You are viewing a single comment's thread from:

RE: STIMCITY 셀러 필수! , 새로워진 스팀페이 파헤치기.

in #kr7 years ago

정성스런 답글 감사합니다! 논쟁이 필요없다고 하시지만 논쟁이 꼭 필요한 몇가지 영역이 있습니다. 그걸 회피하지는 않겠습니다.

(1) 사용자의 키를 네트워크로 전송하여 서버에 저장하는 행위에 대해서는 그 어떤 타협의 여지가 없이 잘못된 것입니다. 그건 그 서버를 운영하는 주체가 신뢰할만한 지 여부와는 상관없습니다. 유토피안이 신뢰할 수 없는 주체가 운영을 해서 해킹을 당한건가요? 한번의 해킹으로 수많은 사람들의 키를 탈취할 수 있는 방식으로 시스템을 설계했기 때문에 문제가 되는 것입니다. 처음 스팀콘넥트를 보고 놀란 것은 사실입니다. 탈중앙화 철학과는 매우 배치되는 기술 요소였기 때문입니다.

(2) 모이또는 키를 사용자 디바이스에만 암호화하여 저장합니다. 이렇기 때문에 해킹을 하더라도 해당 디바이스 한 대에만 국한됩니다. 절대 여러 사용자의 키를 한데 모아놓지 않습니다. 휴, 생각만 해도 아찔하네요. 물론 니네가 진짜 그렇게 하는 지 어떻게 믿느냐, 소스 코드를 공개해도 믿을 수 없는 것은 마찬가지라고 하신다면 사실 할 말은 없습니다. 저희의 평판 트랙을 믿으시라고 할 수 밖에요.

(3) 유토피안 해킹 사태는 헤프닝이 아니라, 보안에 대한 위험 전조 현상입니다. 유토피안이 해킹 당한거지 스팀콘넥트가 해킹당한 게 아니라는 식으로 넘어가서는 안됩니다. 이건 여러 사용자의 키를 한데 모아놓고, 네트워크로 언제든지 연결이 되는 상황에서라면 언제든지 발생할 수 있는 문제입니다. 스팀콘넥트가 해킹당하지 않으리라는 보장이 어디에 있습니까? 거래소 해킹 문제에 대해서는 어떻게 보시나요. 거래소들도 비슷한 방식으로 사용자의 키를 모아놓고 있습니다. 저는 적어도 제가 발딛기로 한 스팀 블록체인이 블록체인 자체의 문제가 아닌, 써드파티 보안 설계의 문제로 위험에 직면하는 상황은 그다지 보고 싶지 않습니다.

Sort:  

답변 감사드립니다. 우선 근본적으로 착오하고 계신것이 있습니다.

스팀커넥트2는 키를 서버에 저장하지 않습니다. 당연히 메인키도 요구하지 않습니다. 전송 권한도 획득하지 않습니다. 해당 계정에 대한 포스팅 권한과 보팅 권한 등을 획득하는게 전부입니다. 그 권한조차 app account 소유자에게 있는것이고 스팀커넥트가 가지지 않습니다. 전송이나 프로파일업데이트 딜리게이션 등이 필요할때는 그때그때 액티브키를 받아서 사용합니다. 이런 목적으로 액티브키를 사용할때 는 키는 서버로 가지 않습니다 당연히 사인된 상태로 노드로 바로 브로드캐스팅 됩니다. 즉 이경우는 프라이빗 키가 단말을 떠나지 않는다는 이야기와 같습니다. 모이또가 하는것과 별반 다를게 없다는 이야기입니다. 메인키 요구 없이 말입니다. 스팀커넥트에 대한 정확한 이해 없이 추측만으로 깍아내리는것은 조금 위험한 발언이 아닌가 싶습니다.

유토피안 해킹이 스팀커넥트의 보안과 관련짓는것은 기본적으로Oauth2로 돌아가는 모든 서비스를 신뢰할수 없다는 말과 별반 다르지 않습니다. Google Amazon Facebook 뿐만아니라 수많은 서비스들이 oauth2를 사용합니다. 그 서비스들이 토큰을 아무렇게나 관리해서 문제가 발생하면 그게 어떻게 구글 페북 아마존의 문제인가요? 그게 아니면 스팀커넥트 기반으로 구현된 모든 Dapp에 보안 취약점이 있다는 주장이신지요.

최악의 상황을 가정하여 스팀커넥트가 해킹당해봐야 키는 탈취되지 않습니다. 키가 애초에 아무곳에도 저장이 안됩니다. 최악의상황에 일어날수있는 사건은 보팅과 글 리스팀 되는것 뿐입니다. 반면에 모이또가 Compromized 된 디바이스에 설치되면 어떤 일이 발생할까요? 단말에 저장한다고 안전하다는것은 완전히 잘못된 생각입니다. 단말이야말로 한번 Compromised 되면 아무것도 못막습니다. 그리고 해킹당해봐야 한계정이라고 하신것은 놀라운 발상입니다. 그 한계정이 개인에게는 전부입니다. 취약점이 발견되어 타겟이 되면 한계정이 아니라 설치한 모든 계정으로 쉽사리 번질수 있구요.

@hanyeol 님과 댓글을 주고받으며 상황을 조금 심각하게 받아들이게 되었습니다. 물론 제가 틀린부분이 있을수도 있고, 저또한 잘못된 지식에 기반한 주장을 펼치고 있을수도 있습니다. 이런것들을 바로잡으려면 공론화를 통해 다수의 전문가의 의견을 들어볼 필요가 있어 보입니다. 스팀잇에도 보안 전문가들이 계시는것으로 알고있으니 심도있는 토론이 될것 같습니다.

Loading...