디브이피
디브이피(DVP)는 블록체인 기반의 탈중앙화된 결함발견 보상플랫폼이자 암호화폐이다.
개요
디브이피는 자동 보상금 지불 시스템으로 결함을 찾은 참여자, 즉 화이트 해커에게 보상을 지급하는 구조이다. 화이트 해커란 기관의 미비한 보안 시스템을 발견해 분석하고 블랙 해커의 공격을 퇴치하는 역할을 하는 해커이다. 디브이피는 화이트 해커의 자발적인 참여를 통해 화이트 해커 커뮤니티 구축과 블록체인 시장의 취약점을 새로운 방식으로 해결하고자 한다. 디브이피는 이더리움 기반의 ERC-20 토큰으로 2018년 7월에 발행되었다. 블록체인 생태계의 보안과 화이트해커의 이익과 익명성을 보장하기 위하여 디브이피의 분산식 플랫폼과 여러 보안팀 및 중앙화 플랫폼 등을 결합하여 발행한 코인이다. 이를 위하여, 화이트 해커 커뮤니티, 업체, 블록체인 프로젝트, 캐피털, 보안 영역의 파트너사 등을 생태계로 포함하고 있다.
디브이피의 참여자는 화이트 해커, 공급업체, 슈퍼토드, 일반노드로 나뉜다. 화이트해커는 플랫폼에서 보상을 받을 수 있는 입무를 찾고, 결함 발견을 통해 얻은 포인트를 보상금으로 받을 수 있다. 공급업체는 업무 책임자로서, 중재기관의 신원확인 후 임무를 게시하고 보상금 기준을 명시하며, 슈퍼노드는 중재기관으로서 디브이피 검증을 실행해 중재 판정을 내리고 모든 블록의 장부에 데이터 작업을 진행, 최종적으로 포인트를 부여받도록 한다. 결함 제출자와 공급 업체 간 분쟁이 발생할 경우, 중재기관에서 투표를 진행해 결과를 도출하기도 한다. 임의의 클라이언트는 모두 하나의 일반 노드로 디브이피 분산데이터로 저장되지만 기입할 수 있는 권한은 없다.
특징
협의 및 공유 블록체인
디브이피 협의는 비용을 낮출 수 있는 시스템을 구축함으로서 블록체인 프로젝트의 보안문제를 해결한다. 시간이 지날수록 블록체인 프로젝트마다 디브이피 협의를 사용하여 보안검사를 수행할 수 있기를 바라는 바, 이는 블록체인 프로젝트에서 보안은 가장 기본적인 요구사항이기 때문이다. 협의에는 주요 보상금 지불 시스템이 있다. 하나는 자동적인 보상금 지불 시스템으로, 결함을 찾은 참여자들을 장려하는 것이다. 화이트 해커와 프로젝트 진행 측 사이에 하나의 자동화 보상금 지불 시스템을 구축한다. 디브이피 협의는 참여자들의 분산형 네트워크에 의존하는 바, 부정적 역할을 감소하고 필요한 연산력과 관리를 제공한다. 참여자들마다 디브이피 협의 포인트를 사용하여 지불, 수신, 또는 검증 서비스를 향상시킬 수 있다.
- 참여자
- 화이트 해커 : 결함 발견을 통해 얻은 포인트를 보상금으로 받고, 플랫폼에서 보상금을 얻을 수 있는 임무를 찾을 수 있다. 결함 발견 후, 플랫폼 혹은 클라이언트가 공급 업체 보고용으로 만든 공개키로 콘텐츠를 암호화하여 제출한다.
- 공급업체(업무 책임자) : 공급 업체 생성 후에는 중재기관의 공급 업체 신원확인을 기다려야 한다. 신원확인 후, 임무를 게시하여 보상금 기준을 명시하며 테스트 범위에 대한 정보를 기입하고 이를 프라이빗키와 공개키로 생성한다. 공개키는 제출자가 제출할 결함에 관한 정보를 암호화하여 제출하는 것을 의미하고, 프라이빗키는 보안테스트에 관한 보고내용을 열람하는 데 사용된다. 등록되지 않은 공급 업체의 결함에 대해서는 검토를 위해 중개기구에 자동으로 전송된다.
