고란 기자님의 <알고란>너튜브 채널 1월 30일 낮 12시 20분 방영된 내용을 정리해서 공유드립니다.
1. 비트코인, 시장 정상화로 상승세 회복
- 촬영 시각인 1월 3일 낮 12시 20분경 비트코인 가격은 43,000달러이며 지금은 43,500달러를 회복한 것으로 나타났다. - 낮은 조정없이 계속 상승하다 49,000달러까지 올라 시장이 과열되었으나, 이제는 정상화됨에 따라 JP 모건은 시장 정상화 과정으로 해석했다. - 크립토 포테이토는 비트코인 악재의 세 가지 이유를 들었으나, 다른 이유들과 유사하다고 한다.
2. GBTC 환매 압력으로 비트코인 ETF 출시에 하락 압박 예상되나, 신규 ETF들 순매수로 가격을 버텼다.
- GBTC, 그레이스케일 비트코인 ETF의 환매 물량으로 인해 많은 판매가 이루어지고 있다. - 하지만 GBTC 환매는 점점 감소하고 있으며, ETF 전체적으로는 순매수가 이뤄지며 시장의 수급은 안정적이다. - 한편 JP 모건은 하락 압력이 사라졌다고 예측했지만 실제로 팔리는 GBTC 물량은 그렇게 많지 않아서 가격이 유지되었다. - 또한 다른 아홉 개 ETF의 순매수가 있어 전체 비트코인 ETF는 양호한 수급을 유지하고 있다.
3. ️블랙락이 비트코인 ETF 시장 선두를 차지하고, 개인이 가장 많은 비트코인 보유자
- 블랙락은 비트코인 ETF 시장에서 선두에 오르며 자산 규모로 3위를 차지했다. - ETF 시장에서 20억 달러를 돌파하고, 비트코인 현물 ETF 시장에서 첫 번째로 출시되었다. - 개인들이 한 5만 2,000개의 비트코인을 보유하고 있는데, 이는 '인디비주얼'과 '고래'로 알려진 비트코인 보유자들이 가장 많다. - 총 2,100만 개의 비트코인 중, '인디비주얼'이 가장 많이 보유하며, '이 주황색', '로스트', '언마인드' 등 다양한 유형의 보유자가 있다. - '컴퍼니'는 기업들의 보유량, '펀드'는 기관들의 보유량, '정부' 파에는 정부의 보유량이 포함되어 있다.
4. ️비트코인 수량 한정, ETF 운용사들 국내/외 펀드에서 사올 예정.
- 총 공급량 2,100만 개 가운데, 130만 개의 비트코인만 채굴 가능. 필수 디지털 자산으로 인한 ETF 수요 상승도 빠르게 예상 - 펀드 사들이 비트코인을 구매할 때 다른 운용사들이 가지고 있는 비트코인을 사올 예정. 또한, 일부 펀드는 채굴자들이 내놓는 물량을 예상대로 사올 계획 - 디지털 자산 투자 상품에서 5억 달러 순 유출. 이를 보완하기 위해 여러 기관이 팔기도 하지만 구매하는 기관도 존재 - 130만 개 이상의 비트코인이 아직 채굴되지 않았으며, 채굴자들이 팔은 양이 많아짐에 따라 수량은 한정됨.
5. 고래들이 비트코인 시장에서 중요한 역할을 하고 있다.
- 개인 투자자 중 세 번째로 많은 비중을 차지하고 있는 고래들은 매수와 매도에 능해서 물량 시장에서 큰 영향을 미친다. - 오히려 하락장일 때 고래들은 매수를 하고, 더 떨어질까봐 팔라는 개인들은 손절을 치며 매도를 하곤 한다. - 과거 고점에 매도해 경제적 자유를 쟁취한 고래들은 현금화하지 않고 지속적으로 비트코인을 보유하며, 이는 긍정적인 전망에 기인한 것이라고 한다. - ETF 승인되더라도 보유를 계속할 것으로 보이며, 고래가 그들보다 더 비트코인을 매수하고 있으며 이는 개인들에게도 호러가 된 것으로 나타났다.
6. ️비트코인 가격 전망은 불확실하고, 매집비트코인 양이 계속 증가 중
- 증가하는 매집 비트코인 양에 대응하기 어려운 ETF 운용사들은 비트코인을 어디에서 사야 할지 고민하게 될 수 있다. - 매수 가능한 비트코인의 공급이 부족해지면, 비트코인 가격은 상승할 수 있다. - 장기적으로는 가격 전망이 중요하지만, 단기적으로는 전망이 의미 없다. - 전문가들은 대략 36,000달러~38,000달러대를 언급하며, 3만달러를 도달할 수도 있다고 언급한다. - 이 역사적인 데이터를 살펴보면, 2월에는 주로 비트코인 가격이 상승하는 경향을 보이는 것으로 나타났다.
7. 비트코인은 장기적으로 오를 가능성이 높음
- 매트릭스 포트 분석가는 3월 말 비트코인이 5만 달러를 돌파할 것으로 예상하고, 내년 8월까지 더 오를 것이라고 전망함. - ETF 승인과 신규 자금 유입에 대한 기대감이 높으며, 연말에는 70k를 찍을 것이라는 의견도 있음. - 하지만 단기간에는 엇갈렸으며 비트코인의 장투는 예측 불가능하다는 것이 일반적인 견해이지만, 비트코인을 장기적으로 투자하며 매년 안정적인 수익률을 추구함. - 그러나, 비트코인의 가격 변동성이 무척이나 심하기 때문에 의미없는 자산이 되기도 한다는 것을 명심해야함. - 비트코인의 장기 투자 시, 천천히 꾸준하게 오르는 것을 바탕으로 투자해야하지만, 예측 불가능한 기간도 많기 때문에 장기적인 시각에서 투자할 때에도 손실을 감수할 수 있는 여유가 필요함.
