@asbear님과 @hanyeol님의 보안 논쟁

in #kr2 years ago (edited)

https://steemit.com/kr/@asbear/re-sumomo-re-ukk-re-sumomo-re-ukk-stimcity-20180621t235126963z

asbear :
액티브 키를 단말이 암호화해서 가지고 있는 방식은 앱이 지갑이 되는 의미이다. 앱이 지갑이 되는 것은 보안의 책임이 지갑을 관리하는 개인에게 넘어간다는 의미이다.

hanyeol:
당신의 글은 스팀커넥트가 더 안전하다는 인상을 줄 수 있다.
스팀컨넥트는 유토피안 해킹 문제에서 볼 수 있듯이 큰 보안 위험을 내포하고 있다.

-> 애초에 스팀커넥트가 '더 안전하다' 는 말이 아니었습니다. 그래서 스팀커넥트가 더 안전하다는 인상을 줄 수 있다는 주장은 의미를 잃습니다.

asbear :
액티브 키를 단말이 암호화해서 가지고 있는 방식은 앱이 지갑이 되는 의미이다. 앱이 지갑이 되는 것은 보안의 책임이 지갑을 관리하는 개인에게 넘어간다는 의미이다.
+
모든 보안은 안전하지 않다
오픈소스라 코드가 공개되어 있어도 그대로 되어있는지 보장할 수 없다
따라서 보안 문제를 일으켰을 때 그 책임을 질 수 있는지가 신뢰에 가장 중요하다. 그 다음 중요한 것은 얼마나 신뢰받고 있는 주체의 작업인지이다. 그래서 수많은 스팀 디앱들은 책임을 덜 지고 사용자가 더 쉽게 믿을 수 있도록 일부러 지갑 형태를 하지 않는다.
당신의 키 암호화 방식을 보고 싶은데 코드에서 어느 부분인지 모르겠다

hanyeol:
스팀커넥트는 유토피안 해킹 문제에서 볼 수 있듯이 큰 보안 위험을 내포하고 있다.
+
스팀커넥트처럼 사용자들의 키를 네트워크로 전송하여 저장하는 것은 신뢰와는 상관없이 잘못된 일이다
모이또는 스팀커넥트와는 달리 키를 사용자 디바이스에서만 암호화하여 저장한다
스팀커넥트가 네트워크로 키를 전송하여 저장하는 방식이었으니 유토피안이 해킹당했으며 즉 근본적인 커넥트의 취약점이니 유토피안만의 문제로 볼 수 없다
공개한 코드는 믿어달라

->스팀커넥트가 사용자들의 키를 네트워크로 전송하여 저장하는 것이 잘못된 일이라는 근거는 무엇일까요? 나와있진 않지만 문맥상 추론해보면 '해킹에 취약하기 때문에' 잘못된 일이라는 것 같습니다. 그런데 asbear님이 말씀하신 신뢰는 무한책임을 질 수 있는 주체일 때 피해를 보상해 줄테니까 생기는 것이고, 그 다음으로는 이때까지 열심히 해왔으며 잃을 것이 많은 사람이 앞으로도 열심히 할 거니까 반쪽짜리로 생기는 것인데, 해킹을 몇 번이나 당하든 전액 보상한다면, 즉 신뢰가 있다면 상관없지 않을까요? 다 보상해 주더라도 현실적으로 앱 사용을 중단해야 하거나 자금이 묶일 위험이나 보상까지의 시간이 걸리기 때문이라면, asbear님께서는 모든 보안은 안전하지 않다고 말씀하셨는데 그 전제하에서는 모이또도 안전하지 않을 수 있으니까 신뢰라도 있는 쪽이 낫지 않을까요?

즉 신뢰와는 상관없이 잘못된 일이라는 말씀은 모든 보안이 해킹당하는 것이 아니기 전까지, 신뢰라는 용어에 대해서 새로운 해석을 내놓으시기 전까지 의미를 잃습니다.

또한 모든 보안은 해킹당할 수 있다고 본인 입으로 말씀하신 asbear님께서 스팀커넥트가 비교적 안전하다는 인상을 '만약에' 주려고 했다면 벌써 실패하셨군요.

공개한 코드를 믿어달라는 것은 모이또의 코드를 믿어달라는 것이지 모든 오픈소스 프로젝트가 공개하는 코드는 일치하지 않을 위험이 있다는(프로젝트에 신뢰가 필요하다는 asbear님의 주장의 근거) asbear님의 말을 반박한 것이 아니기 때문에 두 주장은 모두 의미를 가집니다.