- 슈퍼노드(중재기관) : 디브이피 검증을 실행하여 중재 판정을 내리고 모든 블록의 장부에 데이터 작업을 진행한 다음 이를 전파하고 최종적으로 포인트를 부여받도록 한다. 이 절차에서 노드는 안정검증능력이 구비되어야 한다. 결과적으로 결함 제출자와 프로젝트를 실행하는 공급 업체 간 분쟁이 발생할 경우 중재기구에서 투표를 진행하여 결과를 도출한다.
- 일반노드 : 임의의 클라이언트는 모두 하나의 일반적 노드이다. 일반노드는 디브이피 분산데이터로 저장되지만 기입할 수 있는 권한은 없다. 최종 블록 내용은 중재기관에서 노드를 관리하여 기입한다.
- 블록정보구조 : 기입작업은 최종적으로 중재기구가 실행하는 장부관리 작업으로, 내용은 추가만 할 수 있지 삭제하거나 수정할 수 없다. 전체정보구조는 중재기구에 의해 유지될 것이다.
- 보상금 지불계약 : 디브이피의 공급 업체 계정을 생성하고 프로그램 설정에서 테스트 목표와 결함발견 보상금 등에 대한 정보를 작성하여 제출 후 공급 업체 신원을 검토하는 등 관리 접점을 기다린다. 공급 업체의 계정 보증금이 충전되는 즉시 보상금을 받을 수 있는 프로젝트가 공개된다. 보상금 계약은 온라인의 B/S 클라이언트, 또는 C/S 클라이언트 등을 통해 임무를 발표하는 방식이며 그 내용은 매개 등급의 결함에 따라 보상금을 정의한다. 예를 들면, 고위험 1,000$, 중위험 500$, 저위험 200$이다. 회계감사 자산 범위는 지갑일 수 있고, 공유 블록체인 프로젝트 혹은 임의의 시스템 등이 될 수 있다. 결함에 대한 정의는 각 등급의 상황을 설명한다.
- 구조도
- 일반노드 : 노드를 관리하는 블록정보를 기록하는 데 쓰이며 전체 네트워크의 데이터가 탈 중앙화되도록 보장한다.
- 거버넌스 노드 : 인터넷에서 발생하는 거래, 보상금 지불, 계약 등의 정보를 기록하는 데 쓰이며 일정한 보안 능력을 가진 안전한 공급 업체가 운영한다.
탈중앙화 플랫폼
디브이피의 공유 블록체인이 발표된 후, 온라인에서의 결함 정보 발견 플랫폼(블록정보 브라우저)을 구축한다. 온라인에서의 플랫폼은 주로 결함 제출, 공급 업체 등록 및 생성, 화이트 해커 등록 및 생성, 공급 업체 리스트, 공급 업체 정보 페이지, 랭킹 페이지, 게시글 페이지, 보상금 설명 페이지, 결함 설명 페이지 등이 포함되는 바, 전체 플랫폼의 데이터는 탈중앙화다. 다만 온라인 상에서의 클라이언트 디브이피 브라우저는 블록에서의 데이터를 보여주는 데 사용된다. 이와 동시에 안전한 생태커뮤니티를 강화하여 더 많은 화이트 해커와 프로젝트의 협력을 이룰 수 있다.
- 디브이피 절차 예시
- 블록체인 공급 업체는 디브이피의 공식 플랫폼을 통해 보상금 기준과 테스트 범위(계약 혹은 임의의 공유 브록체인 프로젝트 등)을 제출한다. 제출 후, 상응한 배수의 포인트를 적립하면 자동으로 이 프로젝트를 위한 공동키(결함 내용은 암호화)와 프라이빗 키(공급 업체가 결함 보고 내용을 열람)가 생성된다.
- 결함 제출자는 디브이피의 공식 플랫폼을 통해 실시간으로 이 블록에 게시된 보상금 관련 사무를 열람할 수 있고 자신이 참여하고자 하는 프로젝트를 선택할 수 있다. 결함 발견 후 공급업체가 게시한 공동키를 통해 결함에 대한 보고를 암호화하여 다시 발송한다. 업체는 블록에서 자신과 관련된 결함 정보를 얻을 수 있고 암호를 풀어서 열람한다. 결함 확인 후, 자동으로 이 결함을 제출한 이에게 기존에 발표한 보상금 기준대로 지불한다(결함의 상·중·하 등급별로 확인).
