그 이상을 구축하세요: 최전선의 보안

지난주에는 Mysten Labs의 부 CISO인 Christian Thompson을 만나 보안 관행의 상호 연결된 특성과 Sui의 개발자를 위한 보안 관행에 대한 그의 인사이트와 의견을 들어보았습니다.

기술 기업 CISO의 책임은 무엇인가요?

CISO(최고 정보 보안 책임자)는 디지털 환경을 안전하게 유지하는 데 중요한 역할을 하는 광범위한 책임을 맡고 있습니다. 이들의 주요 업무 중 하나는 위협 인텔리전스입니다. 여기에는 잠재적 공격자가 누구인지, 왜 우리를 표적으로 삼을 수 있는지, 언제 공격할 수 있는지, 공격의 원동력이 무엇인지, 공격 방법이 얼마나 숙련되어 있는지 등 잠재적 공격자의 마음을 파헤치는 작업이 포함됩니다.

잠재적 공격자를 명확히 파악하고 그들의 역량을 이해함으로써 시스템을 보호하기 위한 사전 조치를 취할 수 있습니다. 퍼즐을 맞추는 사람이 누구인지, 어떻게 작동하는지 알면 퍼즐 조각을 더 효과적으로 맞출 수 있습니다. 예를 들어, 공격자의 알려진 전술을 공격자의 접근 방식에 가장 취약할 수 있는 시스템 영역에 맞춰 조정할 수 있습니다. 이는 마치 누군가 디지털 경계를 침범하려고 시도할 때 경보를 울릴 준비가 되어 있는 방어 시스템을 구축하는 것과 같습니다.

누군가 집에 침입하려고 할 때 경보 시스템이 알려주는 것처럼, 이 방어 설정은 의심스러운 활동이 있을 때 실시간으로 경고를 보냅니다. 따라서 잠재적인 위협에 신속하게 대응하고 적절한 조치를 취하여 위협을 무력화할 수 있습니다.

사이버 보안, 데이터 관리, 다양한 영역의 위험, 아키텍처, 규정 준수, 거버넌스, 복원력, 보고 등 광범위한 영역에 걸쳐 있습니다.

CISO의 역할 중 일부는 내부 팀을 보호하는 것까지 확장됩니다. 팀원들의 위험 프로필을 파악하는 데 상당한 노력을 기울입니다. 이러한 프로필은 특히 팀원이 폭력이나 기타 문제가 발생하기 쉬운 지역을 여행하는 경우 상당한 변화를 겪을 수 있습니다.

Sui 와 같은 L1 블록체인을 고려할 때 보안 문제는 어떻게 달라지나요?

Sui 와 같은 블록체인을 위한 일관된 방어 전략을 수립하려면 다양한 기능과 서비스를 결합해야 합니다. 이 전략은 취약한 것으로 확인된 영역에 초점을 맞춰야 합니다. Sui 커뮤니티는 Sui 플랫폼에 구축된 네트워크와 개발자를 모두 포함하는 전체 생태계를 보호하는 데 기득권을 가지고 있습니다. 보안을 강화하는 것은 특히 신생 기업에게는 비용이 많이 들고 어려운 일입니다. 이를 해결하기 위해 Sui 재단은 보안 조치를 더 큰 에코시스템으로 확장하는 제품을 개발하고 있습니다. 기본적으로 Sui 재단은 일반적으로 대기업에서만 사용할 수 있는 보안 도구와 서비스를 소규모 기업에도 제공합니다. 이를 통해 더 안전한 환경에서 구축할 수 있도록 지원하여 최종 사용자와 규제 당국 모두의 신뢰를 높일 수 있습니다. 재단의 목표는 사람들이 Sui 에서 구축할 때 효과적일 뿐만 아니라 안전한 방식으로 구축할 수 있도록 하는 것입니다.

안전한 블록체인을 유지하는 과정의 일부로 어떤 도구와 서비스가 사용되나요?

다음은 제가 현재 숙련된 보안 팀으로 간주하는 것의 본질을 포착하는 서비스 및 도구의 종류를 살펴봅니다. 이러한 요소는 강력한 보안 프레임워크를 구축하는 데 필수적인 다양한 서비스를 나타냅니다. 진정한 효과는 각 서비스의 개별적인 존재가 아니라 서비스 간의 복잡한 상호 작용에 있다는 점을 인식하는 것이 중요합니다. 여기에는 상호 연결성, 구현 순서 및 시너지 효과를 이해하는 것이 포함됩니다.