asbear :
액티브 키를 단말이 암호화해서 가지고 있는 방식은 앱이 지갑이 되는 의미이다. 앱이 지갑이 되는 것은 보안의 책임이 지갑을 관리하는 개인에게 넘어간다는 의미이다.
모든 보안은 안전하지 않다
오픈소스라 코드가 공개되어 있어도 그대로 되어있는지 보장할 수 없다
따라서 보안 문제를 일으켰을 때 그 책임을 질 수 있는지가 신뢰에 가장 중요하다. 그 다음 중요한 것은 얼마나 신뢰받고 있는 주체의 작업인지이다. 그래서 수많은 스팀 디앱들은 책임을 덜 지고 사용자가 더 쉽게 믿을 수 있도록 일부러 지갑 형태를 하지 않는다.
당신의 키 암호화 방식을 보고 싶은데 코드에서 어느 부분인지 모르겠다
+
스팀커넥트는 키를 저장하지 않는다
유토피안 해킹이 스팀커넥트 디앱 전체의 보안 문제를 의미하는 것입니까? 스팀커넥트가 통째로 해킹당해도 포스팅키 조차도 탈취당하지 않고 보팅과 리스팀밖에 시키지 못한다.
모이또는 지갑이니까 단말이 통째로 감염당하면 키를 통째로 날리게 되잖습니까, 거기에 모이또의 취약점이 발견되어서 된 해킹이라면 모이또를 설치한 모든 계정의 키가 위험해진다.
나도 틀릴 수도 있으니, 또한 더 좋은 모이또 개발을 위해 공론화하자


hanyeol:
스팀커넥트는 유토피안 해킹 문제에서 볼 수 있듯이 큰 보안 위험을 내포하고 있다.
모이또는 스팀커넥트와는 달리 키를 사용자 디바이스에서만 암호화하여 저장한다
스팀커넥트가 네트워크로 키를 전송하여 저장하는 방식이었으니 유토피안이 해킹당했으며 즉 근본적인 커넥트의 취약점이니 유토피안만의 문제로 볼 수 없다
공개한 코드는 믿어달라
+
탈중앙화 블록체인에서 oauth방식은 사용해선 안된다. 그 이유는 oauth방식은 여러 보안 취약점이 있기 때문이다.
oauth방식의 문제점 중 하나인 피싱 문제를 모이또는 해결해냈다.
감염된 상태에서는 모이또건 스팀커넥트건 다 위험하지 않은가?

->이 지점이 중요한 포인트인 것 같습니다. 전혀 뭉뚱그릴 문제가 아닙니다. 스팀커넥트는 입력을 어떠한 방식으로 따면 되는 감염조차 안당해도 걸리는 보안 문제가 있는 대신 감염된 상태라도 사용을 안하면 당하지 않지만, 모이또는 휴대폰에 존재만 한다면 감염시 위험해지는 구조입니다. 대신 피싱 등의 행위는 입력자체를 하지 않으므로 거기에는 안전해집니다.

스팀커넥트는 키를 저장하지 않는다고 asbear님이 말씀하셨으므로 키 저장 관련한 주장들은 의미를 잃습니다.

'스팀커넥트는 유토피안 해킹 문제에서 볼 수 있듯이 큰 보안 위험을 내포하고 있다.' 라는 주장은 키를 저장하는 위험 또는 입력하는 위험을 뜻하는 것 같으므로 이후 생략합니다.

asbear :
액티브 키를 단말이 암호화해서 가지고 있는 방식은 앱이 지갑이 되는 의미이다. 앱이 지갑이 되는 것은 보안의 책임이 지갑을 관리하는 개인에게 넘어간다는 의미이다.
모든 보안은 안전하지 않다
오픈소스라 코드가 공개되어 있어도 그대로 되어있는지 보장할 수 없다
따라서 보안 문제를 일으켰을 때 그 책임을 질 수 있는지가 신뢰에 가장 중요하다. 그 다음 중요한 것은 얼마나 신뢰받고 있는 주체의 작업인지이다. 그래서 수많은 스팀 디앱들은 책임을 덜 지고 사용자가 더 쉽게 믿을 수 있도록 일부러 지갑 형태를 하지 않는다.
당신의 키 암호화 방식을 보고 싶은데 코드에서 어느 부분인지 모르겠다
스팀커넥트는 키를 저장하지 않는다
유토피안 해킹이 스팀커넥트 디앱 전체의 보안 문제를 의미하는 것입니까? 스팀커넥트가 통째로 해킹당해도 포스팅키 조차도 탈취당하지 않고 보팅과 리스팀밖에 시키지 못한다.
모이또는 지갑이니까 단말이 통째로 감염당하면 키를 통째로 날리게 되잖습니까, 거기에 모이또의 취약점이 발견되어서 된 해킹이라면 모이또를 설치한 모든 계정의 키가 위험해진다.
나도 틀릴 수도 있으니, 또한 더 좋은 모이또 개발을 위해 공론화하자
+
키 저장 안한다
Oauth 방식을 사용하지 않으면 모두 지갑이 되어야 하는데 그 편이 더 위험하다
모이또의 감염 대책 코드를 알고 싶다, 아예 지갑이 아니라면 감염 대책에서 훨씬 자유롭지만 지갑이라면 감염시에도 내부에서 방어하는 코드가 추가적으로 있으면 좋지 않겠는가? 이미 있다면 내가 봐주겠다.
당신의 앱은 지갑 형태여야 하기 때문에 지갑이 되었다면 지갑 형태에 응당 따라야 하는 더 높은 보안 수준을 지키면 그만이다, 지갑 형태가 스팀커넥트보다 더 보안상 유리하기 때문에 했다는 말은 옳지 않다.
오너키를 넣는 것은 그 자체로 문제의 소지가 될 수 있다
공론화하자

hanyeol:
모이또는 스팀커넥트와는 달리 키를 사용자 디바이스에서만 암호화하여 저장한다
공개한 코드는 믿어달라
탈중앙화 블록체인에서 oauth방식은 사용해선 안된다. 그 이유는 oauth방식은 여러 보안 취약점이 있기 때문이다.
oauth방식의 문제점 중 하나인 피싱 문제를 모이또는 해결해냈다.
감염된 상태에서는 모이또건 스팀커넥트건 다 위험하지 않은가?
+
잘못 알았던 것을 인정한다. 키 중앙화 문제는 포스팅키에만 있다고 알겠다.
트랜잭션을 할 수 있는 것은 모두 지갑이다. 피싱 문제가 있는 웹 지갑보다는 앱 지갑이 더 안전하다
키 암호화는 키체인으로 하며 주석처리도 되어있다

