Web3 팀은 제품 취약점보다는 계정, 기기, 권한과 같은 "사소한 문제"를 간과할 가능성이 더 높습니다.
기사 작성자: OneKey Jonas C
기사 출처: 우톡(Wu-Talk)
Web3 팀은 제품 취약점보다는 계정, 기기, 권한과 같은 "사소한 문제"를 간과할 가능성이 더 높습니다.
백엔드 접근 권한, 공지 게시 권한, 온체인 작업 수행 권한에 대한 명확한 경계가 있어야 합니다.
다음의 기본적인 안전 지침은 이러한 사각지대를 메우는 데 도움이 될 수 있습니다.
계정 관리
계정 보안은 세 가지로 요약됩니다. 누가 계정에 접근할 수 있는지, 어디에서 접근할 수 있는지, 그리고 언제든지 권한을 제어할 수 있는지 여부입니다.
이 세 가지 사항만 잘 관리하면 다른 복잡한 작업은 필요 없습니다.
다중 검증(MFA)
로그인 시 인증 앱, 하드웨어 키 또는 패스키와 같은 2단계 인증 절차를 추가하여 자격 증명 유출로 인한 계정 탈취를 방지하십시오. 이상적으로는 최고 경영자가 모든 직원에게 MFA(다단계 인증)를 활성화하도록 의무화하고, 활성화하지 않은 직원은 시스템 로그인을 차단해야 합니다.
기업용 암호 관리자
1Password와 같은 전문 암호 관리 도구를 사용하여 강력한 암호를 생성하고 팀 내에서 안전하게 공유하세요. 암호 강도는 자동으로 생성되고, 공유는 관리 가능하며, 모든 작업은 기록되므로 "누가 백엔드 암호를 기억하는지"에 의존하지 않고도 암호를 관리할 수 있습니다.
역할 기반 접근 제어
접근 권한은 직무 역할에 따라 할당되어야 합니다. 개발자는 코드를 관리하고, 운영팀은 백엔드를 관리하며, 재무팀은 지갑을 관리해야 합니다. "누구나 한눈에 모든 것에 접근할 수 있는" 상황은 피해야 합니다. 직원이 회사를 떠나면 해당 직원의 권한은 즉시 회수해야 합니다.
"기기 및 네트워크 보안"
보안은 단순히 계정 보안만을 의미하는 것이 아닙니다. 사용하는 컴퓨터와 연결하는 네트워크 또한 자산 보호 능력에 큰 영향을 미칩니다. 회사 자원에 접근할 수 있는 모든 장치는 안전하고 신뢰할 수 있으며 추적 가능해야 합니다.
기기 권한
모든 업무용 컴퓨터는 암호화되어야 하며, 비밀번호 또는 지문으로 잠금 해제되고, 사용자가 자리를 비울 때 자동으로 잠겨야 합니다. 기기가 오작동하거나 분실된 경우, 관리자는 원격으로 기기를 잠그고 데이터를 삭제하여 노트북이 정보 유출의 통로가 되는 것을 방지할 수 있습니다.
컴퓨터 화면을 활짝 열어놓고 나가는 사람은 월급을 삭감해야 합니다!
코드 관리
단계별 업데이트 및 검토 프로세스: 보안 패치 업데이트는 적시에 배포되어야 하며, 주요 버전 업그레이드, 타사 설치 패키지 및 종속성 라이브러리 업데이트는 자동 업데이트 또는 공급망 오염으로 인한 리스크 방지하기 위해 호환성 및 보안 검토를 거쳐야 합니다.
네트워크 및 물리적 환경 보안
카페의 Wi-Fi를 사용할 때는 절대로 백엔드에 로그인하거나 지갑을 조작하지 마세요. 접근 키, 배포 권한, 자금 계좌는 반드시 신뢰할 수 있는 기기에서 설정하고 하드웨어 키 서명으로 확인해야 합니다. 서명 기기를 휴대해야 하는 경우, 암호화된 백업을 만들어 일상적으로 사용하는 컴퓨터와 분리하여 보관하세요. 그렇지 않으면 모든 데이터를 잃을 수 있습니다.
