성장 스토리 ⭐️
home
🔦

보안팀이 일하는 방법

보안 팀이 일하는 방법

보안팀의 목표는 해치랩스를 포함한 기업들이 탈중앙화 어플리케이션, 디지털 자산을 안전하게 제작할 수 있도록 돕는 것이에요.
우리는 목표를 달성하기 위해 블록체인 기술과 보안에 대해 지속적으로 연구하고 있어요.
보안 사고 0건이라는 성과를 잘 지켜나가기 위해 언제나 보안을 최우선의 가치로 일하고 있어요.
우리는 아래와 같은 업무들을 하고 있어요.
고객이 보안 감사 요청한 스마트 컨트랙트를 분석하여 보안 감사 레포트를 제공 (Haechi Audit)
해치랩스에서 개발 및 운영하는 메인넷, 다양한 블록체인 서비스 전반에 걸쳐 보안성 검토, 취약점 점검, 모의해킹을 수행
소스코드에 대한 보안성 검토 및 가이드 업무를 수행하여 해치랩스 개발자들이 보다 안전하게 서비스를 개발할 수 있도록 지원
블록체인 영역의 보안 뿐만 아니라 서비스를 이루는 웹, 인프라 보안 등에 대해서도 보안 검토를 진행
새로운 해킹 공격 기법 및 방어 대책을 함께 연구하고 분석
(optional) 팀원들과 버그 바운티 및 해킹 관련 이벤트에 참여

안전한 스마트 컨트랙트 개발 및 보안 감사

보안 감사의 경우 아래와 같은 프로세스로 진행돼요
1.
고객사가 홈페이지/파트너 소개 등을 통해 보안 감사를 요청해요
2.
보안 감사 요청 시 스마트 컨트랙트 코드를 제공 받고 이를 기반으로 기간과 비용을 산정해요
3.
산정된 기간과 비용을 바탕으로 고객사와 논의하여 계약을 맺어요
4.
이제 고객사와 약속된 기한에 맞춰 테스트 코드 작성, 정적 분석 등을 통해 보안 취약점 분석해요
5.
발견된 취약점과 해결책을 보안 감사 보고서에 작성해요
6.
작성한 보안 감사 보고서 중 일부를 선택하여 블로그에 퍼블리싱해요
7.
다시 새로운 고객사의 요청에 따라 새로운 보안 감사를 시작해요

해킹 공격 기법 분석 및 대응 방안 마련

내부 제품 보안 점검과 보안 감사 요청으로 인해 바쁘지만 블록체인 기술과 보안에 대해 전문성을 키우기 위해 노력해요.
아래와 같은 주제들에 관심이 높고 연구한 주제를 서로 공유해요.
DeFi 해킹 사례 분석 및 대응 방안 마련
Solidity Security Best Practice 연구 및 공유
Solidity 기술 (Gas Optimizing, Upgradeability, 새로운 문법 등)에 대한 연구 및 적용
Solidity 관련 개발 및 분석 도구(Slither, Echinda 등)에 대한 연구 및 적용

우리는 이러한 원칙을 지키며 일하고 있어요

책임감 그리고 완결성
우리가 보안 취약점을 놓치면 해커에게 디지털 자산이 탈취될 수 있기 때문에 본인의 업무에 확신이 생길 때까지 책임감을 가지고 일해요.
안전한 스마트 컨트랙트를 위해 테스트 코드, 정적 분석 등을 진행하며 기능이 의도에 맞게 동작하는지 확인해요. 눈으로만 코드를 확인하는 것이 아니라 테스트 코드 커버리지 100%에 도달할 수 있도록 꼼꼼히 모든 경우의 수를 확인해요.
취약점을 발견한 경우 이를 해결하기 위해 팀원들과 논의하여 해결책을 마련해요.
적극적인 리뷰
팀원이 놓친 보안 취약점이 있을 수 있기에 무조건적인 신뢰가 아니라 팀원이 수행한 업무에 대해 적극적으로 리뷰해요.
리뷰 시 신뢰하는 팀원의 결과물이라도 안전하지 않은 코드로 간주하고 본인이 직접 코드를 살펴보고 테스트를 실행해요.