Bitcoin Core 개발자 그룹은 보안에 중요한 버그를 공개하는 데 있어 과거의 단점을 해결하기 위해 포괄적인 보안 공개 정책을 도입했습니다.
이 새로운 정책의 목적은 취약점을 보고하고 공개하는 표준화된 프로세스를 구축하여 비트코인 생태계 내에서 투명성과 보안을 강화하는 것입니다.
이전에 공개되지 않았던 여러 가지 취약점도 이번 발표에 포함되었습니다.
보안 공개란 무엇입니까?
보안 공개는 보안 연구원이나 윤리적 해커가 소프트웨어나 시스템에서 발견한 취약성을 영향을 받는 조직에 보고하는 프로세스입니다. 목표는 조직이 이러한 취약성을 악의적인 행위자가 악용하기 전에 해결할 수 있도록 하는 것입니다. 이 프로세스에는 일반적으로 취약성을 발견하고, 이를 비밀리에 보고하고, 취약성의 존재를 확인하고, 수정 사항을 개발하고, 마지막으로 취약성과 세부 정보 및 완화 조언을 공개적으로 공개하는 것이 포함됩니다.
사용자들은 걱정해야 할까?
최신 Bitcoin Core 보안 공개는 다양한 심각도의 다양한 취약성을 해결합니다. 주요 문제로는 서비스 중단을 일으킬 수 있는 여러 서비스 거부(DoS) 취약성, miniUPnPc 라이브러리의 원격 코드 실행(RCE) 결함, 검열이나 부적절한 고아 트랜잭션 관리로 이어질 수 있는 트랜잭션 처리 버그, 버퍼 폭발 및 타임스탬프 오버플로와 같은 네트워크 취약성으로 인해 네트워크가 분리되는 것이 있습니다.
현재 이러한 취약점 중 어느 것도 비트코인 네트워크에 중대한 위험을 초래하지 않는 것으로 여겨집니다. 그럼에도 불구하고 사용자는 소프트웨어가 최신 상태인지 확인하는 것이 좋습니다.
자세한 내용은 GitHub의 Bitcoin Core 보안 공개에 대한 커밋을 참조하세요.
공개 프로세스 개선
Bitcoin Core의 새로운 정책은 취약점을 낮음, 보통, 높음, 중요의 4가지 심각도 수준으로 분류합니다.
- 심각도 낮음: 악용하기 어렵거나 영향이 미미한 버그. 이는 수정판이 출시된 후 2주 후에 공개됩니다.
- 중간 및 높은 심각도: 상당한 영향 또는 중간 수준의 악용 용이성을 지닌 버그. 이는 마지막으로 영향을 받은 릴리스가 수명 종료(EOL)된 후 1년 후에 공개됩니다.
- 심각한 심각도: 인플레이션이나 코인 도난 취약점 등 전체 네트워크의 무결성을 위협하는 버그는 심각성 때문에 임시 절차에 따라 처리됩니다.
이 정책의 목적은 일관된 추적 및 표준화된 공개 프로세스를 제공하고, 책임감 있는 보고를 장려하며, 커뮤니티가 문제를 신속하게 해결할 수 있도록 하는 것입니다.
비트코인의 CVE 공개 내역
비트코인은 수년에 걸쳐 CVE(Common Vulnerabilities and Exposures)로 알려진 몇 가지 주목할 만한 보안 문제를 겪었습니다. 이러한 사건은 경계하는 보안 관행과 시기적절한 업데이트의 중요성을 강조합니다. 다음은 몇 가지 주요 사례입니다.
CVE-2012-2459: 이 심각한 버그는 공격자가 유효해 보이는 잘못된 블록을 생성하여 네트워크 문제를 일으킬 수 있으며, 잠재적으로 비트코인 네트워크를 일시적으로 분리할 수 있습니다. 이 버그는 Bitcoin Core 버전 0.6.1에서 수정되었으며 비트코인의 보안 프로토콜을 더욱 개선하도록 동기를 부여했습니다.
CVE-2018-17144: 공격자가 고정 공급 원칙을 위반하여 추가 비트코인을 생성할 수 있는 심각한 버그입니다. 이 문제는 2018년 9월에 발견되어 수정되었습니다. 사용자는 잠재적인 악용을 피하기 위해 소프트웨어를 업데이트해야 했습니다.
또한 비트코인 커뮤니티에서는 아직 구현되지 않은 다양한 취약점과 잠재적인 수정 방안에 대해서도 논의했습니다.
CVE-2013-2292: 검증하는 데 매우 오랜 시간이 걸리는 블록을 생성함으로써 공격자는 네트워크 속도를 상당히 늦출 수 있습니다.
CVE-2017-12842: 이 취약점은 가벼운 비트코인 지갑을 속여 지불을 받지 못한 것으로 생각하게 만들 수 있습니다. 이는 SPV(Simplified Payment Verification) 클라이언트에게 위험합니다.
이러한 취약성에 대한 대화는 비트코인 프로토콜에 대한 조정되고 커뮤니티에서 지원하는 업데이트에 대한 지속적인 필요성을 강조합니다. 합의 정리 소프트 포크라는 아이디어를 중심으로 진행 중인 연구는 잠재적인 취약성을 통합적이고 효율적인 방식으로 해결하여 비트코인 네트워크의 지속적인 견고성과 보안을 보장하고자 합니다.
소프트웨어 보안을 유지하는 것은 지속적인 경계와 업데이트가 필요한 역동적인 프로세스입니다. 이는 안정성과 신뢰를 유지하기 위해 핵심 프로토콜이 변경되지 않은 비트코인 골화에 대한 더 광범위한 토론과 교차합니다. 일부는 위험을 피하기 위해 최소한의 변경을 옹호하는 반면, 다른 사람들은 보안과 기능을 강화하기 위해 가끔 업데이트가 필요하다고 주장합니다.
Bitcoin Core의 이 새로운 공개 정책은 필요한 모든 업데이트가 잘 전달되고 책임감 있게 관리되도록 하여 이러한 관점의 균형을 맞추기 위한 한 걸음입니다.