Following His Step

ETF 가 살 수 있는 비트코인이 부족합니다/ GBTC 환매 이겨내고 비트코인 가격 상승 [알고뉴스]

https://www.youtube.com/watch?v=XA_QepOft5I&t=29s

고란 기자님의 <알고란>너튜브 채널 1월 30일 낮 12시 20분 방영된 내용을 정리해서 공유드립니다. 

1.  비트코인, 시장 정상화로 상승세 회복

- 촬영 시각인 1월 3일 낮 12시 20분경 비트코인 가격은 43,000달러이며 지금은 43,500달러를 회복한 것으로 나타났다.
- 낮은 조정없이 계속 상승하다 49,000달러까지 올라 시장이 과열되었으나, 이제는 정상화됨에 따라 JP 모건은 시장 정상화 과정으로 해석했다.
- 크립토 포테이토는 비트코인 악재의 세 가지 이유를 들었으나, 다른 이유들과 유사하다고 한다.

2. GBTC 환매 압력으로 비트코인 ETF 출시에 하락 압박 예상되나, 신규 ETF들 순매수로 가격을 버텼다.

- GBTC, 그레이스케일 비트코인 ETF의 환매 물량으로 인해 많은 판매가 이루어지고 있다.
- 하지만 GBTC 환매는 점점 감소하고 있으며, ETF 전체적으로는 순매수가 이뤄지며 시장의 수급은 안정적이다.
- 한편 JP 모건은 하락 압력이 사라졌다고 예측했지만 실제로 팔리는 GBTC 물량은 그렇게 많지 않아서 가격이 유지되었다.
- 또한 다른 아홉 개 ETF의 순매수가 있어 전체 비트코인 ETF는 양호한 수급을 유지하고 있다.

3. ️블랙락이 비트코인 ETF 시장 선두를 차지하고, 개인이 가장 많은 비트코인 보유자

- 블랙락은 비트코인 ETF 시장에서 선두에 오르며 자산 규모로 3위를 차지했다.
- ETF 시장에서 20억 달러를 돌파하고, 비트코인 현물 ETF 시장에서 첫 번째로 출시되었다.
- 개인들이 한 5만 2,000개의 비트코인을 보유하고 있는데, 이는 '인디비주얼'과 '고래'로 알려진 비트코인 보유자들이 가장 많다.
- 총 2,100만 개의 비트코인 중, '인디비주얼'이 가장 많이 보유하며, '이 주황색', '로스트', '언마인드' 등 다양한 유형의 보유자가 있다.
- '컴퍼니'는 기업들의 보유량, '펀드'는 기관들의 보유량, '정부' 파에는 정부의 보유량이 포함되어 있다.

4. ️비트코인 수량 한정, ETF 운용사들 국내/외 펀드에서 사올 예정.

- 총 공급량 2,100만 개 가운데, 130만 개의 비트코인만 채굴 가능. 필수 디지털 자산으로 인한 ETF 수요 상승도 빠르게 예상
- 펀드 사들이 비트코인을 구매할 때 다른 운용사들이 가지고 있는 비트코인을 사올 예정. 또한, 일부 펀드는 채굴자들이 내놓는 물량을 예상대로 사올 계획
- 디지털 자산 투자 상품에서 5억 달러 순 유출. 이를 보완하기 위해 여러 기관이 팔기도 하지만 구매하는 기관도 존재
- 130만 개 이상의 비트코인이 아직 채굴되지 않았으며, 채굴자들이 팔은 양이 많아짐에 따라 수량은 한정됨.

5.  고래들이 비트코인 시장에서 중요한 역할을 하고 있다.

- 개인 투자자 중 세 번째로 많은 비중을 차지하고 있는 고래들은 매수와 매도에 능해서 물량 시장에서 큰 영향을 미친다.
- 오히려 하락장일 때 고래들은 매수를 하고, 더 떨어질까봐 팔라는 개인들은 손절을 치며 매도를 하곤 한다.
- 과거 고점에 매도해 경제적 자유를 쟁취한 고래들은 현금화하지 않고 지속적으로 비트코인을 보유하며, 이는 긍정적인 전망에 기인한 것이라고 한다.
- ETF 승인되더라도 보유를 계속할 것으로 보이며, 고래가 그들보다 더 비트코인을 매수하고 있으며 이는 개인들에게도 호러가 된 것으로 나타났다.

6. ️비트코인 가격 전망은 불확실하고, 매집비트코인 양이 계속 증가 중

- 증가하는 매집 비트코인 양에 대응하기 어려운 ETF 운용사들은 비트코인을 어디에서 사야 할지 고민하게 될 수 있다.
- 매수 가능한 비트코인의 공급이 부족해지면, 비트코인 가격은 상승할 수 있다.
- 장기적으로는 가격 전망이 중요하지만, 단기적으로는 전망이 의미 없다.
- 전문가들은 대략 36,000달러~38,000달러대를 언급하며, 3만달러를 도달할 수도 있다고 언급한다.
- 이 역사적인 데이터를 살펴보면, 2월에는 주로 비트코인 가격이 상승하는 경향을 보이는 것으로 나타났다.

7. 비트코인은 장기적으로 오를 가능성이 높음

- 매트릭스 포트 분석가는 3월 말 비트코인이 5만 달러를 돌파할 것으로 예상하고, 내년 8월까지 더 오를 것이라고 전망함.
- ETF 승인과 신규 자금 유입에 대한 기대감이 높으며, 연말에는 70k를 찍을 것이라는 의견도 있음.
- 하지만 단기간에는 엇갈렸으며 비트코인의 장투는 예측 불가능하다는 것이 일반적인 견해이지만, 비트코인을 장기적으로 투자하며 매년 안정적인 수익률을 추구함.
- 그러나, 비트코인의 가격 변동성이 무척이나 심하기 때문에 의미없는 자산이 되기도 한다는 것을 명심해야함.
- 비트코인의 장기 투자 시, 천천히 꾸준하게 오르는 것을 바탕으로 투자해야하지만, 예측 불가능한 기간도 많기 때문에 장기적인 시각에서 투자할 때에도 손실을 감수할 수 있는 여유가 필요함.

8. 장투 성공을 위해 적립식 투자를 추천

- 난이도가 있는 장투를 겪을 때는 많은 어려움을 겪게 된다.
- 장투 성공 확률을 높이려면 금액 뿐 아니라 시간을 분산해서 적립식으로 투자하는 적립식 투자를 추천한다.
- 돈을 적립식으로 나누어 투자하지 말고, 시간을 분산하여 정확한 타이밍에 투자하는 것이 중요하다.
- 투자 결과와 판단은 투자자의 책임이다.

본 블로그의 요약내용은 홍익희 교수와 함께 비트코인과 이더리움의 미래에 대해 인터뷰한 내용입니다. 현물 ETF 승인이 나면 비트코인 도미넌스가 일시적으로 상승하고 그 뒤를 이어 알트코인이 상승할 것으로 전망됩니다. 이더리움은 업그레이드를 통해 처리 속도와 수수료를 개선하게 되어 성장할 것으로 예상됩니다. 레이어 2를 통해 레이어 1인 이더리움도 함께 성장할 수 있을 것입니다. 비트코인 도미넌스의 변화에 따라 알트코인 시장도 변동할 수 있으므로 실전 감각과 전망 보고서를 종합하여 판단하는 것이 좋습니다.

블록체인에서 이더리움이 더 유리한 이유는?

블록체인에서 개발자가 많은 체인은 암호 화폐 중 가장 많은 개발자를 보유한 이더리움이에요.

이더리움은 결제에 사용되는 기술의 근본이 되는 블록체인으로, 다른 분야에서도 쓰일 가능성이 크죠.

이더리움은 또한 시가 총액이 두 번째로 큰 코인으로, 이더리움과 생태계를 이해하는 것이 투자에 큰 도움이 될 거예요.

개인적으로 이더리움의 창시 이상과 다양한 용도를 좋아해요.

ETF 효과로 인해 법인 투자자도 암호화폐 투자가 가능해지며, 이로 인해 투자자가 늘어나고 가격 상승 가능성이 높아질 것으로 예상돼요.

