디브이피
디브이피(DVP)는 블록체인 기반의 탈중앙화된 결함발견 보상 플랫폼이다. 자동 보상금 지불 시스템으로 결함을 찾은 참여자(화이트 해커)에게 보상을 지급하는 구조이다. 디브이피의 대표는 다니엘 웬(Daniel Wen)이다.
개요
디브이피는 자동 보상금 지불 시스템으로 결함을 찾은 참여자, 즉 화이트 해커에게 보상을 지급하는 구조이다. 화이트 해커란 기관의 미비한 보안 시스템을 발견해 분석하고 블랙 해커의 공격을 퇴치하는 역할을 하는 해커이다. 디브이피는 화이트 해커의 자발적인 참여를 통해 화이트 해커 커뮤니티 구축과 블록체인 시장의 취약점을 새로운 방식으로 해결하고자 한다. 디브이피는 이더리움 기반의 ERC-20 토큰으로 2018년 7월에 발행되었다. 블록체인 생태계의 보안과 화이트해커의 이익과 익명성을 보장하기 위하여 디브이피의 분산식 플랫폼과 여러 보안 팀 및 중앙화 플랫폼 등을 결합하여 발행한 코인이다. 이를 위하여, 화이트 해커 커뮤니티, 업체, 블록체인 프로젝트, 캐피털, 보안 영역의 파트너사 등을 생태계로 포함하고 있다.
디브이피의 참여자는 화이트 해커, 공급업체, 슈퍼토드, 일반노드로 나뉜다. 화이트해커는 플랫폼에서 보상을 받을 수 있는 임무를 찾고, 결함 발견을 통해 얻은 포인트를 보상금으로 받을 수 있다. 공급업체는 업무 책임자로서, 중재기관의 신원확인 후 임무를 게시하고 보상금 기준을 명시하며, 슈퍼노드는 중재기관으로서 디브이피 검증을 실행해 중재 판정을 내리고 모든 블록의 장부에 데이터 작업을 진행, 최종적으로 포인트를 부여받도록 한다. 결함 제출자와 공급 업체 간 분쟁이 발생할 경우, 중재기관에서 투표를 진행해 결과를 도출하기도 한다. 임의의 클라이언트는 모두 하나의 일반 노드로 디브이피 분산데이터로 저장되지만 기입할 수 있는 권한은 없다.[1]
주요 인물
- 다니엘 웬(Daniel Wen) : 디브이피의 최고경영자이다. 블록체인 업계, 사모주식, 투자은행과 금융 등의 분야에서 15년 이상의 경력을 쌓았다. 한때 유명한 공유 블록체인 프로젝트 온톨로지(Ontology)의 글로벌 생태계 총감독을 역임하여 온톨로지의 마케팅, 비즈니스 확장 및 해결방안 팀을 관리했고, 온톨로지의 생태합작 파트너 네트워크를 구축하는 데 중요한 역할을 담당했다. 온톨로지 팀에 합류하기 전, 그는 국제은행, 포춘 500 위의 다국적기업 및 빅4 회계사무소에서 근무했었다. 다니엘 웬은 호주 뉴사우스웨일즈 대학교 경영대학원에서 MBA를 취득했고 중국인민대학에서 재무 및 금융학 학사 학위를 취득했다.
- 티파니 리(Tiffany Li) : 디브이피의 최고전략책임자이다. 초창기인 첨단기술회사와 프로젝트의 운영을 위한 인큐베이션 및 컨설팅에 대해 풍부한 경험이 있다. 토론토의 한 벤처캐피탈에서의 근무기간동안 그녀는 북미 여러 블록체인 프로젝트에 대한 컨설팅을 진행했다. 디브이피 팀에 합류하기 전, 그녀는 대규모 블록체인 토큰 펀드의 투자책임자를 역임하였고, 수많은 유명한 블록체인 회사의 투자 및 인큐베이션에 적극 참여했다.
- 데렉 덩(Derek Deng) : 디브이피의 수석기술고문이다. 수석 보안 전문가로서 중국 최고의 정보 보안 업체인 360에서 수석보안연구원으로 지냈다. 이밖에 화이트 해커 보안연구원(白帽汇,NOSEC)의 공동 창립자로서 보안 운영을 담당하였다.
