BOScoin Congress forum Official answer – KR

Written by Service design Team of BOScoin
February 20th, 2019

안녕하세요. 보스코인입니다.

보스코인 콩그레스 포럼을 관심있게 지켜봐 주시고, 다양한 의견과 질문들을 보내주신 커뮤니티 멤버들께 감사의 말씀을 드립니다.

커뮤니티 멤버들이 다양한 사용 후기와 개선 요구사항을 전달해 주셔서, 저희가 어떤 의사결정을 통해서 개발하게 되었는지, 현재 보안 수준과 향후 개선방안에 대해 공식 답변을 준비했습니다.

* We are preparing an English translation.

 

배경 설명

보스코인 콩그레스 포럼 오픈 직후, 커뮤니티 멤버들 사이에서 포럼 사용이 꺼려진다는 의견이 다양한 경로로 접수되고 있습니다.

이유는 포럼 로그인 방식이 복구키나 보안키를 활용하는 것 때문입니다. 멤버들이 느끼기에 ‘통장 비밀번호를 입력해야만 포럼에 참여할 있다’는 느낌이 든다는 이유로 사용하는 두렵다는 의견이 지배적이였습니다.

이에 따라 보스코인팀에 다음과 같은 요구사항을 전달하였습니다.

개선 요구 사항

 

개발 배경 설명

2018년 12월 말, 커뮤니티 멤버들이 요구하신멤버십을 갖춘 커뮤니티 멤버들만 참여 가능한 포럼 만들어 주었으면 하는 바람으로 저희 보스코인 개발팀은 “보스코인 콩그레스 포럼 ” 서비스를 개발 출시하게 되었습니다.

저희가 채택한 로그인 방식과 서비스 제공 방식에 대해 아래과 같이 고려하여 개발하였습니다.

블록체인 기반에서 개발된 “보스코인 콩그레스 포럼”에서는, 사용자가 보스코인 멤버십을 보유하고 있는지 아닌지를 판단할 있는 근거가 오직보안키밖에 없어서 이를 이용한 로그인 방식을 채택하였습니다.

그리고 콩그레스 보팅 애플리케이션 내에 포럼을 삽입하는 것도 고려해 보았으나, 또한 사용자는 반드시 “콩그레스 보팅 데스크탑 애플리케이션”을 실행해야만 포럼을 이용할 수밖에 없다는 치명적인 단점으로 인해 배제되었습니다.

저희는 더욱 많은 보스코인 커뮤니티 멤버들이 언제든지 포럼에 접속하여, 토론에 적극적으로 참여  있도록접근성과 사용성 향상과 참여도 확대”라는 목표를 갖고 웹사이트 형태로 포럼 서비스를 개발하게 되었습니다.

 

현재 포럼 상황 안내

보스코인 콩그레스 포럼의 로그인 페이지는 기존에 사용하던보스코인 웹월렛 같이보안키 인증하여 진입한다는 기존 사용자 경험과 동일하게 개발되었습니다.

개의 서비스가 다른 점은보안키 인증 통해 도달한 페이지가보스코인이 개발한 월렛 페이지바닐라포럼에서 제공한 포럼 페이지입니다.

 포럼 도달페이지가 저희 보스코인이 개발한 서비스가 아닌 다른 회사의 제품이라, 혹시 나의 로그인 정보인보안키 바닐라포럼 회사에 제공되지 않을까? 또는 알 수 있지 않겠냐? 고 염려되어 이용하기가 꺼려지는 점 충분히 이해가 됩니다.

저희가 개발한 포럼 로그인 페이지는블록체인 알고리즘중에서 가장 보편적으로 사용하는 안전한 암호화 알고리즘을 적용하였습니다.

쉽게 설명 드리자면, 사용자가 입력한 “보안키 Secret Seed” 대신 “서명 Sign”을 멤버십 서버로 보내어 해당 서버에서는 이 “서명 Sign” 이 “공개주소 Public Address”와 맞는지 확인하여, 대칭이 맞을 경우 “승인 Accept”을 로그인 페이지로 보내주어 사용자를 보스코인 콩그레스 포럼 속으로 진입시켜 줍니다.

만약 저희가서명 Sign” 대신보안키 Secret Seed” 보냈다면, 서버와 통신을 주고받은 사이에 정보가 탈취될 수 있는 위험한 상황에 부닥칠 수 있었겠지만, 저희는서명 Sign” 서버에 보내기 때문에 만약에라도 통신 구간에서 정보가 탈취되어도 이를 통해 사용자의보안키 Secret Seed” 추적할 없으니 안심하고 이용해 주시기 바랍니다.

 

보스코인 콩그레스 포럼 개선 방안

보스코인 콩그레스 포럼에서 보안키로 로그인하는 방식이 염려되는 사용자들을 위하여, 향후 보스코인 콩그레스 보팅 애플리케이션을 단장하게 되면, 포럼 서비스 접근 방식의 다변화와 보안키외 로그인할 수 있는 방식에 대해서도 충분히 고려하여 개발하겠습니다.

또한 로그인 페이지에 CSP(Content-Security-Policy) 보안 설정을 강화하여 보안키가 탈취될 있는 공격을 막아 보다 높은 수준의 보안 환경을 제공하도록 하겠습니다.

 

보스코인 서비스 URL

반드시, 아래의 URL로만 서비스를 이용해 주시기 부탁드립니다.

 

그리고 보안키를 입력하기 전에 반드시신뢰할 있는 사이트인지, “https” 시작하는지, 정확한 URL 맞는지 반드시 확인 후에 로그인해 주시기 바랍니다.

 

마지막으로, 개별 사용자들은본인 보안키 관리 각별한 주의를 기울여 주셨으면 합니다.

보스코인 공식 홈페이지를 통한 접근이 아닌, 웹에서 떠도는 피싱 사이트 URL이나 타인이 전달한 확인되지 않은 URL 통해 포럼이나 웹월렛에 접근하지 않도록 특히 주의해 주시기 바랍니다.

 

안전한 보스코인 사용을 위한 정보보호 실천수칙 5가지

 

01 보안키와 복구키는 별도의 저장 매체에 보관

 

02 여러 계좌에 BOScoin 분산하여 보관하기

 

03 비밀번호를 주기적으로 변경하기

 

04 신뢰할 없는 웹사이트는 방문하지 않기

 

05 공식 마켓 또는 공식 홈페이지에서 다운로드 하기