Flipster 거래소의 보안 접근 방식: 보안 인증, 버그 현상금 및 사용자 보호에 대한 Q&A

변동성이 크고 끊임없이 변화하는 암호화폐 시장 속에서 암호화폐 거래소들은 사용자 데이터와 자금을 노리는 더 큰 적과 맞서고 있습니다. 이번 주에는 플립스터(Flipster)의 최고 정보 보안 책임자(CISO)인 저스틴 홍(Justin Hong)과 단독 인터뷰를 진행했습니다. 홍 CISO는 암호화폐 거래 플랫폼인 플립스터가 인증, 제품 혁신, 그리고 실시간 위협 대응을 통해 어떻게 보안을 강화하는지에 대해 이야기했습니다.

홍 대표에 따르면, 플립스터는 올해에만 15건 이상의 제품 수준 보안 업데이트를 배포했습니다. 이러한 업데이트는 ISO/IEC 27001 인증 및 CER.live의 'AA' 등급과 함께 사용자에게 안전하고 보안이 강화된 거래 환경을 보장합니다.

Flipster에서 근무하기

Q: 안녕하세요, 저스틴 씨. 간단하게 자기소개와 최고정보보안책임자(CISO)로서의 역할, 그리고 웹3 기업에 CISO의 역할이 왜 중요한지에 대해 말씀해 주시겠어요?. 

A: 저는 지난 16년간 사이버 보안 분야에서 은행, 핀테크, 블록체인 등 다양한 경험을 쌓아왔습니다. 각 분야마다 고유한 어려움이 있지만, 이러한 경험들을 통해 특히 위험 부담이 매우 높은 웹3 환경에서의 보안 접근 방식을 정립할 수 있었습니다. 웹3 환경에서의 보안 위험은 전통적인 금융 분야와는 비교할 수 없을 정도로 높습니다. 사용자 통제력이 더 크고, 혁신이 더 활발하게 이루어지는 만큼, 악의적인 공격자들의 관심도 훨씬 더 높습니다.

플립스터에서 저는 글로벌 보안 기능을 총괄하고 있으며, 위험 관리 및 규정 준수부터dent 대응, ISO/IEC 27001과 같은 국제 표준을 운영에 적용하는 것까지 모든 것을 담당합니다. 암호화폐 시장은 빠르게 변화하고, 위협 또한 그만큼 빠르게 진화합니다. 저희는 이러한 점을 염두에 두고 항상 미래를 내다보며, 단순히 사후 대응에 그치지 않도록 노력합니다.

Q: 빠르게 변화하고 위험 부담이 큰 암호화폐 거래 플랫폼 업계에서 플립스터에서 일하는 것은 어떤가요?

A: 많은 것이 걸려 있는 일이죠. 바로 그 점이 이 일을 보람 있게 만드는 요소입니다. 이 분야의 보안은 수동적인 자세로만 이루어지는 게 아닙니다. 기술 업계에서 가장 창의적이고 집요한 적들과 맞서 싸워야 하죠. 덕분에 항상 긴장을 늦추지 않고 끊임없이 발전할 수밖에 없습니다.

플립스터에서 가장 눈에 띄는 점은 모든 구성원이 한마음으로 뭉쳐 있다는 것입니다. 우리의 목표는 명확합니다. 사람들이 믿고 사용할 수 있는 안전하고 신뢰할 수 있는 거래 플랫폼을 구축하는 것입니다. 이러한 목표 의식은 긴밀한 협업, 빠른 피드백, 그리고 지속적인 테스트를 통해 업무 방식에서도 드러납니다. 

Q: 플립스터에서 신뢰를 어떻게 defi하시나요? 그리고 팀은 어떻게 신뢰를 구축하고 유지하기 위해 노력하고 있나요?