등장배경
2008 년 11 월, 비트코인을 만든 사람인 사토시 나카모토(Satoshi Nakamoto)는 논문 ‘비트코인: 개인 간 전자화폐 시스템’에서 블록체인이라는 데이터 구조를 제시하면서, 블록체인 기술과 업계는 폭발적 성장과 주목을 받아왔다. 코인마켓캡에 따르면, 2019년 6월, 블록체인 암호화폐 시가총액은 2500억 달러를 돌파하였다. 2018년 초기만 해도 8,000억 달러를 돌파하는 등 시장에서 거래되는 암호화폐 종류는 2000여 가지에 달한다. 이밖에, 반영되지 않은 거래소, 지갑, 채굴, 미디어 등 관련 산업까지 고려한다면, 전체 산업은 어느 정도의 규모를 이루었고 여전히 비교적 큰 성장 속도와 성장 가능성을 유지하고 있다.
한편, 블록체인 업계는 여전히 초보적인 발전 단계에 놓여 있고, 기술과 이념의 미성숙으로 인한 보안 사고가 빈번히 발생하고 있으며, 블록체인 제품이 가지고 있는 금융적 속성으로 인해 그 자산은 아직까지 많은 국가의 법률적 보호를 받지 못하고 있다. 이밖에, 탈중앙화 속성은 자산의 통제와 추적이 어렵다는 것을 의미하여, 그러한 블록체인 프로젝트는 해커들의 이상적인 공격 목표이다. 통계에 따르면, 블록체인과 관련하여 보안 사고로 인한 손실이 꾸준히 늘고 있는 것으로 나타났다. BCSEC의 통계에 따르면, 2018년 블록체인 관련 중대한 보안 사고는 139 건을 기록하였고, 그 경제적 손실은 22.38억 달러로 사상 최대 수치를 기록하였다. 2019년 상반기에 발생한 중대한 보안 사고는 68건에 달하였고, 그로 인한 경제적 손실은 6.84 억 달러이다. 또 공격 수법이 다양하여 이를 감당하기 어려운 것으로 나타났다.
이에 따라, 블록체인 관련 보안문제는 중요해지고 있고, 블록체인 업계와의 동반성장이 시급하다.[2] 그러나, 블록체인 보안문제의 심각한 형세와 함께 블록체인 보안 관련 회사와 그에 상응한 연구 인력도 부족한 현황이다. 이런 상황에서, 블록체인의 발전은 보장되지 않고 있다. 특히, 현재의 블록체인 업체들이 초기 창업 기업 및 중소기업이고 이들의 자금력에 한계가 있다는 점을 고려할 때, 그들이 전문적인 보안 연구 인력을 초빙하여 자신들의 블록체인 제품에 대한 지속적인 보안 테스트를 진행하는 데 어려움이 있다. 이러한 조건 하에, 보안문제관련 크라우드펀딩은 이상적인 솔루션으로 블록체인 보안인력을 보다 유연하게 할당하여 블록체인의 발전을 더 잘 지탱할 수 있다. 블록체인 업체는 보안 테스트에 대해 보상금을 지불하고, 화이트 해커들이 자발적으로 블록체인에 있는 잠재적 결함을 찾게끔 한다. 그들의 역량에 의해 보안 문제를 발견하고 적시에 제거할 수 있다. 다만 이런 시스템의 문제점은 공급 업체와 화이트 해커가 어떻게 신뢰를 구축하는 지에 대한 것이다.
그렇다면, 신뢰 문제 역시 블록체인 기술을 통해 보완할 수 있다. 블록체인 기술을 통해 신뢰 가능한 결함 플랫폼을 구축하는 반면, 블록체인의 보안문제를 보장하여 서로 상생하며 블록체인과 블록체인의 안전하고 동시적 발전을 이룰 수 있다.
정보 보안은 하나의 교차적 학과로 각 분야의 인터넷과 관련된 소프트웨어 및 하드웨어 보안이 망라한 지식 체계이다. 블록체인 보안은 정보 보안의 중요한 한 갈래로서 스마트계약 보안, 블록체인 노드보안, 거래업무 보안 등과 같은 세부적 영역을 만들어 갈 수 있다. 강조할 점 보안 문제는 최소량의 법칙을 띠고 있다는 점이다. 즉, 전체 시스템 중 한 가지에 취약점이 존재하면 전체적 보안에 직접적 영향을 줄 수 있다. 블록체인은 보안 기술을 기반으로 구축해야 하며 개발자에게는 개발 기술 외에도 광범위한 보안 지식과 높은 수준의 보안 인식을 요구한다.
