설계적으로 검증된 보안성

스테이터스는 진정한 탈중앙화 커뮤니케이션 도구가 되는 것을 목표로 하며, 제 3자 솔루션을 사용하지 않고, 악의적인 행위자의 공격을 최소화합니다.

Web 3의 진정한 가치는 중개자 없이 언제 어디서나 거래하고 커뮤니케이션 할 수 있다는 것입니다. 이런 식의 자유로운 소통을 즐기기 위해서는 우리의 메시지, 거래, 신원, 자산이 안전하다는 확신을 가져야 합니다. 아래에서 보안에 대한 스테이터스의 접근 방식에 대해 자세히 알아봅니다.

스테이터스의 보안

보안
메시징

메시지는 검열되거나 차단되지 않으며, 사용자가 희망할 경우 익명으로 남습니다. 의도된 수신자만이 메시지를 볼 수 있으며, 어떤 메타데이터도 유출되지 않습니다.

탈중앙
금융 거래

스테이터스 지갑을 통해 사이버 공격으로부터 안전하게 암호화폐 및 토큰을 주고 받거나 보관할 수 있습니다. 여러분의 개인키는 절대 외부로 노출되지 않습니다. 각각의 트랜잭션은 개인키 소유자가 거래를 시작하고 확인할 때만 처리될 수 있도록 설계되었습니다.

안전한
브라우징

사용자가 Web3를 브라우징 할 때, 제 3자는 사용자 동의 없이 사용자 데이터 및 검색 정보에 접근할 수 없습니다. 스테이터스 브라우저를 사용하는 동안 이루어진 모든 트랜잭션은 스테이터스 지갑에서 사용되는 것과 동일한 보안 수준으로 구현되어 있습니다.

안전한 신원

여러분의 스테이터스 ID는 로컬에서 암호화 키(Key)를 한 쌍 생성하며, 이 키페어는 패스워드를 통해 보호됩니다. 사용자는 자신의 프로필에 개인정보를 추가할 수 있습니다. 사용자는 항상 자신의 정보에 대한 모든 제어 권한을 가지고 있으며, 누가 내 개인정보에 접근할 수 있는지 확인할 수 있습니다. 사용자는 원하는대로 정보 공개 범위를 조절할 수 있습니다.

서버를 사용하지 않는 P2P 메세징

스테이터스는 P2P(Peer-to-Peer) 통신에 위스퍼(Whisper) 프로토콜을 사용합니다. 즉, 메시지를 처리하거나 저장하는 서버가 없습니다. 대신 위스퍼는 메시지를 서로 라우팅하기 위해 Peer 네트워크를 사용합니다. 전송된 메시지는 전체 네트워크로 전파되며, 의도된 수신인만 열 수 있도록 암호화됩니다. 네트워크에 모든 메시지가 범람하여 수신자와 발신자를 숨기는 것을 다크 라우팅이라고 하며, 이는 메시지의 내용뿐 아니라 사용자가 통신하는 위치, 누구와 통신하는지에 대한 메타데이터도 안전하게 보호합니다. 이는 온라인 메시징에서 보안 및 개인정보 보호 관련 최고의 표준이며, 스테이터스 팀은 이 표준을 제공하기 위해 보다 확장 가능하고 효율적인 방법을 연구하고 있습니다.

위스퍼에 대해 더 알아보기

엔드 투 엔드(End-to-End) 암호화

위스퍼(Whisper)를 통해 전송된 모든 개인 메시지는 기본적으로 엔드 투 엔드로 암호화됩니다. 스테이터스 계정을 생성하면 메시지를 암호화하는 암호화 키페어(keypair)가 생성되어 디바이스에 로컬로 저장됩니다. 스테이터스에서 새 연락처를 추가하면, 상대방과 공개키를 교환하게 됩니다. 이를 통해 네트워크를 통해 메시지를 주고 받을 때 해당 사용자가 수신한 메시지를 해독할 수 있도록 합니다.

Perfect Forward Secrecy

PFS(Perfect Forward Secrecy)는 사용자의 개인키가 손상되더라도 세션키가 손상되지 않도록 키 관리(key-agreement) 프로토콜입니다. 이를 통해 제 3자가 개인키를 탈취하더라도 이전 메시지의 암호를 해독할 수 없습니다. 이 프로토콜은 오픈 위스퍼 시스템즈(Open Whisper Systems)의 X3DH 및 Double Ratchet 사양을 기반으로 하며, 탈중앙화 된 환경에서 작동하도록 구현되었습니다. Perfect Forward Secrety는 모든 1:1 개인 채팅에 추가된 보안 레이어입니다.

PFS에 대해 더 알아보기

서버리스(Serverless) 계정 생성

스테이터스는 새 계정을 만들 때 이메일이나 전화번호와 같은 제 3자 확인을 요청하지 않습니다. 즉, 스테이터스 계정은 완벽히 익명으로 생성됩니다. 계정 정보로는 단지 사용자 이름과 키(Key) 밖에 없습니다. 사용자의 이름과 키를 알고 있더라도 스테이터스를 재설치 했을 때 계정에 바로 접근이 않되기 때문에, 키와 니모닉 구문(12개의 복구 단어)을 매우 안전한 곳에 오프라인으로 백업하시는 것을 권장 합니다.

나의 키(Key)가 어떻게 저장되나요?

스테이터스는 개인 및 개인 키를 관리하고 저장하는 데 타사 서비스를 전대로 사용하지 않습니다. 생성된 첫 번째 BIP44 키는 디바이스의 keystore json 파일에 로컬로 저장됩니다. 이 파일은 여러분이 스테이터스 계정에서 설정한 암호로 암호화되며, 스테이터스 앱에서만 액세스 할 수 있습니다. 우리는 하드웨어에 안전하게 저장된 중요하고 민감한 정보는 오직 사용자의 기기에서만 사용할 있게 설계 했습니다.