비트코인과 이더리움의 공통점 및 탈중앙화 철학은?

비트코인과 이더리움은 모두 2009년과 2014년에 출시된 암호화폐로, 탈중앙화 철학에 기반을 두고 있다.

중앙 은행 없이도 온라인으로 가치를 전송할 수 있는 아이디어를 구현하고 있어요.

이는 개인의 돈을 송금할 때 방해받지 않는 권리를 갖는 것을 의미하는 탈중앙화 철학의 일환입니다.

추가로, 블록체인은 분산 장부 시스템으로, 여러 채굴자가 장부를 나눠 가지고 있는 것이 특징입니다.

비트코인은 출시된 지 10년이 지나면서 그 기능이 믿을 만하다는 평가를 받고 있습니다.

블록체인 채굴의 인센티브, 단점?

블록체인 채굴은 어려운 수학 문제를 해결하는 작업 증명을 통해 진행돼요.

비트코인은 작업 증명 방식을 사용하고, 이더리움은 최근에 지분 증명 방식으로 전환되었어요.

채굴자는 일을 정확하게 수행해야만 보상을 받을 수 있으며, 인센티브에 의존하는 시스템이에요.

블록체인의 단점으로는 느리고 수수료가 비싸다는 것이 있어요.

하지만 최근에는 이러한 문제를 해결하기 위한 다양한 솔루션이 나와있어요.

2023년 이후, 블록체인 기업화와 거래소 해킹에 대한 이야기는?

블록체인이 기업화되면서 개인 블록체인은 적게 사용되고, 비트코인은 해킹 사례가 없지만 이더리움은 2016년에 유명한 해킹 사례가 있었죠.

거래소에서의 해킹 사례가 많아서 한국의 거래소는 고객 자산과 거래소 자산을 완전히 분리해놓은 상태에요.

개발자가 많은 블록체인은 유리하고, 이더리움은 개발자가 가장 많아요.

스테이블 코인 중에서는 달러 기반의 USDT와 USDC가 압도적으로 많이 사용돼요.

비탈릭 부테린은 이더리움 창시자로 천재적인 인물이며, 이더리움은 작업 증명에서 지분 증명으로 전환되었어요.

블록체인 백서에 대해 설명해주세요.
블록체인 백서는 해당 블록체인의 전반적인 내용을 다루며, 이더리움 및 비트코인의 개발 과정, 기술적인 부분 등을 설명해요.

지분 증명에 관한 책에는 블록체인 개발자들의 문제 해결 방식을 엿볼 수 있어요.

코드 슬로우라고 불리는 비탈리 부테린은 이더리움의 해킹 사건을 통해 코드의 의미와 커뮤니티의 중요성을 인식했어요.

블록체인을 공부하는 사람들에게는 필수적인 문서로, 그 외에도 흥미로운 내용을 담고 있어요.

커뮤니티의 철학과 이더리움 홀더들의 집요한 노력이 이더리움 생태계의 유지에 중요한 역할을 한다고 해요.

이더리움이 탈중앙화 철학을 유지하는 이유는?

이더리움은 탈중앙화 철학을 버리지 않고, 이 철학을 계속 존속시키며 큰 커뮤니티를 형성하고 있어요.

이더리움은 초기에 나와 돈이 많이 몰려있어서 활용도가 높아요.

다른 코인들은 대부분 탈중앙화를 포기하였으나, 이더리움은 희귀한 사례로서 철학적인 정당성을 부여받고 있어요.

NFT와 같은 알트 체인들도 분산될 것이라고 생각해요.

이더리움은 스마트 컨트랙트를 통해 투자 등을 쉽게 만들어냄으로써 암호화폐 업계에서 많은 돈이 유입되었어요.

이더리움 사태의 원인과 대응방안은?

다오 해킹 사태로 인해 이더리움에서 10%의 피해 발생해요.

이를 대비해 해커의 지갑 동결, 해커가 가져가게 둠, 하드 포크라는 세 가지 대응 방안중 하드 포크로 대응했어요.

하루 안에는 소프트 포크를 해야 했는데, 디도스 공격 제보로 하드 포크를 택했습니다.

이더리움에 대한 불안이 높아지고 ICO 가동도 영향을 미쳤어요.

2017년 ICO 열풍과 하락의 원인은?

이더리움을 구매하기 위해 국내 거래소를 이용하곤 했어요.

ICOs에 참여하면 이후 중앙 거래소에서 상장되면서 코인의 가치가 크게 상승함으로써 부자가 되는 것이 일반적이었죠.

하지만 2017년 현직 법무부 장관의 ICO 거래소 폐쇄 언급과 규제 강화로 투자유입과 금융 손실이 발생했어요.

이로 인해 코인 가격이 하락하여 2년 동안 하락장이 계속 되었고, 2018년에는 코인 가격이 최저점을 찍게 되었어요.

JP모건, 이더리움 대비 비트코인에 대한 전망은?

JP모건은 이더리움이 비트코인보다 더 잘 나갈 것으로 예측하며 긍정적인 시장 전망을 가지고 있어요.

비트코인 가격 상승과 관련된 현물 ETF에 대한 기대감이 있지만, 이더리움에도 곧 현물 ETF 신청이 결정될 전망입니다.

이더리움은 일부 코인들의 가격 변동성이 높아 일어날 가능성이 있는 반면, 비트코인보다 움직임이 크게 움직이는 경향이 있어요.

또한, 솔라나(Solana)와 같은 일부 코인은 상승폭이 크게 일어났는데 비해, 이더리움은 상승폭이 비교적 적어질 수도 있습니다.

암호화폐 투자 시 어떤 소스를 신뢰해야 하나요?

코인 유튜버가 많아지면서 돈 버는 일이 쉽지 않아요요.

암호화폐 공부가 중요하며, 투자하기 전에 코인이 어떤 문제를 해결하는지 파악해야 해요요.

솔라나는 높은 관심을 받으며, 이더리움을 경쟁할 수 있는 코인으로 인식돼요요.

솔라나는 빠른 속도와 낮은 수수료를 특징으로 하며, 디지털 시대에 암호화폐가 적합한 결제 수단이라고 해요요.

솔라나의 특징과 취약성은?

미래는 AI 시대가 되어 개인화된 AI 비서가 암호화폐 승인을 담당할 가능성 높아요.

솔라나는 빠른 거래 속도와 저렴한 수수료로 인기 있는 코인이지만, 이코노믹 체인임에도 불구하고, 디도스 공격에 취약한 면이 있어요.

보통 결제 시 신용카드를 사용하듯이 코인을 사용하기 위해 솔라나와 같은 체인이 필요합니다.

하지만 솔라나의 가치는 블록체인의 신뢰성과 맞춤형 가격 산정, 성장 잠재력에 반영되어 있습니다.

추가로 시총이 낮아 더 발전할 가능성이 있어,디파이와 NFT 분야에서 활약할 여지가 있어요.

ETF 통과로 성장 전망되는 암호화폐는?

비트코인 ETF 통과가 거의 확실해지고 이더리움도 ETF 통과가 가능성이 높아졌어요.

하지만 이더리움은 아직 어떤 증권성 및 변수들이 클리어 해지지 않았기 때문에 앞으로도 불확실한 부분이 존재할 수 있어요.

하지만 이더리움이 통과되면, 이제 함께 갈 수 있는 후보 중 솔라나와 함께 성장할 것으로 전망돼요.

솔라나는 대중의 관심도가 높아지는 가운데 VC에서 많이 가지고 있는 코인 중 하나이며, 이제 ETF 통과로 성장할 가능성이 높아져요.

1세대, 2세대, 3세대, 4세대 블록체인 개념에서 이제 이더리움 같은 2세대 블록체인이 ETF 통과로 성장할 것으로 전망되며, 이더리움을 넘어 다른 3, 4세대 블록체인도 봄직한 가능성이 있다구요.

솔라나와 블록체인에 대한 투자 안내는?

솔라나는 블록체인이 잘 퍼질 것이라고 생각하지만, 코인의 펀더멘탈은 거의 없다고 보고 있어요.