8. 장투 성공을 위해 적립식 투자를 추천
- 난이도가 있는 장투를 겪을 때는 많은 어려움을 겪게 된다. - 장투 성공 확률을 높이려면 금액 뿐 아니라 시간을 분산해서 적립식으로 투자하는 적립식 투자를 추천한다. - 돈을 적립식으로 나누어 투자하지 말고, 시간을 분산하여 정확한 타이밍에 투자하는 것이 중요하다. - 투자 결과와 판단은 투자자의 책임이다.
본 블로그의 요약내용은 홍익희 교수와 함께 비트코인과 이더리움의 미래에 대해 인터뷰한 내용입니다. 현물 ETF 승인이 나면 비트코인 도미넌스가 일시적으로 상승하고 그 뒤를 이어 알트코인이 상승할 것으로 전망됩니다. 이더리움은 업그레이드를 통해 처리 속도와 수수료를 개선하게 되어 성장할 것으로 예상됩니다. 레이어 2를 통해 레이어 1인 이더리움도 함께 성장할 수 있을 것입니다. 비트코인 도미넌스의 변화에 따라 알트코인 시장도 변동할 수 있으므로 실전 감각과 전망 보고서를 종합하여 판단하는 것이 좋습니다.
블록체인에서 이더리움이 더 유리한 이유는?
블록체인에서 개발자가 많은 체인은 암호 화폐 중 가장 많은 개발자를 보유한 이더리움이에요.
이더리움은 결제에 사용되는 기술의 근본이 되는 블록체인으로, 다른 분야에서도 쓰일 가능성이 크죠.
이더리움은 또한 시가 총액이 두 번째로 큰 코인으로, 이더리움과 생태계를 이해하는 것이 투자에 큰 도움이 될 거예요.
개인적으로 이더리움의 창시 이상과 다양한 용도를 좋아해요.
ETF 효과로 인해 법인 투자자도 암호화폐 투자가 가능해지며, 이로 인해 투자자가 늘어나고 가격 상승 가능성이 높아질 것으로 예상돼요.
비트코인과 이더리움의 공통점 및 탈중앙화 철학은?
비트코인과 이더리움은 모두 2009년과 2014년에 출시된 암호화폐로, 탈중앙화 철학에 기반을 두고 있다.
중앙 은행 없이도 온라인으로 가치를 전송할 수 있는 아이디어를 구현하고 있어요.
이는 개인의 돈을 송금할 때 방해받지 않는 권리를 갖는 것을 의미하는 탈중앙화 철학의 일환입니다.
추가로, 블록체인은 분산 장부 시스템으로, 여러 채굴자가 장부를 나눠 가지고 있는 것이 특징입니다.
비트코인은 출시된 지 10년이 지나면서 그 기능이 믿을 만하다는 평가를 받고 있습니다.
블록체인 채굴의 인센티브, 단점?
블록체인 채굴은 어려운 수학 문제를 해결하는 작업 증명을 통해 진행돼요.
비트코인은 작업 증명 방식을 사용하고, 이더리움은 최근에 지분 증명 방식으로 전환되었어요.
채굴자는 일을 정확하게 수행해야만 보상을 받을 수 있으며, 인센티브에 의존하는 시스템이에요.
블록체인의 단점으로는 느리고 수수료가 비싸다는 것이 있어요.
하지만 최근에는 이러한 문제를 해결하기 위한 다양한 솔루션이 나와있어요.
2023년 이후, 블록체인 기업화와 거래소 해킹에 대한 이야기는?
블록체인이 기업화되면서 개인 블록체인은 적게 사용되고, 비트코인은 해킹 사례가 없지만 이더리움은 2016년에 유명한 해킹 사례가 있었죠.
거래소에서의 해킹 사례가 많아서 한국의 거래소는 고객 자산과 거래소 자산을 완전히 분리해놓은 상태에요.
#1. web3라는 얘기는 왜 나오는 걸까? web은 알겠는데, web2, web3는 무슨 차이인가?
#2. 각각의 구체적인 사례는?
#3. web3의 세계는 정말 찾아올 수 있을까?
#1. web3라는 얘기는 왜 나오는 걸까?
(web은 알겠는데, web2, web3는 무슨 차이인가?)
web1 ~ 3 세대별 특징 비교표
Web1
이용자는 view만 할 수 있고 계정이 없다.
Web1은 초기의 정적인 웹입니다. 이는 주로 정보의 단방향 전달에 초점을 두었으며, 사용자는 주로 웹사이트에서 제공하는 콘텐츠를 소비하는 역할을 했습니다. 사용자와 서버 간의 상호작용이 제한적이었고, 대부분의 플랫폼이 중앙집중화되어 있었습니다.
