디브이피(DVP)는 블록체인 기반의 탈중앙화된 결함발견 보상 플랫폼이며 자동 보상금 지불 시스템으로 결함을 찾은 참여자(화이트해커)에게 보상을 지급하는 구조입니다. 화이트해커란 기관의 미비한 보안 시스템을 발견해 분석하고 블랙 해커의 공격을 퇴치하는 역할을 하는 해커입니다. 디브이피는 화이트해커의 자발적인 참여를 통해 화이트해커 커뮤니티 구축과 블록체인 시장의 취약점을 새로운 방식으로 해결하고자 합니다. 디브이피는 이더리움 기반의 ERC-20 토큰으로 2018년 7월에 발행되었습니다. 블록체인 생태계의 보안과 화이트해커의 이익과 익명성을 보장하기 위하여 디브이피의 분산식 플랫폼과 여러 보안 팀 및 중앙화 플랫폼 등을 결합하여 발행한 코인입니다. 이를 위하여, 화이트해커 커뮤니티, 업체, 블록체인 프로젝트, 캐피탈, 보안 영역의 파트너사 등을 생태계로 포함하고 있습니다.
디브이피의 참여자는 화이트해커, 공급업체, 슈퍼노드, 일반 노드로 나뉩니다. 화이트해커는 플랫폼에서 보상을 받을 수 있는 임무를 찾고, 결함 발견을 통해 얻은 포인트를 보상금으로 받을 수 있습니다. 공급업체는 업무 책임자로서, 중재기관의 신원확인 후 임무를 게시하고 보상금 기준을 명시하며, 슈퍼노드는 중재기관으로서 디브이피 검증을 실행해 중재 판정을 내리고 모든 블록의 장부에 데이터 작업을 진행, 최종적으로 포인트를 부여받도록 합니다. 결함 제출자와 공급 업체 간 분쟁이 발생할 경우, 중재기관에서 투표를 진행해 결과를 도출하기도 합니다. 임의의 클라이언트는 모두 하나의 일반 노드로 디브이피 분산데이터로 저장되지만 기입할 수 있는 권한은 없습니다.
디브이피의 최고경영자 다니엘 웬(Daniel Wen)은 블록체인 업계, 사모주식, 투자은행과 금융 등의 분야에서 15년 이상의 경력을 쌓았습니다. 한때 유명한 공유 블록체인 프로젝트 온톨로지(Ontology)의 글로벌 생태계 총감독을 역임하여 온톨로지의 마케팅, 비즈니스 확장 및 해결방안 팀을 관리했고, 온톨로지의 생태합작 파트너 네트워크를 구축하는 데 중요한 역할을 담당했습니다. 온톨로지 팀에 합류하기 전, 그는 국제은행, 포춘 500 위의 다국적기업 및 빅4 회계사무소에서 근무했었습니다. 다니엘 웬은 호주 뉴사우스웨일즈 대학교 경영대학원에서 MBA를 취득했고 중국인민대학에서 재무 및 금융학 학사 학위를 취득했습니다.
블록체인 업계는 여전히 초보적인 발전 단계에 놓여 있고, 기술과 이념의 미성숙으로 인한 보안 사고가 빈번히 발생하고 있으며, 블록체인 제품이 가지고 있는 금융적 속성으로 인해 그 자산은 아직까지 많은 국가의 법률적 보호를 받지 못하고 있습니다. 이밖에, 탈중앙화 속성은 자산의 통제와 추적이 어렵다는 것을 의미하여, 그러한 블록체인 프로젝트는 해커들의 이상적인 공격 목표입니다. 통계에 따르면, 블록체인과 관련하여 보안 사고로 인한 손실이 꾸준히 늘고 있는 것으로 나타났습니다. BCSEC의 통계에 따르면, 2018년 블록체인 관련 중대한 보안 사고는 139건을 기록하였고, 그 경제적 손실은 22.38억 달러로 사상 최대 수치를 기록하였습니다. 2019년 상반기에 발생한 중대한 보안 사고는 68건에 달하였고, 그로 인한 경제적 손실은 6.84억 달러입니다. 또 공격 수법이 다양하여 이를 감당하기 어려운 것으로 나타났습니다.
디브이피 협의는 비용을 낮출 수 있는 시스템을 구축함으로서 블록체인 프로젝트의 보안문제를 해결합니다. 시간이 지날수록 블록체인 프로젝트마다 디브이피 협의를 사용하여 보안검사를 수행할 수 있기를 바라는 바, 이는 블록체인 프로젝트에서 보안은 가장 기본적인 요구사항이기 때문입니다. 협의에는 주요 보상금 지불 시스템이 있습니다. 하나는 자동적인 보상금 지불 시스템으로, 결함을 찾은 참여자들을 장려하는 것 입니다. 화이트해커와 프로젝트 진행 측 사이에 하나의 자동화 보상금 지불 시스템을 구축합니다. 디브이피 협의는 참여자들의 분산형 네트워크에 의존하는 바, 부정적 역할을 감소하고 필요한 연산력과 관리를 제공합니다. 참여자들마다 디브이피 협의 포인트를 사용하여 지불, 수신, 또는 검증 서비스를 향상시킬 수 있습니다.