솔라나의 기능이 모자라서 다음 세대가 나와야 하지만, 현재 상황을 봐야 한답니다.

암호화폐 시장이 상승중이며, 솔라나 이외의 암호화폐들도 빠른 속도로 가격이 올라가고 있어요.

손해를 보지 않고 이익을 지키기 위해 투자할 때는 수익 실현을 하거나 스탑로스 기능을 활용하는 것이 중요하답니다.

web3에 대해서 많이들 하게 되는 질문들에 대해서, 내용을 정리해보고자 한다.
 

• #1. web3라는 얘기는 왜 나오는 걸까? web은 알겠는데, web2, web3는 무슨 차이인가?
• #2. 각각의 구체적인 사례는?
• #3. web3의 세계는 정말 찾아올 수 있을까?

#1. web3라는 얘기는 왜 나오는 걸까?

(web은 알겠는데, web2, web3는 무슨 차이인가?)

 
Web1

이용자는 view만 할 수 있고 계정이 없다.

 
Web1은 초기의 정적인 웹입니다. 이는 주로 정보의 단방향 전달에 초점을 두었으며, 사용자는 주로 웹사이트에서 제공하는 콘텐츠를 소비하는 역할을 했습니다. 사용자와 서버 간의 상호작용이 제한적이었고, 대부분의 플랫폼이 중앙집중화되어 있었습니다.

Web2 

web2, 이용자 계정의 Password를 회사가 보관한다

Web2는 상호작용과 협업이 강조된 웹입니다. 이는 소셜 미디어, 온라인 커뮤니티, 클라우드 서비스 등을 포함한 현대적인 인터넷의 모습을 의미합니다. Web2에서는 사용자들이 콘텐츠를 생성하고 공유할 수 있으며, 실시간 상호작용과 소셜 네트워킹이 가능합니다. 그러나 이러한 플랫폼은 여전히 중앙집중화되어 있고, 사용자 데이터와 제어 권한이 플랫폼 운영자에게 집중되는 한계가 있습니다.
 
Web3

web3,  이용자 계정의 Password를 개인이 보관한다

오랜만에 web3 SNS 스티밋에 들어갔다가 password를 기억하지 못해서, reset을 해보려고 했다.
그러나 steemit은 역시 찐 web3 서비스다. 패스워드 잃어버리면 끝인 것이다. 중앙화되어 계정을 컨트롤하고 관리하는 주체가 되는 회사가 없다. 각 개인이 잘 보관해야 한다. 그래서 결국 새로 계정을 만들고 첫 글을 남겼다.
https://steemit.com/john8-32/@heejoonhwang/feat-truth-shall-set-you-free

 
Web3는 분산 웹(Distributed Web)이라고도 불리며, 중앙화의 한계를 극복하고 사용자들에게 더 많은 통제력을 부여하는 것을 목표로 합니다. Web3는 블록체인과 분산 웹 기술을 활용하여 사용자들이 중앙 기관이나 중개자 없이 서로 직접적으로 상호작용할 수 있는 환경을 제공합니다. 이는 사용자의 디지털 자산의 소유권과 개인정보를 강화하며, 스마트 컨트랙트와 암호화폐를 통해 신뢰성과 투명성을 보장합니다.
 
따라서, Web3는 중앙 집중화된 기존의 인터넷 모델에서 탈피하여 분산화와 사용자의 자율성을 강조한 새로운 웹의 형태를 의미합니다. 
이러한 변화는 암호화폐, 탈중앙화된 애플리케이션, 분산화된 스토리지, 신원 인증 등 다양한 기술과 애플리케이션을 통해 구현될 수 있습니다. Web3는 사용자가 중앙 기관에 의존하지 않고, 자신의 데이터와 디지털 자산을 직접 소유하고 관리할 수 있는 웹 환경을 제공합니다.
 
또한, Web3는 블록체인 기술과 스마트 컨트랙트를 중심으로 구축됩니다. 이더리움(Ethereum)과 같은 플랫폼은 탈중앙화된 애플리케이션(DApp)을 개발하고 실행하기 위한 환경을 제공합니다. 이를 통해 개발자들은 중앙 기관에 의존하지 않고, 분산된 방식으로 애플리케이션을 구축할 수 있습니다.

Web3의 목표는 사용자의 자율성과 개인정보 보호를 강화하며, 중앙화된 기존의 웹 모델에서 벗어나 상호작용과 협업의 새로운 모델을 구축하는 것입니다. 암호화폐와 블록체인 기술을 중심으로 한 Web3의 발전은 분산화와 탈중앙화를 추구하는 새로운 인터넷 시대의 도래를 의미합니다.
 

#2. 각각의 구체적인 사례는?

Web1

web1,  get views 

- 1990년대 초반의 초기 인터넷을 예로 들 수 있습니다.
- 정적인 HTML 웹페이지가 주류이며, 정보의 단방향 전달에 초점을 두고 있습니다.
- 사용자는 주로 웹사이트에서 제공하는 콘텐츠를 소비하고, 상호작용의 기회는 제한적입니다.
- 예시: 1990년대 초반의 닷컴 버블 시기에는 정적인 기업 웹사이트가 많이 등장했습니다. 

Web2 

web2,  get likes

- 현대적인 인터넷의 모습을 대표하는 웹입니다.
- 사용자들이 콘텐츠를 생성하고 공유할 수 있으며, 실시간 상호작용과 소셜 네트워킹이 가능합니다.
- 사용자들 간의 협업이 강조되며, 소셜 미디어, 온라인 커뮤니티, 클라우드 서비스 등이 활발히 사용됩니다.
- 예시: Facebook, Twitter, Instagram, YouTube, Google Docs 등이 Web2의 대표적인 예시입니다.
 

Web3

web3,  get paid

- 현대적인 인터넷의 모습을 대표하는 웹입니다.
- 중앙 집중화의 한계를 극복하고 사용자의 자율성과 개인정보 보호를 강조하는 웹입니다.
- 블록체인과 분산 웹 기술을 활용하여 중개자 없이 사용자들이 직접 상호작용할 수 있는 환경을 제공합니다.
- 사용자의 데이터와 디지털 자산을 소유하고 관리할 수 있는 기회를 제공하며, 스마트 컨트랙트와 암호화폐를 활용하여 신뢰성과 투명성을 보장합니다.
- 예시: Steem 탈중앙화 SNS, MetaMask를 이용한 탈중앙화된 애플리케이션(DApp) 사용, Uniswap을 통한 탈중앙화된 거래, OpenSea에서의 NFT 거래 등이 Web3의 예시입니다.
 
 

유저 10만 명 이상을 모아낸 web3 서비스?

CryptoKitties: CryptoKitties는 Ethereum 블록체인 위에서 동작하는 탈중앙화된 가상 고양이 게임입니다. 사용자들은 유전자 조합을 통해 고유한 디지털 고양이를 생성하고 거래할 수 있습니다. 이 게임은 2017년에 출시되었으며, 출시 이후 많은 관심과 인기를 얻어 유저 수가 급증했습니다. CryptoKitties는 유저들이 디지털 자산을 소유하고 거래할 수 있는 Web3의 잠재력을 보여준 성공 사례 중 하나입니다.

Uniswap: Uniswap은 Ethereum 기반의 탈중앙화된 거래소로서, 사용자들이 암호화폐를 교환하고 스마트 컨트랙트에 의해 자동으로 거래가 이루어집니다. Uniswap은 간편한 사용성과 탈중앙화된 특성으로 많은 유저들의 관심을 받아왔으며, 유저 수가 지속적으로 증가하고 있습니다.

Brave Browser: Brave Browser는 개인정보 보호와 광고 차단 기능을 강조하는 웹 브라우저입니다. 브라우저 내에서 기본적으로 광고가 차단되며, 사용자는 광고를 볼 경우 보상으로 암호화폐인 Basic Attention Token (BAT)을 받을 수 있습니다. Brave Browser는 사용자들에게 개인정보 보호와 광고 선택의 권한을 부여하여 많은 유저들의 관심과 참여를 얻었습니다.
 