- 공급 업체가 결함에 대해 임의의 의문이 생길 경우, 공급 업체는 해당 결함을 다시 작성하여 중재기관(거버넌스 노드)에 보내며, 이때 중재기관에서 중재를 통해 결함에 대해 판단한다. 중재결과는 검증자의 투표에 따라 결정되고 50% 투표수가 넘으면 결함에 대해 중재하고 이를 인터넷에 게시한다.
- 결함이 블록에 기입된 후, 24 시간이 지나도 처리되지 않으면 자동으로 진행 상황을 프로젝트 측에 전한다.
- 제출된 결함 보고 요구
- 결함 타이틀 : 타이틀은 결함의 상황을 기본적으로 요약하고 언어적 묘사에서 규범성이 결여되어 있다. 예를 들면 ‘한 곳에 결함 발견’, ‘다른 곳에 결함 발견’, ‘사이트 어딘가에 월권이 존재’ 등이다.
- 기본정보 :
- 1) 결함유형 : 정보를 기입하는데 오류가 없음
- 2) 결함등급 : 정보를 기입하는데 오류가 없음
- 3) 공급 업체 정보 : 정보를 기입하는데 오류가 없음
- 결함묘사 : 결함에 대한 소개(결함요약)
- 결함본문 :
- 1) 결함 재현 과정 : 재현 과정은 기본적으로 완전하나, 개별 부분적 묘사가 명확하지 않거나 데이터가 부족하여 결함에 대한 평가 및 재현에 일정한 영향을 미친다,
- 2) 단계별 그래픽 설명 : 주요 테스트는 단계가 완전하지만 재현 단계가 누락되어 결함 재현에 영향을 미친다. 만약 결함 요청 패키지를 직접 붙여 넣었지만 요청 패키지를 얻기 위한 테스트 단계가 부족한 경우, 재현하려면 두 번의 소통이 필요하다.
- 3) 결함 위험성 증명:결함 위험성 증명은 기본적으로 완전하다.
- 복구제안 : 복구제안은 기본적으로 정확하지만 너무 간단하여 실제로는 참고 가치가 없다. 예를 들면, ‘제어권한’, ‘필터 매개변수’, ‘신분확인’ 등으로 표현된다.
- 결함정보 : 결함보고에 대한 전체적 내용은 공개키로 암호화되어 진행되고 공급 업체만이 프라이빗키로 암호를 해독할 수 있다.
- 공급 업체 미확인 : 결함 보고서가 블록에 제출되면 보고서는 자동으로 타임스탬프가 찍히고 24 시간 이상 처리되지 않으면 공급 업체에 자동으로 연락이 간다. 누구에게도 확인되지 않은 상황에서는 ‘공급 업체 미확인’으로 표시된다.
- 공급 업체 확인완료 : 공급 업체는 보상금 계약에 대한 관련 결함 정보를 열람할 수 있고, 프라이빗키를 통해 암호를 풀어 보고서에 대한 상세내용을 본 후 판단할 수 있다. 결과 보고가 문제 없다면, 보상금은 자동으로 이 결함을 제출한 이의 지갑 주소에 입금된다.
- 분쟁 : 분쟁은 현재 제출된 결함정보에 대해 공급 업체가 동의하지 않음을 의미한다. 의문이 있다면 공급 업체는 암호해지 후 결함상세보고를 중재기관에 발송하여 투표를 통해 중재를 진행하여야 한다. 최종결과는 투표수>50% 결과에 따라 중재한다.
- 공개 : 공급 업체의 주도적 확인에 따라 보안 결함에 대한 세부 보고를 공개할 수 있다. 공개 된 내용은 사용자가 열람할 수 있도록 블록에 기록된다.
- 결함에 대한 공급 업체의 심의 : 공급 업체가 보상금 계약을 게시하면 클라이언트+프라이빗키를 통해 디브이피 홈페이지에서 결함에 대한 세부정보를 찾아볼 수 있다. 결함이 확인되면 자동으로 보상금 입금 절차가 이루어 지고, 이의를 제기할 수 있다.