추가적인 보안 레이어로, 효과적으로 개인키를 관리하는 오프라인 콜드 스토리지인 키카드(Keycard)를 도입했습니다.

키카드에 대해 더 알고 싶으시다면 keycard.status.im을 방문하세요

안전한 브라우징

스테이터스 브라우저는 사용자에게 유용한 정보를 제공하고 자산을 안전하게 보호하도록 설계되었습니다. 브라우저의 개인정보 보호 모드는 기본적으로 활성화되어 있습니다. 즉, 디앱(DApp)은 사용자의 지갑에 연결하기 전에 사용 권한을 요청해야 하며, 보안 조치를 따르지 않는 일부 디앱은 실행되지 않습니다. 마지막으로, 스테이터스 브라우저는 온체인 사용을 위한 오프체인 메시지 서명의 사용성을 향상시키기 위해 EIP(Ethereum Improvement Proposal)712를 구현했습니다. 최근 사용빈도가 증가하고 있는 오프체인 메시지 서명을 통해, 사용자는 가스를 절약하고 블록체인을 통한 거래 수를 줄일 수 있습니다. 현재 서명 메시지는 메시지를 구성하는 내용에 대한 어떤 정보도 포함하지 않는16진수 문자열로 표현됩니다.

EIP에 대해 더 알아보기

스테이터스는 어떻게 암호화폐 자산을 보호하나요?

스테이터스는 구속되지 않는(non-custodial) 지갑으로 설계되어, 서버를 사용하지 않고도 자산을 완벽하게 제어할 수 있습니다. 개인키는 디바이스에 암호화된 방식으로 저장됩니다. 사용자의 자산은 사용자가 완전히 통제하며, 개인 키가 없으면 아무도 사용자의 자산에 접근할 수 없습니다. 따라서 초기 세팅에 등장하는 12개의 복구 구문을 잃어버리면, 사용자의 암호화폐 자산에 접근할 수 없게 됩니다. 개인키를 안전하게 오프라인 상태로 유지해주세요.

피싱 공격으로부터 보호하기 위한 암호 구문

스테이터스는 모든 트랜잭션을 확인하고 "서명"하는 데 필요한 서명 구문을 제공합니다. 서명 구문은 무작위로 생성되어 디바이스에 로컬로 저장되며, 트랜잭션을 보낼 때마다 표시되는 3단어의 구입니다. 거래가 확인되기 전에 화면에 나타난 서명 구문을 확인해야 합니다. 이 세 단어를 인식하지 못하거나 세 단어가 전혀 표시되지 않으면, 트랜잭션을 취소하고 스테이터스를 로그아웃 한 후 security@status.im으로 이슈를 제기 해주시기 바랍니다.

엄격한 감사

주요 개발 분기점에 도달하면, 일련의 내부 검토 및 감사를 거친 후 업계 선두의 보안 감사 회사에 의뢰하여 기능의 안정성과 건전성을 검증합니다. 이를 통해 스테이터스가 개발한 내용을 이중/삼중으로 점검합니다. 이러한 제 3자에 의한 객관적인 보안 감사는 비용과 시간이 소모되지만, 보안에 대한 신뢰를 훨씬 강화할 수 있습니다.

만약 우리의 소스 코드에서 버그나 취약점을 발견하시면, security@status.im으로 리포트 부탁드립니다.

개인정보 보호 교육

스테이터스와 같이 탈중앙화되고 서버 없이 운영되는 서비스는 불필요한 중개자를 제거하여 감시, 검열 및 데이터 유출에 대한 염려 없이 안전하게 채팅, 거래 및 탐색할 수 있습니다. 이는 개인 정보와 디지털 자산을 사용자가 스스로 관리하기 때문입니다. 그러므로, 여러분이 자신을 안전하게 보호하는 방법을 이해하는 것이 중요합니다. 이 스테이터스 보안 권장사항 가이드를 통해 여러분의 안전을 유지하는 방법에 대해 알아봅니다.

권장 사항 가이드 확인하기

보안 지원

보안에 대해 궁금한 점이나 우려되는 점이 있으시면 security@status.im 로 이메일을 보내시거나, 스테이터스 보안 오픈 채팅 #status-security 에 연락해주세요.

버그 바운티 프로그램

보안 연구원 또는 개발자이신가요? 취약점을 보고하려면, security@status.im에 연락하여 스테이터스 버그 바운티 프로그램(Status Bug Bounty Program)에 문의해주세요. 또한 스테이터스는 해커들이 프로젝트를 분석하도록 유도하는 버그 현상금 프로그램을 HackerOne과 진행 중입니다. 스테이터스는 적극적으로 캠페인을 준비하고 있고, 버그 바운티 프로젝트가 곧 공개될 것입니다! 버그 바운티 프로그램에 대한 자세한 내용은 다음 연락처로 문의해주세요 security@status.im

스스로 보호하세요

스테이터스는 제품의 보안성을 극대화하기 위해 최첨단 기술로 개발되고 있습니다. 사용자는 Web3를 탐색하며 보안과 관련된 모든 것을 직접 관리할 수 있습니다. 스테이터스의 보안 관련 권장 사항을 확인하실 수 있습니다.

스테이터스 설치

스테이터스를 iOS, 안드로이드, 맥OS, 윈도우 그리고 리눅스에서 사용해보세요

앱 다운로드