FTX의 사이버 보안은 유감스럽게도 나빴습니다.

기사 출처

한때 사랑받았던 암호화폐 거래소 FTX는 지난 11월 재정적으로 악의적인 불길에 휩싸였으나 고객의 디지털 자산을 보호하는 데 별 신경을 쓰지 않은 것으로 보입니다.

실제로 회사의 최근 파산 보고서에 따르면 Jim-Beam을 흔드는 원숭이와 방탕한 로마 황제 사이의 십자가와 같은 재정 관리 외에도 불명예스러운 암호화폐 거래소에는 상상할 수 있는 최악의 사이버 보안 관행이 있었던 것으로 보입니다.

예, 이 회사는 해킹을 요청한 것입니다. 그리고 물론 그랬습니다.

지난 11월, 회사가 11장 파산을 선언한 지 24시간도 채 되지 않았고 이전 리더인 Sam Bankman-Fried(또는 SBF)가 CEO에서 물러난 지 얼마 되지 않아 회사는 대규모 디지털 강도 사건을 겪었습니다. 4억 3,200만 달러의 자산, 여전히 설명되지 않은 디지털 현금 묶음으로 떨어져 나갔습니다. 마치 훨씬 더 많은 FTX 고객의 돈과 같습니다.

그 당시 해킹 사건은 이미 서사시적인 똥 순대 위에 더 나쁜 소식으로 보였지만 이제 에피소드에 대한 맥락이 조금 더 있습니다. 실제로, 회사가 아주 기본적인 디지털 보호 장치를 도입하지 못한 것을 광범위하게 검토하는 월요일의 보고서는 회사가 어떻게 더 일찍 해킹을 당하지 않았는지 궁금하게 만드는 코믹 걸작입니다.

“FTX 그룹은 암호화폐 자산을 보호하기 위해 널리 받아들여지는 기본 보안 제어를 구현하지 못했습니다. 각 실패는 고객 거래를 위임받은 비즈니스의 맥락에서 심각했습니다.”라고 보고서는 말합니다. 다음은 이러한 실패에 대한 몇 가지 시사점입니다.

FTX에는 보안 직원이 없었습니다.

FTX는 수백억 달러 규모의 암호화폐 자산을 보호해야 하는 회사임에도 불구하고 전담 사이버 보안 직원이 없었습니다. 없음. 실제로 회사는 회사의 위험을 관리하기 위해 CISO(최고 정보 보안 책임자)를 고용하지 않았습니다. 대신 그들은 회사의 소프트웨어 개발자 중 두 명에게 의존했는데, 보고서에 따르면 이들은 보안 분야에 대한 정식 교육을 받지 않았으며 직업상 보안 우선순위를 정하는 데 어려움을 겪었습니다. 보고서에는 다음과 같이 명시되어 있습니다.

FTX 그룹에는 독립적인 최고 정보 보안 책임자, 그러한 역할의 책임을 수행할 적절한 교육을 받거나 경험이 있는 직원, 사이버 위험 평가, 보안 제어 구현 또는 사이버 사고에 대한 실시간 대응을 위한 확립된 프로세스가 없었습니다. ..다른 영역의 중요한 제어와 마찬가지로 FTX 그룹은 사이버 보안 제어의 우선순위를 크게 낮추고 무시했습니다. 본질적으로 FTX 그룹의 전체 비즈니스(자산, 인프라 및 지적 재산)가 컴퓨터 코드와 기술로 구성되어 있다는 점을 고려할 때 놀라운 사실입니다. .

물론 사이버 보안과 관련하여 많은 기술 회사가 인력 부족으로 어려움을 겪고 있지만 유니콘이나 신생 기업이고 유능한 사람을 고용할 인력이나 자본이 없는 경우에만 변명할 수 있습니다. FTX가 붕괴되기 며칠 전, FTX는 320억 달러의 가치가 있는 것으로 보고되었습니다. 말하자면 그들이 남자를 고용할 수 있었다고 생각합니다.

FTX는 냉장 보관을 거의 사용하지 않았습니다.

FTX가 한 또 다른 어리석은 일은 사용자의 암호화폐 자산을 콜드 스토리지에 보관하지 않은 것입니다. 이는 대부분의 암호화폐 거래소가 준수한다고 주장하는 표준 보안 관행입니다.

