RE: [스팀콘넥트의 위험성] 스팀페이 사용할 때 액티브 키 탈취하는 시연 영상
제가 보여드린 시연의 의미를 정말로 모르시는거죠? 해킹은 필요도 없어요. 그냥 평범해보이는 앱을 앱스토어나 구글플레이에 올려놓으면 그만입니다. 이게 얼마나 쉽게 일어날 수 있는 일인지 이번 시연으로 보여드린 겁니다. 이게 실제적인 위협으로 느껴지지 않는다면 저 역시 더 말을 할 필요가 있나 싶긴 하지만, 이 글을 보는 다른 분들을 위해 마지막 설명을 드리겠습니다.
앱 형태의 지갑이 웹페이지 형태의 지갑보다 안전하다
웹페이지 형태의 지갑 혹은 지갑 기능을 수행하는 서비스는 앱 형태의 지갑에 비해 필연적으로 더 많고 다양한 보안의 위협을 내포하게 됩니다. 제가 보여드린 시연이나 [MEW] 마이이더월렛 해킹에 주의하세요 까지 포함해서 말이죠. 그에 반해 앱 형태의 지갑은 이런 공격을 방어할 수 있는 상당한 수준의 제어권을 갖고 있습니다. 제가 시연에서 보여드리려고 했던 건, 웹페이지 형태의 지갑이 얼마나 쉽게 제어권을 잃어버리는 지에 대해서 입니다. 반면 앱이 제어권을 잃어버리게 되는 경우는 앱이 설치된 디바이스 자체가 해킹을 당했을 때 뿐입니다.
이것이 @asbear님께 제가 해 드릴 수 있는 마지막 조언입니다. 스팀페이가 스팀컨넥트의 보안 위험을 벗어나기 위해서는 스팀페이 전용 앱을 만들어야 합니다. 그리고 스팀페이 앱 스스로 지갑으로 기능해야 합니다. 그렇지 않고서는 제가 보여드린 방식을 포함하여 수많은 공격에 직면할 수 밖에 없습니다.
모이또의 보안 방식에 대해서는 이미 말씀드렸습니다. 모이또는 액티브 키를 사용자가 입력한 PIN 번호로 다시 한번 암호화하여 키체인에 등록합니다. 이는 가능성은 희박하지만 혹시 모를 키체인에 대한 해킹으로 액티브 키가 해커에게 유출되더라도 PIN 번호를 알지 못하는 한 액티브 키를 사용할 수 없도록 하는 장치입니다. PIN 번호는 5자리로서 4자리 숫자와 1자리의 영문자로 구성되어 있습니다. 또한 PIN 번호를 입력하는 키패드는 버튼을 랜덤하게 섞어서 혹시 모를 PIN 번호 유출의 가능성을 없애고자 했습니다. 송금 시에는 항상 PIN 번호를 입력해야 하구요.
그리고 정말 궁금해서 묻습니다. 논쟁이란 표현이 왜 문제가 되는거죠? 건설적인 토론은 있는데, 건설적인 논쟁은 없다고 보시는 건가요? 이건 진짜 궁금해서 묻는 건데, 답변하지 않으셔도 됩니다.
한열님~ 주제넘지만 끼어들어봅니다.
사실 저도 논쟁이라는 단어를 쓰시기에 깜짝 놀랐어요 ㅎㅎㅎ 토론에 비해 논쟁이 어감이 좋지 않을 수 있는 것 같아요. 논쟁(論争)의 쟁(争)이라는 한자에서 일본어 아라소우(争う)라는 말이 파생되는데, 논쟁을 하고자 하시면 처음부터 건설적인 대화를 나눠보자가 아닌 "시비거냐, 좋아 싸우자!" 하는 것처럼 느껴지... 읍읍
①어느 목적을 노리고 상대방보다 우위에 서려고 하거나, 무엇인가를 손에 넣으려고 하다. 경쟁하다.
②자신의 주장을 밀어 붙이기 위해 물러서지 않는다.
③저항하다. 부정하다.
