Bitcoin Core의 보안 감사
Bitcoin Core는 비트코인 프로토콜의 널리 사용되는 소프트웨어 구현으로, 최초의 공개 제3자 보안 감사를 성공적으로 마쳤습니다. 이번 감사에서는 고위험 취약점이 발견되지 않았으며, 네트워크의 장기적인 회복력을 강화하는 새로운 테스트 도구가 도입되었습니다.
세계에서 가장 큰 블록체인을 운영하는 비트코인 소프트웨어인 Bitcoin Core는 사이버 보안 회사 Quarkslab의 평가를 받았으며, Brink의 자금 지원과 Open Source Technology Improvement Fund (OSTIF)의 조정을 통해 이루어졌습니다. 이 작업은 비트코인의 보안 생애 주기에 있어 중요한 이정표로, 수조 달러의 가치를 보호하는 소프트웨어에 대한 독립적인 검토를 제공합니다.
프로젝트의 발전과 감사 과정
Bitcoin Core는 2009년 이후로 상당히 발전하였으며, 46,000건 이상의 커밋과 수십 명의 개발자들의 기여가 있었습니다. 성숙함에도 불구하고, 이 프로젝트는 외부 회사로부터의 전체 공개 감사는 한 번도 받지 않았으며, 이번 리뷰는 이러한 공백을 해소하는 것을 목표로 하였습니다.
감사는 5월부터 9월까지 진행되었으며, 비트코인의 가장 높은 노출 공격 표면 중 하나인 P2P 네트워킹 레이어에 주로 초점을 맞추었습니다. 그 후 Quarkslab은 mempool 로직, 체인 관리, 합의 검증 및 거래 처리 경로로 분석을 확장했습니다.
감사 결과 및 향후 전망
감사 팀은 수동 코드 검토, 동적 분석 및 고급 퍼징 기법의 조합을 사용했으며, 일부 기법은 Bitcoin Core 코드베이스에 새롭게 도입되었습니다. 감사 결과는 안심할 만한 것이었습니다. 감사자는 두 개의 낮은 심각도 문제와 13개의 정보 제공 권고 사항을 식별했으며, 이들 중 어느 것도 Bitcoin Core의 내부 취약점 분류에 따른 보안에 영향을 미치지 않았습니다.
Quarkslab은 Bitcoin Core의 아키텍처와 코드 품질이 “탁월한 작업”을 보여준다고 언급했습니다. 또한 Brink의 지속적인 Fuzzamoto 이니셔티브와 같은 현대적인 퍼징 접근 방식은 향후 테스트 주기에서 더 깊은 엣지 케이스를 발견할 수 있을 것입니다.
전체 보고서와 지원 자료는 Quarkslab의 리포지토리에서 공개되어, 비트코인의 가장 중요한 소프트웨어에 대한 새로운 투명성 시대를 알립니다. Bitcoin Core의 어떤 부분이 검토되었나요? 주로 P2P 레이어, mempool, 합의 및 체인 관리 로직입니다.