Web2
web2, 이용자 계정의 Password를 회사가 보관한다
Web2는 상호작용과 협업이 강조된 웹입니다. 이는 소셜 미디어, 온라인 커뮤니티, 클라우드 서비스 등을 포함한 현대적인 인터넷의 모습을 의미합니다. Web2에서는 사용자들이 콘텐츠를 생성하고 공유할 수 있으며, 실시간 상호작용과 소셜 네트워킹이 가능합니다. 그러나 이러한 플랫폼은 여전히 중앙집중화되어 있고, 사용자 데이터와 제어 권한이 플랫폼 운영자에게 집중되는 한계가 있습니다.
Web3는 분산 웹(Distributed Web)이라고도 불리며, 중앙화의 한계를 극복하고 사용자들에게 더 많은 통제력을 부여하는 것을 목표로 합니다. Web3는 블록체인과 분산 웹 기술을 활용하여 사용자들이 중앙 기관이나 중개자 없이 서로 직접적으로 상호작용할 수 있는 환경을 제공합니다. 이는 사용자의 디지털 자산의 소유권과 개인정보를 강화하며, 스마트 컨트랙트와 암호화폐를 통해 신뢰성과 투명성을 보장합니다.
따라서, Web3는 중앙 집중화된 기존의 인터넷 모델에서 탈피하여 분산화와 사용자의 자율성을 강조한 새로운 웹의 형태를 의미합니다. 이러한 변화는 암호화폐, 탈중앙화된 애플리케이션, 분산화된 스토리지, 신원 인증 등 다양한 기술과 애플리케이션을 통해 구현될 수 있습니다. Web3는 사용자가 중앙 기관에 의존하지 않고, 자신의 데이터와 디지털 자산을 직접 소유하고 관리할 수 있는 웹 환경을 제공합니다.
또한, Web3는 블록체인 기술과 스마트 컨트랙트를 중심으로 구축됩니다. 이더리움(Ethereum)과 같은 플랫폼은 탈중앙화된 애플리케이션(DApp)을 개발하고 실행하기 위한 환경을 제공합니다. 이를 통해 개발자들은 중앙 기관에 의존하지 않고, 분산된 방식으로 애플리케이션을 구축할 수 있습니다.
Web3의 목표는 사용자의 자율성과 개인정보 보호를 강화하며, 중앙화된 기존의 웹 모델에서 벗어나 상호작용과 협업의 새로운 모델을 구축하는 것입니다. 암호화폐와 블록체인 기술을 중심으로 한 Web3의 발전은 분산화와 탈중앙화를 추구하는 새로운 인터넷 시대의 도래를 의미합니다.
#2. 각각의 구체적인 사례는?
twitter 테크 라이터의 심플한 설명
Web1
web1, get views
- 1990년대 초반의 초기 인터넷을 예로 들 수 있습니다. - 정적인 HTML 웹페이지가 주류이며, 정보의 단방향 전달에 초점을 두고 있습니다. - 사용자는 주로 웹사이트에서 제공하는 콘텐츠를 소비하고, 상호작용의 기회는 제한적입니다. - 예시: 1990년대 초반의 닷컴 버블 시기에는 정적인 기업 웹사이트가 많이 등장했습니다.
Web2
web2, get likes
- 현대적인 인터넷의 모습을 대표하는 웹입니다. - 사용자들이 콘텐츠를 생성하고 공유할 수 있으며, 실시간 상호작용과 소셜 네트워킹이 가능합니다. - 사용자들 간의 협업이 강조되며, 소셜 미디어, 온라인 커뮤니티, 클라우드 서비스 등이 활발히 사용됩니다. - 예시: Facebook, Twitter, Instagram, YouTube, Google Docs등이 Web2의 대표적인 예시입니다.
Web3
web3, get paid
- 현대적인 인터넷의 모습을 대표하는 웹입니다. - 중앙 집중화의 한계를 극복하고 사용자의 자율성과 개인정보 보호를 강조하는 웹입니다. - 블록체인과 분산 웹 기술을 활용하여 중개자 없이 사용자들이 직접 상호작용할 수 있는 환경을 제공합니다. - 사용자의 데이터와 디지털 자산을 소유하고 관리할 수 있는 기회를 제공하며, 스마트 컨트랙트와 암호화폐를 활용하여 신뢰성과 투명성을 보장합니다. - 예시: Steem 탈중앙화 SNS, MetaMask를 이용한 탈중앙화된 애플리케이션(DApp) 사용, Uniswap을 통한 탈중앙화된 거래, OpenSea에서의 NFT 거래 등이 Web3의 예시입니다.
유저 10만 명 이상을 모아낸 web3 서비스?
CryptoKitties: CryptoKitties는 Ethereum 블록체인 위에서 동작하는 탈중앙화된 가상 고양이 게임입니다. 사용자들은 유전자 조합을 통해 고유한 디지털 고양이를 생성하고 거래할 수 있습니다. 이 게임은 2017년에 출시되었으며, 출시 이후 많은 관심과 인기를 얻어 유저 수가 급증했습니다. CryptoKitties는 유저들이 디지털 자산을 소유하고 거래할 수 있는 Web3의 잠재력을 보여준 성공 사례 중 하나입니다.
Uniswap: Uniswap은 Ethereum 기반의 탈중앙화된 거래소로서, 사용자들이 암호화폐를 교환하고 스마트 컨트랙트에 의해 자동으로 거래가 이루어집니다. Uniswap은 간편한 사용성과 탈중앙화된 특성으로 많은 유저들의 관심을 받아왔으며, 유저 수가 지속적으로 증가하고 있습니다.
