[블로그번역] SMS 비트코인캐시 전송 서비스.Cointext의 프라이빗키 관리와 보안관련 질문에 대한 대답.

와!!!길다!!!
이렇게 길줄은 몰랐습니다.....번역하는 도중 남은 부분을 스크롤 내려보는 순간 절망....
다음부터 요점만 적어줬으면....

BCH전용 서비스입니다.후에 다른 코인들도 추가할런지
아니면 다른 코인을 다루는 유사한 회사가 등장할런지는 모르겠꾼요.

전에도 얘기한 적이 있는데 카카오톡 봇이나 텔레그램 봇을 이용하신분은
그 인터페이스 그대로 떠올리시면 됩니다.
다만 채팅이 아닌 SMS를 Cointext에 보냄으로서 모든것이 이뤄지는 것이죠.

가능한 커맨드는 현재

• SEND
• WITHRAW
• DEPOSIT
• BALANCE
• HELP

입니다.전송,출금,입금,잔고확인,도움말 이죠.
전송이나 출금에 드는 수수료는

• 12달러 미만의 BCH는 0.03센트상당의 BCH
• 12달러 이상의 BCH는 총 금액의 0.25%

일반 DEPOSIT 이라는 SMS를 Cointext로 보내면 자신의 폰번호를 백업문구삼아서
생성된 퍼블릭 주소가 생성되고,그 주소가 답장으로 들어오게 됩니다.
이러면 이제 여러분 폰번호를 기반으로 하는 Cointext 지갑이 생성된것입니다.
그 주소에 입금시키시면 Cointext 지갑잔고로 들어가게 됩니다.

시스템을 전반적으로 설명드리자면

• 모든 거래는 온체인 거래
• 각자의 전화번호가 보통 지갑앱은 백업구문역할을 하고,이를 기반으로 주소를 생성.
• 지갑앱이 매 거래마다 새 주소를 생성시키는것과 마찬가지로,Cointext 역시 매 SMS마다 새주소를 생성시킴
• Cointext회사는 사용자들의 프라이빗키는 물론 주소조차 저장하지 않기에 해킹 불가능,도난불가능.
• 하지만 폰을 도둑맞는 순간 모든것이 위험에 처하므로,항상 잠금비번,지문 설정하고 분실시엔 바로바로 도난신고합시다.

한가지 명심해 두실것은,이 서비스는 콜드 월렛 서비스가 아닙니다.
암호화폐를 안전하게 두고두고 보관하기 위해서 나온 서비스가 아닙니다.
일상적인 소비용도로 사용되기 위해서 나온 서비스입니다.
즉 우리가 뒷주머니 지갑에 대충 돈 십만원 정도만 넣고 다니는 개념으로
BCH취급하는 상점에서 간단한 쇼핑을 위한 용도로 나온 서비스입니다.
그정도의 BCH만을 Cointext지갑에 넣고 다니면서 사용하는 용도입니다.

간편성과 보안성은 언제나 반비례할수 밖에 없기에,
나중에 정식 출시후에 간편하다고 해서
여기에 전재산 넣고 다니시다간 피눈물 보게 됩니다.

아래는 번역 전문입니다.

https://goo.gl/2KVgM6
By Vin Armani
CTO and Lead Developer – CoinText.io

CoinText의 비공개 베타를 통해 알수 있었던 것은 우리 제품이 많은 암호화폐 커뮤니티 구성원들에겐 익숙하지 않은 패러다임이었다는 것입니다.

사실 SMS를 통한 금융거래는 세계적으로 봤을 때 꽤나 인기있는 기능입니다.캐나다 회사 M-Pesa은 2016년에만 아프리카 10개국에서 600억건의 SMS거래를 처리했습니다.
하지만 SMS 유저인터페이스는 그다지 큰 시장점유율을 확보하진 못했습니다.

Coinapult는 SMS를 통한 비트코인거래기능을 구현하려 했던 초기프로젝트 였으나,대다수의 암호화폐 유저들은 이름조차 처음 들어볼 정도로 방치된 서비스가 되었습니다

저는 SNS상에서 우리 Cointext제품의 사생활 부분이나 보안부분에 대한 우려들에 대해 답변을 하는데 아주 많은 시간을 할애했습니다

더많은 사용자들이 우리 플랫폼에 관심을 가지면 가질수록 이러한 우려들과 질문들이 더 많아질 것이라는 것은 이미 예상했던 바입니다.
이 글은 보통 제가 많이 받았던 질문들에 대한 답이 될것입니다.

How is CoinText a wallet?

Cointext의 지갑은 어떤식으로 구성 되는가?

