설계적으로 검증된 보안성

안전한 신원

여러분의 스테이터스 ID는 로컬에서 암호화 키(Key)를 한 쌍 생성하며, 이 키페어는 패스워드를 통해 보호됩니다. 사용자는 자신의 프로필에 개인정보를 추가할 수 있습니다. 사용자는 항상 자신의 정보에 대한 모든 제어 권한을 가지고 있으며, 누가 내 개인정보에 접근할 수 있는지 확인할 수 있습니다. 사용자는 원하는대로 정보 공개 범위를 조절할 수 있습니다.

P2P 메세징 프로토콜

스테이터스는 P2P(Peer-to-Peer) 통신에 와쿠(Waku) 프로토콜을 사용합니다. 즉, 메시지를 처리하거나 저장하는 서버가 없습니다. 대신 위스퍼는 메시지를 서로 라우팅하기 위해 Peer 네트워크를 사용합니다. 전송된 메시지는 전체 네트워크로 전파되며, 의도된 수신인만 열 수 있도록 암호화됩니다. 네트워크에 모든 메시지가 범람하여 수신자와 발신자를 숨기는 것을 다크 라우팅이라고 하며, 이는 메시지의 내용뿐 아니라 사용자가 통신하는 위치, 누구와 통신하는지에 대한 메타데이터도 안전하게 보호합니다. 이는 온라인 메시징에서 보안 및 개인정보 보호 관련 최고의 표준이며, 스테이터스 팀은 이 표준을 제공하기 위해 보다 확장 가능하고 효율적인 방법을 연구하고 있습니다.

와쿠에 대해 더 알아보기

엔드 투 엔드(End-to-End) 암호화

스테이터스에서 전송된 모든 개인 메시지는 기본적으로 엔드 투 엔드로 암호화됩니다. 스테이터스 계정을 생성하면 메시지를 암호화하는 암호화 키페어(keypair)가 생성되어 디바이스에 로컬로 저장됩니다. 스테이터스에서 새 연락처를 추가하면, 상대방과 공개키를 교환하게 됩니다. 이를 통해 네트워크를 통해 메시지를 주고 받을 때 해당 사용자가 수신한 메시지를 해독할 수 있도록 합니다.

Perfect Forward Secrecy

PFS(Perfect Forward Secrecy)는 사용자의 개인키가 손상되더라도 세션키가 손상되지 않도록 키 관리(key-agreement) 프로토콜입니다. 이를 통해 제 3자가 개인키를 탈취하더라도 이전 메시지의 암호를 해독할 수 없습니다. 이 프로토콜은 오픈 위스퍼 시스템즈(Open Whisper Systems)의 X3DH 및 Double Ratchet 사양을 기반으로 하며, 탈중앙화 된 환경에서 작동하도록 구현되었습니다. Perfect Forward Secrety는 모든 1:1 개인 채팅에 추가된 보안 레이어입니다.

PFS에 대해 더 알아보기

익명 계정 생성

스테이터스는 새 계정을 만들 때 이메일이나 전화번호와 같은 개인정보를 요청하지 않습니다. 즉, 스테이터스 계정은 익명으로 생성됩니다. 계정 정보로 필요한 것은 단지 사용자 이름과 키(Key) 밖에 없습니다. 이는 스테이터스 계정에서 2차 인증이나 비밀번호 재설정이 불가능함을 의미하기도 합니다. 여러분의 비밀번호와 복구 구문(mnemonic phrase)를 분실하지 않도록 유의하시고, 오프라인에 안전히 정보를 보관하시기 바랍니다.

나의 키(Key)가 어떻게 저장되나요?

스테이터스는 개인 및 개인 키를 관리하고 저장하는 데 타사 서비스를 전대로 사용하지 않습니다. 생성된 첫 번째 BIP44 키는 디바이스의 keystore json 파일에 로컬로 저장됩니다. 이 파일은 여러분이 스테이터스 계정에서 설정한 암호로 암호화되며, 스테이터스 앱에서만 액세스 할 수 있습니다. 우리는 하드웨어에 안전하게 저장된 중요하고 민감한 정보는 오직 사용자의 기기에서만 사용할 있게 설계 했습니다.

추가적인 보안 레이어로, 효과적으로 개인키를 관리하는 오프라인 콜드 스토리지인 키카드(Keycard)를 도입했습니다.