-> 키 암호화 방식은 이걸로 해결된 것 같습니다. 지갑의 정의가 두 분이 다른 것 같은데, 모든 지갑이 키를 보유하고 입력받는 것이 당연하고 트랜잭션도 가능한데, 스팀커넥트가 키를 그때그때 입력받아 트랜잭션은 가능하면서 키를 안 가지고 있고 자기가 지갑이 아니라고 주장하는 특수한 케이스(asbear님의 표현을 인용하자면 혁신)라서 있는 문제 같습니다. 지갑이냐 지갑이 아니냐의 문제는 저 같은 일반 사용자에게는 어려울 것 같고, 코인 개발자 분들의 지갑에 대한 정의에 스팀커넥트는 부합하느냐 아니냐를 따져서 밝힐 필요가 추가로 필요합니다. 하지만 지갑이건 아니건 피싱과 감염과 책임에 관한 이제까지의 논쟁들은 유효할 것 같습니다. 실제로 스팀커넥트는 다른 지갑들과 다른 점들이 있기 때문입니다.

또 포스팅키도 저장 안한다고 앞서 asbear님께서 말씀하셨습니다.


asbear :
액티브 키를 단말이 암호화해서 가지고 있는 방식은 앱이 지갑이 되는 의미이다. 앱이 지갑이 되는 것은 보안의 책임이 지갑을 관리하는 개인에게 넘어간다는 의미이다.
모든 보안은 안전하지 않다
오픈소스라 코드가 공개되어 있어도 그대로 되어있는지 보장할 수 없다
따라서 보안 문제를 일으켰을 때 그 책임을 질 수 있는지가 신뢰에 가장 중요하다. 그 다음 중요한 것은 얼마나 신뢰받고 있는 주체의 작업인지이다. 그래서 수많은 스팀 디앱들은 책임을 덜 지고 사용자가 더 쉽게 믿을 수 있도록 일부러 지갑 형태를 하지 않는다.
스팀커넥트는 키를 저장하지 않는다
유토피안 해킹이 스팀커넥트 디앱 전체의 보안 문제를 의미하는 것입니까? 스팀커넥트가 통째로 해킹당해도 포스팅키 조차도 탈취당하지 않고 보팅과 리스팀밖에 시키지 못한다.
모이또는 지갑이니까 단말이 통째로 감염당하면 키를 통째로 날리게 되잖습니까, 거기에 모이또의 취약점이 발견되어서 된 해킹이라면 모이또를 설치한 모든 계정의 키가 위험해진다.
나도 틀릴 수도 있으니, 또한 더 좋은 모이또 개발을 위해 공론화하자
Oauth 방식을 사용하지 않으면 모두 지갑이 되어야 하는데 그 편이 더 위험하다
모이또의 감염 대책 코드를 알고 싶다, 아예 지갑이 아니라면 감염 대책에서 훨씬 자유롭지만 지갑이라면 감염시에도 내부에서 방어하는 코드가 추가적으로 있으면 좋지 않겠는가? 이미 있다면 내가 봐주겠다.
당신의 앱은 지갑 형태여야 하기 때문에 지갑이 되었다면 지갑 형태에 응당 따라야 하는 더 높은 보안 수준을 지키면 그만이다, 지갑 형태가 스팀커넥트보다 더 보안상 유리하기 때문에 했다는 말은 옳지 않다.
오너키를 넣는 것은 그 자체로 문제의 소지가 될 수 있다
+
모든 지갑은 안전하지 않다고 생각한다, 그럼에도 지갑을 사용한다면 사용하는 개인이 책임을 질 각오를 해야 하고, 대외적으로도 많은 검증 절차를 거치는 것이 바람직하다. 그런 과정이 없어 보여서 이 이야기를 하고 있는 것이다.
포스팅키 저장 안한다
스팀커넥트는 지갑이 아니다
공론화하자
후킹을 얼마나 막아주고 샌드박싱을 어디까지 해주는가?