이는 어찌 보면 비현실적이다. 블록체인 개발자는 일반적으로 비즈니스 원칙을 우선으로 하고, 보안 인식은 상대적으로 약하므로 각 부분의 보안을 보장하기 어려우므로 블록체인과 관련된 하드웨어 및 소프트웨어에 많은 결함(취약점)이 발생하게 된다. 따라서 블록체인 관련 보안문제는 전문업체가 책임지고 모든 절차를 테스트하고 보장해야 한다. 우리의 연구결과에 따르면, 수많은 블록체인 프로젝트에는 전문적인 보안 팀이 없으며 보안 결함을 감지할 수 있는 능력을 갖추고 있지 않다. 한편 기존에 보안을 책임지는 팀이 있는 프로젝트에서도 그들이 모든 결함을 발견할 수 있음을 보장할 수 없다. 다양한 측면에서의 보안은 전체적 보안을 뜻하지 않는다. 이는 하나의 심각한 문제가 발생 시 전체 블록체인 네트워크를 무력화시키기에 충분함을 뜻하기도 한다.
모든 결함을 보다 포괄적으로 다루기 위해서는 단일 조직이나 팀에 의존할 수 없고 더 많은 집단의 역량이 필요하다. 집단 지성의 역량으로 여러 측면의 블록체인 보안 결함을 최대한 발견해야 한다. 전문적인 화이트 해커 집단은 이러한 역량을 발휘하기에 적합하다. 여기에서 새로운 문제는 바로 업체와 화이트 해커들 간의 신뢰를 가로막는 장벽이다. 신뢰 관계를 구축하기 전, 실제로 공급 업체와 화이트 해커 간에는 부분적으로 적대감이 존재 하는 미묘한 관계에 놓여 있다.
첫째, 공급 업체는 보안 결함을 처리함에 있어 수동적 상황에 놓여 있다. 예를 들면, 공급 업체는 화이트 해커들이 결함을 이용하여 악의적 작업을 할 수 있는 것을 걱정하거나 결함에 대한 구체적 내용이 화이트 해커들이나 플랫폼에 의해 폭로되는 등 문제를 걱정한다. 일부의 공급 업체들은 결함을 해결함에 있어 화이트 해커에게 제공되는 보상금을 강탈로 생각하기도 한다. 둘째, 화이트 해커들은 보상금을 받음에 있어서 수동적인 상황에 놓여 있다. 그들이 직면한 핵심 문제는 다음과 같다. 보상금이 결함 가치와 일치하지 않을 때 어떻게 중재하는지, 공급 업체가 계약 위반 시 어떻게 권리를 보장 받는지, 권위적 기구가 압력을 가할 때 어떻게 자신의 안전을 보장하는지 등과 같은 문제이다.
앞서 말한 신뢰를 구축함에 있어서의 장벽을 허물기 위해서는 블록체인 기술을 이용하여 새로운 신뢰적 교량을 구축해야 한다. 이와 동시에 적절한 메커니즘을 고안하고 플랫폼에 관련된 모든 당사자의 이익과 기여도를 고려하여 플랫폼 및 모든 당사자의 공통적이고 지속가능한 성장을 촉진하기 위한 유대관계를 형성해야 한다. 궁극적으로 블록체인 보안이 직면한 일련의 과제에 대해 디브이피가 도달해야 하는 목표는 다음과 같다. 기업은 효과적이고 지속적인 보안 모니터링을 얻는 것이고, 화이트 해커들은 업무해결 능력과 맞닿은 수익을 얻는 것이며 플랫폼에 공헌한 기타 인물들도 상응한 보상을 받는 것이다. 즉, 모든 참여자들이 플랫폼의 무궁한 성장 속에서 이익을 얻고 블록체인 업계의 보안도 보장을 받는 것이다.[2][3]
특징
협의 및 공유 블록체인
디브이피 협의는 비용을 낮출 수 있는 시스템을 구축함으로서 블록체인 프로젝트의 보안문제를 해결한다. 시간이 지날수록 블록체인 프로젝트마다 디브이피 협의를 사용하여 보안검사를 수행할 수 있기를 바라는 바, 이는 블록체인 프로젝트에서 보안은 가장 기본적인 요구사항이기 때문이다. 협의에는 주요 보상금 지불 시스템이 있다. 하나는 자동적인 보상금 지불 시스템으로, 결함을 찾은 참여자들을 장려하는 것이다.[2] 화이트 해커와 프로젝트 진행 측 사이에 하나의 자동화 보상금 지불 시스템을 구축한다. 디브이피 협의는 참여자들의 분산형 네트워크에 의존하는 바, 부정적 역할을 감소하고 필요한 연산력과 관리를 제공한다. 참여자들마다 디브이피 협의 포인트를 사용하여 지불, 수신, 또는 검증 서비스를 향상시킬 수 있다.