A: 신뢰는 일관성, 즉 투명성, 명확성, 책임감을 통해 시간이 지남에 따라 구축됩니다. 우리는 위험 관리 방식, 사용자 자금 보호 방식, 그리고 사고 대응 방식을dent공개합니다. 문제가 발생할 경우, 사용자들은 무슨 일이 일어났는지, 그리고 어떻게 해결되고 있는지 알 권리가 있습니다.

백엔드에서는 제로 트러스트 모델을 운영합니다. 모든 시스템과 사용자는 내부자든 외부자든 동일한 수준의 엄격한 검증을 거칩니다. 이러한 접근 방식 덕분에 피싱 공격이나 기타 내부자 위험에 효과적으로 대응할 수 있습니다. 하지만 보안이 사용자 경험을 희생해서는 안 됩니다. 저희는 더욱 안전하고 직관적인 기능을 만들기 위해 끊임없이 노력하고 있습니다. 이 두 가지가 조화를 이룰 때, 사용자는 안전과 편리함 사이에서 고민할 필요가 없습니다.

Flipster는 ISO/IEC 27001 및 CER.live 인증을 획득했습니다

Q: 암호화폐 플랫폼은 보안dent의 온상이 되어가고 있으며, 이러한 사고는 대부분 상당한 금액의 손실로 이어집니다. 플립스터에서 근무하는 동안 이러한 공격 시도를 경험한 적이 있습니까? 있다면 어떻게 대처하셨습니까?

A: 저희는 DDoS 공격, 피싱 캠페인, 사칭 시도 등dent사건을 경험했습니다. 이러한 위협은 현실적이고 끊임없이 존재합니다.

예를 들어 DDoS 공격을 생각해 보세요. 공격자들은 저희 플랫폼을 마비시키려 시도했고, 심지어 몸값을 요구하는 공격까지 감행했습니다. 하지만 저희는 모든 계층에 탐지 및 완화 기능을 내장하고 있으며, 대응팀은 신속하게 대응할 수 있도록 훈련받았습니다. 피싱 공격의 경우, 악의적인 공격자는 구직자나 파트너로 가장하여 저희 팀이 악성 파일을 열도록 유도합니다. 저희 시스템은 이러한 위협을 신속하게 탐지하도록 설계되었으며, 사건 발생 후dent 분석을 통해 방어 체계를 더욱 강화합니다.

Q: Flipster가 최근 CER.live로부터 AA 인증을 획득했습니다. 이 인증은 무엇을 의미하며, 사용자에게는 어떤 이점이 있나요?

A: 2018년부터가장 신뢰받는 독립적인dent 업계에서

사용자에게 이러한 인증은 명확한 신호입니다. 제3자 기관이 당사 플랫폼을 검증하고 보안 품질을 확인했다는 것을 의미합니다. 여기에 ISO/IEC 27001 인증까지 더해지면, 당사는 말뿐 아니라 운영 방식에서도 신뢰를 매우 중요하게 생각한다는 것을 알 수 있습니다.

Q: CER.live 인증 외에, Flipster가 최근 시행한 주요 보안 조치 또는 프로토콜 중 사용자들이 알아야 할 사항은 무엇인가요?

A: 저희는 올해 15개 이상의 제품 수준 보안 기능을 출시했습니다. 주요 업그레이드에는 암호 키 지원, 출금 잠금, 주소 화이트리스트 등이 포함됩니다. 이러한 기능들은 사용자에게 더 많은 제어 권한을 제공하고 보안을 한층 강화합니다.

출금 시에는 항상 비밀번호와 주소록을 모두 활성화하도록 권장합니다. 이러한 간단한 조치가 실질적인 차이를 만들어냅니다. 또한 사용자가 계정에 접속하는 기기를 trac하고 관리할 수 있는 새로운 기기 관리 도구를 개발 중입니다. 이는 사용자가 계좌를 더욱 안전하게 관리할 수 있도록 지원하는 또 다른 방법입니다.

Q: 일부 플랫폼은 CER.live에서 AAA 등급을 획득했습니다. 플립스터도 이를 목표로 하고 있나요? AAA 등급 획득을 위해 어떤 보안 조치를 취하고 있나요?