Brave Browser: Brave Browser는 개인정보 보호와 광고 차단 기능을 강조하는 웹 브라우저입니다. 브라우저 내에서 기본적으로 광고가 차단되며, 사용자는 광고를 볼 경우 보상으로 암호화폐인 Basic Attention Token (BAT)을 받을 수 있습니다. Brave Browser는 사용자들에게 개인정보 보호와 광고 선택의 권한을 부여하여 많은 유저들의 관심과 참여를 얻었습니다.
Steem : Steem은 블록체인 기술을 기반으로 한 탈중앙화된 소셜 미디어 플랫폼으로, 사용자들은 콘텐츠를 생성하고 공유하며 보상을 받을 수 있습니다.
Steem은 사용자들이 플랫폼 내에서 콘텐츠를 작성하고 게시하는 것을 장려하기 위해 스팀 토큰을 보상으로 제공합니다. 이 토큰은 사용자들이 콘텐츠에 투표하거나 참여함으로써 얻을 수 있으며, 작성자는 받은 보상을 스팀 토큰으로 전환하거나 다른 암호화폐로 교환할 수 있습니다.
Steem은 사용자들에게 중앙 집중화된 소셜 미디어 플랫폼과는 다른 경험과 혜택을 제공하고 있습니다. 사용자들은 자신의 콘텐츠에 대한 소유권과 제어권을 가지며, 중간 거래자나 광고주 없이 직접적인 상호작용과 보상을 경험할 수 있습니다. 이러한 특징으로 인해 Steem은 대규모의 사용자를 모으며 Web3의 성공 사례로 인정받고 있습니다.
ChatGPT : 메모리 덤프는 악성 코드가 실행 중인 프로세스의 메모리를 검색하여 중요 정보를 탈취하는 데 사용되는 기술입니다. 따라서 브라우저 단에서 메모리 덤프를 막으려면 다음과 같은 보안조치를 취할 수 있습니다.
취약점 패치: 브라우저 취약점을 해결하는 패치를 적용하여 메모리 덤프를 방지할 수 있습니다. 브라우저 공급 업체는 취약점을 신속하게 패치하고 최신 버전으로 업데이트하도록 권장됩니다.
보안 설정 강화: 브라우저 보안 설정을 강화하여 악성 코드가 실행되는 것을 방지할 수 있습니다. 이는 인터넷 보안 소프트웨어를 사용하여 공격을 탐지하고 차단하는 것과 같은 방법으로 이루어질 수 있습니다.
데이터 암호화: 브라우저에서 중요한 정보를 보호하기 위해 데이터 암호화를 구현할 수 있습니다. 이를 위해서는 SSL/TLS 프로토콜을 사용하여 데이터를 암호화하고 HTTPS를 사용하여 웹 사이트 연결을 보호해야 합니다.
메모리 보호: 브라우저는 메모리 보호 기술을 사용하여 실행 중인 코드가 다른 프로세스의 메모리를 읽거나 쓸 수 없도록 할 수 있습니다. 이를 위해서는 예를 들어 ASLR(Address Space Layout Randomization)과 같은 기술을 사용하여 메모리 주소를 무작위로 할당하고, 실행 파일에 대한 메모리 보호 기능을 활성화해야 합니다.
보안 인증서 검증: 브라우저는 SSL 인증서의 유효성을 검증하여 악성 인증서를 사용하는 웹 사이트에서의 연결을 방지할 수 있습니다. 이를 위해서는 인증서 검증 기능을 활성화해야 합니다.
보안 소프트웨어 설치: 인터넷 보안 소프트웨어를 설치하여 브라우저를 보호할 수 있습니다. 이러한 소프트웨어는 악성 코드를 탐지하고 차단하여 브라우저에서 발생하는 보안 위협을 줄일 수 있습니다.
이러한 보안조치를 적용하여 브라우저 단의 정보를 탈취하는 메모리 덤프를 방지할 수 있습니다. 그러나 보안은 끝이 없기 때문에, 완벽하다고 보장할 수는 없습니다.
나 : SSL 암호화 만으로는 메모리 덤프 될 때 탈취되는 정보를 지킬 수 없는 거 아니니?
ChatGPT : 맞습니다. SSL 암호화는 데이터를 안전하게 전송하는 데에 도움을 주지만, 메모리 덤프를 통해 브라우저에서 실행 중인 애플리케이션의 정보가 노출될 가능성이 있습니다. 이러한 공격은 SSL 암호화가 강력하게 적용되더라도 메모리 덤프를 통해 정보를 탈취할 수 있는 것으로 알려져 있습니다.
따라서 메모리 덤프를 방지하기 위해서는 SSL 암호화 외에도 다른 보안조치를 취해야 합니다. 먼저, 애플리케이션에서 중요한 정보를 저장하는 변수를 암호화하여 보호할 수 있습니다. 또한, 메모리 보호 기술을 사용하여 메모리 덤프를 차단하고, 인증서 검증, 보안 소프트웨어 설치 등 다양한 보안조치를 함께 적용하여 보안을 강화할 수 있습니다.
또한, 애플리케이션 내에서 중요한 정보를 최소한으로 유지하고, 처리가 완료되면 즉시 메모리에서 삭제하도록 구현함으로써 정보 노출을 최소화할 수도 있습니다. 이러한 방법들은 SSL 암호화 외에도 보안성을 향상시키고, 메모리 덤프에 대한 위협을 줄일 수 있는 방법입니다.
