Kraken
Security Labs

Kraken이 가장 안전한 디지털 자산 거래소인 이유는 보안을 핵심 가치로 삼고 있기 때문입니다. 실제로 Kraken은 제품과 서비스 테스트만을 전담하는 세계적인 수준의 팀을 여러 개 운영하고 있습니다. 

 

아무리 뛰어난 보안을 갖추고 있더라도, 우리의 성공은 암호화폐 커뮤니티 전체의 성공과 맞닿아 있다는 사실을 알고 있습니다.

Kraken Security Labs

Kraken
Security Labs

이것이 바로 다음과 같은 활동을 통해 암호화폐 생태계를 보호하고 성장시키는 것을 목표로 하는 정예 보안 연구팀인 Kraken Security Labs를 설립한 이유입니다.

Beaker

주요 서드파티 제품 및 서비스 테스트

Tools

벤더사와 협력하여 문제 해결

Loudspeaker

스스로를 보호할 수 있는 최선의 방법을 대중에게 안내

책임감 있는 취약점 공개에 대한 약속

보안 연구원이 취약점을 발견했을 때, 모범적인 대응은 벤더사에 연락하여 문제를 수정할 수 있도록 하는 것입니다.

 

이론적으로는 단순해 보이지만, 실제로는 다양한 문제가 발생할 수 있습니다.

 

해당 벤더사가 응답하지 않으면 어떻게 해야 할까요?

 

벤더사가 문제를 인정하고 싶어 하지 않거나 콜드 스토리지 프로그램을 운영하지 않을 수도 있습니다.

 

 

벤더사에 문제 수정을 위한 시간을 얼마나 주어야 할까요?

 

일부 보안 문제는 수정이 쉽지 않으며, 벤더사는 문제 수정보다 새로운 기능 개발을 우선시하려는 경향이 있습니다.

 

 

연구원이 대중에게 문제를 공개해야 할까요? 한다면 언제 해야 할까요?

 

모든 화이트햇 해커는 자신이 발견한 문제가 이미 악의적인 세력에게 알려져 악용되고 있는 것은 아닌지 우려합니다. 벤더사가 패치를 내놓지 않는 매 순간, 대중은 아무것도 모른 채 스스로를 보호할 지식도 없이 방치됩니다. 대중 공개는 연구원이 벤더사에 문제 해결을 압박할 수 있는 유일한 수단입니다.

Kraken Security Labs

간단히 말해, 취약점을 책임감 있게 공개한다는 것의 의미는 사람마다 다릅니다. 벤더사와 사용자의 요구 사이에서 균형을 찾는 것은 본질적으로 어려운 일입니다.  

 

당사와 같은 연구팀이 벤더사와 협력해 제품의 문제를 수정하고 이를 대중에게 공개하는 것은 필수적이라고 확신합니다.

 

이러한 목표를 달성하기 위해 Kraken Security Labs는 다양한 암호화폐 제품 및 서비스 전반에 걸쳐 취약점을 공개하고 벤더사와 협력해 문제를 수정해 왔습니다. 취약점 공개 정책의 세부 내용은 여기에서 확인할 수 있습니다. 

암호화폐 하드웨어 지갑

Kraken을 포함한 그 어떤 거래소에도 모든 자산을 보관하는 것은 권장하지 않습니다. 

 

그래서 저희는 고객님이 암호화폐 자산을 보관하고 직접 수탁할 수 있도록 지원하는 제품을 정기적으로 구매해 테스트합니다. 

 

다음 제품에 대한 취약점 및 보안 권고문을 발표했습니다.

Ledger Nano X
Ledger Nano X
CoolBitX Coolwallet S
CoolBitX Coolwallet S
Trezor, Trezor One, Trezor Model T
Trezor, Trezor One, Trezor Model T
KeepKey
KeepKey

암호화폐 서비스

Kraken은 모든 고객님이 자산이나 데이터를 맡길 암호화폐 서비스를 사전에 직접 테스트하고 검증해 보실 것을 권장합니다.

 

다음 서비스에 대한 취약점 및 보안 권고문을 발표했습니다.

OneName.io (now BlockStack.org) article
OneName.io(현 BlockStack.org)

공개 철학

Kraken Security Labs의 공개 내용에 대해 상반된 의견을 들으셨나요? 

 

벤더사와 연구원이 문제의 심각도에 대해 이견을 보이는 것은 흔한 일입니다. 

 

간단히 말해, 연구원은 자신의 성과가 최대한 큰 파급력을 갖기를 바라는 반면, 벤더사는 대개 문제의 규모를 축소하려 합니다. 

 

 

심각도 해석

 

보안 취약점은 일반적으로 낮음에서 심각까지의 심각도 범위로 분류되지만, Kraken Security Labs나 다른 연구원이 공개하는 모든 취약점이 심각 등급인 것은 아닙니다. 

 

그럼에도 불구하고, 이러한 결함을 공개하는 것은 매우 중요하다고 생각합니다.

 

낮음, 보통, 높음 등급의 취약점 몇 개라도 공격자가 이를 연계해 악용하면 대상 기기에 큰 피해를 줄 수 있습니다.

누적되는 이점

 

연구 결과를 공개하면 후속 연구의 기반이 됩니다. 

 

보안 연구원들이 서로의 연구를 발전시키거나, 완전한 침해로 이어지지 않더라도 수정이 필요한 문제를 공개하거나, 벤더가 즉각적인 수정 가치를 인정하지 않는 연구를 발표하는 것은 일반적인 일입니다. 

 

따라서 심각 등급의 문제를 발견하지 못했다고 해서 보안 연구원이 침묵하는 것은 책임 있는 자세가 아닙니다. 

 

고객님이 문제의 심각도를 바탕으로 정확한 판단을 내릴 수 있도록, 최대한 이해하기 쉽고 투명하게 정보를 공개하기 위해 노력합니다.

함께 만드는 더 굳건한 업계

연구팀과 벤더가 협력할 때 업계가 더욱 강력하고 안전해진다고 믿는 것은 Kraken만이 아닙니다. 

 

아래 추천사에서 확인할 수 있듯이, Kraken Security Labs는 암호화폐 업계의 가치와 요구에 부합하는 방향으로 활동하고 있습니다.

Pavol Rusnak
SatoshiLabs CTO
Kraken Security Labs가 Bitcoin 생태계 전체의 보안 강화를 위해 자원을 투자하고 있어 매우 기쁩니다. 이러한 책임감 있는 공개 방식과 협력 정신을 높이 평가합니다.
The CoolBitX Team
CoolBitX는 Kraken Security Labs 팀이 CoolWallet S의 보안 프로세스 견고성을 이토록 세밀하게 검토해 주신 것에 진심으로 감사드립니다. 잠재적인 공격 경로와 기기 취약점에 대한 새롭고 전문적인 시각을 제공해 주신 것은 저희 팀과 커뮤니티에 큰 도움이 되었습니다.
The Ledger Team
이 자리를 빌려 Kraken의 놀라운 성과에 감사의 말씀을 전하고 싶습니다. 암호화폐 산업 전체의 보안을 강화하기 위해 노력한다는 점에서 저희 Ledger Donjon 팀과 같은 철학을 공유하고 있으며, 이에 깊이 감사드립니다.

팔로우하기

저희 활동을 팔로우하고 최신 공지를 확인하려면 공식 블로그를 즐겨찾기에 추가하거나, 이메일 주소를 입력하여 구독하고 새 게시물 알림을 이메일로 받아보세요.