A: 저희도 해당 문제를 인지하고 있으며, 꾸준히 진전을 이루고 있습니다. 현재는 서버 보안 강화, 피싱 방지 도구 배포, 그리고 향상된 기기 관리 기능을 통해 사용자에게 더 큰 제어 권한을 제공하는 데 집중하고 있습니다.

결국 우리가 추구하는 것은 인증 배지가 아니라 사용자에게 실질적인 가치를 제공하는 플랫폼을 개선하는 것입니다. 무언가가 진정한 가치를 더하고 보안을 강화한다면, 우리는 그것을 개발할 것입니다. AAA 등급은 하나의 이정표일 뿐, 최종 목표가 아닙니다.

버그 현상금 및 강화된 보안 기능

Q: 플립스터는 화이트햇 해커들이 거래소의 장기적인 신뢰 및 투명성 목표에 부합하는 방식으로 활동하도록 어떻게 장려합니까?

A: 저희는 Hackenproof 하여 공개 버그 현상금 프로그램을 운영하고 있습니다. 이를 통해 연구원들이 자신들의 발견 사항을 저희와 공유할 수 있는 명확하고 신뢰할 수 있는 경로를 제공합니다. Hackenproof 팀은 ​​제출된 버그의 영향력과 품질을 검토하고, 저희는 심각도에 따라 공정한 보상을 제공합니다.

단순히 버그를 찾는 것을 넘어, 우리의 임무에 전 세계 보안 커뮤니티를 참여시키는 것이 중요합니다. 연구원들이 자신의 연구가 가치 있게 여겨지고 실제로 활용된다는 것을 알게 되면, 더욱 강력한 생태계를 구축하는 데tron으로 참여할 가능성이 높아집니다. 이는 모두에게 이익이 되는 일입니다.

Q: CISO이자 해당 분야의 사상적 리더로서, 보안 표준을 개선하고자 노력하는 다른 기업들에게 어떤 조언을 해주시겠습니까?

A: 기본부터 제대로 하세요. 대부분의 보안 침해는 패치 누락, 허술한 권한 설정, 부실한 접근 제어 등 기본적인 관리 소홀 때문에 발생합니다. 이러한 부분을 제대로 관리하면 위험의 상당 부분을 줄일 수 있습니다.

그뿐만 아니라, 인력과 프로세스에 투자하십시오. 아무리 훌륭한 도구를 갖췄더라도 팀원들이 교육을 받지 않았거나 사고dent 매뉴얼이 제대로 검증되지 않았다면 취약해질 수밖에 없습니다. 보안이 최고정보보안책임자(CISO)만의 책임이 아니라 모두의 책임이라는 문화를 구축하십시오. 이러한 사고방식의 변화는 시간이 걸릴 수 있지만, 그만한 노력을 기울일 가치가 있습니다.

Q: 마지막으로, 소셜 엔지니어링 공격 또한 이 분야에서 만연해 있습니다. 사용자 보호를 위해, 또는 계정 해킹 시도에 대해 사용자에게 알리기 위해 어떤 조치를 시행하셨습니까?

A: 저희는 소셜 엔지니어링 공격을 계정 탈취와 사기성 자금 이체, 이렇게 두 가지 유형으로 분류합니다. 우선, 암호 키, 2단계 인증, 실시간 로그인 알림, 주소 화이트리스트 등록과 같은tron보호 조치를 마련해 두었습니다. 조만간 기기 관리 기능도 추가할 예정입니다.

사용자 교육은 사기 예방에 매우 중요한 역할을 합니다. 저희는 정기적인 보안 업데이트를 제공하고 있으며, 의심스럽거나 알려진 사기 주소를 표시하는 도구를 개발하고 있습니다. 목표는 사용자에게 안전을 유지하는 데 필요한 지식과 도구를 모두 제공하는 것입니다. 충분한 정보를 갖춘 사용자가 최고의 방어선 중 하나입니다.