- 결함중복 : 가장 빨리 제출한 시점에 따라, 그 후에 제출 된 것에 대해 공급 업체는 거절할 권리가 있고 중재를 신청할 수 있다.
- 결함무효 : 공급 업체가 결함을 무효로 생각하거나, 재현할 수 없다거나 혹은 위험성이 없다고 생각하면 공급 업체는 세부적 내용에 대한 암호를 풀어서 재암호화 한 후 다시 중재기관에 발송하여 투표중재를 진행한다. 중재결과에 따라 제출자의 지갑에 자동으로 입금된 것이 확인되었다면, 전체 네트워크에 본 결함이 무효함을 고지한다.
- 업무포상금 : 디브이피 플랫폼은 매 거래당 일정한 비율의 수수료(초기는 10%로 설정)를 받는다. 이밖에 보상풀(pool)을 형성하는 바, 보상풀은 디브이피 커뮤니티의 생태환경에 기여한 공급 업체와 화이트 해커(초기 비례 3:7)에게 보상의 의미로 제공된다. 공급 업체와 화이트 해커가 기여한 가치는 일련의 규칙과 투명한 순위를 통해 계산된다.
장점
결함 보상은 미국에서 시작되었고 페이스북, 구글, 마이크로소프트를 필두로 해커원(HackerOne), 버그크라우드(BugCrowd) 등과 같은 회사들이 화이트 해커 커뮤니티를 통해 기업들로 하여금 보안 결함을 발견 할 수 있도록 도움을 주고 있다. 중국에서는 3BAT와 같은 일선에 있는 인터넷 공급 업체에서 SRC(Safety Emergency Response Center)를 통해 결함 발견 보상계획을 진행하고 있다. 그들은 이런 방법을 통해 외부 결함의 수량이 제어 가능한 범위로 줄어드는 효과를 봤으며 장기적 보안 시스템 구축을 함에 있어서도 시간과 지침을 얻었다.
그러나 시장에는 아직까지 탈중앙화 된 결함 발견 보상 플랫폼이 존재하지 않고 있다. 모든 보상은 중앙집중화식 플랫폼을 통해 이루어지고 있거나 이메일 등과 같은 소통방식을 취하고 있으므로 비효율적이고 시간이 많이 들며 보상의 범위도 제한적일 뿐만 아니라 기업들이 전문인사를 고용하여 모든 보상임무를 감독해야 하는 문제가 발생한다. 이밖에 전문인사들은 자신의 신원, 연락처 등과 같은 개인정보가 노출되는 것을 꺼려한다. 현존하고 있는 플랫폼들은 이런 문제들을 해결하지 못했는 바, 해커원, 버그크라우드 등과 같은 사이트는 전통적인 인터넷 보안문제에 더 중점을 두고 있어 탈중앙화된 감사기제를 제공하지 못하고 있다. 반면, 디브이피는 개인정보보호와 익명의 설계 및 탈중앙화된 감사기제를 통한 결함의 기밀성과 공정성을 핵심가치로 보고 있다
- 완전한 개인정보 보호
- 현존하고 있는 다른 보상 플랫폼들은 보상을 받는 정보를 포함하여 제출자에게 개인정보를 제공하도록 요구한다. 대부분의 결함 발견 보안 담당자는 개인정보 공개를 꺼려하고 또 공급 업체와 소통하는 것을 원하지 않고 있어 결함 제출을 포기하는 경우가 있다. 그러나 디브이피의 익명성 등 특점은 효과적으로 화이트 해커의 개인정보를 보호해 줄 수 있어 더 많은 화이트 해커들의 참여를 유도할 수 있다.