- 참여자
- 화이트 해커 : 결함 발견을 통해 얻은 포인트를 보상금으로 받고, 플랫폼에서 보상금을 얻을 수 있는 임무를 찾을 수 있다. 결함 발견 후, 플랫폼 혹은 클라이언트가 공급 업체 보고용으로 만든 공개키로 콘텐츠를 암호화하여 제출한다.
- 공급업체(업무 책임자) : 공급 업체 생성 후에는 중재기관의 공급 업체 신원확인을 기다려야 한다. 신원확인 후, 임무를 게시하여 보상금 기준을 명시하며 테스트 범위에 대한 정보를 기입하고 이를 프라이빗키와 공개키로 생성한다. 공개키는 제출자가 제출할 결함에 관한 정보를 암호화하여 제출하는 것을 의미하고, 프라이빗키는 보안테스트에 관한 보고내용을 열람하는 데 사용된다. 등록되지 않은 공급 업체의 결함에 대해서는 검토를 위해 중개기구에 자동으로 전송된다.
- 슈퍼노드(중재기관) : 디브이피 검증을 실행하여 중재 판정을 내리고 모든 블록의 장부에 데이터 작업을 진행한 다음 이를 전파하고 최종적으로 포인트를 부여받도록 한다. 이 절차에서 노드는 안정검증능력이 구비되어야 한다. 결과적으로 결함 제출자와 프로젝트를 실행하는 공급 업체 간 분쟁이 발생할 경우 중재기구에서 투표를 진행하여 결과를 도출한다.
- 일반노드 : 임의의 클라이언트는 모두 하나의 일반적 노드이다. 일반노드는 디브이피 분산데이터로 저장되지만 기입할 수 있는 권한은 없다. 최종 블록 내용은 중재기관에서 노드를 관리하여 기입한다.
- 블록정보구조 : 기입작업은 최종적으로 중재기구가 실행하는 장부관리 작업으로, 내용은 추가만 할 수 있지 삭제하거나 수정할 수 없다. 전체정보구조는 중재기구에 의해 유지될 것이다.
- 보상금 지불계약 : 디브이피의 공급 업체 계정을 생성하고 프로그램 설정에서 테스트 목표와 결함발견 보상금 등에 대한 정보를 작성하여 제출 후 공급 업체 신원을 검토하는 등 관리 접점을 기다린다. 공급 업체의 계정 보증금이 충전되는 즉시 보상금을 받을 수 있는 프로젝트가 공개된다. 보상금 계약은 온라인의 B/S 클라이언트, 또는 C/S 클라이언트 등을 통해 임무를 발표하는 방식이며 그 내용은 매개 등급의 결함에 따라 보상금을 정의한다. 예를 들면, 고위험 1,000$, 중위험 500$, 저위험 200$이다. 회계감사 자산 범위는 지갑일 수 있고, 공유 블록체인 프로젝트 혹은 임의의 시스템 등이 될 수 있다. 결함에 대한 정의는 각 등급의 상황을 설명한다.
- 구조도
- 일반노드 : 노드를 관리하는 블록정보를 기록하는 데 쓰이며 전체 네트워크의 데이터가 탈 중앙화되도록 보장한다.