"온체인 관리"
온체인 자산은 Web3 프로젝트의 핵심 자원입니다. Bybit조차 어려움을 겪었는데, 당신은 더 잘할 수 있다고 장담할 수 있나요? 몇 가지 팁을 소개합니다.
하드웨어 지갑 오프라인 관리
항상 하드웨어 지갑을 사용하고, 중요한 지갑은 절대 불안정한 환경에 두지 마십시오. 개인 키 생성 및 서명은 하드웨어 지갑을 사용하여 수행해야 하며, 오프라인 상태로 보관해야 합니다. 높은 권한이 필요한 지갑은 사용 횟수 제한 및 알림 기능을 갖추는 것이 이상적이며, 서명은 추적 가능해야 합니다.
다자간 컴퓨팅(MPC) 협업 솔루션
개인 키를 한 사람에게만 주지 마세요. 다자간 연산 방식을 사용하여 개인 키를 여러 부분으로 나누고 여러 사람이 함께 서명하도록 하세요.
서명 임계값은 거래 금액에 따라 설정할 수 있습니다. 소액 거래에는 빠른 서명을, 고액 거래에는 여러 번의 서명을 요청할 수 있습니다. 분산형 협업 기능을 통해 한 사람이 실수를 하더라도 팀 전체가 개입하여 문제를 해결할 수 있습니다.
자금 지원 단계 및 권한 제약
팀 자금은 여러 단계로 관리하는 것이 가장 좋습니다. 일상적인 운영을 위한 소액 자금, 마케팅 활동 자금, 장기 예비 자금은 각각 별도로 관리하여 문제가 발생했을 때 모든 자금이 날아가는 것을 방지해야 합니다.
핵심적인 업무는 한 사람이 단독으로 결정해서는 안 됩니다. 자금 이체나 계약 체결과 같은 조치는 여러 사람의 승인을 거쳐야 하며, 권한은 직책과 담당 업무에 따라 부여되어야 합니다. 책임자가 서명하고, 업무가 완료되면 권한이 자동으로 취소되도록 해야 합니다.
"회사 통합 로그인 시스템(SSO)"
올바른 접근 방식은 회사 계정을 통합적으로 관리하는 것이며, 소규모 작업장은 절대 임시방편적인 운영 방식으로 운영되어서는 안 됩니다.
SSO(단일 로그인)를 사용하면 직원들이 단일 인증으로 조직 내 모든 연결된 서비스(이메일, Notion, Slack, GitHub 등)에 액세스할 수 있으므로 분산 관리와 관련된 리스크 방지할 수 있습니다.
일반적인 솔루션으로는 Google Workspace, Okta, Azure AD 등이 있습니다. 자체 시스템을 구축하고 싶지 않다면 이러한 솔루션으로도 충분하며, 특히 Google Workspace처럼 가볍고 통합된 로그인 시스템은 많은 팀에 큰 도움이 되었습니다.
"인식 개선 교육"
회사 안전 지침을 개선하세요
각 직책의 업무와 권한은 명확하게 정의되어야 하며, 문제가 발생했을 때 책임 소재를 명확히 할 수 있어야 합니다. 무단 접근, 무단 권한 부여, 외부와의 정보 공유는 절대 용납해서는 안 됩니다.
안전 인식 교육
교육은 지나치게 관료적일 필요가 없습니다. AI 도구나 기존 B2B 플랫폼을 활용하여 상호작용적인 문제 은행이나 시뮬레이션 연습을 만들고, 모든 직원의 피싱 방지 대응 능력을 정기적으로 테스트하세요. 피싱 이메일, 가짜 에어드랍, 가짜 고객 서비스와 같은 함정을 사전에 예측하고 피하는 것이 사후 검토보다 훨씬 효과적입니다.
이미 Riot(@tryriotdotcom)과 같은 성숙한 기업용 솔루션이 시장에 나와 있으며, 이러한 솔루션은 Slack 및 Gmail과 같은 도구와 함께 사용하여 직원들이 일상 업무에서 좋은 습관을 기르도록 도울 수 있습니다.
"끝"
'임시방편'이라는 꼬리표를 떼고 싶으신가요? 계정과 권한부터 기기와 지갑까지, 기본부터 탄탄하게 익히세요.
안전은 매력적이지는 않지만, 수명을 연장하는 데 도움이 될 수 있습니다.