연방준비제도는 미국의 중앙은행으로 우리나라의 한국은행에 해당한다. 줄여서 한글로는 `연준'으로 영어로는 'Fed'라 부른다. 달러화를 발행하고 미국통화정책을 수행한다.
우리나라에는 중앙은행이 한국은행 하나이지만, 미국에는 중앙은행에 해당하는 연방준비은행이 12개가 있으며 연방준비제도는 이들 12개의 연방준비은행(Federal Reserve Bank)을 총괄하는 기구이다.
연준(Fed)의 산하기관으로 최고의사결정기구인 연방준비제도이사회(FRB:Federal Reserve Board)와 통화 및 금리정책 결정기구인 연방공개시장위원회(FOMC)를 두고 있다.
연방준비제도가 가지는 주요 기능은 다음과 같다.
1. 미국 달러의 발행 2. 미국 달러를 발행하기 위해서는 연방준비제도가 미국 재무부채권(미국 국채)을 담보로 잡고 그에 1:1로 대응하는 양의 돈을 발행한다. 3. 미국 내 통화정책의 관장 4. 은행·금융 기관 감독과 규제
5. 금융 체계의 안정성 유지 6. 미국 정부와 일반 및 금융 기관 등에 대한 금융 서비스 제공
한국에서는 금융감독원이 하는 일을 미국에서는 연방준비제도가 담당한다.
그리고 미국 정부에서도 증권감독위원회(SEC)라는 기구를 만들어서 연방준비제도와 협업 관계로 금융 감독을 하고 있다.
미 연준의 중요한 역활
- 연방준비이사회는 중앙은행으로써 두 가지 의무를 가지고 있습니다.
- 즉, '물가'와 '일자리 시장'이라는 두 가지 중요한 경제적 요소 사이에서 균형을 찾아야 하는 상당한 책무를 감당해야합니다.
CPI, PPI
- 경기선행지수에 어떤 예측하지 못한 변화가 나타날 경우 시장의 기대치를 관리하기 위하여 연설이나 공식 행사에서 연준 위원들이 이를 언급하는 경우가 많습니다. CPI는 소비자들이 특정 기간동안 구매한 재화와 용역의 총 가치를 측정한 값입니다. 동시에, PPI는 생산자의 입장에서 물가를 측정합니다. 특히 PPI는 소비재를 생산하는 비용을 측정합니다. 원자재와 식품 가격이 소매가에 직접적인 영향을 끼치기 때문에 PPI는 인플레이션 압력의 좋은 선행 지표로 여겨집니다.
CPI : 소비자들이 특정 기간동안 구매한 재화와 용역의 총 가치를 측정한 값
PPI : 생산자의 관점에서 본 인플레이션 척도
CPI 및 PPI의 거래
복잡한 보고서에도 불구하고 트레이더들은 여러 가지 방식으로 데이터 발표를 준비할 수 있습니다. 우선, 다양한 신뢰 보고서와 PMI 보고서에서 얻은 정보를 활용하여 지난 한 달간 소비자와 생산자 모두가 직면한 물가 상황을 파악할 수 있습니다.
소매 판매 보고서 역시 인플레이션을 미리 알 수 있는 중요한 지표로 여겨지며, 에너지 가격과 일반 원자재 전망을 모니터링 하는 것 역시 데이터가 발표되기 전에 거래자들이 올바른 포지션을 취하는데 도움이 됩니다. 만일 원자재 가격에서 큰 변화가 있었다면, 시장은 가장 신뢰할 수 있는 통계인 '근원' PPI에 초점을 맞출 가능성이 매우 높습니다.
금리 조정을 위한 CPI 및 PPI의 모니터링
일반 원칙으로 연방공개시장위원회(Federal Open Market Committee, FOMC)는 인플레이션율을 중기적으로 약 2%대에서 유지할 수 있도록 통화정책을 시행합니다. 만약 PPI 또는 CPI 수치가 이 수준을 넘어서 유지된다면, 연준은 이것이 경제에 위협이 된다고 간주합니다. 그리고 물가 상승을 통제하기 위하여 금리를 인상할 수 있습니다. 다른 한편으로 장기간 저인플레이션 혹은 물가상승이 마이너스를 유지한다면 중앙은행은 경제를 활성화 하기 위하여 금리를 인하하거나 양적 완화(Quantitative Easing, QE)를 실시하여 조치를 취할 것을 고려할 것입니다.
연방공개시장위원회(Federal Open Market Committee, FOMC)
FOMC는 미국의 중앙은행제도인 연방준비제도(Federal Reserve System, 일명 Fed) 내에서 정책금리인 기준금리 등을 결정하는 위원회이다. 미국의 연방준비제도는 12개의 연방준비은행·연방준비제도위원회·연방준비은행이사회·연방공개시장위원회로 구성되는데 이 중 연방공개시장위원회를 해당 영문 명칭의 앞 글자를 따 FOMC라고 부르는 것이다.
Fed는 통화정책수단으로 공개시장조작, 재할인율 및 지급준비율 조절 등을 활용하고 있는데, FOMC는 이 중 미국의 은행간 1일물 대출금리인 연방기금금리(Federal Funds Rate) 수준에 직접적인 영향을 미치는 기준 금리(Target Federal Funds Rate)를 설정하는 의사결정을 한다. FOMC는 1년에 8차례 정기회의를 개최하며 기준금리 결정 이외에도 경제상황에 관한 종합적인 평가와 통화정책의 기본방향을 제시한다.