-> 일단, 스팀커넥트가 이때까지 지갑이라고 하셨는데 지갑이 아니라고 하시기 전에 지갑인 이유를 계속 이야기하시거나 지갑이 아니라고 본인도 인정하셔야 하지 않을까요?
또한 스팀커넥트가 정의상으로 지갑이든 그렇지 않든, 스팀커넥트 특유의 구조로 스팀커넥트에 일반 지갑들보다 사람들에게 신뢰를 주기 쉽다는 사실 자체가 없다고 하시거나, 스팀커넥트 특유의 구조는 다른 지갑보다 더 안전하지 않거나, 스팀커넥트의 주체가 책임 능력이 없거나 신뢰가 없는 사람이라서 사람들이 신뢰를 스팀커넥트에 다른 지갑보다 더 주는 것은 잘못되었다고 말씀하시지 않으시면 이제까지의 이야기와 아무런 관련이 없는 발언들이 되지 않을까요?

https://steemit.com/kr/@hanyeol/2s3c2s

hanyeol:
모이또는 스팀커넥트와는 달리 키를 사용자 디바이스에서만 암호화하여 저장한다
공개한 코드는 믿어달라
탈중앙화 블록체인에서 oauth방식은 사용해선 안된다. 그 이유는 oauth방식은 여러 보안 취약점이 있기 때문이다.
oauth방식의 문제점 중 하나인 피싱 문제를 모이또는 해결해냈다.
감염된 상태에서는 모이또건 스팀커넥트건 다 위험하지 않은가?
트랜잭션을 할 수 있는 것은 모두 지갑이다. 스팀커넥트같이 피싱 문제가 있는 웹 지갑보다는 앱 지갑이 더 안전하다
+
스팀커넥트는 일반 웹 지갑보다 보안에 취약하다. 그 이유는 키를 계속해서 입력받기 때문이다.
스팀커넥트는 편의를 위해 보안을 희생하였다
당신은 스팀커넥트가 안전하다고 생각하는 것 같다

-> 키를 입력받는 것은 일반적인 지갑과 완전히 다른 물건이라서 그런 것인데, 그렇다면 스팀커넥트는 키를 입력받는 대신 다른 웹 지갑보다 보안에 좋은 점이 있다면 (예를 들면, asbear님이 말씀하신 키를 저장하지 않는 장점) 비교가 불가능하지 않을까요?

편의를 위해 보안을 희생하였는가?는 제가 알 수 없는 문제로 보입니다.

일단 모든 것이 안전하지 않다고 하신 분에게 안전하다고 생각한다는 말은 별로 맞지 않아 보입니다. 하다못해 "당신은 '비교적' 스팀커넥트가 안전하다고 생각하는 것 같다" 라고 했다면 그나마 말이라도 될 텐데요.

해킹 실험이 의미있으려면 '가정한 것' 외에는 전부 실제와 같아야 합니다. 이 경우 가정되는 것은 앱스토어에서 특정 QR코드 스캔 앱을 다운받았다는 것입니다. 이외에는 전부 실제와 같은 환경에서 이뤄져야 합니다. 즉 이 영상과 다르게
1. 마켓에 QR코드 앱을 올리셨거나, 이미 있는 앱을 수정하셨거나, 그것이 가능함을 밝혀야 합니다.
2. 권한 설정 등을 어디까지 오픈해야 가능한지 밝혀야 합니다.
3. 다른 단말에서 키를 받는 것을 찍어야 합니다.
4. 저 키를 탈취당했다는 메시지가 혹시 스팀커넥트나 스팀페이에서 내보낸 메시지입니까? 저 메시지가 뜨는 것도 현실과 같아야 합니다.
5. 이것을 타인이 재현할 수 있어야 합니다.
솔직한 심정으로는..저는 이 한심한 실험 때문에 이 글을 쓰기 시작한 것 같습니다. 저게 전부 가능한 시나리오이며, 다른 앱 지갑에서는 불가능하다고 가정해도, 스팀커넥트의 보안이 좋지 못하다는 뜻이지 모이또의 보안이 좋다는 뜻은 아닙니다. 또한 스팀커넥트와 모이또의 보안은, 전혀 다른 시스템이기 때문에 스팀커넥트와 타 지갑의 보안 비교처럼 전혀 비교할 방법이 없습니다. 아니면 타 앱이나 웹 지갑의 피싱 입력+해킹 피해랑 스팀커넥트의 피싱 입력 +해킹 상태에서 입력 피해 중 어느쪽이 더 많은지 자료라도 가지고 계십니까? 하다못해 스팀커넥트가 취약한 피싱이 가장 위험하다는 주장과 이유라도 말씀하실 수 있으십니까?
다른 비교 가능한 앱 지갑에 비해서 얼마나 좋은 지갑인지, 또는 얼마나 보안성이 뛰어난 앱인지 말씀하시는 것이 하셔야 할 일이 아닐까요?


