 통제권을 갖게 함으로써 이러한 목표를 달성하는 데 도움이 될 수 있습니다. 개인 키의 개인 보관은 사용자에게 블록체인에서 자신의 ID 소유권을 유지할 수 있는 궁극적인 기회를 제공합니다. 이전에 엔터프라이즈급 네트워크를 관리한 방식과는 다르지만 데이터 수집 및 액세스 관리와 관련된 조직의 위험을 줄이면서 사용자에게 권한을 부여하는 방법으로 이러한 새로운 아키텍처를 환영해야 합니다.
첫 번째 레벨 제목
새로운 기회
웹 3.0 시대의 정보 보안 세계는 점점 더 많은 정보 보안 노력과 블록체인 및 스마트 계약 취약점의 성공적인 악용으로 인한 막대한 손실에서 알 수 있듯이 변화하고 있는 것 같습니다.
Web 2.0의 회사는 표준화된 사이버 보험과 같은 완화 요인과 회사에 대한 장기적인 영향으로 인해 종종 위반을 무시할 수 있지만 Web 3.0 조직은 한 번의 실수로 수백만 달러의 비용이 발생할 수 있는 보안 문제를 무시할 수 없습니다. 모든 자금 손실로 인한 전체 조직의 해체.
이러한 배경에서 Web 3.0의 버그 바운티 보상은 엄청난 숫자에 도달합니다. 가장 큰 Web3.0 버그 바운티 플랫폼인 Immunefi에 대한 가이드에서 회사는 다음과 같이 말했습니다. Immunefi - 이제 그들은 이전보다 더 많은 힘과 존경을 받았습니다."
언급한 바와 같이 해커 Jay Freeman은 최근 보안 결함을 발견한 대가로 200만 달러의 포상금을 받은 후 다음과 같이 말했습니다. 경제학자, 보안 전문가." 정책 및 규정이 진행 중인 작업이고 규정 준수 요구 사항이 기존 금융 공간의 요구 사항과 일치할 가능성이 높지만 Web 3.0 업계는 이러한 취약점이 궁극적으로 고도로 기술적인 보안 전문가에 의해 해결되어야 한다는 것을 알게 될 것입니다. 현재의 외부 감사인 및 포상금 시스템이 아닌 장기 전략가.
보안 회사인 Hacken은 최근 보고서에서 Web 3.0 산업에 대한 전망을 설명하면서 향후 5년 동안 정기적인 보안 감사의 필요성이 증가할 것이라고 예측했습니다.
또한 Chainalysis, CipherTrace(최근 Mastercard에서 인수), Elliptic 및 TRM Labs(A16z 소유, JP Morgan, PayPal, Salesforce, 등.). 이러한 회사는 전문 소프트웨어와 인간 분석가를 사용하여 블록체인에 대한 위협을 분석, 탐지 및 추적하며 Web 2.0과 함께 빠르게 성장한 Mandiant 및 Foundstone과 같은 초기 Web 2.0 사이버 보안 회사를 연상시킵니다.
첫 번째 레벨 제목
차이점은 무엇입니까?
블록체인은 투명하고 개방적이며 폐쇄형 데이터베이스와 불투명한 운영에 익숙한 사람들에게는 새로운 시각이 필요한 것입니다. 블록체인 및 암호화 회사는 일반적인 Web 2.0 회사보다 지적 재산 보호에 덜 관심을 갖는 경향이 있습니다. 코드는 종종 오픈 소스이며 공공 보안 감사를 기반으로 사용자 신뢰를 고취합니다.
Web 2.0 보안 방식은 결과를 피하는 것이 아니라 처리하는 데 초점을 맞추고 Web 3.0 정보 보안은 예방에 중점을 둔 코드, 엔지니어링 및 아키텍처로 전환합니다.
Web3.0 생태계는 본질적으로 더 개방적이며 프로젝트는 일반적으로 Twitter의 Discord 커뮤니티에서 호스팅됩니다. 최근 기사에서 두 명의 Web 3.0 프로젝트 관리자인 Lenny Rachitsky와 Jason Shah는 자신의 경력이 어떻게 Web 3.0으로 전환되었는지 설명하고 현재의 기술 작업 모델에서 완전히 벗어날 것을 요구했습니다. 그들은 Web 3.0을 뒷받침할 모니터링/데이터 수집 기반 에코시스템이 부족하고 코드가 릴리스될 때 가능한 한 버그가 없는지 확인해야 할 필요성을 보고 있습니다.