- 결함은 공급 업체하고만 결과 확인을 진행할 수 있어 결함에 대한 기밀성을 보장한다. 분쟁이 발생하면 중재기관이 투표를 통해 공정성을 보장한다. 현존하고 있는 플랫폼들은 중앙집중화 플랫폼들로서 플랫폼은 모든 프로젝트 당사자의 결함 정보를 열람할 수 있다. 그러나 공급 업체는 이런 정보를 플랫폼측이 열람할 수 있는 것을 원하지 않는다. 과거에도 중앙플랫폼의 문제로 인해 결함의 세부정보가 노출되어 결과적으로 결함이 이차적으로 이용되어 공급 업체가 손해를 본 사건이 존재한다. 반면, 디브이피의 대칭적인 암호화체계와 공유 블록체인의 결합은 공급 업체만이 열람할 수 있도록 되어있고 최종공개 주도권도 공급 업체가 가지고 있으므로 효과적으로 결함에 대한 세부 기밀성을 보장할 수 있다.
- 익명 설계, 공정성
- 보상금 거래는 익명으로 이루어 지고 보상을 받기 위해서는 어떠한 개인정보도 필요 없으며 그 기록은 투명하고 공개적임을 보장한다. 이밖에, 거래마다 과거기록과 완벽한 추적기록이 있다.
- 탈중앙화 감사 기제
- 모든 감사표준은 공급 업체에 의해 확인된다. 전통적인 결함 발견 플랫폼은 일반적으로 중앙에서 결함을 검증하는 바, 이런 플랫폼은 절대적인 제어권을 갖고 있어 결함에 대해 의문스러운 점이 있다면 화이트 해커 혹은 공급 업체는 발언권이 없다. 반면, 디브이피는 탈중앙화 기제로 감사를 진행하므로 공급 업체가 이의제기 시 중재기관(거버넌스 노드)이 중재투표를 통해 감사하며 그 결함의 절대적인 공정성을 보장한다.
로드맵
- 2019년 2월 : 블록체인에 중점을 둔 중앙집중화 결함 플랫폼으로, 프로젝트에 대한 보상금 거래를 ETH/DVP 형식으로 거래할 수 있도록 지원한다. 구체적으로는 화이트 해커 커뮤니티의 엘리트화를 도모하고 커뮤니티 공동설립자를 모집하고, 커뮤니티 격려 계획 및 거버넌스 노드 계획을 발표한다. 또한 화이트 해커 커뮤니티의 엘리트화를 완료하고 커뮤니티를 구축, 이 플랫폼은 블록체인을 중심으로 모집하고 있고 업무는 곧 채굴이라는 커뮤니티 격려계획과 거버넌스 노드계획을 발표한다.
- 2019년 4월 : 화이트 해커 커뮤니티의 엘리트화 후, 커뮤니티 공동 설립자 모집, 업무는 곧 채굴이라는 격려계획과 거버넌스 노드계획을 발표한다. 이때부터 디브이피 협의의 메인체인을 발표하고 탈중앙화의 방식으로 운영하며 디브이피 메인체인을 추진한다. 포인트 격려기제를 통해 중재기관을 형성하는 디브이피 공공체인을 선택한다. 구체적으로 플랫폼 내 거래는 디브이피 토큰을 사용하고, 올라인 블록 브라우저를 발표하며 온라인 접속고객은 공급 업체가 보상금 계약을 제출하는 것으로 사용함과 동시에 화이트 해커는 결함을 제출한다. 이렇게 양호한 커뮤니티 메커니즘을 수립하고 거버넌스 노드 모집을 완료하며 디브이피 생태계가 원활하게 운영되어 제1차 디브이피 재이용을 이룬다.
- 2020년 1월 : 디브이피 메인체인과 탈중앙화 플랫폼을 원활하게 운영하고 세계에서 제일 큰 탈중앙화 결함 발견 플랫폼을 형성하며 임의의 보안 보상금 계약은 디브이피를 기반으로 게시할 수 있다. 이밖에 꼭 블록체인 보안점검 프로젝트가 아니어도 된다. 더 큰 규모의 커뮤니티와 브랜드 영향력을 실현하고 업계 보안 문제의 사명을 수호한다. API와 사스(SaaS) 서비스를 개방하고 제3자 응용을 받아들인다. 디브이피 희망기금을 추진하고 디브이피를 중심으로 한 보안생태계를 건설한다.
- 2020년 3월 : 디브이피를 중심으로 가장 안전한 탈중앙화 거래소와 디앱 등, 가장 중요한 보안의 각도로부터 블록체인 산업의 발전을 이끈다.
각주
참고자료
같이 보기
이 문서는 로고가 필요합니다.