FOMC의 위원은 총 12명으로, 연방준비제도위원회의 위원(Governor) 7명과 뉴욕연방준비은행 총재가 당연직으로 참여하고 나머지 네 자리를 11명의 연방준비은행 총재(President)들이 1년씩 돌아가며 맡는데, FOMC의 의장은 연방준비제도위원회의 의장(現 재닛 앨런)이 겸임하며 부의장은 FOMC의 의사결정 사항을 집행하기 위해 실제 공개시장조작(Open Market Operation)을 담당하는 뉴욕 연방준비은행 총재가 맡는다.
최근 글로벌 금융시장 참가자들이 계속해서 미국의 기준금리 인상 시기 및 속도에 대해 최대 관심을 기울이고 있는 것은 이것이 전 세계적으로 금리, 환율, 주가, 자본이동 등 금융시장과 투자, 소비, 수출입 등 실물경제에 미치는 영향력이 매우 크기 때문이다.
연방준비제도이사회(FRB: Federal Reserve Board)
미국 연방준비제도(FRS : Federal Reserve System)의 의사결정기구. FRB는 12개 연방준비은행 관리총괄기관으로 본부는 워싱턴에 있다. FRB는 1918년 제정된 연방준비법에 의해 발족되었다. 처음에는 연방준비국이라고 하였으나, 1935년 은행법에 의해 연방준비제도이사회로 개칭되었다. 이사회는 의장 이하 7인의 이사진으로 구성되며, 대통령이 임명하고 상원의 승인절차를 거친다. 대통령은 이사 가운데 이사회 의장과 부의장을 임명한다. 이사의 임기는 14년이며, 이사회 의장과 부의장의 임기는 4년이다. FRB의 의장은 대통령이 임명하지만 금리결정 등 통화정책 권한도 철저하게 독립적으로 행사한다. FRB의장은 세계 경제대통령으로 불리울 정도로 금융정책에 관한한 전세계적으로 강력한 영향력을 갖고 있다. 이사회의 주요 임무는 신용상태의 규제와 연방준비은행에 대한 감독으로 연 8회 연방공개시장위원회(FOMC : Federal Open Market Committee)를 개최한다. FRB는 재할인율(중앙은행-시중은행간 여신 금리) 등 금리 결정, 재무부 채권 매입과 발행(공개시장 활동), 지급준비율 결정 등의 권한을 가진다. FRB는 각 지역은행장들이 주요 기업가ㆍ이코노미스트ㆍ시장전문가 등의 경제상황 의견을 종합해 작성하는, 이른바 ‘베이지 북(Beige Book)’을 1년에 8차례 발행하기도 한다.
OWASP TOP 10은 웹 어플리케이션 보안 위협의 10가지 가장 일반적인 유형을 나열하고, 이를 방지하기 위한 대처 방안을 제공하는 프로젝트입니다. 이는 웹 어플리케이션 보안에서 매우 중요합니다.
첫째로, OWASP TOP 10은 개발자, 보안 전문가 및 비즈니스 리더 등 웹 어플리케이션 보안과 관련된 모든 이해관계자들에게 가장 중요한 보안 위협에 대한 인식과 이해를 제공합니다.
둘째로, OWASP TOP 10은 웹 어플리케이션 개발 및 보안 테스트에서 가장 일반적으로 발생하는 보안 위협을 식별할 수 있는 기준을 제공합니다. 이러한 기준을 사용하여 개발자와 보안 전문가는 보다 전문적이고 체계적인 보안 테스트를 수행할 수 있으며, 이를 통해 보안 위협을 방지하고 해결할 수 있습니다.
셋째로, OWASP TOP 10은 비즈니스 리더 및 의사 결정자들에게 웹 어플리케이션 보안을 강화하기 위한 가이드라인을 제공합니다. 이러한 가이드라인을 따르면 비즈니스는 웹 어플리케이션 보안을 향상시키는 데 필요한 자원 및 예산을 할당하고, 보안 위협을 방지하고 대응할 수 있는 전략을 수립할 수 있습니다.
따라서, OWASP TOP 10은 웹 어플리케이션 보안을 강화하고 보안 위협을 방지하는 데 매우 중요한 역할을 합니다.
OWASP TOP 10의 정의?
OWASP TOP 10은 웹 어플리케이션 보안 위협의 10가지 가장 일반적인 유형을 나열하고, 이를 방지하기 위한 대처 방안을 제공하는 프로젝트입니다. OWASP는 Open Web Application Security Project의 약어로서, 웹 어플리케이션 보안에 대한 지식을 공유하고 보안 문제를 해결하기 위한 세계적인 비영리 단체입니다.
OWASP TOP 10은 전 세계적으로 가장 많이 인용되는 웹 어플리케이션 보안 위협 리스트 중 하나입니다. 이 프로젝트는 보안 전문가, 개발자, 비즈니스 리더 등 웹 어플리케이션 보안과 관련된 모든 이해관계자들에게 가장 중요한 보안 위협에 대한 인식과 이해를 제공하며, 개발자 및 보안 전문가가 웹 어플리케이션 보안을 향상시키기 위한 대처 방안을 제시합니다.
OWASP TOP 10은 다음과 같은 10가지 웹 어플리케이션 보안 위협을 포함합니다.