모든 암호화폐 지갑들은 근본적으로 숫자와 알파벳으로 이뤄진 프라이빗 키라고 할수 있습니다.그리고 그 프라이빗 키로 부터 퍼블릭 키가 파생되어 나옵니다.
이 프라이빗 키와 퍼블릭 를 일컫어 키 페어라고 칭합니다.그리고 이 퍼블릭 키로부터 당신의 지갑주소가 파생됩니다.(금액전송이 가능한)
암호학 알고리즘은(연속 되는 수학방정식)은 프라이빗 키를 퍼블릭 키로 전환시켜 주고,주소는 오로지 한방향으로만 작동합니다.무슨 뜻이나면 퍼블릭 키나 주소를 역으로 거슬러 올라가서 프라이빗 키를 획득하는 것은 불가능하다는의미입니다.
이 알고리즘으로 인해 하나의 프라이빗키는 항상 하나의 같은 퍼블릭 키와 주소를 제공해 줍니다.

이 점이 굉장하 유용하게 작용합니다.
트랜잭션 생성시,프라이빗 키 소유자는 특정주소를 사용함으로서 암호학적으로 서명을 할수있게 되는것이고 트랜잭션에서 그/그녀 가 프라이빗 키를 노출하지 않고도 소유권을 증명할수 있게 합니다.
그리고 노드들로 하여금 전파된 트랜잭션의 유효성을 식별할수 있게 해주고 다음블럭에 포함되도록 대기열에 포함시키게 됩니다.
이것이 비트코인 시스템에서 트랜잭션이 처리되는 방식입니다.

아직도 개념이 햇갈리신다면 당신의 주소를 당신의 직불카드에 적혀있는 숫자들이고 당신의 프라이빗 키는 비밀번호라 생각하십시오.
즉 당신이 프라이빗을 소유하는 한 당신의 자금에 대한 접근권한은 당신이 소유한 것입니다.
이 프라이빗키를 프린트 한후 오프라인의 안전한 곳에 보관할 수 도 있습니다.이것이 흔히 말하는 페이퍼 월렛입니다.가장 안전한 보관방법 중 하나입니다.

당신이 자금을 소비하기 위해 다른 주소로 전송을 하고 싶다면,소프트웨어 지갑이 당신의 프라이빗 키에 접근할수 있도록 해야 합니다.흔히 말하는 “핫 월렛”입니다.

소프트웨어 지갑의 존재는 모든 암호화폐사용자들에게 익숙할 겁니다.당신의 폰이나 데스크탑에 다운로드 가능한 Jaxx 나 Blockchain wallet이 바로 그것입니다.
이 지갑들은 당신의 프라이빗 키를 알고 있으며,당신의 프라이빗 키를 퍼블릭 키와 유효한 주소로 변환하는데 필요한 필수 알고리즘역시도 가지고 있습니다.
이를 통해서 앱은 당신의 잔고를 확인할 수 있으며,다른 이들이 당신에게 송금하는데 쓰여질 주소들도 생성할수 있습니다.
그리고 트랜잭션에 서명을 하고 노드들에게 전파시킵니다.(다른 이들에게 송금을 할수 있게 하는거죠.)
어떠한 프라이빗 키이든 적용되는 소프트웨어 지갑과 필수 알고리즘은 동일합니다.

여기서 중요한 사항을 하나 짚고 넘어가려 합니다.
대부분의 암호화폐 사용자들은 자신의 프라이빗 키를 실제로 본적이 거의 없습니다.
Jaxx와 같은 다종 통화계층적 결정성(HD) 지갑에서 받는 백업 구문이 프라이빗 키라는 오해가 있습니다.기능적인 면에서는 어느 정도 사실이지만, 기술적으로는 옳지 않습니다.

백업 구문은 기술적으로는 니노믹 구문 또는 니노믹 시드라고 정의됩니다.이것은 2013년도에 BIP39를 통해서 비트코인 프로토콜안에 구현되어진 기능입니다.
암호화폐계에 있어 가장 혁신적인 업그레이드중 하나입니다.
이것을 제안한 개발자들은 -Marek Palatinus, Pavel Rusnak, Aaron Voisine, Sean Bowe- 모두 축하받을 자격이 있는 이들입니다.
이 위대한 혁신으로 인해서 랜덤으로 생성된 7-12 백업구문에서 무한에 가까운 키페어들을 생성할 수 있게 되었습니다.
단하나의 소프트웨어로 트랜잭션마다 따로따로 주소를 배정하는게 가능해 짐으로서 최고의 보안성을 가지게 만들어 준 이들입니다.
당신이 HD지갑을 사용중이라면 전송을 싱행할 때 마다 당신의 주소가 바뀌는 것을 경험하셨을 겁니다.그리고 동시에 이전에 사용되었던 주소들을 이용한 거래도 여전히 가능하다는 것도 알고계실 겁니다.이것이 바로 HD 월렛입니다