Steem : Steem은 블록체인 기술을 기반으로 한 탈중앙화된 소셜 미디어 플랫폼으로, 사용자들은 콘텐츠를 생성하고 공유하며 보상을 받을 수 있습니다.

Steem은 사용자들이 플랫폼 내에서 콘텐츠를 작성하고 게시하는 것을 장려하기 위해 스팀 토큰을 보상으로 제공합니다. 이 토큰은 사용자들이 콘텐츠에 투표하거나 참여함으로써 얻을 수 있으며, 작성자는 받은 보상을 스팀 토큰으로 전환하거나 다른 암호화폐로 교환할 수 있습니다.

Steem은 사용자들에게 중앙 집중화된 소셜 미디어 플랫폼과는 다른 경험과 혜택을 제공하고 있습니다. 사용자들은 자신의 콘텐츠에 대한 소유권과 제어권을 가지며, 중간 거래자나 광고주 없이 직접적인 상호작용과 보상을 경험할 수 있습니다. 이러한 특징으로 인해 Steem은 대규모의 사용자를 모으며 Web3의 성공 사례로 인정받고 있습니다.
 
 

#3. web3의 세계는 정말 찾아올 수 있을까?

이야기가 길어져서 다음 포스팅으로 이어가 보겠습니다
 
 
감사합니다 ^^

나 : 메모리 덤프를 통해서 브라우저 단의 정보를 탈취해 가는 것을 막으려면 

어떤 보안조치를 해야할까?

ChatGPT : 메모리 덤프는 악성 코드가 실행 중인 프로세스의 메모리를 검색하여 중요 정보를 탈취하는 데 사용되는 기술입니다. 따라서 브라우저 단에서 메모리 덤프를 막으려면 다음과 같은 보안조치를 취할 수 있습니다.

취약점 패치: 브라우저 취약점을 해결하는 패치를 적용하여 메모리 덤프를 방지할 수 있습니다. 브라우저 공급 업체는 취약점을 신속하게 패치하고 최신 버전으로 업데이트하도록 권장됩니다.

보안 설정 강화: 브라우저 보안 설정을 강화하여 악성 코드가 실행되는 것을 방지할 수 있습니다. 이는 인터넷 보안 소프트웨어를 사용하여 공격을 탐지하고 차단하는 것과 같은 방법으로 이루어질 수 있습니다.

데이터 암호화: 브라우저에서 중요한 정보를 보호하기 위해 데이터 암호화를 구현할 수 있습니다. 이를 위해서는 SSL/TLS 프로토콜을 사용하여 데이터를 암호화하고 HTTPS를 사용하여 웹 사이트 연결을 보호해야 합니다.

메모리 보호: 브라우저는 메모리 보호 기술을 사용하여 실행 중인 코드가 다른 프로세스의 메모리를 읽거나 쓸 수 없도록 할 수 있습니다. 이를 위해서는 예를 들어 ASLR(Address Space Layout Randomization)과 같은 기술을 사용하여 메모리 주소를 무작위로 할당하고, 실행 파일에 대한 메모리 보호 기능을 활성화해야 합니다.

보안 인증서 검증: 브라우저는 SSL 인증서의 유효성을 검증하여 악성 인증서를 사용하는 웹 사이트에서의 연결을 방지할 수 있습니다. 이를 위해서는 인증서 검증 기능을 활성화해야 합니다.

보안 소프트웨어 설치: 인터넷 보안 소프트웨어를 설치하여 브라우저를 보호할 수 있습니다. 이러한 소프트웨어는 악성 코드를 탐지하고 차단하여 브라우저에서 발생하는 보안 위협을 줄일 수 있습니다.

이러한 보안조치를 적용하여 브라우저 단의 정보를 탈취하는 메모리 덤프를 방지할 수 있습니다. 그러나 보안은 끝이 없기 때문에, 완벽하다고 보장할 수는 없습니다.




나 : SSL 암호화 만으로는 메모리 덤프 될 때 탈취되는 정보를 지킬 수 없는 거 아니니?

ChatGPT : 맞습니다. SSL 암호화는 데이터를 안전하게 전송하는 데에 도움을 주지만, 메모리 덤프를 통해 브라우저에서 실행 중인 애플리케이션의 정보가 노출될 가능성이 있습니다. 이러한 공격은 SSL 암호화가 강력하게 적용되더라도 메모리 덤프를 통해 정보를 탈취할 수 있는 것으로 알려져 있습니다.

따라서 메모리 덤프를 방지하기 위해서는 SSL 암호화 외에도 다른 보안조치를 취해야 합니다. 먼저, 애플리케이션에서 중요한 정보를 저장하는 변수를 암호화하여 보호할 수 있습니다. 또한, 메모리 보호 기술을 사용하여 메모리 덤프를 차단하고, 인증서 검증, 보안 소프트웨어 설치 등 다양한 보안조치를 함께 적용하여 보안을 강화할 수 있습니다.

또한, 애플리케이션 내에서 중요한 정보를 최소한으로 유지하고, 처리가 완료되면 즉시 메모리에서 삭제하도록 구현함으로써 정보 노출을 최소화할 수도 있습니다. 이러한 방법들은 SSL 암호화 외에도 보안성을 향상시키고, 메모리 덤프에 대한 위협을 줄일 수 있는 방법입니다.

미국 연방준비제도(FRS : Federal Reserve System)

미 연준의 중요한 역활

- 연방준비이사회는 중앙은행으로써 두 가지 의무를 가지고 있습니다. 

- 즉, '물가'와 '일자리 시장'이라는 두 가지 중요한 경제적 요소 사이에서 균형을 찾아야 하는 상당한 책무를 감당해야합니다.

CPI, PPI 

- 경기선행지수에 어떤 예측하지 못한 변화가 나타날 경우 시장의 기대치를 관리하기 위하여 연설이나 공식 행사에서 연준 위원들이 이를 언급하는 경우가 많습니다. CPI는 소비자들이 특정 기간동안 구매한 재화와 용역의 총 가치를 측정한 값입니다.  동시에, PPI는 생산자의 입장에서 물가를 측정합니다.  특히 PPI는 소비재를 생산하는 비용을 측정합니다. 원자재와 식품 가격이 소매가에 직접적인 영향을 끼치기 때문에 PPI는 인플레이션 압력의 좋은 선행 지표로 여겨집니다.

CPI : 소비자들이 특정 기간동안 구매한 재화와 용역의 총 가치를 측정한 값

PPI : 생산자의 관점에서 본 인플레이션 척도

CPI 및 PPI의 거래

복잡한 보고서에도 불구하고 트레이더들은 여러 가지 방식으로 데이터 발표를 준비할 수 있습니다. 우선, 다양한 신뢰 보고서와 PMI 보고서에서 얻은 정보를 활용하여 지난 한 달간 소비자와 생산자 모두가 직면한 물가 상황을 파악할 수 있습니다.

 소매 판매 보고서 역시 인플레이션을 미리 알 수 있는 중요한 지표로 여겨지며, 에너지 가격과 일반 원자재 전망을 모니터링 하는 것 역시 데이터가 발표되기 전에 거래자들이 올바른 포지션을 취하는데 도움이 됩니다.  만일 원자재 가격에서 큰 변화가 있었다면, 시장은 가장 신뢰할 수 있는 통계인 '근원' PPI에 초점을 맞출 가능성이 매우 높습니다.

금리 조정을 위한 CPI 및 PPI의 모니터링

 일반 원칙으로 연방공개시장위원회(Federal Open Market Committee, FOMC)는 인플레이션율을 중기적으로 약 2%대에서 유지할 수 있도록 통화정책을 시행합니다.  만약 PPI 또는 CPI 수치가 이 수준을 넘어서 유지된다면, 연준은 이것이 경제에 위협이 된다고 간주합니다. 그리고 물가 상승을 통제하기 위하여 금리를 인상할 수 있습니다. 다른 한편으로 장기간 저인플레이션 혹은 물가상승이 마이너스를 유지한다면 중앙은행은 경제를 활성화 하기 위하여 금리를 인하하거나 양적 완화(Quantitative Easing, QE)를 실시하여 조치를 취할 것을 고려할 것입니다.