1.인증 및 세션 관리의 부적절한 구현 2.민감한 데이터 노출 3.취약한 대규모 업로드 기능 4.보안 설정 오류 5.악의적인 코드 삽입 (injection) 6.취약한 외부 자원 사용 7.인증되지 않은 접근 제어 8.취약한 데이터 보호 9.부적절한 로깅 및 모니터링 10.보안 결함 처리 부재
이러한 위협은 웹 어플리케이션 보안을 강화하고 보안 위협을 방지하는 데 매우 중요합니다.
OWASP TOP 10의 구체적인 사례는 뭐가 있을까?
1. 인증 및 세션 관리의 부적절한 구현: · 예를 들어, 웹사이트 로그인 시 사용자가 제출한 비밀번호를 안전하게 처리하지 않거나, 세션 관리를 제대로 수행하지 않아 인증이 필요하지 않은 페이지에 액세스할 수 있도록 하는 경우가 있습니다.
2. 민감한 데이터 노출: · 예를 들어, 웹사이트에서 사용자의 개인정보나 결제 정보를 보호하지 않고 노출시키는 경우가 있습니다. 이는 악의적인 사용자가 이 정보를 탈취하여 부정한 목적으로 사용할 수 있습니다.
3. 취약한 대규모 업로드 기능: · 예를 들어, 웹사이트에 파일 업로드 기능이 있는 경우, 사용자가 업로드하는 파일에 대한 검증 절차가 부족하면 악성 코드가 포함된 파일을 업로드할 수 있습니다.
4. 보안 설정 오류: · 예를 들어, 웹사이트에서 보안 설정이 부적절하게 구성되어 있는 경우, 악성 코드가 삽입되거나 사용자가 액세스하지 않아야 할 기밀 정보가 노출될 수 있습니다.
5. 악의적인 코드 삽입 (injection): · 예를 들어, SQL injection 공격을 통해 웹사이트 데이터베이스에 액세스하여 사용자 정보를 탈취하는 경우가 있습니다.
6. 취약한 외부 자원 사용: · 예를 들어, 웹사이트에서 외부 API를 사용할 때, API의 보안 취약점으로 인해 사용자 정보가 유출되거나 웹사이트가 망가질 수 있습니다.
7. 인증되지 않은 접근 제어: · 예를 들어, 사용자가 로그인하지 않아도 액세스할 수 있는 페이지가 있는 경우, 악의적인 사용자가 민감한 정보에 액세스할 수 있습니다.
8. 취약한 데이터 보호: · 예를 들어, 웹사이트에서 저장하는 사용자 정보를 암호화하지 않은 경우, 악의적인 사용자가 이 정보를 탈취하여 부정한 목적으로 사용할 수 있습니다.
9. 부적절한 로깅 및 모니터링: · 예를 들어, 웹사이트에서 로깅 및 모니터링이 부적절하게 설정되어 있으면, 보안 사고 발생 시 이를 탐지하지 못하거나 대처하지 못할 수 있습니다.
10. 보안 결함 처리 부재: 예를 들어, 웹사이트에서 보안 취약점이 발견되었을 때, 이를 적절하게 처리하지 않으면 악의적인 사용자가 취약점을 이용하여 웹사이트를 공격하거나 사용자 정보를 탈취할 수 있습니다. 이를 예방하기 위해 취약점을 신속하게 수정하고 보안 업데이트를 수행해야 합니다. 보안 결함 처리 부재는 다른 위협들의 발생 원인이 될 수 있으며, OWASP TOP 10에서 가장 중요한 위협 중 하나입니다.
TLS는 데이터를 전송하는 동안 암호화를 제공하여 데이터를 안전하게 전송하는 프로토콜입니다. TLS를 사용하면 데이터가 암호화되므로 네트워크상에서 중간에 가로채어도 알아볼 수 없습니다. 그러나 TLS는 데이터가 메모리에 저장될 때는 암호화되지 않으며, 이 때 메모리 덤프가 있을 경우 데이터가 노출될 가능성이 있습니다.
메모리 덤프란 프로그램이 실행되는 동안 시스템 메모리에 저장된 내용을 파일로 저장하는 것입니다. 메모리 덤프를 수행하는 공격자가 있을 경우, TLS로 보호되는 데이터가 메모리에 저장될 때는 암호화되지 않으므로, 공격자가 해당 파일을 열어보면 데이터가 노출될 가능성이 있습니다.
그러나 이는 TLS 프로토콜 자체의 문제가 아니라 시스템 보안의 문제입니다. TLS를 사용할 경우, 데이터를 전송하는 동안에는 안전하게 암호화되므로 중간에서 데이터를 가로채더라도 알아볼 수 없습니다. 따라서 시스템 보안을 강화하여 메모리 덤프 등의 공격을 방어하는 것이 중요합니다. 예를 들어, 메모리 덤프를 방지하는 솔루션이나, 메모리 상에 저장된 데이터를 암호화하는 솔루션 등을 적용할 수 있습니다.
여기서 메모리덤프는 어떤 컴퓨터의 메모리를 이야기하는 걸까?
메모리 덤프(memory dump)는 컴퓨터의 물리적 메모리(RAM)에 저장된 내용을 파일로 덤프하는 것을 말합니다. 즉, 프로그램이나 운영체제 등이 메모리에 올린 데이터나 코드, 변수 등이 파일 형태로 저장되는 것입니다.
