디지털화폐 해킹 사례, 전 세계에서 연이어 발생하며 암호화 필요성 부각
한은, “분산원장기술 기반 CBDC 구현 모의실험 중...다양한 보안장치 마련 중점”
[보안뉴스 김영명 기자] 최근 블록체인 분야에서 분산원장기술의 발전과 암호자산(암호화폐, NFT)의 확대 등으로 중앙은행 디지털화폐(CBDC, Central Bank Digital Currency) 도입 논의가 활발해지고 있다.
▲중앙은행 디지털화폐(CBDC)의 정의[이미지=한국은행]
CBDC는 ‘전자적 형태로 발행되는 중앙은행 화폐’를 의미하며, 이용목적에 따라 모든 경제주체들의 일반적인 거래에 사용되는 소액결제용 CBDC와 은행 등 금융기관간 거래에 사용되는 거액결제용 CBDC 등 2가지로 구분할 수 있다. CBDC는 현금과 달리 △관련 거래의 익명성을 제한할 수 있으며 △이자 지급 △보유한도 설정 △이용시간 조절 가능 등의 특징이 있다.
CBDC 도입은 개인과 기업에게 조건 없이 계좌 서비스를 제공하면서 일반적으로 금융포용의 정도를 제고시키는 효과가 있을 뿐만 아니라, 현금보다 거래기록 추적이 용이해 불법자금과 지하경제 문제를 완화하는 데도 이바지할 수 있다.
한국은행은 ‘중앙은행 디지털화폐’라는 보고서를 통해 국가 통화를 책임지는 중앙은행 차원에서 CBDC의 기본개념과 구현방식, CBDC 도입 시 중앙은행의 책무에 미치는 영향 등 주요 이슈를 정리한 바 있다.
또한, 최근에는 오스트레일리아 중앙은행(RBA)에서 CBDC 도입에 따른 경제효과 등에 대한 연구에 나서기도 했으며, 이창용 한국은행 총재도 8월 8일 동아시아·태평양 11개국 중앙은행 총재들과 함께 모인 ‘제27차 동아시아·태평양지역 중앙은행 협력체 총재회의’에서 소액결제용 중앙은행 디지털화폐 등에 대한 논의가 이뤄졌다고 발표하기도 했다. 하지만 CBDC 도입에 있어 가장 큰 걸림돌은 ‘보안’인 것으로 분석됐다.
▲분산원장방식과 단일원장방식의 구현방식간 특징 비교[표=한국은행]
디지털화폐 해킹 사례, 전 세계에서 잇달아 발생
CBDC를 포함하는 디지털화폐에 대한 해킹 사례는 하루가 멀다 않고 끊임없이 발생하고 있다. 이달 8월에 들어서만 1일에 중국계 암호화폐 거래소 ZB에서 애플리케이션 오류 발생으로 입출금 중단 직후 테더(Tether, USDT) 등 암호화폐 21종이 도난당해 총 480만 달러(63억원)의 피해가 발생했고, 같은 날 미국 크로스체인 기업 ‘노마드(NOMAD)’에서 해킹으로 이더리움(ETH), USDC 등이 도난당해 1억 9,000만 달러(한화 2,489억원)의 피해가 발생했다. 이어 3일에는 암호화폐 시가총액 9위의 솔라나(SOLANA)에서 블록체인 네트워크 기반의 지갑 8,000여개가 해킹 당해 520만 달러(68억원)의 피해가 발생하는 등 전 세계에서 암호화폐 등 디지털화폐 관련 해킹사고는 끊이지 않고 있다.
CBDC 2가지 구현방식, 단일원장 및 분산원장방식
이러한 가운데 디지털화폐를 대상으로 발생할 수 있는 해킹 가능성 등 보안 취약점을 보완할 수 있는 CBDC의 구현방식에 관심이 모아지고 있다.
CBDC 구현방식은 중앙은행 또는 시중 은행이 CBDC 계좌 및 관련 거래정보를 보관 또는 관리하는 단일원장방식(계좌방식)과 다수의 거래참가자가 동일한 거래기록을 관리하는 분산원장방식 등으로 구분된다.
단일원장방식은 크게 △은행 예금계좌와 CBDC 계좌 간 자금이체업무 △CBDC 계좌간 자금이체업무로 나뉜다. ‘은행 예금계좌와 CBDC계좌간 자금이체업무’에서는 직접 운영의 경우 고객이 은행예금을 CBDC로 교환 요구시 중앙은행은 해당 고객의 CBDC 계좌 잔액을 증가시키고, 중앙은행과 은행 모두 이에 상응해 자산계정과 부채계정을 조정한다. ‘CBDC 계좌간 자금이체업무’에서는 고객의 CBDC 지급요청과 동시에 중앙은행 원장 내 계좌대체를 통해 결제되며, 간접운영 시에는 은행간 CBDC 준비금의 교환절차가 수반되는 점이 직접 운영과의 차이점이다.