이러한 각 서비스(차트에 나열된 개별 항목)에 대해 Sui 네트워크는 특정 도구를 활용하거나 서비스 제공업체에 의존하여 배포합니다. Sui 재단은 이러한 구성 요소를 채택하고자 하는 모든 기업에 의미 있는 유용성을 제공하는 방식으로 패키징하고자 합니다. 따라서 그림에서 세분화된 구획은 강화된 보안 태세를 추구하는 기업이 탐색하기를 기다리는 잘 구조화된 리포지토리를 상징합니다.

이 다이어그램에는 많은 요소가 있습니다. 이 요소들이 모두 동등하고 서로 얽혀 있을까요? 아니면 우선순위를 정하는 메커니즘이 있을까요?

물론 이 다이어그램에는 사려 깊은 근거가 있습니다. 이는 원점에서 시작하여 즉각적인 주의가 필요한 부분, 즉 보안의 기본 구성 요소를 파악하는 것과 같습니다. 기본 보안 툴킷이라고 생각하면 됩니다. 이 툴킷에는 회사의 평판에 영향을 미칠 수 있는 모든 피해를 파악하는 '브랜드 방어'가 포함될 수 있습니다. 여기에는 브랜드에 미치는 부정적인 영향을 모니터링하고 완화하기 위한 인텔리전스 수집이 포함됩니다. 또한, 브랜드를 손상시킬 수 있는 요소를 조사하고 해결할 수 있는 역량을 갖춘 '무결성'도 중요한 부분입니다.

툴킷은 모든 조직에 일률적으로 적용될 수 없습니다. 조직마다 고유한 목적에 맞는 고유한 툴킷이 필요할 수 있습니다. 코딩을 많이 하는 회사에서 '취약성 역량' 개발에 우선순위를 둘 수 있다고 가정해 봅시다. 여기에는 시스템에 잠재적인 버그가 있는지 면밀히 검토하고 '퍼징'과 같은 작업을 수행하여 코드를 스트레스 테스트하는 것이 포함됩니다. 반면에 디파이 회사와 게임 회사를 생각해 봅시다. 디파이 기업은 규제 리스크, 거버넌스, 규정 준수에 중점을 둔 툴킷을 사용할 수 있습니다. 반대로 게임 회사는 운영, 인텔리전스, 특정 수준의 보안 엔지니어링에 더 많은 관심을 가질 수 있습니다.

본질적으로 이 다이어그램은 다양한 유형의 기업의 고유한 개성과 우선순위에 맞는 보안 전략을 제공한다는 개념을 요약한 것입니다.

기업이 일반적으로 보안에 대해 "내가 가진 모든 위험이 여기에 있는데 어떻게 완화할 수 있을까?"라고 생각하는 방식인가요? 이것이 출발점일까요, 아니면 다른 관점이 있을까요?

바로 그거예요.

키트는 전체 블록체인 생태계를 안전하게 유지하는 핵심적인 방법인 것 같습니다. 퍼블릭 블록체인의 핵심이 탈중앙화되고 무허가성이라는 점을 고려할 때, 기술적으로는 누구나 네트워크에 액세스하고 참여할 수 있지만 네트워크 보안을 유지하는 방법은 무엇이라고 생각하시나요?

물론 툴킷의 개념은 전체 생태계의 보안을 유지하는 데 중추적인 역할을 합니다. 퍼블릭 블록체인의 장점은 탈중앙화되고 비허가성이라는 특성에 있으며, 이를 통해 다양한 시각에서 다양한 측면을 면밀히 살펴볼 수 있습니다. 여기서 핵심은 두 가지 핵심 요소, 즉 필요한 도구와 역량을 구축하는 것과 교육을 촉진하는 것입니다.

생태계 내의 사람들은 무슨 일이 일어나고 있는지 이해하는 것뿐만 아니라 사용 가능한 도구와 이를 효과적으로 활용하는 방법도 알고 있어야 합니다. 생태계에 영향을 미치는 많은 요인이 블록체인 자체에 국한되지 않는다는 점에 주목할 필요가 있습니다. 소셜 미디어의 수다, 두려움, 불확실성, 의심(FUD), 잠재적 사기와 같은 요소들이 영향을 미칠 수 있습니다. 이는 포괄적인 인식의 중요성을 강조합니다.

세 번째 중요한 측면은 커뮤니티 내에서 정보를 교환하는 것입니다. 개인이 소통하고 협업할 수 있을 때 공동의 지식 기반이 강화됩니다. 따라서 세 가지 접근 방식이 필요합니다. 교육은 지식으로, 정보는 실행 가능한 인사이트로, 도구는 행동으로 옮길 수 있는 수단으로 힘을 실어줍니다. 이러한 조합을 통해 커뮤니티는 다양한 역학 관계를 이해하는 데 그치지 않고 적극적으로 영향을 미칠 수 있는 역량을 갖추게 됩니다.

