I. 스마트계약의 보안 약점을 도출 개선 여부를 확인하는 감사활동, Smart Contract Audit의 개요
가. Smart Contract Audit의 정의
- Smart Contract가 배포되기 전에 소스코드 상의 보안 약점을 도출하여 개선 방향을 제시하고 개선 여부를 확인하는 감사활동
나. Smart Contract Audit의 필요성
 |
|
Smart Contract 보안 약점의 파급효과를 최소화하기 위한 Smart Contract Audit 필요성이 대두되고 있으며 해외 전문 업체 확산 추세로 국내 기반 기술 및 표준화에 대한 역량 강화와 산업 생태계 기반 조성이 요구되고 있음. |
다. Smart Contract Audit의 특징
|
특징 |
설명 |
|
Code Audit |
소스 코드에 대한 정적, 동적 검증을 통해 수행 |
|
Crowd Testing |
버그 바운티 등 크라우드 테스팅 이용 |
|
자동화 도구 활용 |
SmartCheck, Oyente등 전용 테스팅 도구 활용 |
|
Smart Contract Alliance |
Smart Contract 보안 표준화 진행 중 |
- Smart Contract 배포 전 Smart Contract Audit 전문 기관을 통해 다양한 기법을 통해 Code Auditing을 수행하고 감사 결과 보고서를 작성 및 배포 수행
라. Smart Contract Audit의 점검대상
|
구분 |
대상 |
설명 |
|
Blackbox |
Smart Contract 서비스 |
전체적인 서비스 대한 감사 수행 |
|
Smart Contract 아키텍처 |
전반적인 Smart Contract 아키텍처 검증 |
|
|
설계서 등 명세서 검증 |
Business Process, DB 설계서 리뷰 검증 |
|
|
개발 보안 점검 |
소프트웨어 개발 보안 점검 수행 |
|
|
Whitebox |
소스코드 보안 약점 |
Race Condition 등 보안 약점/취약점 점검 |
|
소스코드 최적화 |
Smart Contract 소스코드 최적화 점검 |
|
|
암호화 및 키관리 |
암호화 기술의 적정성 및 키관리 메커니즘 검증 |
|
|
Block Chain 상호작용 |
블록체인과 상호작용 기술 점검 수행 |
- 각 항목들에 대한 이슈 점검 후 리스크 수행, 보완 조치 후 최종 감사 보고서 작성
- Risk Ratings 예시 : High Risk, Medium Risk, Low Risk, Informational, Closed
II. Smart Contract Audit 프로세스와 주요기법
가. Smart Contract Audit 프로세스
|
프로세스 |
주요활동 |
산출물 |
|
1. Scoping |
감사기관에 감사 요청 |
감사 요청서 |
|
2. Preparation |
요구정의서, 분석/설계서, 소스코드 등 점검 대상 산출물 준비 및 제공 |
Smart Contract 소스코드 분석서, 설계서 |
|
3. Audit |
정적 검증, 동적 검증 등 감사 수행 점검결과 및 개선사항 리포팅 |
점검 결과서 |
|
4. Remediation |
보완 대상 조치 및 개선 수행 |
조치 및 개선 완료 산출물 |
|
5. Review |
조치 및 개선 사항 재점검 최종 공식 감사 결과 보고서 제출 |
감사 결과 보고서 |
- Audit 통한 보완 및 조치 내역에 대해 대응 수행 후 최종 감사 결과서 공개됨
나. Smart Contract Audit의 주요기법
|
주요기법 |
설명 |
도구 |
|
Manual Code Review |
코드 리뷰를 통해 loopholes, 잠재적 취약점, 비즈니스 로직 오류 등 도출 |
SVN, 뷰, VC, Jira |
|
Manual Testing |
보안 전문가들을 통해 수기로 테스팅 수행해 계산 오류 등 세부 로직 점검 |
Bug bounty Programs |
|
Static Analysis |
자동화된 정적분석 도구를 통해 최대규모의 커버리지 정적 테스팅 수행, Overflow, reentrancy 등 취약점 도출 |
SmartCheck Oyente Solidity-coverage |
|
Dynamic Analysis |
자동화 도구 통한 동적 테스팅 수행 |
Echidna, Manticore |
III. Smart Contract Audit 현황과 발전 방향
 |
|
- 국내외 Smart Contract Audit 전문 기업이 증가 추세이며 블록체인 산업의 보안 관심도 증가 - Smart Contract 보안 표준의 정립을 통해 안전한 블록체인 산업 선도 필요 |
'IT기술노트 > 디지털서비스' 카테고리의 다른 글
| 자율주행 자동차(Smart Car) (0) | 2021.02.16 |
|---|---|
| FDS(Fraud Detection System) (0) | 2021.02.16 |
| 블록체인 거버넌스 (0) | 2021.02.16 |
| DID(Decentralized Identity) (0) | 2021.02.16 |
| 디앱(Decentralized Application) (0) | 2021.02.16 |
| 하이퍼레저(Hyperledger) (0) | 2021.02.16 |
| 솔리디티(Solidity) (0) | 2021.02.16 |
| 스마트계약(Smart Contract) (0) | 2021.02.16 |
댓글