asbear :
액티브 키를 단말이 암호화해서 가지고 있는 방식은 앱이 지갑이 되는 의미이다. 앱이 지갑이 되는 것은 보안의 책임이 지갑을 관리하는 개인에게 넘어간다는 의미이다.
모든 보안은 안전하지 않다
오픈소스라 코드가 공개되어 있어도 그대로 되어있는지 보장할 수 없다
따라서 보안 문제를 일으켰을 때 그 책임을 질 수 있는지가 신뢰에 가장 중요하다. 그 다음 중요한 것은 얼마나 신뢰받고 있는 주체의 작업인지이다. 그래서 수많은 스팀 디앱들은 책임을 덜 지고 사용자가 더 쉽게 믿을 수 있도록 일부러 지갑 형태를 하지 않는다.
스팀커넥트는 키를 저장하지 않는다
유토피안 해킹이 스팀커넥트 디앱 전체의 보안 문제를 의미하는 것입니까? 스팀커넥트가 통째로 해킹당해도 포스팅키 조차도 탈취당하지 않고 보팅과 리스팀밖에 시키지 못한다.
모이또는 지갑이니까 단말이 통째로 감염당하면 키를 통째로 날리게 되잖습니까, 거기에 모이또의 취약점이 발견되어서 된 해킹이라면 모이또를 설치한 모든 계정의 키가 위험해진다.
나도 틀릴 수도 있으니, 또한 더 좋은 모이또 개발을 위해 공론화하자
Oauth 방식을 사용하지 않으면 모두 지갑이 되어야 하는데 그 편이 더 위험하다
모이또의 감염 대책 코드를 알고 싶다, 아예 지갑이 아니라면 감염 대책에서 훨씬 자유롭지만 지갑이라면 감염시에도 내부에서 방어하는 코드가 추가적으로 있으면 좋지 않겠는가? 이미 있다면 내가 봐주겠다.
당신의 앱은 지갑 형태여야 하기 때문에 지갑이 되었다면 지갑 형태에 응당 따라야 하는 더 높은 보안 수준을 지키면 그만이다, 지갑 형태가 스팀커넥트보다 더 보안상 유리하기 때문에 했다는 말은 옳지 않다.
오너키를 넣는 것은 그 자체로 문제의 소지가 될 수 있다
모든 지갑은 안전하지 않다고 생각한다, 그럼에도 지갑을 사용한다면 사용하는 개인이 책임을 질 각오를 해야 하고, 대외적으로도 많은 검증 절차를 거치는 것이 바람직하다. 그런 과정이 없어 보여서 이 이야기를 하고 있는 것이다.
후킹을 얼마나 막아주고 샌드박싱을 어디까지 해주는가?
+
실험이 이상하다
은행들이 포커스를 잃었을 때 로그아웃시키는 이유를 대비한 모이또의 대책은 무엇인가
토론을 논쟁이라고 하니 무슨 태도로 이러고 있는지 알만하다. 더는 관여 안하겠다.


hanyeol:
모이또는 스팀커넥트와는 달리 키를 사용자 디바이스에서만 암호화하여 저장한다
공개한 코드는 믿어달라
탈중앙화 블록체인에서 oauth방식은 사용해선 안된다. 그 이유는 oauth방식은 여러 보안 취약점이 있기 때문이다.
oauth방식의 문제점 중 하나인 피싱 문제를 모이또는 해결해냈다.
감염된 상태에서는 모이또건 스팀커넥트건 다 위험하지 않은가?
트랜잭션을 할 수 있는 것은 모두 지갑이다. 스팀커넥트같이 피싱 문제가 있는 웹 지갑보다는 앱 지갑이 더 안전하다
스팀커넥트는 일반 웹 지갑보다 보안에 취약하다. 그 이유는 키를 계속해서 입력받기 때문이다.
스팀커넥트는 편의를 위해 보안을 희생하였다
+
실험이 뭐가 이상한가?
웹보다 앱이 보안적으로 훨씬 낫다. 당신도 앱을 만들라.
논쟁이란 단어가 뭐가 이상한가?

->일단 논쟁과 토론이라는 단어에 대한 제 생각은,
토론 : 상대방의 논거를 탄핵하여 무효로 만드는, 승자와 패자가 나뉘어있는 말로 하는 전쟁입니다. 상대가 정신승리를 하면 되기 때문에 심판이 보통 있으며 우측 찬성과 좌측 반대로 나뉜다면 반대는 절대로 찬성이 꺼내지 않은 논거를 꺼내서는 안 되고, 오로지 찬성의 논거만을 탄핵해야 합니다. 발언 순서와 시간, 참여자 수 등에 따라서 프닉스 모형 등 여러 모형이 있습니다. 현실에서는 정치나, 정치의 등용문인 토론대회에서 쓰입니다.
...지만 관습적으로 '서로 어떤 주제를 이야기하는' 것은 대부분 토론이라고 사용해도 무방합니다. 한국 교육 현장에서도 형식 토론과 비형식 토론을 나누어서 분류하고, 비형식 토론은 토의와 거의 차이가 없게 배우듯이 교육 현장과 국어사전조차도 그런 쓰임을 인정하고 있습니다.

논쟁: '말싸움' 이라는 단어를 한자화한 것이나 다름없습니다. 그러나 한국 언중 사이에서 말싸움이 부정적인 의미를 내포하고 있는 것과 달리 논쟁의 경우에는 꼭 부정적이게 사용되지 않습니다. 긍정적이든 부정적이든 열띠게 서로 이야기를 나눈다면 무조건 논쟁이라 할 수 있습니다. 즉 '논쟁' 이라는 단어에는 '상대의 말을 무시하고 내 말만 한다' '상대의 의견이 옳아도 인정하지 않는다' '상대를 공격한다' 같은 의미가 기본적으로 내포되어있지는 않습니다.

언어는 무 자르듯 나뉘어지는 것은 아니기 때문에 저와 다른 의견이 있을 수 있습니다. 하지만 제 개인적인 의견만을 말한다면 오히려 저는 절.대.로. 토론이라는 단어를 사용하지 않습니다. 저라면 논쟁이라는 단어를 사용했을 것 같습니다.

