해킹의 마법같은 기술이 종종 헤드라인을 장식하지만, 크립토 기업에 대한 또 다른 소리없이 다가오는 위협은 훨씬 가까운 곳에 도사리고 있습니다.
Verizon의 조사에 따르면 보안 사고의 약22%가 내부자에 의해 발생한 일이며 금융 서비스 산업이 가장 심각한 영향을 받고 있습니다.
이러한 기업 내부자들의 위협은 일반 직원의 횡령에서부터, 담합한 중간 관리자, 이혼이나 마약 중독과 같은 충격으로 인한 탈선행위를 하는 유명 트레이더에 이르기까지 다양합니다.
대표적인 예는 다음과 같습니다.
불량 거래자
가장 유명한 사건은 1995년 베어링스 은행(Barings Bank)의 직원인 닉 리슨(Nick Leeson)이 불법 선물거래로 인해 13억 달러를 잃고 베어링스 은행을 파산시킨 사건 입니다.
횡령
경미한 절도에서부터 보험 회사 경영진이 60,000명의 사람들을 허위로 만들고 보험에 가입 시킨 에쿼티 펀딩 스캔들(Equity Funding scandal)과 같은 정교한 작업에 이르기까지 다양하게 존재합니다.
공모
남아프리카 공화국의 포스트뱅크(Postbank)의 경우처럼 직원들이 마스터 암호화 키를 복사하여 은행 계좌 잔고에서 수백만 달러를 훔 쳤을 때 와 같이 내부자들이 공모하는 경우도 있습니다. 또는 코우츠(Coutts) 직원이 사기범에게 개인 고객 정보를 120만 파운드에 판매 한 경우와 같이 외부인들과 공모하기도 합니다.
이러한 에피소드에서 알 수 있듯이 적절한 통제와 감독에 실패하면 전통적인 금융 산업에 심각한 피해를 줄 수 있습니다. 그러나 자산 소유권의 모든 권한이 하나의 코드 문자열로 부여되는 암호화 시장에서는 이러한 보호 기능을 갖추지 못하는 것은 치명적일 수 있습니다.
사이버 보안은 무엇보다도 사람들의 문제입니다(J. Klossner의 이미지).
개인 키를 보유하기만 하면 누구나 지갑에서 모든 자금을 인출할 수 있습니다. 또한 디지털 자산 거래는 복구할 수 없습니다. 따라서 단순히 자금을 회수하기 위해 블록체인을 롤백할 수도 없습니다!
이렇듯 전체 암호화 시가총액이 전통적인 금융에 비해 거의 하락하지 않았음에도 불구하고 악의적인 내부자들은 불과 몇 년 만에 막대한 손실을 주는데 성공합니다.
이러한 손실 중 대부분은 은폐되거나 무고한 외부인에게 피해를 입은 것으로 생각합니다. 그러나 그들이 내부 직원으로 밝혀졌을 때에는 뉴스의 헤드라인을 장식합니다.
버질 시그마 캐피탈 (2021)
가장 극적인 예 중 하나로 9천만 달러 펀드의 설립자인 Virgil Sigma는 그의 호화로운 생활을 위해 거의 모든 자산을 소진했습니다.
코인시큐어(2018)
인도 거래소 코인시큐어(Coinsecure)는 최고 보안 책임자(CSO)가 비트코인 골드 포크 수익금을 고객에게 분배하지 못하였을 때 350만 달러의 손실을 입었습니다.
쿼드리가CX (2018)
캐나다 거래소 쿼드리가(Quadriga)CX의 CEO가 인도에서 고객 자산의 개인 키를 가지고 의문사 하면서 암호화폐 투자자들의 1억9000만 달러가 사라졌습니다.
이러한 난처한 상황은 느슨한 내부 통제와 열악한 운영 보안의 폐해입니다. 또한 기관 사용을 위해 용도가 변경된 개인용으로 설계된 관리 인프라와 관련된 경우도 있습니다. 예를 들어, 신뢰할 수 있는 직원에게는 기업의 크립토 자산에 대한 키를 보관하는 렛저 월렛과 같은 콜드 스토리지 장치에 대한 감독되지 않은 액세스 권한이 부여될 수 있습니다. 또는 지갑을 안전하게 보관하기 위해 매일 밤 누가 지갑을 집으로 가져가는지 감시하기 위해 순서를 정하는 팀원들 간에 지갑을 공유할 수도 있습니다.
다음으로 높은 수준의 정교함에서 많은 기관 수준의 커스터디 솔루션은 꼭 필요한 거버넌스 도구를 제공하지만 여전히 신뢰할 수 있는 제3자가 키 또는 키 조각을 보유해야 합니다. 이는 내부 위협의 가능성을 최소화하지만 클라우드 스토리지 공급업체와 같은 중요한 핵심 자료를 보유하고 있는 중앙화 서비스 간의 유착이나 관리 부패의 가능성에 기관이 노출될 수 있습니다.
Qredo는 기관이 내부 자산을 완벽하게 제어할 수 있도록 지원함으로써 운영 보안을 극대화 하고 외부 기관을 이용할 필요 없이 자체적인 감독 및 제어를 도입할 수 있도록 합니다.
개인 키 위험요소 제거
취약한 개인 키는 탈중앙화 다자간 계산 (dMPC)를 기반으로 하는 유연한 거버넌스 레이어으로 대체됩니다.
정교한 거버넌스
거버넌스는 팀의 요구사항에 맞게 조정할 수 있으며 거래자, 승인자, 관리자 등 기관의 다양한 역할에 맞춤형 제어 및 감독 권한을 사용할 수 있습니다.
또한 멀티시그와 달리 dMPC가 제공하는 거버넌스는 운영상 유연합니다. 서명 임계값을 쉽게 변경할 수 있으며 기관의 변화에 맞춰 권한을 변경할 수 있습니다.
변경할 수 없는 로그
각 관리 조치는 Qredo 블록체인에 변경 불가능하게 스탬프 처리되어 거래 승인 기록이 변경될 수 없음을 보장합니다. 또한 감사를 위해 로그를 신속하게 내보낼 수 있으므로 의심스러운 트랜잭션이 인식되지 않을 가능성을 최소화됩니다.
코로나 이후의 원격 작업 시대로 접어들면서 사람들은 실제로 만나서 확인하지 못한 팀원들을 고용하고 있습니다. 이것은 적절한 제도적 통제의 필요성을 그 어느 때보다 중요하게 만듭니다. 악의적인 내부자뿐만 아니라 다음 #QredoFixesThis기사에서 다루게 될 부주의와 사람의 실수로부터 보호합니다.