안녕하세요, 디온(@donekim)입니다. 오늘은 대전에서 엄청난 인기를 자랑하는 가성비 죽이는 소머리국밥 맛집, 태평소국밥을 소개드릴까 합니다.

상호 : 태평소국밥
주소 : 대전광역시 유성구 봉명동 682-2

상호명에서도 충분히 예측할 수 있는 것처럼, 사실 태평소국밥은 대전 태평동에서 시작해서 본점이 태평동에 있으나, 엄청난 인기에 힘입어 현재는 둔산동, 봉명동 등에도 분점이 있습니다. 제가 살고 있는 곳에서는 봉명동 분점이 가까워서 저는 주로 봉명동 분점을 가곤 합니다. (본점과 맛 차이가 없습니다 ㅎㅎㅎ)

태평소국밥의 인기 메뉴이자 대표메뉴는 바로 저 6,500원 짜리 소국밥입니다. 설렁탕이나 갈비탕 같은 걸 드시는 분들도 많기는 한데, 모두 먹어 본 입장에서 말씀드리자면, 설렁탕이나 갈비탕은 확실히 고향의 맛(?)이 들어간 것으로 추정되는 소국밥의 깊이를 절대 따라가지 못합니다. 이 집에 방문하셨으면 좋든 싫든 소국밥을 선택해야 후회가 없습니다 :)

한우 육사시미(小) : 8,000원

혹시라도 육회나 육사시미를 좋아하신다면 육사시미도 함께 곁들여 드시는 것을 강추합니다. 일반적으로 저렴이 음식점들에서는 소량의 참기름을 식용유에 희석한 기름장을 주곤 하는 반면, 여기서는 정말 풍미 가득한 좋은 퀄리티의 참기름 장을 함께 주기 때문에 그 육사시미를 정말 맛있게 즐기실 수 있습니다.

태평소국밥집의 대표 메뉴 소국밥입니다. 태평소국밥 집은 아침이든, 새벽이든, 식사시간을 피해 애매한 시간에 찾아가든 항상 만석이라서 기본적으로 5분~10분 정도는 항상 기다려야 되는데, 개인적으로 그 인기 비결은 다음 3가지인 것 같습니다.

① 압도적인 가성비
② 24시간 운영
③ 김치, 참기름장 등 기본찬들의 충실함

기본적으로 둘이 가서 육사시미랑 소국밥을 먹어도 21,000원 밖에 나오지 않고, 물론 조미료가 꽤나 첨가된 것으로 추정(?)되지만 국물의 감칠맛이 죽여줍니다(물론 소국밥에 한해서만 해당되는 내용이지만...). 저렴한 가격에 맛이 괜찮다보니 나이 많은 어르신들부터 대학생들까지 다양한 연령층이 찾는 것 같습니다.

특히, 애주가들이 많이 찾는 곳이다보니 조용히 식사를 하고 싶으신 분들은 저녁이나 새벽 시간은 가급적 피하시는 게 좋습니다.

국밥에 곁들여 먹을 수 있는 기본찬으로 김치랑 깍두기가 제공되는데, 회전율이 좋아서 그런지는 몰라도 깍두기도 굉장히 신선하고 맛있는 편입니다.

후추를 싹 뿌려서 먹어주면 정말 제대로 된 소국밥의 감칠맛을 느끼실 수 있다능…

태평소국밥은 조미료에 굉장히 민감한 분들이 아니라면 맛있는 소국밥을 저렴한 가격에 드시기에 정말 괜찮은 곳으로 추천합니다 :)

---

맛집정보

태평소국밥

대한민국 대전광역시 유성구 봉명동 682-2

---

[테이스팀] 가성비 죽이는 소머리국밥 맛집, 태평소국밥

이 글은 Tasteem 컨테스트
내가 소개하는 이번 주 맛집에 참가한 글입니다.


테이스팀은 무엇인가요?

---

This page is synchronized from the post: ‘[테이스팀] 가성비 죽이는 소머리국밥 맛집, 태평소국밥’

[KARMA KR] 카르마 X 카본(Carbon)의 파트너십 소식

안녕하세요, 카르마 한국 엠버서더 디온(@donekim)입니다. 오늘 카르마와 카본(Carbon)의 파트너십 소식이 카르마의 공식 미디엄과 카본의 공식 미디엄을 통해 발표되었습니다. 해당 파트너십 발표 원문만으로는 이해하기가 어려운 부분이 있으실 수 있을 것 같아서 이번 파트너십과 관련된 내용을 추가로 정리해 드립니다.