- 거버넌스 노드 : 인터넷에서 발생하는 거래, 보상금 지불, 계약 등의 정보를 기록하는 데 쓰이며 일정한 보안 능력을 가진 안전한 공급 업체가 운영한다.[3]
탈중앙화 플랫폼
디브이피의 공유 블록체인이 발표된 후, 온라인에서의 결함 정보 발견 플랫폼(블록정보 브라우저)을 구축한다. 온라인에서의 플랫폼은 주로 결함 제출, 공급 업체 등록 및 생성, 화이트 해커 등록 및 생성, 공급 업체 리스트, 공급 업체 정보 페이지, 랭킹 페이지, 게시글 페이지, 보상금 설명 페이지, 결함 설명 페이지 등이 포함되는 바, 전체 플랫폼의 데이터는 탈중앙화다. 다만 온라인상에서의 클라이언트 디브이피 브라우저는 블록에서의 데이터를 보여주는 데 사용된다. 이와 동시에 안전한 생태커뮤니티를 강화하여 더 많은 화이트 해커와 프로젝트의 협력을 이룰 수 있다.
- 디브이피 절차 예시
- 블록체인 공급 업체는 디브이피의 공식 플랫폼을 통해 보상금 기준과 테스트 범위(계약 혹은 임의의 공유 블록체인 프로젝트 등)를 제출한다. 제출 후, 상응한 배수의 포인트를 적립하면 자동으로 이 프로젝트를 위한 공동키(결함 내용은 암호화)와 프라이빗 키(공급 업체가 결함 보고 내용을 열람)가 생성된다.
- 결함 제출자는 디브이피의 공식 플랫폼을 통해 실시간으로 이 블록에 게시된 보상금 관련 사무를 열람할 수 있고 자신이 참여하고자 하는 프로젝트를 선택할 수 있다. 결함 발견 후 공급업체가 게시한 공동키를 통해 결함에 대한 보고를 암호화하여 다시 발송한다. 업체는 블록에서 자신과 관련된 결함 정보를 얻을 수 있고 암호를 풀어서 열람한다. 결함 확인 후, 자동으로 이 결함을 제출한 이에게 기존에 발표한 보상금 기준대로 지불한다(결함의 상·중·하 등급별로 확인).
- 공급 업체가 결함에 대해 임의의 의문이 생길 경우, 공급 업체는 해당 결함을 다시 작성하여 중재기관(거버넌스 노드)에 보내며, 이때 중재기관에서 중재를 통해 결함에 대해 판단한다. 중재결과는 검증자의 투표에 따라 결정되고 50% 투표수가 넘으면 결함에 대해 중재하고 이를 인터넷에 게시한다.
- 결함이 블록에 기입된 후, 24 시간이 지나도 처리되지 않으면 자동으로 진행 상황을 프로젝트 측에 전한다.
- 제출된 결함 보고 요구
- 결함 타이틀 : 타이틀은 결함의 상황을 기본적으로 요약하고 언어적 묘사에서 규범성이 결여되어 있다. 예를 들면 ‘한 곳에 결함 발견’, ‘다른 곳에 결함 발견’, ‘사이트 어딘가에 월권이 존재’ 등이다.
- 기본정보 :
- 1) 결함유형 : 정보를 기입하는데 오류가 없음
- 2) 결함등급 : 정보를 기입하는데 오류가 없음
- 3) 공급 업체 정보 : 정보를 기입하는데 오류가 없음
- 결함묘사 : 결함에 대한 소개(결함요약)
- 결함본문 :
- 1) 결함 재현 과정 : 재현 과정은 기본적으로 완전하나, 개별 부분적 묘사가 명확하지 않거나 데이터가 부족하여 결함에 대한 평가 및 재현에 일정한 영향을 미친다,
- 2) 단계별 그래픽 설명 : 주요 테스트는 단계가 완전하지만 재현 단계가 누락되어 결함 재현에 영향을 미친다. 만약 결함 요청 패키지를 직접 붙여 넣었지만 요청 패키지를 얻기 위한 테스트 단계가 부족한 경우, 재현하려면 두 번의 소통이 필요하다.
- 3) 결함 위험성 증명:결함 위험성 증명은 기본적으로 완전하다.
- 복구제안 : 복구제안은 기본적으로 정확하지만 너무 간단하여 실제로는 참고 가치가 없다. 예를 들면, ‘제어권한’, ‘필터 매개변수’, ‘신분확인’ 등으로 표현된다.
