BOScoin Congress forum Official answer - KR

안녕하세요. 보스코인입니다.

보스코인 콩그레스 포럼을 관심있게 지켜봐 주시고, 다양한 의견과 질문들을 보내주신 커뮤니티 멤버들께 감사의 말씀을 드립니다.

커뮤니티 멤버들이 다양한 사용 후기와 개선 요구사항을 전달해 주셔서, 저희가 어떤 의사결정을 통해서 개발하게 되었는지, 현재 보안 수준과 향후 개선방안에 대해 공식 답변을 준비했습니다.

* We are preparing an English translation.

 

배경 설명

보스코인 콩그레스 포럼 오픈 직후, 커뮤니티 멤버들 사이에서 포럼 사용이 꺼려진다는 의견이 다양한 경로로 접수되고 있습니다.

이유는 포럼 로그인 방식이 복구키나 보안키를 활용하는 것 때문입니다. 멤버들이 느끼기에 ‘통장 비밀번호를 입력해야만 포럼에 참여할 수 있다’는 느낌이 든다는 이유로 사용하는 게 두렵다는 의견이 지배적이였습니다.

이에 따라 보스코인팀에 다음과 같은 요구사항을 전달하였습니다.

개선 요구 사항

• 복구키 또는 보안키가 아닌 다른 방법으로 멤버십 로그인을 할 수 있으면 좋을 것 같아요.
• 콩그레스 보팅 앱에 포럼을 넣을 수 없는지 검토해 주실 수 있나요?
  

 

개발 배경 설명

2018년 12월 말, 커뮤니티 멤버들이 요구하신 “멤버십을 갖춘 커뮤니티 멤버들만 참여 가능한 포럼”을 만들어 주었으면 하는 바람으로 저희 보스코인 개발팀은 “보스코인 콩그레스 포럼 ” 서비스를 개발 및 출시하게 되었습니다.

저희가 채택한 로그인 방식과 서비스 제공 방식에 대해 아래과 같이 고려하여 개발하였습니다.

블록체인 기반에서 개발된 “보스코인 콩그레스 포럼”에서는, 사용자가 보스코인 멤버십을 보유하고 있는지 아닌지를 판단할 수 있는 근거가 오직 “보안키” 밖에 없어서 이를 이용한 로그인 방식을 채택하였습니다.

그리고 콩그레스 보팅 애플리케이션 내에 포럼을 삽입하는 것도 고려해 보았으나, 이 또한 사용자는 반드시 “콩그레스 보팅 데스크탑 애플리케이션”을 실행해야만 포럼을 이용할 수밖에 없다는 치명적인 단점으로 인해 배제되었습니다.

저희는 더욱 많은 보스코인 커뮤니티 멤버들이 언제든지 포럼에 접속하여, 토론에 적극적으로 참여 할 수 있도록 “접근성과 사용성 향상과 참여도 확대”라는 목표를 갖고 웹사이트 형태로 포럼 서비스를 개발하게 되었습니다.

 

현재 포럼 상황 안내

보스코인 콩그레스 포럼의 로그인 페이지는 기존에 사용하던 “보스코인 웹월렛”과 같이 “보안키”로 인증하여 진입한다는 기존 사용자 경험과 동일하게 개발되었습니다.

두 개의 서비스가 다른 점은 “보안키 인증”을 통해 도달한 페이지가 “보스코인이 개발한 월렛 페이지 대 바닐라포럼에서 제공한 포럼 페이지”입니다.

이 포럼 도달페이지가 저희 보스코인이 개발한 서비스가 아닌 다른 회사의 제품이라, 혹시 나의 로그인 정보인 “보안키”가 바닐라포럼 회사에 제공되지 않을까? 또는 알 수 있지 않겠냐? 고 염려되어 이용하기가 꺼려지는 점 충분히 이해가 됩니다.

저희가 개발한 포럼 로그인 페이지는 “블록체인 알고리즘” 중에서 가장 보편적으로 사용하는 안전한 암호화 알고리즘을 적용하였습니다.

쉽게 설명 드리자면, 사용자가 입력한 “보안키 Secret Seed” 대신 “서명 Sign”을 멤버십 서버로 보내어 해당 서버에서는 이 “서명 Sign” 이 “공개주소 Public Address”와 맞는지 확인하여, 대칭이 맞을 경우 “승인 Accept”을 로그인 페이지로 보내주어 사용자를 보스코인 콩그레스 포럼 속으로 진입시켜 줍니다.