연방공개시장위원회(Federal Open Market Committee, FOMC)

FOMC는 미국의 중앙은행제도인 연방준비제도(Federal Reserve System, 일명 Fed) 내에서 정책금리인 기준금리 등을 결정하는 위원회이다. 미국의 연방준비제도는 12개의 연방준비은행·연방준비제도위원회·연방준비은행이사회·연방공개시장위원회로 구성되는데 이 중 연방공개시장위원회를 해당 영문 명칭의 앞 글자를 따 FOMC라고 부르는 것이다.

Fed는 통화정책수단으로 공개시장조작, 재할인율 및 지급준비율 조절 등을 활용하고 있는데, FOMC는 이 중 미국의 은행간 1일물 대출금리인 연방기금금리(Federal Funds Rate) 수준에 직접적인 영향을 미치는 기준 금리(Target Federal Funds Rate)를 설정하는 의사결정을 한다. FOMC는 1년에 8차례 정기회의를 개최하며 기준금리 결정 이외에도 경제상황에 관한 종합적인 평가와 통화정책의 기본방향을 제시한다.

FOMC의 위원은 총 12명으로, 연방준비제도위원회의 위원(Governor) 7명과 뉴욕연방준비은행 총재가 당연직으로 참여하고 나머지 네 자리를 11명의 연방준비은행 총재(President)들이 1년씩 돌아가며 맡는데, FOMC의 의장은 연방준비제도위원회의 의장(現 재닛 앨런)이 겸임하며 부의장은 FOMC의 의사결정 사항을 집행하기 위해 실제 공개시장조작(Open Market Operation)을 담당하는 뉴욕 연방준비은행 총재가 맡는다.

최근 글로벌 금융시장 참가자들이 계속해서 미국의 기준금리 인상 시기 및 속도에 대해 최대 관심을 기울이고 있는 것은 이것이 전 세계적으로 금리, 환율, 주가, 자본이동 등 금융시장과 투자, 소비, 수출입 등 실물경제에 미치는 영향력이 매우 크기 때문이다.

연방준비제도이사회(FRB: Federal Reserve Board)

230419 신의 두뇌 유튜브 영상에 대한 내용을 정리해보았습니다.

https://www.youtube.com/watch?v=MV_LgxSThlY 

시장? 자료를 보고 정확히 근거를 갖고 분석해야 합니다.

#1. 

고금리 = 달러의 강세 = 원달러 환율 강세 => 비트코인 약세

#2.

영국의 생산자 물가 (물가상승률) => 영국 기준금리를 올려야 한다 => 달러의 강세와 연결되지 않는다.

영국 상황

- 뉴스 : CPI 가 올라가는 상황

- 영국은 축구 때문에 CPI가 올라가는 나라다.

- 영국 성장률에 축구가 미치는 영향이 엄청나다.

- 축구가 한창인 시기에는 물가지수가 높게도 된다.

ex) 우리나라 고교야구 "청룡기", "봉황기"

    - 지방에서 4-50대씩 동대문 야구장으로 야구구경을 하러 온다.

    - 주변 상권이 만들어지게 된다. 

    - 80년대는 야구때문에 먹고 살았던 상권 형성

    - 프로스포츠가 경기를 살리곤 했다. 

유럽 상황

- 뉴스 : CPI 6.9% (소비자물가지수) 동일하게 나왔다.

Q. 금리를 올려야할까? 

A. 올려야 한다. 

- 이유는 아래 미국 상황 확인

미국 상황

- 뉴스 : CPI가 예상치보다 낮게 나왔다.

- 그런데도 불구하고, 금리 올릴게요! 하는 상황이었다.

- 그렇다면, 유럽에서는 CPI 가 동일하게 나왔다면, 금리가 올라갈 수 밖에 없는 것이다. 

중국 상황

- 뉴스 : 4%가 예상이었는데, 4.5%로 GDP가 찍혔다.

- 중국이 이렇게 나오면, 우리가 잘 나와야 한다. 한국 성장률도 잘 나와야 하는 것이다.

- 산업생산률 2.7 (예상치) => 3.0% - 수출에 관계됨

- 소매판매율 7.4 (예상치) => 10.6% - 로또를 맞듯이 올라간 것이다. (소비가 이렇게 올라갔다면? Q.무엇이 동반되어야 하는가? A. 물가상승률이 확실하게 올라야 하는데, 물가는 1.6% 밖에 안오른 것이다.) 

- 수출 못하고 내수소비로만 이렇게 성장을 한 것이다.

- 중국의 코로나 이후에 소비를 늘린 것도 있는데, 통화정책을 했다는 것이다.

- 중국은 양적완화를 해줬다는 것이다. 

- 물가상승률 1.6% : 너무 이상하게도 안오른 것이다.

- 소매판매율이 늘어서 GDP가 늘었는데... 

- 소비가 잘 될 때는 금을 사야되? 위험자산을 사야되? => 위험자산(미래가치) 쪽을 사게 되있다.

- 경제지표는 좋게 나왔는데, 국민들은 왜 금을 산 것일까?!?!?

- 경제가 위험할지도 몰라. 안정자산 사야되~ 이 심리가 중국 상황인 것이다. 금을 사고 귀금속을 사고 있는 상황.

- 하이퍼 인플레이션 : 경제가 붕괴되었다 라는 의미. 이렇게 되면 비트코인이 오른다. 그렇게 될 수는 없다. 

- 코로나 이후에 인프라 투자를 통해서 경제를 살리겠다고 하는 중국 정부

    - 유럽이나 미국은 왜 경기침체 이야기를 하는데, 어떻게 회복시키겠다 이런 얘기를 왜 안하는 것일까?!?!

    - 중국은 왜 이렇게 확실하게 이야기를 하고 있는 걸까? 걱정하지 마세요! 우리가 이끌어가겠습니다! 

    - 이렇게 이야기할 수 없는 이유는, 이렇게 되려면, 양적 완화 하겠다는 뜻인 것이다. => 물가 상승이 또 오게 되는 것이다.

    - 중국은 물가가 낮게 나왔었기 때문에 이렇게 이야기를 할 수 있는 것이다.

    - 중국의 인플레이션 수치가 거짓이라면, 여기서 인프라설비 투자로 나아간다면 => 중국은 하이퍼 인플레이션을 경험하게 될 것이다. 

    - 연말에 중국이 풀어놓은 돈 때문에, 하이퍼 인플레이션을 경험하게 될 것.  => 중국의 위완화 가치가 급격히 떨어지게 될 것이다.

- 부동산이 오르면 반드시 살아나는 것?!? => 소비가 늘어나게 된다. (자동차, 명품 등등) =>  내수 소비경기가 좋아진다.

- 중국의 리오프닝으로 우리나라에 영향을 주는 경우, 잘 먹고 나와야 하는 것.

- 동남아에 중국 관광객이 없다. 

- 중국의 실업률?  낮아졌다고 하는데, 실제로 그렇지 않다.

- 중국의 물가?  실제로는 많이 올랐다고 한다. 

- 중국의 통계 자체는 현재 신빙성이 낮다고 봐야 할 것이다. 

- 중국발 리스크, 중국이 생각보다 성장하지 못한다면 => 주게 될 충격이 크다.

- 일시적으로 끌어올릴 수 있지만, 리스크가 크고, 그것이 비트코인 시장도 하락 시킬 가능성이 있음.

- 오히려 위완화 가치는 떨어지고 달러 가치는 올라가게 될 것이다.

- 중국과 위완화로 거래하던 나라들은 망하게 되는 것이다. 

- 방글라데시, 남미 등등 => 위완화가 안좋아지면, 점점 위완화 결제를 기피하게 될 것이다.

- 위완화로 인해서 달러가 망한다? 섣불리 판단이 쉽지 않게 된다.

프랑스 상황

- 미국과의 대치 상황?

- 연금 개혁 문제로 인해서 정권이 불안하다.

- 정치적인 쇼가 필요하다. 외교를 통해서 수출을 받아오고, 실적을 늘릴수 있는 꺼리가 필요하다.