- 결함정보 : 결함보고에 대한 전체적 내용은 공개키로 암호화되어 진행되고 공급 업체만이 프라이빗키로 암호를 해독할 수 있다.
- 공급 업체 미확인 : 결함 보고서가 블록에 제출되면 보고서는 자동으로 타임스탬프가 찍히고 24 시간 이상 처리되지 않으면 공급 업체에 자동으로 연락이 간다. 누구에게도 확인되지 않은 상황에서는 ‘공급 업체 미확인’으로 표시된다.
- 공급 업체 확인완료 : 공급 업체는 보상금 계약에 대한 관련 결함 정보를 열람할 수 있고, 프라이빗키를 통해 암호를 풀어 보고서에 대한 상세내용을 본 후 판단할 수 있다. 결과 보고가 문제없다면, 보상금은 자동으로 이 결함을 제출한 이의 지갑 주소에 입금된다.
- 분쟁 : 분쟁은 현재 제출된 결함정보에 대해 공급 업체가 동의하지 않음을 의미한다. 의문이 있다면 공급 업체는 암호해지 후 결함상세보고를 중재기관에 발송하여 투표를 통해 중재를 진행하여야 한다. 최종결과는 투표수>50% 결과에 따라 중재한다.
- 공개 : 공급 업체의 주도적 확인에 따라 보안 결함에 대한 세부 보고를 공개할 수 있다. 공개 된 내용은 사용자가 열람할 수 있도록 블록에 기록된다.
- 결함에 대한 공급 업체의 심의 : 공급 업체가 보상금 계약을 게시하면 클라이언트+프라이빗키를 통해 디브이피 홈페이지에서 결함에 대한 세부정보를 찾아볼 수 있다. 결함이 확인되면 자동으로 보상금 입금 절차가 이루어지고, 이의를 제기할 수 있다.
- 결함중복 : 가장 빨리 제출한 시점에 따라, 그 후에 제출 된 것에 대해 공급 업체는 거절할 권리가 있고 중재를 신청할 수 있다.
- 결함무효 : 공급 업체가 결함을 무효로 생각하거나, 재현할 수 없다거나 혹은 위험성이 없다고 생각하면 공급 업체는 세부적 내용에 대한 암호를 풀어서 재암호화 한 후 다시 중재기관에 발송하여 투표중재를 진행한다. 중재결과에 따라 제출자의 지갑에 자동으로 입금된 것이 확인되었다면, 전체 네트워크에 본 결함이 무효함을 고지한다.
- 업무포상금 : 디브이피 플랫폼은 매 거래당 일정한 비율의 수수료(초기는 10%로 설정)를 받는다. 이밖에 보상풀(pool)을 형성하는 바, 보상풀은 디브이피 커뮤니티의 생태환경에 기여한 공급 업체와 화이트 해커(초기 비례 3:7)에게 보상의 의미로 제공된다. 공급 업체와 화이트 해커가 기여한 가치는 일련의 규칙과 투명한 순위를 통해 계산된다.[3]
장점
결함 보상은 미국에서 시작되었고 페이스북, 구글, 마이크로소프트를 필두로 해커원(HackerOne), 버그크라우드(BugCrowd) 등과 같은 회사들이 화이트 해커 커뮤니티를 통해 기업들로 하여금 보안 결함을 발견 할 수 있도록 도움을 주고 있다. 중국에서는 3BAT와 같은 일선에 있는 인터넷 공급 업체에서 SRC(Safety Emergency Response Center)를 통해 결함 발견 보상계획을 진행하고 있다. 그들은 이런 방법을 통해 외부 결함의 수량이 제어 가능한 범위로 줄어드는 효과를 봤으며 장기적 보안 시스템 구축을 함에 있어서도 시간과 지침을 얻었다.[2]
그러나 시장에는 아직까지 탈중앙화 된 결함 발견 보상 플랫폼이 존재하지 않고 있다.[4] 모든 보상은 중앙집중화식 플랫폼을 통해 이루어지고 있거나 이메일 등과 같은 소통방식을 취하고 있으므로 비효율적이고 시간이 많이 들며 보상의 범위도 제한적일 뿐만 아니라 기업들이 전문 인사를 고용하여 모든 보상임무를 감독해야 하는 문제가 발생한다. 이밖에 전문 인사들은 자신의 신원, 연락처 등과 같은 개인정보가 노출되는 것을 꺼려한다. 현존하고 있는 플랫폼들은 이런 문제들을 해결하지 못하는 바, 해커원, 버그크라우드 등과 같은 사이트는 전통적인 인터넷 보안문제에 더 중점을 두고 있어 탈중앙화된 감사기제를 제공하지 못하고 있다. 반면, 디브이피는 개인정보보호와 익명의 설계 및 탈중앙화된 감사기제를 통한 결함의 기밀성과 공정성을 핵심가치로 보고 있다[2]
- 완전한 개인정보 보호
- 현존하고 있는 다른 보상 플랫폼들은 보상을 받는 정보를 포함하여 제출자에게 개인정보를 제공하도록 요구한다. 대부분의 결함 발견 보안 담당자는 개인정보 공개를 꺼려하고 또 공급 업체와 소통하는 것을 원하지 않고 있어 결함 제출을 포기하는 경우가 있다. 그러나 디브이피의 익명성 등 특점은 효과적으로 화이트 해커의 개인정보를 보호해 줄 수 있어 더 많은 화이트 해커들의 참여를 유도할 수 있다.