만약 저희가 “서명 Sign” 대신 “보안키 Secret Seed”를 보냈다면, 서버와 통신을 주고받은 사이에 정보가 탈취될 수 있는 위험한 상황에 부닥칠 수 있었겠지만, 저희는 “서명 Sign”만 서버에 보내기 때문에 만약에라도 통신 구간에서 정보가 탈취되어도 이를 통해 사용자의 “보안키 Secret Seed”를 추적할 수 없으니 안심하고 이용해 주시기 바랍니다.

 

보스코인 콩그레스 포럼 개선 방안

보스코인 콩그레스 포럼에서 보안키로 로그인하는 방식이 염려되는 사용자들을 위하여, 향후 보스코인 콩그레스 보팅 애플리케이션을 새 단장하게 되면, 포럼 서비스 접근 방식의 다변화와 보안키외 로그인할 수 있는 방식에 대해서도 충분히 고려하여 개발하겠습니다.

또한 로그인 페이지에 CSP(Content-Security-Policy) 보안 설정을 강화하여 보안키가 탈취될 수 있는 공격을 막아 보다 높은 수준의 보안 환경을 제공하도록 하겠습니다.

 

보스코인 서비스 URL

반드시, 아래의 URL로만 서비스를 이용해 주시기 부탁드립니다.

• 보스코인 공식 웹사이트 URL : https://boscoin.io/
• 보스코인 웹 월렛 URL : https://wallet.boscoin.io/
• 보스코인 앱 월렛 다운로드 URL : https://play.google.com/store/apps/details?id=org.blockchainos.wallet.android.mainnet
• 보스코인 익스플로러 URL : https://explorer.boscoin.io/
• 포럼 로그인 URL : https://mainnet-membership.blockchainos.org/login
• 포럼 상세 URL : https://congress-forum.boscoin.io/
  * 보스코인 콩그레스 포럼으로 바로 갈 수 있는 링크 URL은 보스코인 공식 홈페이지 > Congress Voting 페이지 제일 밑에 있습니다!

그리고 보안키를 입력하기 전에 반드시 “신뢰할 수 있는 사이트”인지, “https”로 시작하는지, 정확한 URL이 맞는지 반드시 확인 후에 로그인해 주시기 바랍니다.

 

마지막으로, 개별 사용자들은 “본인 보안키 관리”에 각별한 주의를 기울여 주셨으면 합니다.

보스코인 공식 홈페이지를 통한 접근이 아닌, 웹에서 떠도는 피싱 사이트 URL이나 타인이 전달한 확인되지 않은 URL을 통해 포럼이나 웹월렛에 접근하지 않도록 특히 주의해 주시기 바랍니다.

 

안전한 보스코인 사용을 위한 정보보호 실천수칙 5가지

01 보안키와 복구키는 별도의 저장 매체에 보관

• 보안키와 복구키는 ‘나‘의 계좌에 보관된 모든 BOScoin을 통제할 수 있는 중요한 비밀키예요. 그만큼 더욱더 보안이 안전한 저장 매체 또는 나만 알 수 있는 장소에 보관해야 해요.

 

02 여러 계좌에 BOScoin을 분산하여 보관하기

• 하나의 계좌에 나의 모든 BOScoin을 보관하는 것보다는 여러 개의 계좌에 분산하여 보관한다면, 계좌 정보가 유출되어도 나의 모든 BOScoin을 잃어버리지 않아요.

 

03 비밀번호를 주기적으로 변경하기

• 비밀번호는 주기적으로 바꿔주는 것이 좋아요. 이때, 비밀번호에 이름, 생일, 전화번호 등을 사용하지 않도록 주의해야 해요. 비밀번호가 변경되면, 복구키도 새로 생성되기 때문에 반드시 백업해 주세요.

 

04 신뢰할 수 없는 웹사이트는 방문하지 않기

• 의심스러운 웹사이트에서 보안키를 입력하게 되면 입력한 보안키가 바로 유출될 수 있어요. 보스코인과 유사한 사이트를 똑같이 만들어 보안키를 입력하게 만드는 피싱 사이트를 조심해야 해요.

 

05 공식 마켓 또는 공식 홈페이지에서 앱 다운로드 하기

• 공식 마켓이나 공식 홈페이지를 통해 보스코인 애플리케이션을 다운로드 받아야 해요. 모르는 사람이 보낸 링크를 통해 앱을 다운로드 받으면 내 보안키가 유출될 수 있으니 조심해야 해요.