Sui 생태계는 현재 어떻게 소통하고 있나요?

Sui의 생태계 커뮤니케이션은 다방면으로 이루어집니다. 최근의 검증자 서밋은 개인이 인맥을 형성하고 인사이트를 교환할 수 있는 귀중한 플랫폼을 제공했습니다. 빌더 하우스 이니셔티브에도 동일한 원칙이 적용됩니다. 또한 Sui 재단이 가까운 시일 내에 Sui 의 보안 측면에 초점을 맞춘 일련의 논문을 발표할 계획인 것으로 알고 있습니다.

커뮤니케이션 채널은 디스코드, 텔레그램과 같은 플랫폼을 아우르며 검증인, 노드 운영자, 기타 이해관계자 간의 상호 작용을 촉진합니다. 이러한 포럼은 인지도를 높일 뿐만 아니라 시간이 지남에 따라 유기적으로 확장되어 토론과 지식 공유를 위한 허브로 발전하고 있습니다.

Move 는 다른 블록체인 프로그래밍 언어보다 본질적으로 더 안전하도록 설계되었습니다. 이것이 Sui 에서 보안이 처리되는 방식에 어떤 영향을 미치나요?

Move 이 다른 프로그래밍 언어보다 더 안전하다는 것은 의심의 여지가 없습니다. 게다가 Sui 개발 초기 팀 대부분이 보안에 중점을 두고 있다고 말씀드리고 싶습니다. 따라서 언어뿐만 아니라 Sui 의 다양한 구성 요소가 어떻게 구성되어 있는지도 더 탄력적이고 익스플로잇하기 어렵게 만드는 요소입니다. 그렇다고 보안 업계에도 똑똑한 사람들이 많지 않다는 것은 아닙니다. 그리고 충분한 보상이 주어지면 그들은 익스플로잇을 찾기 위해 매우 열심히 노력할 것입니다. 따라서 전문가들은 누가, 무엇을, 언제, 왜, 어디서 그런 일이 일어날지 이해하는 것이 중요합니다. 이것이 바로 초점입니다.

Web3의 다른 곳에서 발생한 익스플로잇 뉴스가 Sui 에서 수행 중인 작업에 어떤 영향을 미치나요?

안타깝게도 웹3.0 영역에서 익스플로잇 사건이 발생하면 의심할 여지 없이 우려스러운 일이 아닐 수 없습니다. 하지만 이러한 상황은 귀중한 학습 경험이기도 합니다. 보안 전문가들은 익스플로잇의 '어떻게', '무엇을', '언제', '누가', '왜' 익스플로잇을 했는지 그 이면에 숨겨진 메커니즘을 파헤치도록 유도합니다. 이러한 인사이트는 더 넓은 환경에 대한 추가적인 통찰력을 제공합니다.

Sui 재단 팀은 보안 리소스의 상당 부분을 이러한 위협 행위자의 신원과 역량을 이해하는 데 할애하여 이들이 선호하는 공격 벡터와 동기를 해독하는 데 주력하고 있습니다.

이러한 익스플로잇에는 두 가지 중요한 시사점이 있습니다. 첫째, 이러한 사건이 실제 사람들에게 영향을 미치기 때문에 피해를 입은 사람들에 대한 안타까운 공감대가 형성됩니다. 둘째, Sui의 전략을 강화할 수 있는 기회입니다. 이러한 사건을 교훈 삼아 Sui 는 유사한 위험으로부터 보호하기 위해 입지를 다지고 강화할 수 있습니다.

웹3.0 보안의 미래는 어떻게 전망하시나요?

우리는 인공지능, 머신러닝, 증강현실, 가상현실 등 웹3.0의 출현과 이로 인한 놀라운 기술들로 특징지어지는 새로운 시대의 문턱에 서 있습니다. 저는 웹3.0이 가진 놀라운 잠재력이 저를 흥분시킵니다. 우리는 전례 없는 속도로 믿을 수 없을 정도로 몰입도 높은 인터페이스를 경험하고 이전에는 상상할 수 없었던 방식으로 정보에 액세스할 수 있는 시점에 와 있습니다.

이러한 변화는 보안 영역으로도 확장됩니다. 잠재적 위협의 움직임을 이해하는 인공지능 파트너가 있고, 심지어 인공지능 대 인공지능 시나리오까지 가능하다고 상상해 보세요. 이것이 바로 우리가 나아가고자 하는 방향입니다. 그리고 저는 Sui 이 이러한 발전의 최전선에 있을 것으로 기대합니다.