스팀잇에 투자한 한국 사람들이 많이 있는 것으로 생각되어서 발표된 내용들을 쭉 훑어 보다가 몇가지 질문들을 정리해서 스팀잇에 포스팅했습니다.
https://steemit.com/steemit/@atomrigs/steemit-hacking-attack-vector
우선 이번 해킹사건이 일부 개인들의 부주의한 컴퓨터 사용이나 패스워드 관리상의 문제 때문에 생긴 것은 아닌 것 같습니다. 왜냐하면 steem,inc 의 CEO 자신의 어카운트도 해킹당했기 때문입니다.
https://steemit.com/steemit/@libdep/ceo-of-steem-powering-down
누군가 steem, inc 의 CEO 인 Ned 가 파워 다운 (투자되었던 스팀을 팔기 위해 빼내는 것)을 한 것을 보고, 이런 상황에서 이렇게 돈을 빼도 되는가하고 물었더니, CTO 이자 사실상의 스팀의 리더인 댄이 Ned 의 어카운트도 해킹당했다. 본인이 파워 다운한 것이 아니다라고 해명한 것입니다. 그런데 그 밑에 댓글보니, 댄의 어카운트도 파워다운했는데, 그것도 취소할지 묻는 댓글이 달렸네요. 확인해보니 댄도 파워다운 했습니다. 본인이 한 것인인지 해커가 한 것인지 분명치 않네요.
하여간 그래서 제가 질문한 것은 이렇습니다.
(1) 어떻케 해커가 타겟 어카운트를 공격했는가?
(2) steemit 서버도 해킹되었나?
(3) 서버가 해킹되지 않았으면, 개별 포스트에 있던 악성코드가 유저의 패스워드를 가로챈 것인가?
(4) 앞으로 이를 방지하기 위한 솔루션은 무엇인가?
아주 기본적인 공격방법에 대한 정보를 알려달라는 내용입니다. 만일 아직도 공격방법을 정확히 알지 못하거나, 또는 이를 해결할 방법을 모른다면 서비스를 재개하면 안되겠지요.
그리고 steemit 이 피해를 받은 어카운트를 회복하기 위해
밸런스가 100불 이상되는 예상 감염 어카운트를 식별해서 원래의 주인에게 돌려 주었다.
패스워드를 전부 리셋해서 새 패스어드를 셋팅할 수 있도록 해주었다.
손해본 돈은 전부 돌려준다.
지갑 문제해결이 확실히 정리될 때까지 bittrex 거래를 중단시켰었다.
등의 조치를 했다고 하는데 여기에 대해서도 질문이 있습니다.
(5) 위의 조치들이 블럭체인의 상태 변화가 필요한 것이 있었는가?
(6) 잃은 돈을 배상해준다는 것이 블럭체인의 데이타를 돌린다는 것인가 아니면 steemit, inc 의 개별자금으로 보상한다는 것인가?
(7) 훔쳐간 $85000 상당의 스팀달러는 현재 어디에 있나? 이미 거래소에 넘어가 거래가 되었나?
(8) 사용자들의 패스워드를 리셋할 권한을 누가 갖는가?
사용자의 기존 패스워드(프라이빗키) 없이 그 사용자의 패스워드를 리셋해도 되는가?
프라이빗키가 패스워드와 역할을 해시해서 얻는 것이기 때문에, 패스워드를 리셋한다는 것은 프라이빗키를 리셋한다는 의미이다.
앞으로도 steemit inc 의 그들의 판단에 따라 개별 유저의 패스워드, 프라이빗키를 마음데로 리셋할 수 있는 것인가?
저는 "blockchain immutability" 또는 "code is law" 를 믿는 종교에 속하지 않습니다. 하지만 블럭체인의 상태를 변경해야 되는 일이 필요하다면, 이에 대해 클리어하게 공개하고, 정당화하고, 이를 그 멤머나 적합한 의사결정권자들에게 승인을 받아야 한다고 생각합니다.
============================
참고로 이해를 돕기 위해 steemit, inc 와 steemit.com 서비스의 관계에 대해 부연 설명을 적습니다.
스팀잇(steemit.com) 은 별도의 영리사기업인 steem.com inc가 운영하는 중앙집중형 서버를 가진 서비스입니다. steem 네트워크 자체는 dpos 를 이용한 블럭체인이지만, 스팀잇 서비스는 이 네트워크에서 일반 유저들이 별도의 클라인언트 없이 포스팅할 수 있도록 한 중앙집중형 서비스입니다. 마치 비트코인이라는 블럭체인을 위해 웹 지갑서비스를 운영하는 blockchain.info 라는 회사와 유사한 관계입니다. 다만 블럭체인 인포회사가 전체 비트코인의 개발에 가지는 영향력은 미미하지만, steemit, inc 가 전체 스팀네트워크에 가지는 영향력은 압도적입니다.
처음 스팀네트워크를 개시할 때, 총 스팀발행량의 80%를 steem, inc 가 가져가고 20%를 마이너에게 주었습니다. steem, inc 가 가져간 80%의 이더중 16% 정도를 파운더 6명에게 나누어 주었다고 합니다.
https://steem.io/roadmap/launch-and-sale/
이후로 steemit, inc 의 지분율은 계속 조금씩 낮아지게 되어 있습니다. 전체 코인량이 일년에 약 2배씩으로 증가하게 되었습니다. steem을 vest 하면(일종의 장기투자 모드로, power up 이라고 표현합니다), steem 은 steem power (SP) 가 되는데, 1년에 약 90% 정도 증가합니다. 즉 인플레이션 100% 인데, 90%만 증가하니까, 10%는 컨텐츠를 포스팅하는 사람들과 여기에 좋아요(up vote)를 누르는 사람들에게 재분배한다는 논리입니다. 하지만, 스스로도 컨텐츠를 포스팅하고, 또 거기에 좋아요를 누를때 스팀 파워에 의해 가중되어 웨이트가 올라가기 때문에, 포스팅 수입과 큐레이팅 수입을 더하면 90% 보다 좀 더 많이 가져가게 될 것 같습니다.
따라서 steemit inc (와 6명의 파운더)는 막대한 지분을 소유한 운영주체라고 봐도 무방하리라 봅니다.
이러한 steemit inc 와 steemit.com 서비스의 관계를 생각해보면, 이번 해킹에 대처하는 steem, inc 의 여러가지 활동들이 이해가 되기도 합니다.