화이트해커는 결함 발견을 통해 얻은 포인트를 보상금으로 받고, 플랫폼에서 보상금을 얻을 수 있는 임무를 찾을 수 있습니다. 결함 발견 후, 플랫폼 혹은 클라이언트가 공급 업체 보고용으로 만든 공개키로 콘텐츠를 암호화하여 제출합니다.
공급 업체 생성 후에는 중재기관의 공급 업체 신원확인을 기다려야 합니다. 신원확인 후, 임무를 게시하여 보상금 기준을 명시하며 테스트 범위에 대한 정보를 기입하고 이를 프라이빗키와 공개키로 생성합니다. 공개키는 제출자가 제출할 결함에 관한 정보를 암호화하여 제출하는 것을 의미하고, 프라이빗키는 보안테스트에 관한 보고내용을 열람하는 데 사용됩니다. 등록되지 않은 공급 업체의 결함에 대해서는 검토를 위해 중개기구에 자동으로 전송됩니다. 디브이피 검증을 실행하여 중재 판정을 내리고 모든 블록의 장부에 데이터 작업을 진행한 다음 이를 전파하고 최종적으로 포인트를 부여받도록 합니다. 이 절차에서 노드는 안정검증 능력이 구비되어야 합니다. 결과적으로 결함 제출자와 프로젝트를 실행하는 공급 업체 간 분쟁이 발생할 경우 중재기구에서 투표를 진행하여 결과를 도출합니다.
임의의 클라이언트는 모두 하나의 일반적 노드이다. 일반노드는 디브이피 분산데이터로 저장되지만 기입할 수 있는 권한은 없습니다. 최종 블록 내용은 중재기관에서 노드를 관리하여 기입합니다. 기입작업은 최종적으로 중재기구가 실행하는 장부관리 작업으로, 내용은 추가만 할 수 있지 삭제하거나 수정할 수 없다. 전체정보구조는 중재기구에 의해 유지될 것 입니다. 디브이피의 공급 업체 계정을 생성하고 프로그램 설정에서 테스트 목표와 결함발견 보상금 등에 대한 정보를 작성하여 제출 후 공급 업체 신원을 검토하는 등 관리 접점을 기다립니다. 공급 업체의 계정 보증금이 충전되는 즉시 보상금을 받을 수 있는 프로젝트가 공개됩니다. 보상금 계약은 온라인의 B/S 클라이언트, 또는 C/S 클라이언트 등을 통해 임무를 발표하는 방식이며 그 내용은 매개 등급의 결함에 따라 보상금을 정의합니다.
디브이피의 공유 블록체인이 발표된 후, 온라인에서의 결함 정보 발견 플랫폼(블록정보 브라우저)을 구축합니다. 온라인에서의 플랫폼은 주로 결함 제출, 공급 업체 등록 및 생성, 화이트해커 등록 및 생성, 공급 업체 리스트, 공급 업체 정보 페이지, 랭킹 페이지, 게시글 페이지, 보상금 설명 페이지, 결함 설명 페이지 등이 포함되는 바, 전체 플랫폼의 데이터는 탈중앙화 입니다. 다만 온라인상에서의 클라이언트 디브이피 브라우저는 블록에서의 데이터를 보여주는 데 사용됩니다. 이와 동시에 안전한 생태 커뮤니티를 강화하여 더 많은 화이트해커와 프로젝트의 협력을 이룰 수 있습니다. 결함 보상은 미국에서 시작되었고 페이스북, 구글, 마이크로소프트를 필두로 해커원(HackerOne), 버그크라우드(BugCrowd) 등과 같은 회사들이 화이트해커 커뮤니티를 통해 기업들로 하여금 보안 결함을 발견 할 수 있도록 도움을 주고 있습니다. 중국에서는 3BAT와 같은 일선에 있는 인터넷 공급 업체에서 SRC(Safety Emergency Response Center)를 통해 결함 발견 보상계획을 진행하고 있습니다. 그들은 이런 방법을 통해 외부 결함의 수량이 제어 가능한 범위로 줄어드는 효과를 봤으며 장기적 보안 시스템 구축을 함에 있어서도 시간과 지침을 얻었습니다.