키카드에 대해 더 알고 싶으시다면 keycard.tech을 방문하세요

안전한 브라우징

스테이터스 브라우저는 사용자에게 유용한 정보를 제공하고 자산을 안전하게 보호하도록 설계되었습니다. 브라우저의 개인정보 보호 모드는 기본적으로 활성화되어 있습니다. 즉, 디앱(DApp)은 사용자의 지갑에 연결하기 전에 사용 권한을 요청해야 하며, 보안 조치를 따르지 않는 일부 디앱은 실행되지 않습니다. 마지막으로, 스테이터스 브라우저는 온체인 사용을 위한 오프체인 메시지 서명의 사용성을 향상시키기 위해 EIP(Ethereum Improvement Proposal)712를 구현했습니다. 최근 사용빈도가 증가하고 있는 오프체인 메시지 서명을 통해, 사용자는 가스를 절약하고 블록체인을 통한 거래 수를 줄일 수 있습니다. 현재 서명 메시지는 메시지를 구성하는 내용에 대한 어떤 정보도 포함하지 않는16진수 문자열로 표현됩니다.

EIP에 대해 더 알아보기

스테이터스는 어떻게 암호화폐 자산을 보호하나요?

스테이터스는 구속되지 않는(non-custodial) 지갑으로 설계되어, 서버를 사용하지 않고도 자산을 완벽하게 제어할 수 있습니다. 개인키는 디바이스에 암호화된 방식으로 저장됩니다. 사용자의 자산은 사용자가 완전히 통제하며, 개인 키가 없으면 아무도 사용자의 자산에 접근할 수 없습니다. 따라서 초기 세팅에 등장하는 12개의 복구 구문을 잃어버리면, 사용자의 암호화폐 자산에 접근할 수 없게 됩니다. 개인키를 안전하게 오프라인 상태로 유지해주세요.

피싱 공격으로부터 보호하기 위한 암호 구문

스테이터스는 모든 트랜잭션을 확인하고 "서명"하는 데 필요한 서명 구문을 제공합니다. 서명 구문은 무작위로 생성되어 디바이스에 로컬로 저장되며, 트랜잭션을 보낼 때마다 표시되는 3단어의 구입니다. 거래가 확인되기 전에 화면에 나타난 서명 구문을 확인해야 합니다. 이 세 단어를 인식하지 못하거나 세 단어가 전혀 표시되지 않으면, 트랜잭션을 취소하고 스테이터스를 로그아웃 한 후 security@status.im으로 이슈를 제기 해주시기 바랍니다.

피싱에 대해 더알아보기

엄격한 감사

주요 개발 분기점에 도달하면, 일련의 내부 검토 및 감사를 거친 후 업계 선두의 보안 감사 회사에 의뢰하여 기능의 안정성과 건전성을 검증합니다. 이를 통해 스테이터스가 개발한 내용을 이중/삼중으로 점검합니다. 이러한 제 3자에 의한 객관적인 보안 감사는 비용과 시간이 소모되지만, 보안에 대한 신뢰를 훨씬 강화할 수 있습니다.

외부 감사 결과에 대한 정보가 필요하시다면, security repository을 확인해주시기 바랍니다.

버그나 취약점을 발견하시면, security@status.im에 리포트해주세요.

개인정보 보호 교육

스테이터스와 같이 탈중앙화되고 서버 없이 운영되는 서비스는 불필요한 중개자를 제거하여 감시, 검열 및 데이터 유출에 대한 염려 없이 안전하게 채팅, 거래 및 탐색할 수 있습니다. 이는 개인 정보와 디지털 자산을 사용자가 스스로 관리하기 때문입니다. 그러므로, 여러분이 자신을 안전하게 보호하는 방법을 이해하는 것이 중요합니다. 이 스테이터스 보안 권장사항 가이드를 통해 여러분의 안전을 유지하는 방법에 대해 알아봅니다.

권장 사항 가이드 확인하기

보안 지원

보안에 대해 궁금한 점이나 우려되는 점이 있으시면 security@status.im 로 이메일을 보내시거나, 스테이터스 보안 오픈 채팅 #status-security 에 연락해주세요.

버그 바운티 프로그램

보안 연구원 또는 개발자이신가요? 취약점을 보고하려면, security@status.im에 연락하여 스테이터스 버그 바운티 프로그램(Status Bug Bounty Program)에 문의해주세요. 또한 스테이터스는 해커들이 프로젝트를 분석하도록 유도하는 버그 현상금 프로그램을 HackerOne과 진행 중입니다. 스테이터스는 적극적으로 캠페인을 준비하고 있고, 버그 바운티 프로젝트가 곧 공개될 것입니다! 버그 바운티 프로그램에 대한 자세한 내용은 다음 연락처로 문의해주세요 security@status.im

• Join our bug bounty

• 2018 년 10월 - ENS 사용자 이름 계약 - 커밋 해시 eaefa92

• 리포트

• 테스트

• 블로그 포스트

데자뷰 베타 감사

• 리포트

• 블로그 포스트