첫 번째 레벨 제목
재능이 흐르고 있다
이미 Web 3.0에 뛰어들고 있는 것은 잠재력을 보는 사람들뿐만 아니라 세계 최고의 해커 중 일부는 이미 Web 3.0에 대해 풀타임으로 작업하고 있습니다. 예를 들어:
정보 보안 전문가는 비트코인 및 이더리움과 같은 다양한 "계층 1" 블록체인 네트워크, Monero 및 Zcash와 같은 정보 보안 공간과 특히 관련된 개인 정보 보호 코인에 익숙해야 하며 암호 화폐, 토큰, DeFi, NFT 의미에 대해 자세히 알아야 합니다.
정보 보안 전문가는 미래의 보안 사례 및 조사에서 암호 해독 능력을 갖출 수 있도록 조기에 학습을 시작해야 합니다.
다음은 더 자세히 알아보려는 사람들을 위한 몇 가지 팁과 리소스입니다.
Web 3.0 연구를 작성하는 보안 회사 블로그와 Web 3.0이 사람들에게 디지털 방식으로 권한을 부여하고 자신을 자유롭게 표현할 수 있는 잠재력이 있다고 믿는 목소리를 확인하십시오.
암호화폐 지갑을 설정하고 암호화폐를 안팎으로 전송한 다음 블록체인을 살펴보고 이러한 거래가 어떻게 작동하는지 확인하십시오.
주요 스마트 계약 플랫폼, 실행 환경 및 관련 프로그래밍 언어에 대해 알아보세요. dApp을 만들고 싶습니까? 여러 BuildSpace 자습서를 참조하거나 Developer DAO, Surge와 같은 리소스 커뮤니티에 가입할 수 있습니다. awesome-ethereum-security 및 awesome-evm-security와 같은 Github의 블록체인 관련 보안 리포지토리를 확인하십시오.
Immunefi에서 열린 여러 바운티에 참여하십시오.
일반적인 벡터 및 피싱 방법, 특히 Discord 및 Twitter의 위협에 대해 알아보세요. NFT 워시 트레이딩 및 기타 사기와 같은 위험 신호에 대해 알아보세요. 이전의 큰 해킹과 최근 사기를 확인하십시오.
첫 번째 레벨 제목
긴 여정
정보 보안에 묘책은 없으며 블록체인도 예외가 아니며 탈중앙화 시스템은 다른 컴퓨터와 유사한 위험에 직면해 있습니다. 블록체인은 본질적으로 안전하지 않은 네트워크이지만 인터넷 서비스의 지속적인 확장에 중요한 기능인 대규모 보안 트랜잭션의 토대를 마련합니다.
분산형 기술이 자동으로 분산형 전력을 생성하지 않으며 Web 3.0이 아직 멀었다는 점도 주목할 가치가 있습니다.보안 전문가는 Web 3.0 시스템에서 공정한 권력 구조를 촉진하고 시스템의 중심에 보안 및 개인 정보 보호를 두어 도움을 줄 수 있습니다.
기술 전략가인 Scott Smith와 Lina Srivastava는 Stanford Journal of Social Innovation에서 다음과 같이 썼습니다. 사회적 기풍이지만 새로운 네트워크 또는 기술 아키텍처의 필수적인 부분입니다."
Web 3.0과 블록체인의 명백한 잠재력에도 불구하고 이러한 기술에는 인권이나 민주주의를 지원할 고유한 능력이 없습니다. 정보 보안 실무자는 인터넷 사용자를 보호하기 위한 비전의 확장으로 긍정적인 가치를 통합하도록 도울 수 있습니다.중앙은행 및 기타 부서에서 발행한 "가상 화폐 거래의 과대 광고 위험 추가 방지 및 처리에 관한 통지"에 따르면 이 기사의 내용은 정보 공유만을 위한 것이며 어떠한 운영 및 투자를 장려하거나 지지하지 않습니다. 불법적인 금융 행위에 가담하지 마십시오.
위험 경고:
중앙은행 및 기타 부서에서 발행한 "가상 화폐 거래의 과대 광고 위험 추가 방지 및 처리에 관한 통지"에 따르면 이 기사의 내용은 정보 공유만을 위한 것이며 어떠한 운영 및 투자를 장려하거나 지지하지 않습니다. 불법적인 금융 행위에 가담하지 마십시오.