그러나 시장에는 아직까지 탈중앙화 된 결함 발견 보상 플랫폼이 존재하지 않고 있습니다. 모든 보상은 중앙집중화식 플랫폼을 통해 이루어지고 있거나 이메일 등과 같은 소통방식을 취하고 있으므로 비효율적이고 시간이 많이 들며 보상의 범위도 제한적일 뿐만 아니라 기업들이 전문 인사를 고용하여 모든 보상임무를 감독해야 하는 문제가 발생합니다. 이밖에 전문 인사들은 자신의 신원, 연락처 등과 같은 개인정보가 노출되는 것을 꺼려합니다. 현존하고 있는 플랫폼들은 이런 문제들을 해결하지 못하는 바, 해커원, 버그크라우드 등과 같은 사이트는 전통적인 인터넷 보안문제에 더 중점을 두고 있어 탈중앙화된 감사기제를 제공하지 못하고 있습니다. 반면, 디브이피는 개인정보보호와 익명의 설계 및 탈중앙화된 감사기제를 통한 결함의 기밀성과 공정성을 핵심가치로 보고 있습니다.
현존하고 있는 다른 보상 플랫폼들은 보상을 받는 정보를 포함하여 제출자에게 개인정보를 제공하도록 요구합니다. 대부분의 결함 발견 보안 담당자는 개인정보 공개를 꺼려하고 또 공급 업체와 소통하는 것을 원하지 않고 있어 결함 제출을 포기하는 경우가 있습니다. 그러나 디브이피의 익명성 등 특점은 효과적으로 화이트해커의 개인정보를 보호해 줄 수 있어 더 많은 화이트해커들의 참여를 유도할 수 있습니다. 결함은 공급 업체하고만 결과 확인을 진행할 수 있어 결함에 대한 기밀성을 보장한다. 분쟁이 발생하면 중재기관이 투표를 통해 공정성을 보장합니다. 현존하고 있는 플랫폼들은 중앙집중화 플랫폼들로서 플랫폼은 모든 프로젝트 당사자의 결함 정보를 열람할 수 있습니다. 그러나 공급 업체는 이런 정보를 플랫폼측이 열람할 수 있는 것을 원하지 않습니다. 과거에도 중앙플랫폼의 문제로 인해 결함의 세부정보가 노출되어 결과적으로 결함이 이차적으로 이용되어 공급 업체가 손해를 본 사건이 존재합니다. 반면, 디브이피의 대칭적인 암호화 체계와 공유 블록체인의 결합은 공급 업체만이 열람할 수 있도록 되어있고 최종공개 주도권도 공급 업체가 가지고 있으므로 효과적으로 결함에 대한 세부 기밀성을 보장할 수 있습니다.
보상금 거래는 익명으로 이루어지고 보상을 받기 위해서는 어떠한 개인정보도 필요 없으며 그 기록은 투명하고 공개적임을 보장합니다. 이밖에, 거래마다 과거기록과 완벽한 추적기록이 있습니다. 모든 감사표준은 공급 업체에 의해 확인된다. 전통적인 결함 발견 플랫폼은 일반적으로 중앙에서 결함을 검증하는 바, 이런 플랫폼은 절대적인 제어권을 갖고 있어 결함에 대해 의문스러운 점이 있다면 화이트해커 혹은 공급 업체는 발언권이 없습니다. 반면, 디브이피는 탈중앙화 기제로 감사를 진행하므로 공급 업체가 이의제기 시 중재기관(거버넌스 노드)이 중재투표를 통해 감사하며 그 결함의 절대적인 공정성을 보장합니다.
핵심 창업 팀은 바이마오휘(NOSEC)로, 모두 2만 명의 화이트해커들을 보유하고 있고 업계 최대의 보안 정보 플랫폼 창업 및 운영 경험이 있습니다. BCSEC 는 블록체인 보안 생태시스템에 중점을 두고 블록체인 업계에서 최고의 보안 솔루션을 제공합니다. 가장 진보적인 결함 및 보안 관련 정보를 연구하고 있고 현재 디지털 지갑, 거래소, 채굴 풀, 스마트 계약 등 기타 응용프로그램에 대해 심층적인 연구경력을 축적하고 있어 블록체인 커뮤니티의 보안 운영에 조기 경보와 기술적 지원을 제공합니다. 펙쉴드(PeckShield)는전 세계를 대상으로 한 업계 최고의 블록체인 보안 팀이며 블록체인 생태계 전체의 안전성, 기밀성 및 가용성 제고를 목표로 하고 있습니다. 업계 동향 보고서를 발표하는 것을 통해 실시간으로 생태보안위험을 모니터링하고 있고, 관련된 보안 해결 방안 및 서비스를 제공하는 등과 같은 방법으로 커뮤니티가 새로운 보안 사고 위협으로부터 방어할 수 있도록 도와줍니다.