[연구] [김형식 교수] 보안공학연구실(SecLab), USENIX Security 2024 학술대회 논문 게재 승인
- 소프트웨어학과
- 조회수773
- 2024-07-30
[김형식 교수] 보안공학연구실(SecLab), USENIX Security 2024 학술대회 논문 게재 승인
보안공학 연구실(https://seclab.skku.edu/)의 김형식 교수가 참여한 논문 "I Experienced More than 10 DeFi Scams: On DeFi Users’ Perception of Security Breaches and Countermeasures"이 보안 분야 4대 컨퍼런스 중 하나인 USENIX Security 2024에 게재 승인되어 8월에 발표될 예정입니다. 이 연구는 Georgia Institute of Technology의 김태수 교수 연구실과의 협업을 통해 진행되었습니다.
다음은 논문의 개요입니다:
탈중앙화 금융(DeFi)은 새로운 투자 경험을 제공하며, 중앙집중식 금융(CeFi)에 대한 매력적인 대안으로 급부상하고 있습니다.
그러나 급성장하는 시장 규모와 활발한 사용자 활동은 DeFi를 스캠과 해킹의 표적으로 만들었습니다. 2023년에만 19억 5천만 달러의 손실이 발생했습니다. 이렇게 큰 피해가 발생하는 데도 불구하고, 왜 사용자들이 DeFi에 계속 투자하는지에 대한 근본적인 이해가 부족하였습니다.
이 논문은 실제 스캠, 해킹 피해자들을 대상으로 사용자 스터디를 기반으로 DeFi 사용자의 보안 인식과 사용자들이 DeFi를 어떻게 활용하고 있는지를 분석합니다. 또한 사용자들이 스캠이나 해킹 피해자들이 어떻게 대응하고 손실을 회복하려 하는지를 분석합니다.
우리의 분석에 따르면, 사용자들은 DeFi의 탈중앙화 특성과 높은 수익성으로 인해 CeFi보다 DeFi를 선호하는 경향이 있음을 알 수 있었습니다.
그러나, 대부분의 피해자는 보안 사고를 경험했음에도 불구하고 여전히 적절한 대처를 못하고 있는 것을 알 수 있습니다.
이 논문의 주요 기여는 DeFi 사용자의 보안 우려와 리스크 완화 전략에 대한 정확한 원인을 규명하고, DeFi 보안을 향상시키기 위해서 어떠한 노력을 기울여야 하는지를 설명합니다.
Abstract:
Decentralized Finance (DeFi) offers a whole new investment experience and has quickly emerged as an enticing alternative to Centralized Finance (CeFi). Rapidly growing market size and active users, however, have also made DeFi a lucrative target for scams and hacks, with 1.95 billion USD lost in 2023.
Unfortunately, no prior research thoroughly investigates DeFi users’ security risk awareness levels and the adequacy of their risk mitigation strategies.
Based on a semi-structured interview study (N=14) and a follow-up survey (N=493), this paper investigates DeFi users’ security
perceptions and commonly adopted practices, and how those affected by previous scams or hacks (DeFi victims) respond and try to recover their losses. Our analysis shows that users often prefer DeFi over CeFi due to their decentralized nature and strong profitability.
Despite being aware that DeFi, compared to CeFi, is prone to more severe attacks, users are willing to take those risks to explore new investment opportunities. Worryingly, most victims do not learn from previous experiences; unlike victims studied through traditional systems, DeFi victims tend to find new services, without revising their security practices, to recover their losses quickly.
The abundance of various DeFi services and opportunities allows victims to continuously explore new financial opportunities, and this reality seems to cloud their security priorities. Indeed, our results indicate that DeFi users’ strong financial motivations outweigh their security concerns – much like those who are addicted to gambling. Our observations about victims’ post-incident behaviors suggest that
stronger control in the form of industry regulations would be necessary to protect DeFi users from future breaches.
The key contributions of this paper are: a first formal study investigating DeFi users’ security concerns and risk mitigation strategies, a list of security misconceptions that need to be addressed, and a thorough report on the security behaviors of DeFi victims and how they can be better protected in the future.