여기가 바로 당신의 Jaxx 백업구문과 Cointext가 연결되는 지점입니다.
Jaxx 백업구문은 무작위로 생성되었습니다.
여러분이 Jaxx월렛에서 새로운 지갑을 수천번을 생성하더라도 이 백업구문이 겹쳐지는 일은 없을 겁니다.
이 점은 모든 지갑들에게 있어 아주 아주 주용한 부분입니다.
만약 당신이 생성한 지갑의 백업구문이 제가 가진 지갑의 백업구문과 우연히 일치해버렸다고 생각해 보십시오.
여러분은 제 잔고를 모두 빼내갈수 있게 된것이니 대박인 셈이고,저에겐 피눈물인 셈이죠.

이말은 즉 백업구문을 만드는 알고리즘의 필수적요소는,
비유하자면 두번 다시 같은 면이 나올수 없을 정도로 수많은 면을 가진 주사위 같아야 된다는 것입니다.같은 면이 두번 나오는 충돌이 일어난다면 매우 곤란해 지는거죠.
이 절차는 극도의 무작위성이 필수적입니다.(암호학계에서 엔트로피라 일컫어 지죠.)하지만 다른방식은 어떨까요?
결국 무작위성의 요점은 “같은 면이 두번 다시 나오지 않게한다”라는 의도로 만들어져 있습니다.
그런데 만약 두번다시 같은 숫자가 나오지 않도록 하는 다른 방법이 있다면 어떻습니까?
특정 숫자를 특정인(기기)에게만 배넝시킬수 있는 시스템이라면 어떻습니까?
이야기의 흐름이 이제 보이실 겁니다.

바로 이순간에도 전세계에는 말그대로 수십억대의 모바일 폰들이 전세계 통신망에 연결되어 있습니다.
만약 내가 당신의 번호로 문자를 보내면(국가코드+전화번호),다른사람의 폰이 아닌 당신의 폰으로만 전송이 될것입니다.우리는 모두 이걸 당연히 여깁니다.하지만!이건 엄청난 거 아닙니까?
그리고 동시에 특별한 기회입니다.
Cointext는 당신의 전화번호를 사용하고,우리가 가진 시스템의 능력으로 어떤 전화 번호로 통신하는지 확인함으로서 세계의 모든 전화를위한 독특한 키페어를 만들어 냅니다.

우리는 당신의 전화번호를 Jaxx의 백업문구처럼 활용합니다. 그리고 BIP39의 알고리즘대신 우리가 특허를 가진 알고리즘을 적용해서 당신의 전화번호로 부터 키페어를 생성해냅니다.이 알고리즘은 지구상의 모든 전화번호마다 고유하고 안전한 주소를 배정시킵니다.가장 중요한 것은 이 모든것이 바로 즉시에 이루어 진다는 점입니다.

Cointext는 계속 해서 on-the-fly라는 말을 하는데,이건 무슨 뜻이며 이게 왜 그렇게 중요합니까?

I keep hearing that CoinText does everything “on-the-fly.” What does that mean and why is that important?

Cointext의 기술을 이해하기 쉽게 설명 드리자면
기능적으로는 스마트폰의 지갑 앱과 동일한 소프트웨어 지갑이라고 생각 하시면 됩니다.
클라우드상으로 존재하는 CoinText 지갑.
다만 스크린을 통해 조작하는 것이 아닌 sms명령어로 조작을 행합니다.

소프트웨어의 로직층이 당신의 조작가능한 기계위에 존재하는 것이 아니기에 사생활 보호와 보안성,그리고 암호화폐관련의 규제들에 대한 합리적인 우려들이,암호화폐 사용자들에 의해서 제기되어 왔습니다.
이 우려들에 대해서 Cointext가 어떻게 대처하고 있는지 자세하게 설명하겠습니다.

첫째로 (동시에 가장 중요한 우려점인) 프라이빗 키의 관리에 관한 우려입니다.위에 설명드린대로 프라이빗 키의 획득은 그 키에 관련된 모든 주소들의 잔고에 접근이 가능해진다는 뜻입니다.당신이 만약 당신의 스마트폰에 있는 지갑앱을 사용하고 있다면,프라이빗 키는 오직 당신의 기기안에만 보관될 것입니다.