- 결함은 공급 업체하고만 결과 확인을 진행할 수 있어 결함에 대한 기밀성을 보장한다. 분쟁이 발생하면 중재기관이 투표를 통해 공정성을 보장한다. 현존하고 있는 플랫폼들은 중앙집중화 플랫폼들로서 플랫폼은 모든 프로젝트 당사자의 결함 정보를 열람할 수 있다. 그러나 공급 업체는 이런 정보를 플랫폼측이 열람할 수 있는 것을 원하지 않는다. 과거에도 중앙플랫폼의 문제로 인해 결함의 세부정보가 노출되어 결과적으로 결함이 이차적으로 이용되어 공급 업체가 손해를 본 사건이 존재한다. 반면, 디브이피의 대칭적인 암호화체계와 공유 블록체인의 결합은 공급 업체만이 열람할 수 있도록 되어있고 최종공개 주도권도 공급 업체가 가지고 있으므로 효과적으로 결함에 대한 세부 기밀성을 보장할 수 있다.
- 익명 설계, 공정성
- 보상금 거래는 익명으로 이루어지고 보상을 받기 위해서는 어떠한 개인정보도 필요 없으며 그 기록은 투명하고 공개적임을 보장한다. 이밖에, 거래마다 과거기록과 완벽한 추적기록이 있다.
- 탈중앙화 감사 기제
- 모든 감사표준은 공급 업체에 의해 확인된다. 전통적인 결함 발견 플랫폼은 일반적으로 중앙에서 결함을 검증하는 바, 이런 플랫폼은 절대적인 제어권을 갖고 있어 결함에 대해 의문스러운 점이 있다면 화이트 해커 혹은 공급 업체는 발언권이 없다. 반면, 디브이피는 탈중앙화 기제로 감사를 진행하므로 공급 업체가 이의제기 시 중재기관(거버넌스 노드)이 중재투표를 통해 감사하며 그 결함의 절대적인 공정성을 보장한다.[3]
제휴
- BCSEC : 핵심 창업 팀은 바이마오휘(白帽汇,NOSEC)로, 모두 2만 명의 화이트 해커들을 보유하고 있고 업계 최대의 보안 정보 플랫폼 창업 및 운영 경험이 있다. BCSEC 는 블록체인 보안 생태시스템에 중점을 두고 블록체인 업계에서 최고의 보안 솔루션을 제공한다. 가장 진보적인 결함 및 보안 관련 정보를 연구하고 있고 현재 디지털 지갑, 거래소, 채굴 풀, 스마트 계약 등 기타 응용프로그램에 대해 심층적인 연구경력을 축적하고 있어 블록체인 커뮤니티의 보안 운영에 조기 경보와 기술적 지원을 제공한다.[2]
- 펙쉴드(PeckShield) : 전 세계를 대상으로 한 업계 최고의 블록체인 보안 팀이며 블록체인 생태계 전체의 안전성, 기밀성 및 가용성 제고를 목표로 하고 있다. 업계 동향 보고서를 발표하는 것을 통해 실시간으로 생태보안위험을 모니터링하고 있고, 관련된 보안 해결 방안 및 서비스를 제공하는 등과 같은 방법으로 커뮤니티가 새로운 보안 사고 위협으로부터 방어할 수 있도록 도와준다.[3]
로드맵
- 2019년 2월 : 블록체인에 중점을 둔 중앙집중화 결함 플랫폼으로, 프로젝트에 대한 보상금 거래를 ETH/DVP 형식으로 거래할 수 있도록 지원한다. 구체적으로는 화이트 해커 커뮤니티의 엘리트화를 도모하고 커뮤니티 공동설립자를 모집하고, 커뮤니티 격려 계획 및 거버넌스 노드 계획을 발표한다. 또한 화이트 해커 커뮤니티의 엘리트화를 완료하고 커뮤니티를 구축, 이 플랫폼은 블록체인을 중심으로 모집하고 있고 업무는 곧 채굴이라는 커뮤니티 격려계획과 거버넌스 노드계획을 발표한다.