#1. 카본(Carbon)이란?

^{https://www.carbon.money/}

카본(Carbon)은 분산 원장 기술(DLT)과 인공지능(AI)을 통해 보다 효율적이고 통합적인 금융 시스템을 구축하고 있는 핀테크 기업입니다. (혹시라도 카본에 대해서 들어보신 분들은 단순히 CUSD라는 스테이블 코인을 발행하는 회사로 생각하실 수 있으나 CUSD는 카본의 제품군 중 하나입니다)


^DEXEOS.io

카본의 최초 제품은 이미 뉴덱스(Newdex), 덱시오스(DEXEOS)와 같은 이오스 메인넷 기반의 탈중앙화된 거래소에서 사용되고 있는 CUSD(CarbonUSD)라는 가격 안정화 암호화폐(price-stable cryptocurrency)즉, 스테이블코인입니다.




CUSD는 FDIC 보험 은행에 저장된 달러를 담보로 하여 가치가 보장되며, 매달 독립된 감사인을 통해 담보물의 보유여부를 검증받습니다. CUSD는 현재 이더리움과 이오스 체인을 지원하고 있으나, 최근에는 EOS 메인넷에 조금 더 치중하는 모습입니다.

#2. 파트너십의 의미?

① 중간 다리, 그리고 게이트웨이

카본사의 CUSD는 KARMA토큰과 법정화폐(Fiat)를 연결해주는 중간다리의 역할, 그리고 게이트웨이의 역할을 수행합니다.

현재 KARMA토큰을 구매하기 위해서는 일차적으로 EOS토큰을 구매한 뒤에 다시 한 번 KARMA토튼을 구매해야 하기 때문에 사용자들은 가격 변동성에 2번 노출이 되고, 번거로움을 감당해야만 합니다. 그러나 CUSD는 법정통화와 KARMA토큰을 연결해주는 통로로 작용하게 되고, 스테이블 코인인 CUSD는 가격변동성의 위험이나 번거로움을 덜어줄 것입니다.

② 유동성의 향상

법정화폐의 게이트웨이가 생겨나는 것은 KARMA토큰의 거래가 손쉬워 짐에 따라 유동성이 향상된다는 것을 의미하기도 합니다.

특히나 추후 카르마앱의 업데이트 후에 인앱에서 트레이딩, 결제 시스템들이 보다 효율적으로 작동할 수 있는 기반이 될 것입니다.

③ 공정하고 효율적인 마켓 메이킹

위에서 소개드렸던 것처럼 카본사는 단순히 스테이블코인만을 발행하는 회사가 아니라 핀테크 기업입니다. 더불어 변동성이 심한 크립토씬에서 스테이블코인의 가치를 안정적으로 유지하기 위한 지속적인 안정화 정책을 펼치기도 하고, 필요에 따라 마켓 메이킹 서비스를 제공합니다.

카본사에서는 특정 악성세력에 따라 KARMA토큰의 가격의 변동성이 커지거나, 하방압력이 강해지는 등의 문제를 해결하고 토큰가치의 안정화 및 향상을 위한 마켓메이킹도 함께 할 것입니다.

최근에 여러 파트너십들은 단순한 협력이 아니라, 실제 카르마의 로드맵과 카르마앱 업데이트 시 필요한 것들에 대해 전문가적인 관점에서 솔루션을 제공할 수 있는 것들에 대한 사전준비 작업이라고 할 수 있습니다.

타이트한 로드맵 일정 속에서 대규모 업데이트들을 목표로 하고 있는 만큼, 최근의 파트너십들이 보다 완성도 있는 카르마 생태계를 구축하는데 많은 힘이 되어 주길 바랍니다 :)







본 포스팅은 미디엄에서 쉐어투스팀(@share2steem)을 통해 작성되었습니다.
^{Posted from Medium via Share2Steem}

[쉐어투스팀(Share2steem)이란?]
쉐어투스팀은 트위터, 인스타그램, 미디엄, 유튜브, 트위치 등 스티밋의 계정과 연결된 다른 SNS의 글이나 영상, 사진 등의 포스팅을 스티밋 피드로 업로드할 수 있는 써드파티앱니다. 사전에 쉐어투스팀을 통해 다른 SNS채널의 계정을 연결시켜 놓은 상태라면, 언제든지 간단한 해시태그 입력만으로 다른 SNS에 업로드한 글을 그 즉시 스티밋에도 업로드하실 수 있습니다.