Cointext 지갑은 당신이 서비스에 매번 접속할때마다 키페어를 생성해야 합니다.
cointext에게 sms로 해당 기능(전송,출금,잔고확인)을 요청하고
이 요청이 각 지역통신회사를 거치고
우리의 독자적인 알고리즘 시스템으로 들어오면
해당 SMS를 발신한 번호를 기반으로
키페어를 매번 생성합니다.
SMS로 요청된 기능(전송.출금,잔고확인)을 실행할 때 마다,수신된 전화번호를 통해 이 작업을 수행합니다.

이 모든 절차들이 1초도 걸리지 않는 시간에 일어납니다.
요청된 기능의 수행이 완료되고 나면 여러분이 우려하시는 프라이빗 키에 대한 모든 흔적들은 메모리에서 삭제됩니다.
즉 프라이빗 키와 주소 등 트랜잭션에 관련된 모든 기록들는 디스크에 기록될 시간조차도 없는 겁니다.

Cointext가 카페어에 관한 로그들을 저장하지 않는 대는 여러이유가 있습니다.

• 첫번째는 단순히 보관할 이유가 없기 때문입니다.
  기술적으로든 비지니스적으로든 아무이유가 없습니다.
  우리 시스템은 읽기,쓰기 작업이 계속적으로 일어나는 데이터베이스층이 없이도 운영되도록 만들어진 아주 효율적인 시스템입니다.
  데이터베이스층을 제외시킴으로서,그러한 정보를 보관하는 데에 들어가는 비용을 절감함으로서(기술적인 복잡성도 줄일 수 있었습니다) 확장성을 손쉽게 확보 할수 있게 되었습니다.

• 두번째 이유는 보안성입니다.몇몇 대형거래소들과 지갑들에게 해킹이 일어난 바 있습니다.사기꾼들은 프라이빗 키를 확보한체로 하드웨어 월렛을 중고판매하여 선량한 이들을 함정에 빠뜨리기도 했습니다.
  이 모든 사건들(특히 거래소 관련 사건)은 사기꾼들이 거래소의 관할하에 있는 프라이빗 키에 대한 접근을 할 수 있었기에 일어난 일입니다.
  Cointext는 프라이빗 키에 관한 기록을 보유하지 않기에(우리는 전혀 관할하지 않습니다.)공격유발 요인은 물론 해킹을 유발할 요인도 모두 제거된 셈입니다.
  이러한 요인들이 적으면 적을수록 손쉽게 보안성을 확보할 수 있습니다.

• 개인 정보 보호 관점에서 볼 때, 특히 세계 무대에서는,암호화폐의 힘이란 때론 부패한 정부와 은행 카르텔의 이해를 벗어난 평화로운 자발적 거래를 수행하는 수단을 제공한다는 것을 알고 있습니다.
  수많은 암호화폐 거래소들이 개인의 금융정보를 과도하게 요구중입니다.그로인해 추적가능한 서류기록들이 작성되며,정부가 이를 이용하여 평화로운 사람들을 위협하는데 이용될수 있게 합니다.
  우리는 이러한 폭력적인 강압에 대해 이데올로기적으로 반대하고 있습니다.
  그렇기에 가능한 최대한으로 금융적인 사생활을 보호할 것입니다.
  이것이 우리 시스템에서 누가 거래하는지에 대한 정보를 저장하지 않는 또 다른 이유입니다.

• 프라이빗 키, 주소 또는 이러한 정보를 다시 생성하는 데 사용할 수있는 정보를 보유하지 않는 가장 중요한 이유 중 하나는 규제들입니다.
  만약 우리가 프라이빗 키에 대한 접근권을 가진다면,그건 유저들의 자금에 대한 접근권을 가지고 있다는 뜻이되고,그건 다시 우리가 사용자들의 자금을 관할하고 있다는 뜻이 되기에,우리 프로젝트들은 규제의 대상이 될 가능성이 있습니다.
  흔히 금융규제의 대상이 되는 MSB(Money Service Business)업종으로 분류되게 될것입니다.
  이러한 법률은 관할권 (국가, 주 등)에 따라 달라지긴 하지만, 사실상 대부분의 법률은 사용자의 활동을 엄격하게 추적해야합니다. CoinText는 전적으로 무관할 서비스입니다.
  여러분이 우리의 서비스를 사용한다는건 단순히 클라우드 상에서 SMS에 관한 우리의 하드웨어와 소프트웨어를 대여하고 사용하는것에 지나지 않습니다.