- 중국의 소비력이 필요한데, 친중국적으로 가야 하다보니, 미국과의 대치 분위기가 만들어질수도 있는 것이다.

- 프랑스가 전폭적으로 중국과 붙는다? 이거는 어려워 보인다.

미국 상황

 Q. 달러의 최근 상황은 어떤 것일까?

- Investing.com 에서 확인하라.

- 외환 그래프 (달러/엔), 위로 가면 달러 강세, 아래로 가면 달러 약세인 것이다.

- 달러 약세: 유로/엔화 2008년, 

- 달러 약세 : 유로/달러

- 2008년 당시, 서브프라임 모기지

    Q. 달러 약세 vs. 달러 강세 어떻게 배우나요?

    A. 달러 강세라고 배우는데, 이 그래프를 보면 어떤가요? 실제로는 약세였습니다.

- 우리나라 원화에 비해 강세였던 것이지 실제로 유로화나 엔화에 비해서는 약세였던 것이다.

- 그 당시 원화대비 강했던 달러, 일반적인 원칙 "달러 강세 = 원화 약세" 

- 그러나 그당시에는 실제로 달러보다 더 강했던 화폐가 있었던 것이다. 

- 그 당시 원화는 엔화, 유로화 모두에게 다 약했던 것이다. 엔화 > 유로화 > 달러 > 원화 였던 것이다.

- 경제 위기 없이 금리만 바라보는 관점에서는 => 엔화, 유로화가 올라갈 때 => 달러가 약해지고 => 원화가 같이 올라갈 수 있다!

- 경기 침체 등의 경제 위기 관점에서는 => 달러가 약세로 되어도, 유로화 엔화가 강세가 되고 원화도 강세가 된다? 안 맞는다. 달러가 강세가 되어도 원화는 약세, 달러가 약세가 되어도 원화는 약세...올해 우리나라의 가장 위험한 이슈이다. 

- 원화는 경기침체가 오면, 달러, 엔화, 유로화의 관계, 어디에도 포함이 안되고 계속 얻어 터지게 된다. 

- 환율이 튀면 => 외국인들이 빠져나가게 된다. 금융시장, 부동산시장에서 위기가 찾아오게 된다. 

- 환율이 오르면?!? => 한은에서 금리 인상을 해야 된다.

- 외환이 빠져나가면?!? 

    - 미국이 우리보다 이자가 높으면, 당연히 미국으로 돈이 빠져나간다. 

    - 외국인들이 빠져나가는 것을 막으려면, 금리를 올려야만 하는 상황이 생긴다.

    - 그러면 누가 죽나? 가계가 죽어나간다. 대출받은 서민들, 주식, 부동산이 큰 위기에 빠지게 된다. 

- 올해 환율 빠질 것이라고 예상하는데, 절대 쉽지 않다.

- 전세사기?가 아니었는데, 사기가 자꾸 발생되는 이유가 무엇인가?!?! 금리상승 

- 권도형은 사기꾼이 될 결정적인 원인 중에 하나는 무엇인가?!?! 금리상승

- 금리가 낮으면, 사기꾼들, 경제사범들이 숨어서 범죄하기 좋아진다.

- 금리가 올라가면, 경찰들이 사기꾼을 잡기 시작한 것이다.

- 전세사기꾼들이 다 잡히게 된다.

- 수영장에서 물이 빠지면 팬티를 누가 벗고 있는지 알 수 있다. (편하니깐 벗는다. 돈 왜 빌리나? 편하니깐!!)

- 연말에 원-달러 환율이 뛰면 => 한은은 금리를 올릴 수 밖에 없어진다.

Q. 우리 환율(원/달러)이 오르게 되는 원인은 무엇인가?

- 미국은 물가 상승을 잡기 위해서 금리를 높인 것이고, 그로 인해서 미국 환율이 강세를 뛰게 된 것이다. 

Q. 미국이 중국의 외환위기를 유도하는 것일까요?

- 중국 문제 : 지들이 위험한 상황인데도 양적 완화를 한 것이 문제인 것.

- 미국 문제 : 자기들 물가때문에 금리 올린 것이고.

미국 상황, 우리나라 상황, 비트코인 이슈

- 아직 해결된 문제가 아니다. 위험을 동반하고 있음.

- 금리 동결할 것이라 예상됨.

- 이때부터는 금리 인상할 필요가 없어진다.

    - 그 구간에 비트코인은 오르게 된다.

    - 골드락스 : 골든 크로스가 나와야 한다.  "물가 = 금리" 같을 때 나타나는 현상, 이때 오르게 된다.

    - 물가가 떨어지고, 금리가 올라가면서 만난다. 연준은 2000년대 이후에 이 타이밍에 항상 금리 동결을 했음.

    - 이번 4월 13일, CPI : 5.0%, 기준금리 5.0%, 정확히 맞았음.

    - 금리 동결하면 주식이 올랐었다. 

    - 0.25 씩 금리를 올리다가 동결했는데, 이번에는 0.75 씩 올리다가 동결 

    - 금리를 동결해도 오르려고 할 것이다. 시장의 습관 때문에...

    - 골드락스라고 하는 타이밍이 오더라도, (금리동결 가정했을 때) 

- 금리 인상 80%, 인하가 20%, 동결이 가장 합리적으로 보인다. 

- 지금 비트코인 2% 빠졌는데, 사들인 사람들이 고래일까?!? 아닐 것 같음. 

- 손바뀜이 나오려면 개인들이 타야되는데, 그런 상황이 아니라고 보여짐

- 미국의 애널리스트들, 현금비중이 너무 높은 상태. => 항상 롱이었다.

- 다들 망한다, 떨어진다 하는데, 그럴 때 떨어지는 경우가 별로 없다.

- 증권사나 자산운용사 취직하면, 하락을 하더라도 어디든 투자를 해야 합니다. 

기적의 수익률은 개인이 올릴 수 있다.

- 개인 vs. 기관

- 기관은 무조건 팔게 되있다.

- 개인은 엄청난 수익률을 올리곤 한다. 

2025년 : Target 타이밍

- 누구나 벌 수 있는 시장이 올 수 있다.

- 조금이라도 불릴 수 있는 방법, 100 => 130~140 으로 불리는 것.

- 차라리 주식도 괜찮다. 

QUIZ

Q. 경제위기로 가면, 유로화나 엔화가 오른다고 해서, 원화의 가치가 회복된다 안된다?!?!

A. 안된다. 유로화, 엔화가 강세가 되면, 달러는 약세, 그로 인한 원화도 강세로 돌아서는 것이 일반적이지만, 

경기침체 상황에서는 원화는 어느 편에도 못서고, 계속 약세가 될 수 있음. 

Q. 금 vs. 비트코인, 왜 우리는 비트코인을 사려고 하는가?

A. 돈이 적은 사람, 수익률이 제일 중요하기 때문에. 

Q. 금을 사는 이유? 

A. 100억을 갖고 있는 경우? 금을 사려고 한다. 인생을 바꿀 필요 없는 사람

추가로 공부해야 하는 내용

1. 달러화, 유로화 관계? 일반적으로는 상대적

2. CPI 소비자 물가 지수

3. PPI 생산자 물가 지수

4. 경기침체 정의 : IMF 경제성장률 3.5%가 평균인데, 3.0% 이하인 경우

5. GDP

6. 하이퍼인플레이션 : 현재 중국의 물가지수가 신빙성이 없고, 양적완화를 한거라면, 중국에 생길 수 있는 리스크.

항상 좋은 강의 감사드립니다. 신두님 건강하세요.

OWASP TOP 10 이 웹보안에서 왜 중요할까?

OWASP TOP 10은 웹 어플리케이션 보안 위협의 10가지 가장 일반적인 유형을 나열하고, 이를 방지하기 위한 대처 방안을 제공하는 프로젝트입니다. 이는 웹 어플리케이션 보안에서 매우 중요합니다.

첫째로, OWASP TOP 10은 개발자, 보안 전문가 및 비즈니스 리더 등 웹 어플리케이션 보안과 관련된 모든 이해관계자들에게 가장 중요한 보안 위협에 대한 인식과 이해를 제공합니다.