아래의 배너를 클릭하시면 쉐어투스팀을 통해 트위터, 인스타그램, 미디엄, 유튜브, 트위치에 업로드한 콘텐츠들을 스티밋에 함께 공유하실 수 있습니다!

---

This page is synchronized from the post: ‘[EOS Inside] 카르마 X 카본(Carbon)의 파트너십 소식’

안녕하세요, 디온(@donekim)입니다. 이번 스티밋의 스티밋닷컴(steemit.com)과 월렛(wallet) 분리 업데이트 및 대규모 광고 삽입에 따라 피드 뿐만 아니라 모든 사용자들의 블로그에도 광고들이 덕지덕지 달라붙어 있습니다. 이 광고들이 신경쓰이는 분들도 굉장히 많을 것 같은데 이때 우회할 수 있는 간단한 방법 몇가지를 소개드려볼까 합니다.

① 스팀피크(Steempeak)로 접속하기

얼마 전에 스티밋 사이트 DDoS공격으로 인해 접속불가 현상이 있었을 때도 많은 분들이 스팀피크나 비지(busy.org)를 통해 포스팅을 하곤 하셨기 때문에 이미 알만한 분들은 다 알고 계시겠지만, 스팀피크가 아주 좋은 대안이 될 수 있습니다. 전반적인 UI도 굉장히 훌륭한 편이라 스팀피크에 익숙해지신 분들은 스티밋 대신에 스팀피크를 더 많이 사용하기도 합니다^^

② 브레이브 브라우저 사용하기

스티밋 사이트가 익숙해서 계속해서 steemit.com을 사용하고 싶으신 분들이라면, 크롬 브라우저 대신에 브레이브 브라우저를 사용하시는 것도 하나의 방법입니다. 브레이브 브라우저는 원하지 않는 광고를 자동 차단해주는 기능이 있어서 평소에 뉴스, 유튜브 등을 즐겨보시는 분들이 애용하는 브라우저이기도 하죠 :)

크롬 브라우저에서 보이는 스티밋 화면

브레이브 브라우저에서 보이는 스티밋 화면

위의 두 화면을 비교해보시면 아시겠지만, 좌측에 보이는 광고배너가 브레이브 브라우저에서는 나타나지 않는 것을 확인하실 수 있습니다. 물론 피드 중간중간에 나타나는 배너 광고와 나의 스티밋 블로그에 노출되는 광고도 보이지 않습니다.

브레이브 브라우저는 https://brave.com/ 에서 다운로드 받으실 수 있습니다.

저도 이전까지는 스티밋에 접속할 때 버릇처럼 크롬브라우저를 사용하곤 했는데, 이번 업데이트가 된 이후부터는 브레이브를 사용 중입니다. 광고 배너에 그리 민감하지 않은 줄 알았는데, 덕지덕지 광고배너가 너무 많아지니 여간 거슬리는게 아니네요 ㅠㅠ

---

This page is synchronized from the post: ‘[스티밋 이야기] Steemit.com의 광고배너가 너무 거슬린다면?’

안녕하세요, 디온(@donekim)입니다. 이미 진행될 예정이었던 콘덴서 분리 업데이트가 진행되면서 스티밋에도 나름의 큰 변화가 생겼네요. 바로 ①소셜 기능과 월렛 기능이 완전히 분리되어 버린 것, 그리고 ②본격적인 광고가 온보딩 된 것입니다.

#1. 스티밋 그리고 스팀 월렛

---

기존에 스팀 블록체인의 권한별로 분리되어 있는 키 기능에 대해서 크게 신경쓰지 않으셨던 분들께는 조금 불편한 변화일수도 있을 것 같지만, 이번 업데이트가 의미하는 바는 스티밋(steemit.com)은 온전히 콘텐츠를 업로드하고, 타인의 포스팅에 업보팅을 하거나 댓글을 달기 위해서 사용하는 온전한 소셜 네트워크로서의 역할만 하도록 하는 것.