• 그리고 그 대여료 명목으로서 사용자들은 전송 과 출금에 서비스이용시 0.03달러를 수수료로 내게 됩니다.12달러 이하의 금액은 0.03달러,12달러 이상의 금액은 0.25%.
  다시 예를 들어 드리자면 여러분이 100달러 치의 BCH를 전송할 경우 0.25센트상당의 BCH를 대여료로서 지불하게 됩니다.
  이 수수료는 트랜잭션금액에 더해져서 지불되는 형식입니다.
  이 수수료 금액은 서비스의 전체적인 볼륨이 증가함에 따라서 점점 감소하게 될것입니다.
  잔고확인,입금 그리고 도움말 기능은 수수료가 붙지 않습니다.

What are the security concerns with using CoinText?

Cointext를 이용함에 있어 우려되는 보안문제들.

암호화폐를 보유를 하거나 전송을 하는데에는 다양한 방법들이 존재 합니다.
저는 개인적으로 페이퍼 월렛,하드웨어 월렛,거래소,소프트웨어 월렛, 그리고 Cointext를 이용합니다.Cointext는 간편하고 빠릅니다.가벼운 소비용으로나,국제적 송금에 간편하며,암호화폐를 처음 접하는 이들에게 BCH를 전송하는 용도로서도,지갑을 따로 보유하지 않는 이들에게도 간편한 사용서을 제공합니다.위대한 경제학자 토마스 소웰은 이렇게 말했습니다.

경제학에 해답이란 없다.타협만이 있을뿐이다.

이것은 암호화폐에도 적용되는 말입니다.
당신의 Cointext월렛은 SMS를 통해서 조작을 합니다.
당신의 폰에 접근할수 있는 사람은 누구나 당신의 자금에 접근할수 있는것이 됩니다.
즉 당신의 폰이 안전하지 않다면(비번,지문,얼굴인식 등의 기능이 없다면)
또 당신의 폰이 다른이의 손에 넘어가게 된다면,당신의 자금에 대한 접근권을 가지게 될 가능성이 생기는 겁니다.(물론 그들이 Cointext를 이용할 줄안다는 가정하에)

또 다른 취약점은 통신관련 규제와 인프라의 발전이 덜 된 나라들입니다.(미국과 캐나다는 해당하지 않습니다.)이런 나라들의 경우 악의적인 유저들에 의해서 당신이 보낸것처럼 보여지는 번호로 SMS메세지를 스푸핑할 가능성이 있습니다.
물론 그 전에 이들은 당신의 전화번호와,당신이 Cointext를 이용한 적이 있으며 자금을 현재 보관중이라는 사실을 알고 있어야 겠죠.
다행히도 spoofer는 CoinText가 당신에게 보낸 답장을 볼 수 없었습니다.
여기에 추가적으로 우리는 2FA같은 요소 역시도 구현하여 이 취약점을 완벽히 보완할 예정입니다.

하지만 그럼에도 불구하고 아주 아주 아주 미약하게 나마 여전히 어떤이가 당신의 SIM카드를 복제하거나,당신의 통신회사를 속여서 새로운 SIM카드를 발급받는 등의 행위를 할 가능성은 남아 있습니다.
하지만 이 위험성은 Cointext만이 아니라 당신의 폰에 있는 모든 금융 앱들에게 포함되는 취약점이기도 합니다.
이러한 SIM 복제가 계속되면 이동 통신사가 보안을 강화할 것으로 생각됩니다.

CoinText를 사용하든 안하든 휴대 전화를 안전하게 지키는 것이 좋습니다.
잠금을 푸는데 비번을 설정하는것만으로도,분실이나 도난시 당신의 전화번호아래에 보관된 Cointext자금을 지키기에 충분한 보안이 될것입니다.
여러분의 폰이 분실신고 되고 나면 당신의 번호는 그 기기와 분리되게 되므로,Cointext에의 접근은 불가능해집니다.

이 모든 사항들 아래에서,저는 저의 Cointext 월렛 잔고가 제 법정화폐를 넣고 다니는 지갑과 동일한 수준의 안전성을 가지고 있다고 생각합니다.
저는 평소에 필요한 만큼의 잔고만을 가지고 다니면,더 필요해지면 소프트웨어 월렛으로 부터 다시 채워넣습니다.

Cointext는 전대미문의 프로젝트입니다.
우리는 BCH 커뮤니티의 일부가 되는 것이 즐거우며,우리 모든 팀원들은 Cointext를 새로운
우리 팀 전체가 CoinText를 좀더 개선하고, 세계화 된 새로운 금융 시스템의 중요한 부분으로서 거듭나게 되기를 기대하고 있습니다. 베타 사용자의 지원에 감사 드리며 제품 개선 방법에 대한 귀하의 의견을 환영합니다.

Stay Free!