분산원장방식은 △은행 예금계좌와 CBDC전자지갑 간 자금이체업무 △CBDC 전자지갑 간 자금이체업무로 구분할 수 있다. 먼저 ‘은행 예금계좌와 CBDC 전자지갑 간 자금이체업무’에서는 단일원장방식에서와 같이 (중앙)은행의 자산과 부채계정에서 조정이 된다. 다만, 간접 운영은 중앙은행이 발행한 일정금액의 CBDC를 은행이 고객 요구에 따라 예금과 교환해 주는 점이 직접 운영과 다르다. ‘CBDC 전자지갑 간 자금이체업무’는 직접 또는 간접운영 모두 지급과 결제가 분산원장 네트워크상에서 이뤄짐에 따라 은행과 중앙은행의 재무제표에는 변함이 없다.
분산원장방식은 거래 참여자 누구나 거래검증과 원장기록에 참여가 가능한 비허가형, 거래검증 및 원장기록 권한을 신뢰할 수 있는 일부 참여자에게만 부여하는 허가형으로 분류된다.
▲CBDC, 현금 및 지급준비예치금 간 특성 비교[표=한국은행]
분산원장방식, 단일원장방식에 비해 보안성·복원력 등 확보
한국은행은 주요국 중앙은행의 테스트 결과 등을 기초로 △보안성 △복원력 △확장성 △호환성 등 주요 기술적 평가요소별로 비교·평가를 진행했다.
보안성과 복원력 부문에서는 단일원장방식의 경우 단일실패점 문제에 대한 근본적인 해결이 어려워 이를 이용한 분산서비스공격(DDoS)에 취약하다. 하지만 분산원장방식은 복수의 원장관리 노드가 존재하므로 단일실패점 문제를 해소할 수 있다. 또한, 원장의 복사본이 다수 존재하고, 이들 원장이 합의과정을 거쳐 확정되기 때문에 상대적으로 정보의 위·변조나 분산서비스공격 등으로부터 안전하다.
확장성 부문에서는 현재의 기술개발 수준에서는 단일원장방식이 분산원장방식에 비해 거래처리 속도가 빠른 것으로 분석되고 있다. 단일원장방식의 대표적인 전자지급 결제수단인 비자카드 네트워크(Visanet)는 최대 초당 2만4,000건의 거래를 처리할 수 있으며, 허가형 분산원장의 일종인 IBM의 하이퍼렛저 패브릭(Hyperledger Fabric)은 최근 테스트 결과 초당 1,350건 거래의 처리가 가능하다.
호환성 부문에서 단일원장방식은 기존 은행 예금계좌 등과 동일한 방식이므로 기존 시스템과의 기술적인 호환성이 매우 높다. 하지만 분산원장방식의 경우에는 CBDC 시스템과 기존 시스템을 연동시키기 위한 작업이 추가로 필요할 수 있다.
▲CBDC 발행을 검토하고 있는 국가의 CBDC 발행동기[표=한국은행]
한국은행, CBDC 본격 도입 전까지 보안 등 기술적 문제 해결 연구 지속
한국은행 금융결제국 디지털화폐기술반 유희준 반장은 “현재 중앙은행 디지털화폐의 기술적인 구현 가능성에 대한 연구를 꾸준히 하고 있지만 도입 시점이 결정한 바는 없다”며 “CBDC의 도입 여부가 확실하게 결정되지 않은 상황에서 CBDC의 장점에 대해 말할 수 있는 단계는 아니”라고 말했다.
CBDC의 보안이슈에 대해 유희준 반장은 “모든 걸 다 동일한 기준에서 이야기하기는 어렵지만, 암호자산 대부분은 공개용 블록체인으로 동작해 불특정 다수가 참여하는 상황에서 보안적 한계는 있기 마련”이라며 “향후 도입될 CBDC가 반드시 블록체인 기술을 도입해 분산원장방식으로 운영된다는 보장도 없지만, 인가된 사용자에 대해서만 거래를 한다는 전제 하에 보안상 안전할 것으로 생각한다”고 말했다. 그는 이어 “어떤 기술을 사용할지 언제 도입할지도 모르는 상황에서 구체적인 논의는 불가능하다”고 덧붙였다.
세계경제포럼(WEF)은 지난해 ‘CBDC에 대한 사이버보안 측면에서의 주의해야 할 사항’을 백서로 발행하며 크게 △자격증명 도난 및 분실 △권한 있는 역할을 가진 사용자 △서비스 거부 △이중 지출 △양자 컴퓨팅 등 5가지를 언급했다.
