취약점 편집하기
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
− | '''취약점'''(脆弱點, vulnerability) 또는 '''보안 취약점'''이란 시스템의 버그나 프로그래밍 오류로 인해 [[해킹]] 등의 공격을 받아 시스템의 정보 신뢰도가 저하될 수 있는 약점을 말한다 | + | '''취약점'''(脆弱點, vulnerability) 또는 '''보안 취약점'''이란 시스템의 버그나 프로그래밍 오류로 인해 [[해킹]] 등의 공격을 받아 시스템의 정보 신뢰도가 저하될 수 있는 약점을 말한다. [[블록체인]] 시스템에서 사용하는 [[스마트 계약]](smart contract)의 경우에도 다수의 보안 취약점이 존재한다. |
== 개요 == | == 개요 == | ||
5번째 줄: | 5번째 줄: | ||
== 6대 보안 취약점 == | == 6대 보안 취약점 == | ||
− | + | 이더리움 [[솔리디티]] 언어의 '''6대 보안 취약점'''은 다음과 같다.<ref name="loom">Loom - Korean Medium, 〈[https://medium.com/loom-network-korean/%EC%8A%A4%EB%A7%88%ED%8A%B8-%EC%BB%A8%ED%8A%B8%EB%9E%99%ED%8A%B8%EB%A5%BC-%EC%96%B4%EB%96%BB%EA%B2%8C-%EB%B3%B4%ED%98%B8%ED%95%A0-%EA%B2%83%EC%9D%B8%EA%B0%80-%EC%86%94%EB%A6%AC%EB%94%94%ED%8B%B0%EC%9D%98-6%EA%B0%80%EC%A7%80-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%B0%8F-%EB%8C%80%EB%B9%84%EC%B1%85-1%EB%B6%80-c21d4e37034a 스마트 컨트랙트를 어떻게 보호할 것인가: 솔리디티의 6가지 취약점 및 대비책 (1부)]〉, 《미디엄》, 2018-09-22</ref> | |
=== 오버플로 및 언더플로 문제 === | === 오버플로 및 언더플로 문제 === | ||
35번째 줄: | 35번째 줄: | ||
=== 도스 공격 === | === 도스 공격 === | ||
− | [[도스]](DoS; Denial of Service) 공격이란 불필요한 트래픽을 유발하여 원래 정해진 서비스 제공을 거부하도록 만드는 공격이다. 도스 공격을 통해 스마트 컨트랙트를 무력화시킬 수 있는 방법은 다양하다. 예를 들어, 트랜잭션 비용 부풀리기, 트랜잭션 승인을 위해 특정 권한 요구하기, 컨트랙트를 무한루프(loop)에 가두기 등의 방법이 있다. 이러한 문제를 해결하기 위해서는 지속적 보안이 필요하다. | + | [[도스]](DoS; Denial of Service) 공격이란 불필요한 트래픽을 유발하여 원래 정해진 서비스 제공을 거부하도록 만드는 공격이다. 도스 공격을 통해 스마트 컨트랙트를 무력화시킬 수 있는 방법은 다양하다. 예를 들어, 트랜잭션 비용 부풀리기, 트랜잭션 승인을 위해 특정 권한 요구하기, 컨트랙트를 무한루프(loop)에 가두기 등의 방법이 있다. 이러한 문제를 해결하기 위해서는 지속적 보안이 필요하다. |
== 다양한 보안 취약점 == | == 다양한 보안 취약점 == | ||
54번째 줄: | 54번째 줄: | ||
== 보안 업체 == | == 보안 업체 == | ||
− | |||
− | |||
각 회사가 개발한 스마트 컨트랙트를 검증받고자 하는 수요가 늘어나면서, 이더리움 스마트 컨트랙트에 대한 보안 검증 업체들이 하나씩 생겨나기 시작했다. | 각 회사가 개발한 스마트 컨트랙트를 검증받고자 하는 수요가 늘어나면서, 이더리움 스마트 컨트랙트에 대한 보안 검증 업체들이 하나씩 생겨나기 시작했다. | ||
* '''[[수호]]'''(Sooho) : 스마트 컨트랙트 전문 보안 회사로서, 자동화된 코드 보안 검수 서비스, 매뉴얼 서비스를 제공하고 있다. | * '''[[수호]]'''(Sooho) : 스마트 컨트랙트 전문 보안 회사로서, 자동화된 코드 보안 검수 서비스, 매뉴얼 서비스를 제공하고 있다. | ||