그리고 스티밋을 하면서 발생하는 저자 보상이나 큐레이터 보상 같은 리워드들이나, 해당 계정에서 보관하고 있는 스팀(STEEM), 스팀달러(SBD)같은 크립토애셋들을 보관하고 전송하는 역할은 스티밋 대신에 스팀 월렛(steemitwallet.com)에서 담당하도록 하는 것에 초점을 두고 있습니다.

정리를 하자면, 기존 스티밋이 조금 세분화 되는 것이죠.

① 스티밋(steemit.com) : 포스팅 업로드, 댓글, 보팅 등의 기능만 지원
② 스팀월렛(steemitwallet.com) : 토큰 전송, 리워드 수령, 파워업/다운 등

#2. 이게 왜 필요한걸까?

---

기본적으로 이렇게 분리를 하는 것은 사용자의 입장에서 “매우 불편하게 느껴질 수 밖에 없는 업데이트”임은 확실합니다. 기존에는 스티밋에서 글을 쓰다가 보상을 클레임도 하고 파워업도 하고, 토큰 전송도 하고 했었는데 이제는 스팀월렛 사이트(steemitwallet.com)으로 접속해서 다시 로그인을 해야 되고(물론 로그인 유지 기능을 사용하면 사이트를 이동해야 하는 번거로움만 발생하겠지만)소위 왔다리 갔다리를 해야 되니까요.

그러나 퍼미션별 키 관리의 중요성에 대해서 잘 인지하지 못하는 뉴비분들이나 평소에 프라이빗키 보안에 소홀하신 분들께는 이 번거로움과 불편함이 곧 내 계정의 보안을 높이는 조치가 될 수 있습니다.

스티밋(Steemit)에서는 계정의 보안성을 높이기 위해 다음과 같이 권한의 층위를 구분하고 있습니다. 그리고 각 권한마다 연결되어 있는 키쌍(퍼블릭키/프라이빗키)이 있고 이렇게 각 권한에 연결되어 있는 프라이빗키는 해당 권한에 접근할 수 있는 비밀번호의 역할을 합니다.

각 권한별이 가지는 세부적인 내용을 정리하면 다음과 같습니다.

• 1단계(가장 낮은 권한) : 포스팅 권한(Posting permission)
  

• 포스팅 업로드, 댓글 달기
• 포스팅이나 댓글 수정
• 업보팅 및 다운보팅
• 타인의 게시물 리스팀(퍼오기)
• 팔로우하기
• 특정 계정 차단하기

• 2단계(중간 단계 권한) : 활동 권한(Active permission)
  

• 포스팅권한이 가지는 모든 권한
• 토큰 전송
• 스팀파워업/다운 실행하기
• 스팀달러 변환
• 증인투표 참여
• 거래소에서 스팀이나 스팀달러 거래하기
• 스티밋 프로필 변경
• RC를 사용하여 새계정 생성하기

• 3단계(가장 높은 권한) : 소유 권한(Owner permission)
  

• 포스팅권한과 활동권한이 가지는 모든 권한
• 포스팅키, 액티브키, 오너키 변경하기
• 계정 복구

※ 메모 권한이라는 것도 있지만 크게 중요하지 않아 생략하였습니다.

사용자들이 자신이 필요한 권한에 따라 그때마다 해당 프라이빗키를 사용하면 계정을 안전하게 사용할 수 있도록 시스템 설계가 되어있지만, 많은 사용자들이 모바일 또는 공용 PC에서 스티밋에 로그인을 할 때 대부분 오너 키(소유권한에 연결된 프라이빗키) 또는 액티브 키(활동 권한에 연결된 프라이빗키)를 입력하는 경우가 많다보니 프라이빗키 유출이나 해킹으로 인한 계정도난 사고의 위험이 높았습니다.

이런 위험을 조금이라도 낮추기 위해서 “포스팅이나 소통은 스티잇(steemit.com)에서 포스팅키로 로그인해서 하세요” 그리고 “소중한 자산은 월렛에 따로 접속해서 안전하게 관리하세요”라는 의미의 번거로움을 만들어냈다고 생각해야 될 것 같습니다.

#3. 광고가 엄청 많아졌네?

---

사실 광고기능은 이미 로그인하지 않은 상태에서의 스티밋에는 이미 작동을 하고 있었다가, 얼마 전에는 피드(feed) 중간에 삽입되기 시작했고, 이제는 개인 블로그 페이지에도 노출이 되기 시작했습니다. 본격적인 광고 수익을 위한 단계적 적용으로 판단이 되는데, 개인적으로는 굳이 개인 블로그 페이지에까지 노출을 시키는 건 좀 과한게 아닌가 싶은 생각도 드네요.