주제넘게 말하자면 저는 논쟁이라는 '단어' 가 아닌 한열님의 논쟁 '태도' 에 문제가 있었다고 생각합니다. asbear님이 말씀하시는 것은 쑥쑥 골라서 반론하시고, 잘못 알고 있던 것에 대한 사과나, 인정이나, 하다못해 조만간 조사하겠다는 약조도 하지 않으시고, 보안 관련 문제에 답변하지도 않으셨습니다. 열심히 하신 것은 스팀커넥트 보안 비판과 증인 1위가 만든 거라서 위험해도 믿냐는 비아냥에, 28초짜리 '실험' 영상 만들기였습니다. 혹시 목표하시는 바가 스팀시티 온라인 앱 모이또 제작과 홍보가 아닌 스팀커넥트 비판이십니까?

이번 일로 스팀파워를 회수하거나 하지는 않을 것입니다. 설사 이 일이 최악의 상황으로 끝나거나 이 글을 쓰기 전처럼 아무런 추가적 논의 없이 끝나도 스팀시티에 돌아설(스팀시티의 투자 펀더멘탈이 깨지거나 리스키해지는) 정도는 아니라고 생각하고, 모이또가 이런다고 안좋은 앱이 되는 것도 아닙니다.

그런데 저는 모이또를 설치하지 않을 것입니다.


+내용추가

asbear님께서 아카이빙을 원하셔서 추가합니다. 사실 읽긴 했는데 코멘터리가 불가능해서 넣지 않았던 내용입니다.

저는 프로그래밍과 보안에는 맹탕이라서, exploit 등에 대해서는 전혀 모릅니다.(위에서도 '은행들이 포커스를 잃었을 때 로그아웃시키는 이유' 가 뭔지 모르기 때문에 그대로 넣었습니다.)

영어 또한 저는 거의 알지 못합니다. 그래도 디스커스와 아규먼트라는 단어를 들어보긴 했는데요, 몇 안되는 그 경험에서 아규먼트는 분쟁,소요,논쟁적(논쟁적 은 논쟁하고 다르게 어그로 라는 말로 한국어에서 쓰인다고 생각합니다.) 디스커스는 어떤 주제로 이야기하기 정도로 쓰였던 것 같습니다. 한국어보단 훨씬 자신없군요.

Sort:  

좋은 글이네요.

좀 찜찜하던 steemconnect 보안상의 문제가 있을 수 있다는 것을 알게되었고,

@hanyeol 님이 설명하신
유토피안 해킹과
QR 코드 관련 steemconnect 에서의 active key 탈취 동영상을 통해서

steemconnect 그냥 맘 편하게 사용하면 안되겠다는 생각을 가지게 되었네요.

물론 @asbear 님 말씀하신 바와 같이,
암호를 저장하는 모이또?? 도 문제가 있을 수 있을 것이고요.

전반적인 해킹 위험에 대해서 신중할 필요가 있다는 생각을 가지게되었습니다.
남들이 모두 사용한다고, 그냥 암 생각없이 따라 사용하면 안되겠다는..

양쪽 다 주의해야겠다는 생각을 가진 입장에서는
본문 글 정리하신 분이 약간 편향된 입장을 가지고 있지 않나 하는 생각은 드네요.

제가 아카이브 남기려했는데 시간이 없어 못하고 있었는데 이렇게 정성스러운 글을 남겨주셔서 감사합니다. 제 마지막 댓글이 빠져있으니 혹시 추가해주시면 감사하겠습니다.

제가 받아들이는 논의과 논쟁은 discussion과 argument을 의미합미다. 앞 댓글까지는 "논의"라고 했던것 같은데 마지막 댓글에서 토론이라고 적은걸보니 제가 실수를 했습니다. 회사에서 argument를 지양하고 discussion을 해야하듯이, 발전적으로 가려면 논의가 논쟁으로 번지는것을 지양해야 한다고 생각합니다. 제 의도가 잘못 비추어졌을수도 있겠으니 좀더 신경써야 할 것 같습니다.

저는 보안쪽에서도 비디오 보안과 웹 isolation 쪽에 있었는데, 그 필드에서 일하며 배운것은 "어떻게 하면 보안이 완벽한 보안체계를 가질수있는가"가 아니라 "수많은 천재들이 모여서 무수한 시도를 해도 보안은 완벽해질 수 없다"는 것이었습니다. 그래서 isolation라는 시도가 이루어지고 있는 것이구요. 보안문제가 대두될 때 오픈마인드로 받아들일 필요가 있는것이죠.

참 그리고 잘못 전달된 내용이 있습니다. 한열님이 제 댓글을 잘못읽으신것 같습니다. 증인1위가 만든것은 vessel이라는 지갑입니다. jesta가 만들었구요. 이는 증인이 만들었다는 점 외에도 모이에 없는 강점이 있습니다. 바로 Chromium상에 구현된 Electron 앱이라는 점입니다. 구글이 쏟아부은 크로미움 내부 보안을 그대로 상속받지요.