메모리 덤프는 보안 전문가나 해커 등이 시스템의 보안 취약점을 분석하거나, 디버깅을 위해 사용되기도 합니다. 하지만 악의적인 목적으로 사용될 경우, 메모리 덤프를 통해 시스템에서 중요한 정보를 탈취하는 등의 공격이 이루어질 수 있습니다. 따라서 시스템 보안을 강화하는 것이 중요합니다.
모바일에서 웹서비스로 https 로 통신되는 서비스를 이용하는 경우에, 메모리 덤프로 이용자의 데이터가 노출될 수 있을까?
모바일에서 웹 서비스로 HTTPS를 통해 통신하는 경우, 데이터는 암호화되어 전송되므로 중간에 가로채어도 데이터를 복호화하지 않으면 의미가 없습니다. 따라서 HTTPS를 사용하는 경우, 중간에 데이터를 가로채더라도 데이터가 노출될 가능성은 매우 적습니다.
그러나 메모리 덤프 공격을 받을 경우, 앱의 메모리에 저장된 데이터가 노출될 가능성이 있습니다. 메모리 덤프 공격은 모바일 앱에서도 가능하며, 메모리 덤프 파일을 수집한 공격자는 해당 파일을 분석하여 중요한 정보를 추출할 수 있습니다.
따라서 모바일 앱에서도 HTTPS를 사용하여 데이터를 암호화하고, 민감한 정보는 메모리에 저장하지 않는 것이 좋습니다. 또한, 모바일 앱에서는 안드로이드나 iOS와 같은 운영체제에서 제공하는 보안 기능을 이용하여 메모리 덤프 공격을 방어할 수 있습니다. 더불어, 적절한 취약점 분석과 보안 검토를 통해 앱 보안을 강화하는 것이 필요합니다.
웹서비스를 이용하는 모바일기기의 메모리덤프 공격을 하려면 어떤 권한을 획득해야 가능할가?
웹서비스를 이용하는 모바일 기기의 메모리 덤프 공격을 하기 위해서는 보통 해당 모바일 앱의 권한을 획득해야 합니다. 따라서, 공격자는 해당 앱의 취약점을 이용하여 권한 상승을 시도하거나, 앱을 해킹하여 권한을 획득해야 할 수 있습니다.
일반적으로 안드로이드 기기에서는 권한을 획득하기 위해서는 앱에게 권한을 요청하고, 사용자가 권한을 허용해야 합니다. 그러나, 모바일 앱에 취약점이 있을 경우, 공격자는 해당 취약점을 이용하여 권한을 상승시키는 방법을 시도할 수 있습니다.
또한, iOS 기기에서도 취약점을 이용하여 권한을 상승시키는 방법이 있을 수 있습니다. 예를 들어, iOS의 경우 앱 간 공유 컴포넌트를 이용하여 다른 앱의 권한을 이용할 수 있는 취약점이 발견된 적이 있습니다.
따라서, 모바일 앱 개발자는 모바일 앱 보안을 강화하는 것이 중요하며, 앱에 취약점이 있는지 주기적으로 검토하여 보안 취약점을 최소화하는 것이 필요합니다.
단말기를 획득하고, 획득한 단말기의 권한(루팅, 탈옥)을 획득하고, 메모리 덤프를 뜨게 되면, 취약점이 있는 앱서비스, 웹서비스 등을 사용했다면, 해당 유저의 중요 개인 정보들은 모두 노출이 되게 된다.
다음번에는 웹취약점의 가장 기본, OWASP TOP 10에 대해서도 알아보겠습니다 ! :)
As a provider of SaaS solutions in the form of web services, I often receive various security-related questions while addressing my clients' security issues. Through this process, I have gained experience in growing by finding ways to provide a safer service.
I would like to organize these experiences around questions and share them.
Does WebRTC require SSL (Secure Socket Layers) to be enabled for integration?
WebRTC is designed to be used only on HTTPS for security reasons. Therefore, WebRTC will not be activated in an HTTP environment without an SSL certificate.
For security, WebRTC uses SRTP (Secure Real-time Transport Protocol) by default and uses DTLS (Datagram Transport Layer Security) for data exchange. Since these security technologies cannot work without an SSL certificate, WebRTC cannot be used in an HTTP environment without an SSL certificate.
Therefore, to use WebRTC, you need to configure an HTTPS environment with an SSL certificate. To do this, you need to obtain an SSL certificate and apply the HTTPS protocol. You can use services such as Let's Encrypt, which provides free SSL certificates, to do this.
What are the differences between HTTPS, SSL, and TLS?
HTTPS is a secure protocol that secures the HTTP protocol, while SSL and TLS are protocols used in HTTPS.
SSL (Secure Sockets Layer) was initially developed by Netscape, while TLS (Transport Layer Security) was developed by IETF (Internet Engineering Task Force) as an improved version of SSL. Therefore, TLS can be considered as a successor to SSL.
SSL and TLS mainly use public-key encryption to protect data in network communications. In communication between clients and servers, SSL/TLS uses certificates to verify the identity of the other party and encrypts data to transmit it safely.
The differences between SSL and TLS include encryption methods, certificate formats, protocol versions, and others, but the basic principles are the same.
SSL has vulnerabilities and is currently not recommended for use, while TLS is constantly being upgraded. Currently, TLS 1.3 is the latest version.
I will cover deeper aspects in the next opportunity.