아마도 이번 업데이트를 통해 스팀 키체인(Steem keychain)이라는 크롬 익스텐션을 사용하시는 분들도 많아질 것 같고, 스티밋 대신 아직은 청정구역이라고 할 수 있는 스팀픽(Steempeak)을 사용하시는 분들도 많아지게 되지 않을까 싶습니다. 스티밋월렛 대신 스팀 키체인을, 스티밋대신 스팀픽을 사용하면 사실 더 편리하고 쾌적한 느낌을 주긴 하니까요 :)

[짧은 요약]

• 스티밋(steemit.com)은 포스팅 키(posting key)로만 로그인 하세요
• 스팀월렛(steemitwallet.com)은 포스팅 키(posting key) 또는 액티브 키(active key)로 로그인하세요
• 스티밋 광고가 거슬리시면 스팀픽(steempeak)을 써보세요
• 스팀월렛도 거슬리시면 스팀 키체인(steem keychain)을 써보세요
• 거참 광고가 너무 심한거 아닙니까!? ㅎㅎㅎ

---

This page is synchronized from the post: ‘[스티밋 이야기] 소셜과 월렛의 분리 + 본격적인 광고의 시작’

[EOS Inside] 암호화폐 거래소들의 보안수준은 어떨까? #2편

안녕하세요, 디온(@donekim)입니다. 지난 번 포스팅에 이어 오늘은 국내 암호화폐 거래소를 포함하여 EOS토큰을 구매할 수 있는 거래소들은 과연 자신들의 계정을 어떻게 관리하고 있는지 살펴보도록 하겠습니다.

지난 포스팅에서도 말씀드렸지만, 거래소 자체적으로 해당 계정의 프라이빗키를 어떤 방식으로 보관하고 어떤 절차를 거쳐 해당 프라이빗키에 접근할 수 있는지에 대해서는 논외로 하고, 여기서는 EOSIO 소프트웨어에서 제공하는 기본적인 보안 기능에 대한 거래소별 세팅현황에 대해서 살펴보겠습니다.

#1. 국내 거래소들

(1) 빗썸(Bithumb)

<sup>bithumbshiny계정


g4ydomrxhege계정</sup>

- 해당계정 : bithumbshiny, g4ydomrxhege

- 권한분리 : 해당없음 (싱글키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 매우 취약

(2) 캐셔레스트(Cashierest)

^{tocashierest 계정}

- 해당계정 : tocashierest

- 권한분리 : 해당없음 (싱글키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 매우 취약

(3) 코인플러그(CPDAX)

<sup>cpdaxeosdepo


cpdaxeoshot1</sup>

- 해당계정 : cpdaxeosdepo, cpdaxeoshot1

- 권한분리 : 해당없음 (싱글키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 매우 취약

(4) 비트소닉(Bitsonic)

- 해당계정 : bitsonicuser

- 권한분리 : 분리사용 (멀티 키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 보통

(5) 고팍스(GOPAX)

- 해당계정 : gopaxdeposit

- 권한분리 : 분리사용 (멀티 키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 보통

(6) 데이빗(DAYBIT)

- 해당계정 : daybitdaybit

- 권한분리 : 분리사용 (멀티 키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 보통

(7) 코인원(Coinone)

<sup>coinonekorea


coinonewallt</sup>

- 해당계정 : coinonekorea, coinonewallt

- 권한분리 : 분리사용 (멀티 키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 보통

(8) 업비트(Upbit)

<sup>dunamueoshot


eosusrwallet</sup>

- 해당계정 : dunamueoshot, eosusrwallet

- 권한분리 : 분리사용 (멀티 키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 보통

(9) 토큰뱅크

^protokenbank

> 토큰 뱅크는 거래소는 아니지만 EOS토큰 보관대행 서비스를 제공해주고 있기 때문에 관찰대상에 포함하였습니다.





- 해당계정 : protokenbank

- 권한분리 : 해당없음 (싱글키 사용)

- 멀티시그 : 해당없음

- 보안수준 : 매우 취약







기본적으로 확인해본 결과를 정리해보면 다음과 같습니다.