일반적으로 암호화 자산은 인터넷에 연결된 소프트웨어 기반 계정인 "핫 지갑"이라는 두 가지 별도의 방법으로 저장할 수 있습니다. "콜드 스토리지"는 오프라인 하드웨어 기반 스토리지 형식입니다. 콜드 스토리지는 안전한 것으로 간주되는 반면 "핫 월렛"은 웹에 연결되어 있기 때문에 해킹을 당할 수 있고 종종 해킹을 당하기 때문에 더 위험합니다.

일반적인 통념에 따르면 기업은 계정을 유동적으로 유지하는 데 필요한 만큼의 암호화폐를 핫 지갑에 보관하고 나머지 암호화폐는 콜드 스토리지에 보관해야 합니다. 그러나 FTX는 그렇게 하지 않았습니다. 대신 보고서는 고객 자산의 "거의 모든"을 핫 월렛에 보관했다고 말합니다.

FTX는 콜드 스토리지가 더 안전하다는 것을 몰랐습니까? 아니요, 적절한 제어를 구현하기에는 너무 멍청한 것보다 더 나쁜 것은 거래소의 리더십이 그다지 신경 쓰지 않는 것 같습니다.

"FTX 그룹은 의심할 여지 없이 신중한 암호화폐 거래소가 어떻게 운영되어야 하는지를 인식했습니다. 제3자가 콜드 스토리지를 사용하는 정도를 설명하도록 요청했을 때 거짓말을 했기 때문입니다." SBF 포함—사용자 자산을 콜드 스토리지에 보관한다고 주장했습니다. 일례로 이 회사는 업계 모범 사례에 따라 소량의 암호화폐를 핫 월렛에 보관하고 나머지는 "지리적으로 분산된 에어갭 암호화 노트북에 오프라인으로 저장"했다고 투자자들에게 말했습니다. 그러나 보고서에 따르면 이것은 단지 헛소리였습니다.

대신 보고서에서 지적한 바와 같이 FTX 그룹은 "규제에 의해 사용이 요구되는" 일본을 제외하고는 "냉장고를 거의 사용하지 않았습니다".

개인 키는 암호화되지 않은 상태로 남음

FTX 엿보기가 한 또 다른 완전히 바보 같은 일은 클라이언트의 민감한 암호화 키와 시드 문구를 직원이 분명히 액세스할 수 있는 일반 텍스트 문서에 저장한 것입니다.

암호화에서 키 또는 시드 문구는 사용자의 개인 지갑에 들어갈 수 있는 암호입니다. 업계 표준에 따르면 암호화폐 거래소는 해당 정보를 암호화된 상태로 유지해야 하므로 엿보는 눈으로부터 안전하게 보호할 수 있습니다. FTX는 암호화되지 않은 상태에서 일반 텍스트로 수천만 달러 상당의 지갑을 열 수 있는 키를 AWS에 보관하고 있었습니다.

보고서에 따르면 이는 FTX.com, FTX.US 및 Alameda에서 사용하는 개인 키와 시드 문구가 FTX 그룹의 컴퓨팅 환경 전체에 걸쳐 다양한 위치에 저장되는 일반적으로 무질서한 보안 접근 방식의 일부였습니다. 획일적이거나 문서화된 절차 없이 다양한 불안정한 방법을 사용하는 무질서한 방식입니다.”

FTX 갱단은 실제로 MFA를 사용하지 않았습니다.

SBF와 그의 즐거운 힙스터 밴드는 다단계 인증(사무실에서 일하는 거의 모든 사람이 알고 있는 매우 기본적인 웹 보안 형태)의 사용을 "효과적으로 시행하는 데 실패"한 것으로 보입니다. 최근 발표된 보고서에 따르면 암호화폐 거래소의 경영진은 "IAM(Identity and Access Management)과 관련하여 가장 널리 받아들여지는 통제조차 적절한 방식으로 구현하지 못했다"고 밝혔습니다. 여기에는 업계 모범 사례로 널리 알려진 단일 사인온 서비스뿐만 아니라 MFA 사용 실패도 포함됩니다.

그리고 훨씬 더!

FTX가 저지른 것으로 보이는 다른 재미있는 보안 과실의 보석이 많이 있으므로 턱이 바닥에 떨어지기를 원한다면 전체 보고서를 읽는 것이 좋습니다.