둘째로, OWASP TOP 10은 웹 어플리케이션 개발 및 보안 테스트에서 가장 일반적으로 발생하는 보안 위협을 식별할 수 있는 기준을 제공합니다. 이러한 기준을 사용하여 개발자와 보안 전문가는 보다 전문적이고 체계적인 보안 테스트를 수행할 수 있으며, 이를 통해 보안 위협을 방지하고 해결할 수 있습니다.

셋째로, OWASP TOP 10은 비즈니스 리더 및 의사 결정자들에게 웹 어플리케이션 보안을 강화하기 위한 가이드라인을 제공합니다. 이러한 가이드라인을 따르면 비즈니스는 웹 어플리케이션 보안을 향상시키는 데 필요한 자원 및 예산을 할당하고, 보안 위협을 방지하고 대응할 수 있는 전략을 수립할 수 있습니다.

따라서, OWASP TOP 10은 웹 어플리케이션 보안을 강화하고 보안 위협을 방지하는 데 매우 중요한 역할을 합니다.

OWASP TOP 10의 정의? 

OWASP TOP 10은 웹 어플리케이션 보안 위협의 10가지 가장 일반적인 유형을 나열하고, 이를 방지하기 위한 대처 방안을 제공하는 프로젝트입니다. OWASP는 Open Web Application Security Project의 약어로서, 웹 어플리케이션 보안에 대한 지식을 공유하고 보안 문제를 해결하기 위한 세계적인 비영리 단체입니다.

OWASP TOP 10은 전 세계적으로 가장 많이 인용되는 웹 어플리케이션 보안 위협 리스트 중 하나입니다. 이 프로젝트는 보안 전문가, 개발자, 비즈니스 리더 등 웹 어플리케이션 보안과 관련된 모든 이해관계자들에게 가장 중요한 보안 위협에 대한 인식과 이해를 제공하며, 개발자 및 보안 전문가가 웹 어플리케이션 보안을 향상시키기 위한 대처 방안을 제시합니다.

OWASP TOP 10은 다음과 같은 10가지 웹 어플리케이션 보안 위협을 포함합니다.

1.인증 및 세션 관리의 부적절한 구현
2.민감한 데이터 노출
3.취약한 대규모 업로드 기능
4.보안 설정 오류
5.악의적인 코드 삽입 (injection)
6.취약한 외부 자원 사용
7.인증되지 않은 접근 제어
8.취약한 데이터 보호
9.부적절한 로깅 및 모니터링
10.보안 결함 처리 부재

이러한 위협은 웹 어플리케이션 보안을 강화하고 보안 위협을 방지하는 데 매우 중요합니다.

OWASP TOP 10의 구체적인 사례는 뭐가 있을까? 

1. 인증 및 세션 관리의 부적절한 구현:
· 예를 들어, 웹사이트 로그인 시 사용자가 제출한 비밀번호를 안전하게 처리하지 않거나, 세션 관리를 제대로 수행하지 않아 인증이 필요하지 않은 페이지에 액세스할 수 있도록 하는 경우가 있습니다.

2. 민감한 데이터 노출:
· 예를 들어, 웹사이트에서 사용자의 개인정보나 결제 정보를 보호하지 않고 노출시키는 경우가 있습니다. 이는 악의적인 사용자가 이 정보를 탈취하여 부정한 목적으로 사용할 수 있습니다.

3. 취약한 대규모 업로드 기능:
· 예를 들어, 웹사이트에 파일 업로드 기능이 있는 경우, 사용자가 업로드하는 파일에 대한 검증 절차가 부족하면 악성 코드가 포함된 파일을 업로드할 수 있습니다.

4. 보안 설정 오류:
· 예를 들어, 웹사이트에서 보안 설정이 부적절하게 구성되어 있는 경우, 악성 코드가 삽입되거나 사용자가 액세스하지 않아야 할 기밀 정보가 노출될 수 있습니다.

5. 악의적인 코드 삽입 (injection):
· 예를 들어, SQL injection 공격을 통해 웹사이트 데이터베이스에 액세스하여 사용자 정보를 탈취하는 경우가 있습니다.

6. 취약한 외부 자원 사용:
· 예를 들어, 웹사이트에서 외부 API를 사용할 때, API의 보안 취약점으로 인해 사용자 정보가 유출되거나 웹사이트가 망가질 수 있습니다.

7. 인증되지 않은 접근 제어:
· 예를 들어, 사용자가 로그인하지 않아도 액세스할 수 있는 페이지가 있는 경우, 악의적인 사용자가 민감한 정보에 액세스할 수 있습니다.

8. 취약한 데이터 보호:
· 예를 들어, 웹사이트에서 저장하는 사용자 정보를 암호화하지 않은 경우, 악의적인 사용자가 이 정보를 탈취하여 부정한 목적으로 사용할 수 있습니다.

9. 부적절한 로깅 및 모니터링:
· 예를 들어, 웹사이트에서 로깅 및 모니터링이 부적절하게 설정되어 있으면, 보안 사고 발생 시 이를 탐지하지 못하거나 대처하지 못할 수 있습니다.

10. 보안 결함 처리 부재:
예를 들어, 웹사이트에서 보안 취약점이 발견되었을 때, 이를 적절하게 처리하지 않으면 악의적인 사용자가 취약점을 이용하여 웹사이트를 공격하거나 사용자 정보를 탈취할 수 있습니다. 이를 예방하기 위해 취약점을 신속하게 수정하고 보안 업데이트를 수행해야 합니다. 보안 결함 처리 부재는 다른 위협들의 발생 원인이 될 수 있으며, OWASP TOP 10에서 가장 중요한 위협 중 하나입니다.

다음 번에는 보다 구체적인 이야기로 OWASP TOP 10을 분석해보겠습니다.

TLS 암호화를 써도 메모리덤프 등으로 조회하면 다 노출이 되는 리스크가 있는걸까?

TLS는 데이터를 전송하는 동안 암호화를 제공하여 데이터를 안전하게 전송하는 프로토콜입니다. TLS를 사용하면 데이터가 암호화되므로 네트워크상에서 중간에 가로채어도 알아볼 수 없습니다. 그러나 TLS는 데이터가 메모리에 저장될 때는 암호화되지 않으며, 이 때 메모리 덤프가 있을 경우 데이터가 노출될 가능성이 있습니다.

메모리 덤프란 프로그램이 실행되는 동안 시스템 메모리에 저장된 내용을 파일로 저장하는 것입니다. 메모리 덤프를 수행하는 공격자가 있을 경우, TLS로 보호되는 데이터가 메모리에 저장될 때는 암호화되지 않으므로, 공격자가 해당 파일을 열어보면 데이터가 노출될 가능성이 있습니다.

그러나 이는 TLS 프로토콜 자체의 문제가 아니라 시스템 보안의 문제입니다. TLS를 사용할 경우, 데이터를 전송하는 동안에는 안전하게 암호화되므로 중간에서 데이터를 가로채더라도 알아볼 수 없습니다. 따라서 시스템 보안을 강화하여 메모리 덤프 등의 공격을 방어하는 것이 중요합니다. 예를 들어, 메모리 덤프를 방지하는 솔루션이나, 메모리 상에 저장된 데이터를 암호화하는 솔루션 등을 적용할 수 있습니다.

여기서 메모리덤프는 어떤 컴퓨터의 메모리를 이야기하는 걸까?

메모리 덤프(memory dump)는 컴퓨터의 물리적 메모리(RAM)에 저장된 내용을 파일로 덤프하는 것을 말합니다. 즉, 프로그램이나 운영체제 등이 메모리에 올린 데이터나 코드, 변수 등이 파일 형태로 저장되는 것입니다.

메모리 덤프는 보안 전문가나 해커 등이 시스템의 보안 취약점을 분석하거나, 디버깅을 위해 사용되기도 합니다. 하지만 악의적인 목적으로 사용될 경우, 메모리 덤프를 통해 시스템에서 중요한 정보를 탈취하는 등의 공격이 이루어질 수 있습니다. 따라서 시스템 보안을 강화하는 것이 중요합니다.