- 권한별로 다른 키쌍(Multi key pair)을 사용하고 있는 거래소 : 비트소닉, 고팍스, 데이빗, 코인원, 업비트

- 단순히 하나의 키(Single key)로만 계정을 관리하고 있는 거래소 : 빗썸, 캐셔레스트, 코인플러그, 토큰뱅크




이말인 즉슨 빗썸, 캐셔레스트, 코인플러그, 토큰뱅크의 경우 해당 프라이빗키 하나만 해킹되면 해당 거래소가 보유하고 있는 모든 토큰들을 도난당할 수 있으며, 거래소에서 별도로 취할 수 있는 조치가 없다는 것입니다.

내부적으로 어떤 보안책을 마련해놓았는지는 모르겠지만, 이번의 빗썸 사태처럼 갑자기 입출금이 중지되어 내 EOS토큰들을 움직일 수 없는 상황에 직면하고 싶지 않으시다면 가급적 권한별로 다른 키쌍으로 관리하고 있는 거래소에서 거래 또는 보관을 하시는 것을 추천드립니다.


^{모범사례 : bitfinexdep1}

위와 같이 Bitfinex처럼 권한별 멀티 키쌍 + 멀티 시그 방식으로 계정을 관리하는 방법이 가장 강력한 보안을 가지는 모범사례라 할 수 있습니다. 물론 이렇게 관리하고 있는 거래소 계정은 아직 Bitfinex가 유일합니다.

이런 수준의 세팅까지는 못 미치더라도, 최소한 권한별 멀티 키쌍 관리는 필수적이라고 할 수 있습니다. 내부적으로 프라이빗키를 보관하고 접근하는 절차에 대한 좋은 방법이 잘 마련되어 있다고 하더라도 이번의 빗썸 사태처럼 내부자 횡령 사건이 발생하거나, 쿼드리가처럼 해당 키를 어디에 보관하는지 혼자만 알고 있었던 대표가 갑자기 죽는 등의 예기치 못한 상황에 대비하려면 말입니다.

더더욱 안타까운 것은 아직까지 해외 거래소들도 현황은 크게 다르지 않은 실정이라는 점입니다. 글이 너무 길어지는 것 같아서 해외 주요 거래소들의 현황에 대해서는 다음 포스팅에서 찾아뵙도록 하겠습니다.







본 포스팅은 미디엄에서 쉐어투스팀(@share2steem)을 통해 작성되었습니다.
^{Posted from Medium via Share2Steem}

[쉐어투스팀(Share2steem)이란?]
쉐어투스팀은 트위터, 인스타그램, 미디엄, 유튜브, 트위치 등 스티밋의 계정과 연결된 다른 SNS의 글이나 영상, 사진 등의 포스팅을 스티밋 피드로 업로드할 수 있는 써드파티앱니다. 사전에 쉐어투스팀을 통해 다른 SNS채널의 계정을 연결시켜 놓은 상태라면, 언제든지 간단한 해시태그 입력만으로 다른 SNS에 업로드한 글을 그 즉시 스티밋에도 업로드하실 수 있습니다.

아래의 배너를 클릭하시면 쉐어투스팀을 통해 트위터, 인스타그램, 미디엄, 유튜브, 트위치에 업로드한 콘텐츠들을 스티밋에 함께 공유하실 수 있습니다!

---

This page is synchronized from the post: ‘[EOS Inside] 암호화폐 거래소들의 보안수준은 어떨까? #2편’

[EOS Inside] 암호화폐 거래소들의 보안수준은 어떨까? #1편

안녕하세요, 디온(@donekim)입니다. 이미 많은 분들이 미디어를 통해 소식을 접하셨겠지만 지난 3월 29일에 빗썸에서 내부자 횡령 사고로 판단되는 도난 사건이 발생했었습니다. 이 도난 사건으로 인해 빗썸에서 보관 중이던 EOS토큰 313만 개, 정확히는 3,130,2673.99개가 순식간에 유출되어 버리는 웃지 못할 해프닝이 벌어졌습니다.




빗썸에서는 콜드 월렛이라고 부르는 bithumbshiny라는 계정, 그리고 핫월렛이라고 부르는 g4ydomrxhege 계정 2개에 나누어서 EOS토큰을 보관하고 있습니다. 그 중에서 핫월렛이라고 하는 g4ydomrxhege계정에 보관 중이던 약 313만 개의 EOS가 3월 29일 오후 11시 경에 순식간에 ifguz3chmamg 계정으로 전송되기 시작했던 것입니다.