...와 같은 의미인데, 보시면 아시겠지만 논쟁하자, 논쟁한다, 논쟁했다라고 했을 때 그것에서 건설적인 이미지를 얻기가 힘들지 않을까요오...? 쿨럭
논쟁이란 서로 의견이 다를 때, 옳음을 놓고 서로 다투는 행위인데요, 다툰다는 것 때문에 그런 느낌이 드는가 보네요. 살아온 궤적이 다르면 뉘앙스도 다를 수 있다는 것을 배웁니다. 전 친구들과도 자주 논쟁을 하거든요. 회사 회의실에서도 사업방향을 놓고 논쟁을 하죠. 근데, 그게 보는 분들을 불편하게 했다면, 좀 더 신중하게 단어를 골라보겠습니다.
살아온 궤적이 다르면 뉘앙스도 다를 수 있죠.
감히 주제 넘게 바라건데 @asbear님도 오해(기분) 푸시고 이런 다름을 이해를 해주시어 토론을 계속 해주신다면 정말정말 좋을 것 같습니다 ~ 😌
스팀페이를 열심히 쓰고 있는 유저로써 스팀페이가 더욱 좋아지고 안전하길 바랍니다. 그래서 감사를 담아 증인투표도 했습니다. 한열님이 말씀하시는 것처럼 스팀커넥트에 정말 취약점이 있는지 직접 확인을 해보시는 것도 스티미언 모두의 안녕을 위해 좋지 않을까요~?
모이또는 앞으로 공개가 되어질 것이고, 스팀페이는 이미 공개가 되어져있습니다. 스팀페이의 개발로 스팀잇이 굉장히 즐거워진만큼 모이또가 앞으로 어떻게 우리들을 즐겁게 해줄지 관심이 갑니다. 백문이 불여일견. 유저로써 어서 써보고 싶습니다.
보안문제가 부디 자존심문제가 되지 않기를...
논쟁은 자신의 주장을 관철시키는 행위이고 논의는 문제를 수용하고 해결방안을 찾는것이죠. discussion과 argument의 차이죠. 엔지니어링에서 discussion은 추진력을 주지만 argument는 브레이크를 걸죠. 세상에 알려지지않은 새로운 학설이나 모호한 어떤 이론에 대해서 이야기나누는게 아니라 이미 보안계에 다 알려진 이슈들에 대해서 우리 프로젝트가 어떻게 대응하는지를 파악하는 과정에서 argument 는 시간낭비입니다. 분명 제가보기에는 문제가 되는 부분이 있고, 잘못 알고계신 부분이 있었기에 질의를통해 의문점을 해소하는 과정을 거치고 제가 기여할수있는 부분이있거나 도움을 요청하시면 도와드리고 싶었는데, 본인 주장을 관철시키는데만 집중하시니 제가 한열님의 프로젝트에 더이상 인풋을 할 이유가 없다고 결론 내렸고 앞으로는 더이상 관여하지 않겠다는 뜻입니다.
은행 앱을 예로 들면서 compromised 된 단말이나 외부의 exploit 시도에 어떤 대책이 있는지 물었는데 기본적인 답만 하시는걸보니, 제가 제기하는 시스템 시큐리티 이슈 자체를 이해 못하시는것이거나 아니면 무조건 방어만 하시려는것이라고 밖에는 받아들일수가 없습니다. 저한테서 얻을것이나 배울것이 없다고 생각하시는듯 하니 저도 더 푸시하지 않겠습니다. 프로젝트 행운을 빕니다. 그리고 스팀페이에 대한 조언은 감사히 수용하고 보완하겠습니다.
@asbear님께서 도움을 주시려고 하셨다면 감사드립니다.
discussion은 도움을 주려고 하는 말이므로 조건을 달 필요가 없습니다.
비슷한 말로, '마음에 상처가 되었다면 사과드립니다'가 있습니다. 진정성 없는 사과의 표본입니다.
실제 논의가 아닌 논쟁으로 받아들이신 듯 하여 마음이 아픕니다.
넵, 말씀해주신 부분, 잘 새겨보겠습니다.