이 프로젝트에 대한 제3자 감사에서는 홍채 인식 오브(Orb) 장치가 사용자의 홍채 코드를 영구 메모리에 기록하지 않으며 종단 간 암호화된 메시지를 통해서만 코드를 전송한다고 주장한 것으로 알려졌다. 이를 코인텔레그래프가 14일 전했다.
코인텔레그래프가 확인한 개발팀의 3월 14일 보고서 초안에 따르면, 인간 신원 프로젝트 월드코인(WLD)이 오브(Orb) 소프트웨어에 대한 제3자 감사를 획득했다. 보고서는 “기술된 바와 같은 프로젝트 목표와 관련하여 직접적으로 악용될 수 있는 취약점을 발견하지 못했다”고 주장하는 트레일오브비츠가 감사를 수행했다고 밝혔다. 월드코인의 이메일 성명에 따르면, 트레일 오브 비츠의 전체 보고서는 3월 14일에 발표될 것으로 예상된다.
월드코인은 “오브”라고 불리는 장치에 의해 홍채가 스캔되도록 함으로써 그들이 인간임을 확인할 수 있게 한다. 사용자가 이 등록을 수행할 때, 그들은 그들이 실제 인간임을 증명하는 데 사용될 수 있는 “월드 ID”를 얻는다. 그 프로젝트는 ChatGPT 개발자 오픈AI를 공동 설립한 샘 알트만에 의해 공동 설립되었다. 알트만은 AI 봇이 곧 효과적으로 인간 행세를 할 수 있을지도 모른다는 두려움 때문에 그가 월드코인을 만드는 것을 도왔다고 주장했다.
개인 정보 보호 옹호자들은 월드코인(WLD)이 사용자의 홍채 스캔을 해커나 정부에 유출할 위험이 있다는 이유로 비판해 왔다 . 비평가들은 이러한 홍채 스캔을 사용하여 개인이 월드ID로 수행하는 모든 활동을 공개할 수 있다고 주장한다.
월드코인의 보고서에 따르면 트레일 오브 비츠는 2023년 8월 14일부터 평가를 시작했다. 감사 회사에는 2023년 7월 8일 평가 목적으로 “동결”된 버전 3.1.10이 제공되었으며, 현재 버전은 4.0.34라고 보고서는 밝혔다.
감사관들은 6주 동안 잠재적인 취약점이 있는지 코드를 조사하는 데 시간을 할애했다고 한다. 그들은 해커가 사용자의 홍채 스캔을 얻기 위해 잠재적으로 사용할 수 있는 여러 공격 벡터를 고려했지만, 궁극적으로 “우리의 분석은 설명된 프로젝트 목표와 관련하여 직접적으로 악용될 수 있는 오브의 코드의 취약점을 발견하지 못했다”고 결론을 내렸다. 구체적으로, 감사관들은 공격자가 신뢰할 수 있는 인증서 중 하나를 통제하지 않는 한 사용자의 홍채 코드를 얻을 수 없다고 결론을 내렸다:
“우리는 홍채 코드가 오브의 영구 저장고에 기록되지 않고, 오브의 백엔드에 대한 단일 요청에만 포함된다고 믿는다. … 일반 공격자가 오브의 네트워크 트래픽에서 홍채 코드를 추출하는 것은 불가능하며, 공격자는 신뢰할 수 있는 인증서 중 하나를 제어해야 한다.”
보고서에 따르면 감사인들은 오브의 보안을 개선하기 위해 두 가지 권고 사항을 제시했다. 첫 번째는 향후 변경 사항으로 인해 보안 문제가 발생하지 않도록 가입 흐름을 위한 구성을 “강화”하는 것이었다. 두 번째는 가입 중 QR 코드를 스캔하는 데 사용되는 ZBar 라이브러리를 순수한 Rust 버전으로 교체하는 것이었다. 감사인들은 ZBar가 이러한 변경 사항이 이루어지지 않을 경우 사용자의 “데이터 보관 선택”과 같은 구성 데이터가 유출될 수 있는 “메모리 안전” 문제가 발생할 수 있다고 주장했다. 월드코인 팀은 제안된 두 가지 변경 사항을 모두 구현했다고 보고서는 밝혔다.
월드코인의 개인정보 보호 관행에 대한 논쟁이 당분간 계속될 수도 있다. 3월 6일, 스페인 데이터 보호청(AEPD)은 월드코인이 데이터 보호법을 위반했다는 주장을 조사하기 위해 시간이 필요하다고 주장하며 프로젝트에 대한 금지 가처분 신청을 발표했다. 이에 대해 월드코인은 이러한 법을 위반하지 않았으며 스페인 정부가 금지 가처분 신청을 발표함으로써 “EU법을 우회하고 있다”고 주장했다.
그레이스케일, 5316 BTC를 코인베이스 프라임으로 입금
판사는 크레이그 라이트가 나카모토 사토시가 아니라고 판결
■ 9월 코인 일정 모아보기(이동)
■ 텔레그램 소식방 https://t.me/coincodekr 코인코드에 올라가지 않는 다양한 소식을 공유.
※ 단순 개인 블로그인 코인코드는 해외 소식을 의역 & 참고한 것임을 밝힙니다. 코인코드는 팩트에 기반하지 않으며, 오역이
있을 수 있습니다. 그래도 괜찮으신 분들만 보세요. 코인코드는 투자 판단의 근거로 활용될 수 없습니다!
※ 오타는 이해하고 넘어가주세요.
[ 코인코드 (coincode.kr), 공유 하시게 되면 출처는 꼭 남겨주세요. ]