^{Image Source : EOS Detective}

도난된 EOS토큰들은 해당 계정에서 Huobi, HitBTC, WB.com, EXmo, Kucoin, Changelly 거래소 등으로 다시 한 번 흩어지기 시작했습니다. 물론 현재 이오스에는 EOS Detective와 같이 계정의 활동을 한 번에 파악하기 좋은 툴들이 있기 때문에 토큰들을 여러 계정(거래소)으로 분산을 시킨다고 하더라도 빠르게 파악이 가능합니다.

그래서 암호화폐 거래소들의 핫라인을 통해 해당 사실을 통보받은 거래소들, BP들의 발빠른 대처로 시장에 큰 재앙이 올 뻔했던 위험천만한 상황을 모면할 수 있었죠. 아직 이 도난 사고에 대한 모든 내용이 상세히 밝혀지고 원상 복구가 되었다고는 할 수 없지만, 다른 거래소들이나 BP차원에서의 아낌 없는 도움 덕분에 시장에 충격이 오는 것을 막을 수는 있었습니다.

우리들은 이쯤에서 과연 암호화폐 거래소들의 기본적인 보안 수준이 어느 정도인지를 판단해볼 필요가 있습니다. 내부적으로 프라이빗키를 어떻게 보관을 하고 있는지, 어떤 과정을 거쳐서 프라이빗키에 접근이 가능하도록 보안 설계가 되어 있는지는 잠시 논외로 하고 “기본적으로 암호화폐 거래소들은 EOSIO 시스템에서 제공하고 있는 보안기능을 얼마나 잘 사용하고 있는지”를 살펴볼까 합니다. 먼저, 이번 포스팅에서는 본격적으로 거래소들의 상태를 살펴보기에 앞서 기본적인 사항에 대해 짚어보도록 하겠습니다.

#1. 기본적인 수준의 보안설정

제가 지난 포스팅 [EOS Inside] 이오스 계정 오너키 변경방법을 통해 간단히 설명드린 바 있는 것처럼, EOSIO 소프트웨어는 프라이빗키에 권한 계층을 구분할 수 있도록 설계가 되어 있습니다.

- A라는 프라이빗키에는 토큰 전송이나 클레임 등만 할 수 있는 활동 권한(Active permission)을 주고,

- B라는 프라이빗키에는 해당 계정의 활동 권한(Active permission)을 담당하는 프라이빗키를 포함하여 계정의 프라이빗키를 모두 변경함으로써 안전한 소유권을 유지할 수 있는 소유 권한(Owner permission)을 주는 것입니다.




그래서 토큰 전송, 에어그랩 토큰 클레임, 투표 등 일상적인 활동 시에는 활동 권한에 연결된 키를 활용하고 혹시라도 활동 중에 활동 권한에 사용되는 프라이빗키를 도난당한 경우, 소유 권한에 연결된 프라이빗키로 도난당한 프라이빗키의 연결을 해제해버릴 수 있습니다. 마치 카드 분실 신고를 하는 것처럼요.

EOS메인넷 런칭 초기에 생성된 계정들은 이 활동 권한(Active permission)과 소유 권한(Owner permission) 모두에 하나의 키(Single key)가 연결되어 있지만, 모든 계정 소유자들은 자신들이 원하는 경우 각각의 권한별로 다른 키(Multi key)를 설정하여 사용함으로써 계정의 보안 수준을 훨씬 높여서 안전하게 사용할 수 있습니다.

#2. 조금 더 나아간 수준의 보안설정

^{Image Source : Blockgenic}

위에서 설명한 “권한별 키쌍 분리사용” 이외에도 EOSIO 소프트웨어에서는 멀티시그(Multi-Sig)기능을 제공합니다. 여기서 멀티시그란 하나의 트랜잭션을 승인하는데 있어서 여러 개의 서명이 필요한 기능을 의미합니다.

예를 들어서 기존에 A라는 계정에서 EOS토큰을 거래소로 보낼 때 멀티시그를 설정해놓지 않은 경우에는 스캐터 데스크탑에 입력해 놓은 내 계정으로 로그인을 해서 마지막에 수락(Allow)버튼만 클릭해서 서명을 하면 곧바로 토큰 전송이 가능합니다.