스킴터넥트는 스팀재단이 스팀으로 비용을 지불하여 fabien등의 전문가들이 함께 만든것이라고 알고있습니다. 물론 스팀 개발자들이 리뷰에 참여한것으로 알고있구요. (이부분은 정확하지는않지만 대충 비슷합니다) 다들 아시는것처럼 스팀커낵트는 현재 스팀재단에 속한 공인 시스템이며 코드도 스팀 재단 깃허브에 포함되어있죠.

정리와 코멘터리 다시한번 감사드립니다.

제가 가장 걱정하는 일은 제가 해석한 내용이(빈 칸 채우기 작업이나 유추 작업이나 중요도에 따른 정리가 있었으므로) 한열님과 asbear님이 말씀하신 것과 달라서 두 분께 누를 끼치는 것이었습니다. asbear님이 자신의 의도를 곡해했다고 하시긴커녕 고맙다고 하시니 제가 다 고마울 따름입니다. 한열님도 누를 끼치진 않았나 두렵습니다.

말씀하신 부분 내용을 추가했습니다. 그런데

논쟁은 자신의 주장을 관철시키는 행위이고 논의는

이 부분 수정하셨나요? 토론은 이라고 써있었던 것 같습니다. 수정하셨든 제가 잘못 기억했든 별 일은 아니지만요. 그냥 제가 기억을 제대로 하고 있나 물어봤습니다.

저도 덧글을 넣는 동안에 'asbear님은 분명히 1위가 지갑을 만들었다고 했는데 한열님은 갑자기 스팀커넥트도 1위가 만들었다고 하시니 동일인물이 스팀커넥트도 만들었나 보구나' 생각했는데 그것이 아니었군요. 그건 저도 배경지식이 없어서 몰랐습니다.

아뇹 저 댓글은 수정하지 않았습니다. 저때 사실 너무나 바쁜 때라 틈틈히 댓글 적느라고 저 앞의 댓글에 토론이라고 잘못 표현한것도 이글 보고 처음 알게되었거든요.

댓글 감사드립니다.

잘 읽었습니다. 그런데 세상에 완벽한 보안은 없으니 각 개인이 마스터키를 가급적 안쓰는 방법밖엔 없겠죠.

저도 모이또 앱을 설치하지 않을 생각입니다.
프로그램 하나 쓰기 위해 매번 소스코드 검증까지 스스로 하고 써야할 판이네요.......
스팀시티 중에 프리마켓은 참 긍정적으로 보는데 다른 부분은 잘 모르겠습니다

긴글 잘 읽었습니다. 저도 이번일에 대한 초기부터 마무리까지 쭉 지켜봤는데, 결과론적으로 보면 '태도'에 있었습니다. 마지막에도 쓰셨지만 '태도'가 너무 안일함과 먼저 '논쟁'이라고 표현하며 애즈베어님을 공격하는 방어적 태도가 아무리 본인 스타일이라곤 하지만 스팀시티의 '총수'라는 자리를 맡고 있는 사람으로 보면 좋지 않아보이네요.

여전히 보안은 ᆢ 어렵군요

그냥 현금 쓰렵니다

A에 대한 의문을 제기하는데, B가 더 위험하다는 말은 A의 개선과 전혀 상관 없는 걸 알기에, 보는 내내 답답함을 느꼈어요.

공격이 최선의 방어인건 '승리'가 목적일 때 쓰는 방법인데 말이죠.

보안에 대해서 더 이해하게 되었습니다. 좋은 정리 감사합니다.

"스팀페이는 QR코드를 사용하니, 사람들은 QR코드 스캐너를 사용할 것이고, 그렇게 사용하는 QR코드 스캐너 앱 중 하나가...." 라는 가정 자체가 잘못됐죠. 스팀페이를 진짜로 써보지도 않아서 이런 가정을 하는게 아닐까 합니다.
스팀페이를 모바일 웹페이지로 접속한 후, 그 안에서 웹브라우저가 스마트폰의 카메라 권한을 요청하고 그 안에서 자체로 QR코드를 읽고 뒤로 넘어가는 시나리오 입니다.
QR코드 리더기를 따로 설치하는 일 자체가 필요없는 상황이라 가정한 시나리오 자체가 시작할 수 없습니다.

아, 제가 스팀페이를 아직 한번도 안 써봐서, 그것도 몰랐습니다. 보충 감사합니다.

보안과 방어... 그 밖에 여러가지를 알 수 있었습니다. 포스팅 감사합니다.

코딩도 모르고 보안도 몰라 누구 말이 맞는지는 모르겠지만... 긴 글 잘 읽었습니다. 저에게도 도움이 되는 글이네요.

스팀시티 미니스트릿 준비로 인해 이 글을 제목만 보고 이제서야 글을 읽었습니다. 많은 분들이 관심을 갖고 지켜보고 계셨다는 사실을 알게 되는데요, 제 의도와는 다르게 제 글의 태도에 대한 지적이 많았다는 점은 겸허히 수용하고 조심하려고 하고 있습니다.

스팀시티 미니스트릿이 끝나면, 이 부분에 대한 논의(논쟁이 아닌)를 건조하게 다시 시작해보려고 합니다. 그 중에서는 모이또가 해결하려고 하는데, 아직 완벽한 솔루션을 내놓지 못하는 부분 역시 다뤄볼 생각입니다. 또 관심 가져 주세요~

이 글은, 풀보팅합니다.

