비트코인 코어 개발자 그룹이 보안에 중요한 버그를 공개하는 데 있어 과거의 부족함을 해결하기 위해 포괄적인 보안 공개 정책을 도입했습니다.
이 새로운 정책은 취약점을 보고하고 공개하는 표준화된 프로세스를 수립하여 비트코인 생태계 내의 투명성과 보안을 개선하는 것을 목표로 합니다.
이번 발표에는 이전에 공개되지 않았던 여러 취약점도 포함되어 있습니다.
보안 공개란 무엇인가?
보안 공개는 보안 연구자나 윤리적 해커가 소프트웨어나 시스템에서 발견한 취약점을 영향을 받는 조직에 보고하는 프로세스입니다. 목표는 악의적인 행위자에 의해 악용되기 전에 조직이 이러한 취약점을 해결할 수 있도록 하는 것입니다. 이 프로세스는 일반적으로 취약점을 발견하고, 기밀로 보고하며, 존재를 검증하고, 수정 사항을 개발한 후, 마지막으로 취약점과 세부사항 및 완화 조치를 공개하는 과정을 포함합니다.
사용자는 걱정해야 할까요?
최신 비트코인 코어 보안 공개는 다양한 심각도의 여러 취약점을 다룹니다. 주요 문제로는 서비스 중단을 초래할 수 있는 여러 거부 서비스(DoS) 취약점, miniUPnPc 라이브러리의 원격 코드 실행(RCE) 결함, 검열 또는 부적절한 고아 거래 관리를 초래할 수 있는 거래 처리 버그, 그리고 네트워크 분할로 이어질 수 있는 버퍼 폭발 및 타임스탬프 오버플로우와 같은 네트워크 취약점이 포함됩니다.
현재 이러한 취약점이 비트코인 네트워크에 심각한 위험을 초래한다고 보지는 않습니다. 그럼에도 불구하고 사용자는 소프트웨어가 최신 상태인지 확인하는 것이 강력히 권장됩니다.
공개 프로세스 개선
비트코인 코어의 새로운 정책은 취약점을 네 가지 심각도 수준으로 분류합니다: 낮음, 중간, 높음, 그리고 치명적입니다.
- 낮은 심각도: 악용하기 어렵거나 영향이 미미한 버그. 이러한 버그는 수정 사항이 공개된 후 2주 후에 공개됩니다.
- 중간 및 높은 심각도: 상당한 영향을 미치거나 악용이 중간 정도로 쉬운 버그. 이러한 버그는 마지막 영향을 받은 릴리스가 수명 종료(EOL)된 후 1년 후에 공개됩니다.
- 치명적인 심각도: 전체 네트워크의 무결성을 위협하는 버그, 예를 들어 인플레이션 또는 코인 도난 취약점은 그 심각성 때문에 즉각적인 절차로 처리됩니다.
이 정책은 일관된 추적과 표준화된 공개 프로세스를 제공하여 책임 있는 보고를 장려하고 커뮤니티가 문제를 신속하게 해결할 수 있도록 합니다.
비트코인에서의 CVE 공개 역사
비트코인은 수년 동안 여러 주목할 만한 보안 문제, 즉 CVE(공통 취약점 및 노출)를 경험해왔습니다. 이러한 사건들은 경계하는 보안 관행과 시기적절한 업데이트의 중요성을 강조합니다. 다음은 몇 가지 주요 사례입니다:
CVE-2012-2459: 이 치명적인 버그는 공격자가 유효해 보이는 잘못된 블록을 생성할 수 있게 하여 네트워크 문제를 일으킬 수 있습니다. 이는 비트코인 네트워크를 일시적으로 분할할 수 있습니다. 이 문제는 비트코인 코어 버전 0.6.1에서 수정되었으며 비트코인의 보안 프로토콜 개선을 촉진했습니다.
CVE-2018-17144: 공격자가 고정 공급 원칙을 위반하여 추가 비트코인을 생성할 수 있게 했던 치명적인 버그입니다. 이 문제는 2018년 9월에 발견되어 수정되었습니다. 사용자는 잠재적인 악용을 피하기 위해 소프트웨어를 업데이트해야 했습니다.
또한 비트코인 커뮤니티는 아직 구현되지 않은 다양한 다른 취약점과 잠재적 수정 사항에 대해 논의해왔습니다.
CVE-2013-2292: 매우 오랜 시간이 걸리는 블록을 생성함으로써 공격자는 네트워크를 상당히 느리게 만들 수 있습니다.
CVE-2017-12842: 이 취약점은 경량 비트코인 지갑이 결제를 받았다고 잘못 인식하게 만들 수 있습니다. 이는 SPV(간소화된 결제 검증) 클라이언트에 위험합니다.
이러한 취약점에 대한 논의는 비트코인 프로토콜에 대한 조정된 커뮤니티 지원 업데이트의 지속적인 필요성을 강조합니다. 합의 정리 소프트 포크에 대한 지속적인 연구는 잠재적인 취약점을 통합적이고 효율적인 방식으로 해결하여 비트코인 네트워크의 지속적인 강건성과 보안을 보장하고자 합니다.
소프트웨어 보안을 유지하는 것은 지속적인 경계와 업데이트가 필요한 동적인 프로세스입니다. 이는 비트코인의 경직성에 대한 더 넓은 논의와 교차합니다. 핵심 프로토콜이 안정성과 신뢰를 유지하기 위해 변경되지 않는 것을 지지하는 사람들도 있지만, 때때로 업데이트가 보안과 기능을 향상시키기 위해 필요하다고 주장하는 사람들도 있습니다.
비트코인 코어의 새로운 공개 정책은 필요한 업데이트가 잘 전달되고 책임감 있게 관리되도록 하여 이러한 관점을 균형 있게 조정하는 방향으로 나아가는 한 걸음입니다.