모바일에서 웹서비스로 https 로 통신되는 서비스를 이용하는 경우에, 메모리 덤프로 이용자의 데이터가 노출될 수 있을까?

모바일에서 웹 서비스로 HTTPS를 통해 통신하는 경우, 데이터는 암호화되어 전송되므로 중간에 가로채어도 데이터를 복호화하지 않으면 의미가 없습니다. 따라서 HTTPS를 사용하는 경우, 중간에 데이터를 가로채더라도 데이터가 노출될 가능성은 매우 적습니다.

그러나 메모리 덤프 공격을 받을 경우, 앱의 메모리에 저장된 데이터가 노출될 가능성이 있습니다. 메모리 덤프 공격은 모바일 앱에서도 가능하며, 메모리 덤프 파일을 수집한 공격자는 해당 파일을 분석하여 중요한 정보를 추출할 수 있습니다.

따라서 모바일 앱에서도 HTTPS를 사용하여 데이터를 암호화하고, 민감한 정보는 메모리에 저장하지 않는 것이 좋습니다. 또한, 모바일 앱에서는 안드로이드나 iOS와 같은 운영체제에서 제공하는 보안 기능을 이용하여 메모리 덤프 공격을 방어할 수 있습니다. 더불어, 적절한 취약점 분석과 보안 검토를 통해 앱 보안을 강화하는 것이 필요합니다.

웹서비스를 이용하는 모바일기기의 메모리덤프 공격을 하려면 어떤 권한을 획득해야 가능할가?

웹서비스를 이용하는 모바일 기기의 메모리 덤프 공격을 하기 위해서는 보통 해당 모바일 앱의 권한을 획득해야 합니다. 따라서, 공격자는 해당 앱의 취약점을 이용하여 권한 상승을 시도하거나, 앱을 해킹하여 권한을 획득해야 할 수 있습니다.

일반적으로 안드로이드 기기에서는 권한을 획득하기 위해서는 앱에게 권한을 요청하고, 사용자가 권한을 허용해야 합니다. 그러나, 모바일 앱에 취약점이 있을 경우, 공격자는 해당 취약점을 이용하여 권한을 상승시키는 방법을 시도할 수 있습니다.

또한, iOS 기기에서도 취약점을 이용하여 권한을 상승시키는 방법이 있을 수 있습니다. 예를 들어, iOS의 경우 앱 간 공유 컴포넌트를 이용하여 다른 앱의 권한을 이용할 수 있는 취약점이 발견된 적이 있습니다.

따라서, 모바일 앱 개발자는 모바일 앱 보안을 강화하는 것이 중요하며, 앱에 취약점이 있는지 주기적으로 검토하여 보안 취약점을 최소화하는 것이 필요합니다.

단말기를 획득하고, 
획득한 단말기의 권한(루팅, 탈옥)을 획득하고, 
메모리 덤프를 뜨게 되면,
취약점이 있는 앱서비스, 웹서비스 등을 사용했다면,
해당 유저의 중요 개인 정보들은 모두 노출이 되게 된다. 

다음번에는 웹취약점의 가장 기본, OWASP TOP 10에 대해서도 알아보겠습니다 ! :) 

As a provider of SaaS solutions in the form of web services, I often receive various security-related questions while addressing my clients' security issues. Through this process, I have gained experience in growing by finding ways to provide a safer service.

I would like to organize these experiences around questions and share them.

Does WebRTC require SSL (Secure Socket Layers) to be enabled for integration?

WebRTC is designed to be used only on HTTPS for security reasons. Therefore, WebRTC will not be activated in an HTTP environment without an SSL certificate.

For security, WebRTC uses SRTP (Secure Real-time Transport Protocol) by default and uses DTLS (Datagram Transport Layer Security) for data exchange. Since these security technologies cannot work without an SSL certificate, WebRTC cannot be used in an HTTP environment without an SSL certificate.

Therefore, to use WebRTC, you need to configure an HTTPS environment with an SSL certificate. To do this, you need to obtain an SSL certificate and apply the HTTPS protocol. You can use services such as Let's Encrypt, which provides free SSL certificates, to do this.

What are the differences between HTTPS, SSL, and TLS?

HTTPS is a secure protocol that secures the HTTP protocol, while SSL and TLS are protocols used in HTTPS.

SSL (Secure Sockets Layer) was initially developed by Netscape, while TLS (Transport Layer Security) was developed by IETF (Internet Engineering Task Force) as an improved version of SSL. Therefore, TLS can be considered as a successor to SSL.

SSL and TLS mainly use public-key encryption to protect data in network communications. In communication between clients and servers, SSL/TLS uses certificates to verify the identity of the other party and encrypts data to transmit it safely.

The differences between SSL and TLS include encryption methods, certificate formats, protocol versions, and others, but the basic principles are the same.

SSL has vulnerabilities and is currently not recommended for use, while TLS is constantly being upgraded. Currently, TLS 1.3 is the latest version.

I will cover deeper aspects in the next opportunity.

SaaS 솔루션을 웹서비스 형태로 제공해주다보니 다양한 보안 관련 질문들을 받게 됩니다. 
고객사의 보안 이슈를 응대하며 다양한 질문들을 접합니다.

그러면서 어떻게 하면 보다 안전한 서비스를 제공할 수 있을지, 

하나씩 성장해 가는 것을 경험해 왔습니다.

그러한 이야기들을 질문들을 중심으로 하나씩 정리해 가보려고 합니다.

webRTC 연동시에 SSL(Secure Socket Layers) 안쓰면 활성화가 안되나요?

오늘 받은 따끈따끈한 질문입니다.

WebRTC는 보안 상의 이유로 HTTPS에서만 사용 가능하도록 설계되어 있습니다. 따라서 SSL 인증서가 없는 HTTP 환경에서는 WebRTC가 활성화되지 않습니다.

WebRTC는 보안을 위해 기본적으로 SRTP (Secure Real-time Transport Protocol)를 사용하며, 데이터 교환에 DTLS (Datagram Transport Layer Security)를 사용합니다. 이러한 보안 기술은 SSL 인증서 없이는 작동할 수 없기 때문에, SSL 인증서가 없는 HTTP 환경에서는 WebRTC를 사용할 수 없습니다.

따라서, WebRTC를 사용하려면 SSL 인증서가 있는 HTTPS 환경을 구성해야 합니다. 이를 위해서는 SSL 인증서를 발급받아 HTTPS 프로토콜을 적용해야 합니다. 이를 위해 무료로 SSL 인증서를 발급받을 수 있는 Let's Encrypt 등의 서비스를 이용할 수 있습니다.

추가 관련 질문 (참고지식)

https SSL TLS 차이점은?

HTTPS는 HTTP 프로토콜을 보안한 프로토콜이며, SSL과 TLS는 HTTPS에서 사용되는 프로토콜입니다.

SSL(Secure Sockets Layer)과 TLS(Transport Layer Security)은 모두 네트워크 통신에서 보안을 제공하기 위한 프로토콜입니다.

SSL은 처음에 넷스케이프에서 개발되었고, TLS는 SSL의 개선 버전으로, IETF(Internet Engineering Task Force)에서 개발되었습니다. 따라서 TLS는 SSL의 후속 버전이라고 할 수 있습니다.

SSL과 TLS는 주로 공개키 암호화 방식을 사용하여 데이터를 보호합니다. 클라이언트와 서버 사이의 통신에서 SSL/TLS는 인증서를 사용하여 상대방의 신원을 확인하고, 데이터를 암호화하여 안전하게 전송합니다.

차이점으로는 SSL과 TLS는 암호화 방식, 인증서 형식, 프로토콜 버전 등이 다르지만, 기본적인 원리는 동일합니다.

SSL은 취약점이 발견되어 현재는 사용이 권장되지 않으며,

TLS는 지속적으로 업그레이드가 이루어지고 있습니다. 현재 TLS 1.3이 가장 최신 버전입니다.

더 딥한 부분들은 다음 기회에 올려보겠습니다 :)