- 2019년 4월 : 화이트 해커 커뮤니티의 엘리트화 후, 커뮤니티 공동 설립자 모집, 업무는 곧 채굴이라는 격려계획과 거버넌스 노드계획을 발표한다. 이때부터 디브이피 협의의 메인체인을 발표하고 탈중앙화의 방식으로 운영하며 디브이피 메인체인을 추진한다. 포인트 격려기제를 통해 중재기관을 형성하는 디브이피 공공체인을 선택한다. 구체적으로 플랫폼 내 거래는 디브이피 토큰을 사용하고, 올라인 블록 브라우저를 발표하며 온라인 접속고객은 공급 업체가 보상금 계약을 제출하는 것으로 사용함과 동시에 화이트 해커는 결함을 제출한다. 이렇게 양호한 커뮤니티 메커니즘을 수립하고 거버넌스 노드 모집을 완료하며 디브이피 생태계가 원활하게 운영되어 제1차 디브이피 재이용을 이룬다.
- 2020년 1월 : 디브이피 메인체인과 탈중앙화 플랫폼을 원활하게 운영하고 세계에서 제일 큰 탈중앙화 결함 발견 플랫폼을 형성하며 임의의 보안 보상금 계약은 디브이피를 기반으로 게시할 수 있다. 이밖에 꼭 블록체인 보안점검 프로젝트가 아니어도 된다. 더 큰 규모의 커뮤니티와 브랜드 영향력을 실현하고 업계 보안 문제의 사명을 수호한다. API와 사스(SaaS) 서비스를 개방하고 제3자 응용을 받아들인다. 디브이피 희망기금을 추진하고 디브이피를 중심으로 한 보안생태계를 건설한다.
- 2020년 3월 : 디브이피를 중심으로 가장 안전한 탈중앙화 거래소와 디앱 등, 가장 중요한 보안의 각도로부터 블록체인 산업의 발전을 이끈다.[5]
각주
- ↑ 카페 관리자, 〈빗썸 디브이피(DVP) 암호화폐 검토보고서〉, 《빗썸 공식 카페》, 2019-09-11
- ↑ 2.0 2.1 2.2 2.3 2.4 2.5 제리, 〈DVP 블록체인 결함 보상 탈중앙화 보안 플랫폼〉, 《네이버 블로그》, 2019-08-19
- ↑ 3.0 3.1 3.2 3.3 3.4 디브이피 백서 - https://dvpnet.io/whitePaper
- ↑ 메리로즈, 〈DVP 보안플랫폼 취약점 발견하는 화이트해커에게 보상을 줍니다〉, 《네이버 블로그》, 2019-08-20
- ↑ 디브이피 공식 홈페이지 - https://dvpnet.io/
참고자료
- 디브이피 공식 홈페이지 - https://dvpnet.io/
- 디브이피 백서 - https://dvpnet.io/whitePaper
- 제리, 〈DVP 블록체인 결함 보상 탈중앙화 보안 플랫폼〉, 《네이버 블로그》, 2019-08-19
- 메리로즈, 〈DVP 보안플랫폼 취약점 발견하는 화이트해커에게 보상을 줍니다〉, 《네이버 블로그》, 2019-08-20
- 카페 관리자, 〈빗썸 디브이피(DVP) 암호화폐 검토보고서〉, 《빗썸 공식 카페》, 2019-09-11
같이 보기
이 문서는 로고가 필요합니다.