키관리
공격자에 의해 키가 유출되지 않도록 키를 안전하게 보관하고, 키 도난과 분실에 대응해야 합니다. 키는 신뢰 가능한 기관에서 발간한 안전한 키 저장과 보관 가이드를 준수해야 하며, 키를 분실했을 때 복구절차를 마련하고 다중 서명 기술을 사용해 불법 사용자가 훔친 키를 이용해 거래에 참여하는 것을 막아야 합니다.
참여자 권한관리
블록체인에서 개인정보 침해가 발생하지 않도록 거래와 무관한 제3자의 접근을 통제해야 합니다. 거래정보 보관기간에 대한 규정을 수립하고 기간 경과 후 거래 무결성 확인에 필요한 정보만 남기고 개인정보 침해가 우려되는 세부 거래정보를 삭제해야 합니다. 거래정보는 암호화하고, 통제규칙을 스마트 큰트랙트로 프로그램화해 적용 해야 합니다.
거래 검증 및 합의
내외부 공격자에게 장악된 노드로 인해 거래 유효성이 조작되지 않도록 모니터링하며, 많은 참여자가 거개검증에 참여하도록 유도하는 방안을 마련해야 합니다. 두 체인의 거래금증과 블록생성 등 합의과정을 통합해 메인 체인의 자신이 유효하지 않을 경우 사이드 체인에서 거래가 불가하도록 차단해야 합니다.
블록체인 소프트웨어 보안
블록체인 소프트웨어에 존재할 수 있는 보안 취약점을 악용한 해킹 공격을 차단할 수 있도록 소프트웨어 개발 생명주기를 기반으로 보안 요구사항, 시큐어 코딩, 코드 검토(정적 테스팅), 보안 테스팅(동적 테스팅, 침투 테스팅) 등 보안 강화 요구사항을 따르도록 합니다.
서비스 보안
DDoS 공격으로 인해 블록체인 서비스가 중단되지 않도록 대응하며, 거래 처리속도 저하와 전체 거래정보의 크기 증가 등으로 인해 가용성 저하 문제를 개선해야 합니다. 자금세탁거래 등 비정상거래가 발생하더라도 거래 취소 등의 대응이 어려우므로 사전에 탐지, 차단할 수 있는 방안을 마련해야 하며, 블록체인 간의 신뢰 가능한 자산이전 기술과 표준규격을 개발해 안전한 서비스 연계가 가능하도록 상호운용성을 제공해야 합니다.
[자료 : 금융보안원 블록체인 기술과 보안 고려사항 2017.8.17]
'블록체인' 카테고리의 다른 글
| 블럭체인 기술은 다양한 활용사례를 만들어 가고 있다 (1) | 2018.04.17 |
|---|