팀그레이메스가 만든 스팀 베슬과, 이오스 eos-voter를 볼 때, local에 key pair를 가지고 있어도 아무 문제 될 것이 없어보이고

어떤 사용성을 제공하냐가 관건인 것으로 보입니다. 애초에 device가 compromise되면 무엇을 써도 위험한 것은 마찬가지입니다.

그리고 PC혹은 app에 저장하는 것이 그 key pair의 관리와 위험에 대해서 개인이 감수해야 하는 것이라는 문구를 일부 보았는데요, 그렇지 않는 경우에는 다른 누군가가 책임져 주는 것인지요?

asbear님께 발언의 의도를 정확히 물으시는 것이 좋겠지만, 일단 제가 궁리해보자면,

local에 key pair를 가지고 있는 것을 사용자들이 허용할 수 있느냐의 문제인 것 같습니다. 사용자들이 그러한 것을 신경쓰지 않는다면 과도한 걱정이 되었겠죠.

관리와 위험을 개인이 감수한다는 말은 공인인증서를 보유하고 있는 사람이 털리게 되면 공인인증서를 관리를 제대로 못했다고 빠져나갈 구석을 만들 수 있지만 애초에 개인이 관리할 것이 없다면 그런 구석이 없는 것이 아닐까 합니다.

좋은 지적들 감사합니다.

댓글 & 보팅 감사합니다. 전 지적은 아니고 의견이었습니다. 저도 보팅 남깁니다.

말씀주신 공인인증서에 대한 것은, 누군가 보상해 줄 기관이 있을때의 이야기가 아닐지요? 이미 암호화폐를 이용한 DAPP의 사용은 그 누구도 보상해 줄 곳이 없고, 따라서 그런 의미에서 좀 더 편한것을 추구하는 사용자의 선택이 아닐까 하는 의미입니다.

공인인증서 관리를 제대로 못했다고 하는건, 주로 은행들이나 증권사가 고객의 실수를 이야기할때 하는 이야기가 아닐지요? 그런데 스팀이나 이오스 지갑에선 "고객의 실수"를 이야기할 사람이 없을 것 같습니다.

하지만, steemconnect를 쓰다가, 보안 문제가 생기는 경우 steemconnect가 보상을 해준다면 이는 다른 문제이지만, 물론 그럴수도 없고 그렇게 하지도 않을 것 같습니다.

결국 하나부터 열까지 탈중앙화에서는 개인이 무언가를 관리해야 하는 상황이 벌어지는 것이 아닐까 합니다.

제가 asbear님의 '신뢰' 정의를 해석한 바가 1. 보상 보장(퍼펙트함) 2. 차선으로 잃을 것이 많은 사람(자신의 이득을 위해서라도 열심히 실수없이 할 것이 기대됨, 문제 발생시 보상도 어쩌면 해줄지도 모름) 을 신뢰한다는 것으로 해석을 했습니다. 스팀이나 이오스의 지갑에 문제가 발생하면(혹시 스팀과 이오스의 지갑의 개인의 실수로 해킹당하기 어려운 공학적 구조를 이야기하시고 계신 거라면 제가 문외한이라 죄송합니다. 저는 그냥 그 자리에 다른 코인이 들어가도 되는 말을 하고 있습니다.) 스팀과 이오스의 펀더멘탈에 심대한 타격이 되고 개발진들은 큰 타격을 받을 것입니다. 그렇기에 개발진들이 그런 사태를 일으키지 않으려고 노력할 것을 기대할 수 있겠고, 그에 상응하는 신뢰를 줄 수 있겠죠.

전제 : 모든 보안은 뚫리기 마련임 이 합당하여 그에 기반한 신뢰에 대한 정의가 합당하다면 이론상으론 지갑이 되지 않으며(관리책임 핑계조차도 댈 수 없는) 스팀과 어느정도 관계가 있는(잃을 것이 있는) 스팀커넥트는 그 역보다 신뢰를 더 받아 마땅할 것입니다. 그러나 저 개인의 생각은 각 유저 단위까지 그러한 신뢰의 정의와 스팀커넥트의 구조를 숙지하고 숙지한 이후에 그것에 동의하여 비교적 스팀커넥트에 더 신뢰를 주는 것은 무리라고 생각합니다.

애초에 당장 DAO의 투표율이 그렇게 처참하지 않았습니까?

팔로우합니다.

@sanscrist님 안녕하세요. 겨울이 입니다. @ai1love님이 이 글을 너무 좋아하셔서, 저에게 홍보를 부탁 하셨습니다. 이 글은 @krguidedog에 의하여 리스팀 되었으며, 가이드독 서포터들로부터 보팅을 받으셨습니다. 축하드립니다!

@홍보해

Congratulations @sanscrist! You have completed some achievement on Steemit and have been rewarded with new badge(s) :

Award for the number of upvotes received

Click on the badge to view your Board of Honor.
If you no longer want to receive notifications, reply to this comment with the word STOP

To support your work, I also upvoted your post!

Do not miss the last post from @steemitboard!


Participate in the SteemitBoard World Cup Contest!
Collect World Cup badges and win free SBD
Support the Gold Sponsors of the contest: @good-karma and @lukestokes


Do you like SteemitBoard's project? Then Vote for its witness and get one more award!