그러나, B라는 계정에서 토큰을 전송하기 위해서는 B뿐만 아니라 C라는 계정의 서명도 있어야 하도록 미리 설정을 하는 경우에는, C라는 계정(정확히는 C라는 액티브 권한의 프라이빗키 소유자)도 해당 토큰 전송이라는 트랜잭션을 수락(Allow)버튼만 클릭해서 서명을 해야합니다.




예를 들어 위처럼 설정이 되어 있으면, 토큰 전송을 위해서는 해당 계정들 중 15개 이상의 계정소유자들의 서명(Multi-Sig)이 있어야 하는 것입니다.


^{Bitfinex 이오스 계정 : bitfinexdep1}

현재 암호화폐 거래소들 중에서 가장 보안설정에 대한 이해도가 높은 곳은 바로 Bitfinex입니다. 현재 빗피넥스에서는

① 액티브 권한과 오너 권한의 키를 분리하여 사용하고 있고,

② 오너 권한을 사용하기 위해서는 2개 이상의 서명(Multi-Sig)가 필요

하도록 설정이 되어 있습니다. 따라서 계정탈취 및 토큰 도난과 같은 사고가 발생할 확률이 극히 드물고, 혹시나 특정 권한에 연결되어 있는 프라이빗키 하나를 도난당하는 사고가 발생하더라도 충분히 자체적으로 곧바로 대처가 가능합니다.

#3. 빗썸 거래소의 보안 수준

<sup>이번에 도난사고가 발생한 빗썸 핫월렛 계정 : g4ydomrxhege


빗썸의 콜드월렛 계정 : bithumbshiny</sup>

위에서 살펴본 Bitfinex와는 사뭇 대조적인 인상을 느낄 수 있는 빗썸의 계정들입니다. 액티브 권한과 오너 권한에 하나의 키(Single key)를 사용하고 있으며 멀티시그는 설정이 되어 있지 않습니다.

해당 프라이빗키에 접근하는 내부적 절차 또는 프라이빗키의 보관 장소의 보안성에 대해서는 논외로 하고, 이와 같이 계정 권한에 연결된 키를 하나의 단일한 키(Single key)로 사용하는 것은 보안수준이 제일 낮은 수준이라고 할 수 있습니다.

혹시라도 해당 프라이빗키가 유출이 되면 해커들은 바로 해당 계정에 연결된 키쌍을 변경하고 자기 계정처럼 사용이 가능하며 빗썸에서 딱히 손을 쓸 수 있는 방법은 없게 됩니다. 즉, 일단 프라이빗키가 노출되고 나면 빗썸에서는 다른 거래소나 BP들에게 도와달라고 요청을 하는 일 말고 본인들이 조치하거나 컨트롤 할 수 있는 것이 아무것도 없는 것입니다.

이미 EOSIO 소프트웨어에서는 모든 계정의 보안성을 높여 안전하게 사용할 수 있는 시스템을 설계해 놓았으나, 정작 고객들의 소중한 자산들을 예치하고 있는 거래소는 이 기본적인 편의기능을 사용하지 못하고 있는 실정입니다. 다음의 이어지는 포스팅에서는 과연 국내 암호화폐 거래소들을 포함하여 다른 거래소들의 보안 수준이 어떠한지에 대해 살펴보도록 하겠습니다.







본 포스팅은 미디엄에서 쉐어투스팀(@share2steem)을 통해 작성되었습니다.
^{Posted from Medium via Share2Steem}

[쉐어투스팀(Share2steem)이란?]
쉐어투스팀은 트위터, 인스타그램, 미디엄, 유튜브, 트위치 등 스티밋의 계정과 연결된 다른 SNS의 글이나 영상, 사진 등의 포스팅을 스티밋 피드로 업로드할 수 있는 써드파티앱니다. 사전에 쉐어투스팀을 통해 다른 SNS채널의 계정을 연결시켜 놓은 상태라면, 언제든지 간단한 해시태그 입력만으로 다른 SNS에 업로드한 글을 그 즉시 스티밋에도 업로드하실 수 있습니다.

아래의 배너를 클릭하시면 쉐어투스팀을 통해 트위터, 인스타그램, 미디엄, 유튜브, 트위치에 업로드한 콘텐츠들을 스티밋에 함께 공유하실 수 있습니다!

---

This page is synchronized from the post: ‘[EOS Inside] 암호화폐 거래소들의 보안수준은 어떨까? #1편’