* '''[[퀀트스탬프]]''' : 이더리움 스마트 컨트랙트를 검증하는 자동화된 프로토콜이다. 퀀트스탬프는 크게 두 부분으로 구성돼 있는데, 하나는 스마트 컨트랙트를 감사하는 웹 기반 자동 검증 시스템이고, 다른 하나는 스마트 컨트랙트에 있는 오류를 찾는 사람들에게 보상을 주는 자동 보상 시스템이다. 퀀트스탬프는 현재 베타 버전을 출시한 상태다. 퀀트스탬프 홈페이지에서 회원가입 후, 검토 받고자 하는 이더리움 기반 토큰의 컨트랙트 주소를 입력하면 5분 이내로 결과를 확인할 수 있다. 퀀트스탬프 메인넷은 2019년 8월경에 출시될 예정이다. | * '''[[퀀트스탬프]]''' : 이더리움 스마트 컨트랙트를 검증하는 자동화된 프로토콜이다. 퀀트스탬프는 크게 두 부분으로 구성돼 있는데, 하나는 스마트 컨트랙트를 감사하는 웹 기반 자동 검증 시스템이고, 다른 하나는 스마트 컨트랙트에 있는 오류를 찾는 사람들에게 보상을 주는 자동 보상 시스템이다. 퀀트스탬프는 현재 베타 버전을 출시한 상태다. 퀀트스탬프 홈페이지에서 회원가입 후, 검토 받고자 하는 이더리움 기반 토큰의 컨트랙트 주소를 입력하면 5분 이내로 결과를 확인할 수 있다. 퀀트스탬프 메인넷은 2019년 8월경에 출시될 예정이다. | ||
− | * '''[[해치랩스]]''' | + | * '''[[해치랩스]]''' : 스마트 컨트랙트를 검증해 보안성을 높이는 전문 업체다. 스마트 컨트랙트에 보안 취약성이 존재하는지 점검하고, [[백서]]에서 서술한 내용대로 구현되었는지 살피는 서비스를 제공한다. 특히 해치랩스는 스마트 컨트랙트를 적용한 [[디앱]]들이 서비스 발표 이후에도 꾸준히 업데이트할 수 있도록 [[툴]](tool)을 제공하는데 큰 관심을 두고 있다. |
− | |||
{{각주}} | {{각주}} | ||
== 참고자료 == | == 참고자료 == | ||
− | * Loom | + | * Loom - Korean Medium, 〈[https://medium.com/loom-network-korean/%EC%8A%A4%EB%A7%88%ED%8A%B8-%EC%BB%A8%ED%8A%B8%EB%9E%99%ED%8A%B8%EB%A5%BC-%EC%96%B4%EB%96%BB%EA%B2%8C-%EB%B3%B4%ED%98%B8%ED%95%A0-%EA%B2%83%EC%9D%B8%EA%B0%80-%EC%86%94%EB%A6%AC%EB%94%94%ED%8B%B0%EC%9D%98-6%EA%B0%80%EC%A7%80-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%B0%8F-%EB%8C%80%EB%B9%84%EC%B1%85-1%EB%B6%80-c21d4e37034a 스마트 컨트랙트를 어떻게 보호할 것인가: 솔리디티의 6가지 취약점 및 대비책 (1부)]〉, 《미디엄》, 2018-09-22 |
* 정세윤 기자, 〈[http://www.kookje.co.kr/news2011/asp/newsbody.asp?key=20170720.99099002866 이더리움 Parity 지갑 해킹...이더리움 창업자들 무능.도덕성 논란]〉, 《국제신문》, 2017-07-20 | * 정세윤 기자, 〈[http://www.kookje.co.kr/news2011/asp/newsbody.asp?key=20170720.99099002866 이더리움 Parity 지갑 해킹...이더리움 창업자들 무능.도덕성 논란]〉, 《국제신문》, 2017-07-20 | ||
* Dan Swinhoe, 〈[http://www.itworld.co.kr/news/111130 블록체인의 스마트 컨트랙트란 무엇인가, 그리고 보안]〉, 《IT월드》, 2018-10-17 | * Dan Swinhoe, 〈[http://www.itworld.co.kr/news/111130 블록체인의 스마트 컨트랙트란 무엇인가, 그리고 보안]〉, 《IT월드》, 2018-10-17 | ||
− | |||
== 같이 보기 == | == 같이 보기 == | ||
76번째 줄: | 72번째 줄: | ||
* [[블록체인]] | * [[블록체인]] | ||
− | {{ | + | {{블록체인 기술}} |