Web3

UDC 2024 참여 후기

Namchun 2024. 11. 20. 19:36

이번 11월 14일(목)에 열린 UDC 2024 컨퍼런스를 참여하였다. 전체 세션에는 소식이 늦어 참여하지 못하였지만 선착순으로 '웹3 보안 토크' 세션을 들을 수 있는 기회가 생겨 해당 프로그램을 간신히 들을 수 있었다.

 

이 특별 프로그램은 정재용 책임자님의 발표와 티오리 박세준 대표님의 발표, 그리고 업사이드 아카데미 1기 우승팀 분들의 발표로 이루어져 있었다.

 

첫 번째로 정재용 정보보호최고책임자님의 발표에서 들었던 내용 중 인상깊었던 내용들을 조금이나마 정리해보겠다.

보안 keynote

Web 3.0 Security Incidents

웹3 보안 사고들에 대한 통계를 보여주시며 공격 기법들과 그로 인한 피해 자산들을 보여주셨다.

공격 방법들은 다음과 같다.

  • Contract Vulnerability (48.3%)
  • Control Hijacking (20.1%)
  • Rugpull (20.1%)
  • MISC (11.4%)

컨트랙트 취약점을 향한 공격이 전체의 48.3%를 차지하였고 Control Hijacking, 대표적으로 private key 탈취로 인한 공격이 전체의 20.1%를 차지하였다.

 

하지만, 공격으로 인해 총 탈취된 자산은 다음과 같이 조금은 다른 모습을 보여준다.

  • Control Hijacking: 1,627M
  • Contract Vulnerability: 819M
  • MISC: 450M
  • Rugpull: 200M

컨트랙트 취약점으로 탈취된 자산은 819M인 반면 Control Hijacking으로 탈취된 자산은 그의 2배인 무려 1,627M이다.

이를 통해 알 수 있는 점은 컨트랙트 취약점에 대해서도 물론 보안을 신경써야 하겠지만 그만큼 중요한 private key 유출과 탈취에 대한 방안도 충분히 신경써서 고려해야 한다는 것이었다.

 

이렇듯 웹3에 점점 자산이 모여들면서 공격 또한 나날히 증가하는 반면, 국내에 웹3 보안을 책임져줄 인력이 부족하다는 말씀도 강조하셨다. 이를 해결하기 위해 두나무티오리에서 작년부터 업사이드 아카데미라는 프로그램을 운영하여 보안 인력을 키우고 있으며 이번에 2기를 모집 중이라고 하셨다. 또한 업비트에서 버그바운티를 운영하여 더욱 안전한 거래소를 위해 노력하고 있는 모습도 볼 수 있었다.

 

이 글을 쓰고 있는 본인 또한 업사이드 아카데미 2기에 지원할 예정이며 웹3 보안 생태계에 기여할 수 있도록 노력할 것이다. 😁

 

그 다음으로는 티오리 박세준 대표님의 발표를 정리해보겠다.

Embracing a Culture of Continuous Security

'지속적인 보안'이라는 키워드를 중심으로 발표를 진행해주셨으며 발표 중에서 이 키워드를 가장 잘 설명하는 문장은 아마도 이 문장이 아닐까 싶다.

"Security is more than an Audit"

 

아무리 버그바운티 대회를 열고 수 차례의 보안 Audit(감사)를 받더라도 이는 한계가 분명히 존재한다고 한다. 감사에도 시간, 시점 등의 한계가 존재하며 개발을 하는 것과 같이 시간에 쫓겨 더 세밀한 감사를 놓친다던가 이미 감사를 받은 이후에 업데이트가 진행되었으나 감사를 다시 받지 않는 등의 문제가 존재한다.

 

새로운 기술이나 자체적인 코드 업데이트가 일어났다고 하였을 때에는 그 전에 받았던 감사는 업데이트 이전 시점의 감사이기 때문에 또 다시 감사를 받아야 한다. 이렇듯 감사는 한 두번으로 끝나는 것이 아닌 지속적으로 이루어져야 한다.

 

 

또한 SDLC과 관련해서 설명을 해주셨다.

SDLC는 Software Development Life Cycle을 뜻하며 보통 아래와 같은 순서가 반복이 된다.

대표님께서 말씀하시는 내용으로는 위의 단계에서 한 단계도 빠짐없이 모두 보안을 고려해서 진행해야 한다고 하셨다.

 

예를 들어 code(design) 단계에서는 설계 단계에서 보안을 고려하지 않은 채 나중에 감사를 받은 후 보완하려 한다면 심한 경우 설계 자체를 다시 고쳐야할 수 있기 때문에 설계 단에에서부터 보안을 고려하는 것이 나중에 감사 후 재설계하는 것보다 훨씬 효율적일 것이라고 하셨다.

 

또한 build(develop) 단계에서 팀원들끼리 코드 리뷰하는 것은 절대로 옵션이 될 수 없으며 내가 짠 코드는 다시 봐도 안전하게만 보이기 때문에 다른 사람의 시야와 리뷰가 반드시 필요할 것이라고 한다.

 

마지막으로 업사이드 아카데미 1기 분들의 발표를 정리하고 마무리 해보도록 하겠다.

Upside Academy Team Projects

발표 주제는 'web3 security dashboard'와 paymaster 관련 발표였다.

 

발표의 내용도 매우 좋았지만 특히 발표 주제 선정도 굉장히 대단하신 것 같았다. 생각해보면 정말 web3 생태계에 필요한 서비스이며 실제로 바로 기여할 수 있는 모습이 정말 우승팀에 걸맞는 프로젝트가 아니었나 라고 생각이 들 정도였다.

 

1기 분들의 발표가 끝난 뒤 Q&A에서 답변 주신 내용도 심플하지만 도움이 많이 되었다.

업사이드 아카데미 2기를 희망하는 분들에게 해주고 싶은 한 마디에 대해서 "배경지식이 많을 수록 흡수할 수 있는 것이 많다. 많은 것을 흡수할 수 있는 상태로 만들어둬라", "많은 준비를 해서 온다면 더 많은 것을 얻을 수 있을 것이다"라는 답변을 해주셨다.

 

업사이드 아카데미 2기를 준비하는 과정에서 위의 답변을 토대로 기초적인 지식을 탄탄히 쌓으면서 준비를 해보고자 한다.

😊