이 5가지 이슈에 대해 유희준 반장은 “양자 컴퓨팅은 꾸준히 발전하고 있는 시스템 방식이기 때문에 변화에 따라 보안 대책을 업그레이드해야 하고, 지급결제 시스템에서 이중지출을 막기 위해 결제 완결성을 높이거나 한 번 결제에 사용했던 데이터가 재사용되는 걸 막는 방법을 개발하는 것이 필요하다”고 말했다. 이어 “자격증명 도난 및 분실과 관련해서는 신원 인증 방식을 구상하고, 보유 자산에 대한 자격증명의 기술적인 방법을 기반으로 논의되어야 하는 시점이며, 서비스 거부 관련해서도 기술 개발이 진행돼야 한다”며 “암호화 기술의 발전 메커니즘을 보고 향후 어떻게 사용할 수 있을지 분석하는 단계를 거쳐야 한다”고 설명했다.
한국은행은 현재 단말기 소유자가 거래내역을 임의로 변조할 수 없도록 방지하는 보안장치에 대한 기술적인 연구를 진행 중이다. 현재 분산원장기술을 활용해 CBDC를 구현할 수 있는지 모의실험 중에 있으며, 준비가 마무리되면 언론에 공개할 예정이라고 밝혔다.
한편, 한국은행이 몇몇 시중 은행과 함께 진행하고 있던 CBDC 관련 모의실험 연구 용역사업은 모두 종료됐으며, 기술 연구는 실제 CBDC가 시중 은행의 결제 시스템에 최종 도입되기 직전까지는 계속 진행해 나갈 방침이라고 밝혔다. 그러면서도 현재 CBDC 기술 관련해 시중 은행들과 진행한 프로젝트 결과에 대해서는 언급할 수 없다고 말했다.
[김영명 기자(sw@boannews.com)]
한은, “분산원장기술 기반 CBDC 구현 모의실험 중...다양한 보안장치 마련 중점”
[보안뉴스 김영명 기자] 최근 블록체인 분야에서 분산원장기술의 발전과 암호자산(암호화폐, NFT)의 확대 등으로 중앙은행 디지털화폐(CBDC, Central Bank Digital Currency) 도입 논의가 활발해지고 있다.
▲중앙은행 디지털화폐(CBDC)의 정의[이미지=한국은행]
CBDC는 ‘전자적 형태로 발행되는 중앙은행 화폐’를 의미하며, 이용목적에 따라 모든 경제주체들의 일반적인 거래에 사용되는 소액결제용 CBDC와 은행 등 금융기관간 거래에 사용되는 거액결제용 CBDC 등 2가지로 구분할 수 있다. CBDC는 현금과 달리 △관련 거래의 익명성을 제한할 수 있으며 △이자 지급 △보유한도 설정 △이용시간 조절 가능 등의 특징이 있다.
CBDC 도입은 개인과 기업에게 조건 없이 계좌 서비스를 제공하면서 일반적으로 금융포용의 정도를 제고시키는 효과가 있을 뿐만 아니라, 현금보다 거래기록 추적이 용이해 불법자금과 지하경제 문제를 완화하는 데도 이바지할 수 있다.
한국은행은 ‘중앙은행 디지털화폐’라는 보고서를 통해 국가 통화를 책임지는 중앙은행 차원에서 CBDC의 기본개념과 구현방식, CBDC 도입 시 중앙은행의 책무에 미치는 영향 등 주요 이슈를 정리한 바 있다.
또한, 최근에는 오스트레일리아 중앙은행(RBA)에서 CBDC 도입에 따른 경제효과 등에 대한 연구에 나서기도 했으며, 이창용 한국은행 총재도 8월 8일 동아시아·태평양 11개국 중앙은행 총재들과 함께 모인 ‘제27차 동아시아·태평양지역 중앙은행 협력체 총재회의’에서 소액결제용 중앙은행 디지털화폐 등에 대한 논의가 이뤄졌다고 발표하기도 했다. 하지만 CBDC 도입에 있어 가장 큰 걸림돌은 ‘보안’인 것으로 분석됐다.
▲분산원장방식과 단일원장방식의 구현방식간 특징 비교[표=한국은행]
디지털화폐 해킹 사례, 전 세계에서 잇달아 발생
CBDC를 포함하는 디지털화폐에 대한 해킹 사례는 하루가 멀다 않고 끊임없이 발생하고 있다. 이달 8월에 들어서만 1일에 중국계 암호화폐 거래소 ZB에서 애플리케이션 오류 발생으로 입출금 중단 직후 테더(Tether, USDT) 등 암호화폐 21종이 도난당해 총 480만 달러(63억원)의 피해가 발생했고, 같은 날 미국 크로스체인 기업 ‘노마드(NOMAD)’에서 해킹으로 이더리움(ETH), USDC 등이 도난당해 1억 9,000만 달러(한화 2,489억원)의 피해가 발생했다. 이어 3일에는 암호화폐 시가총액 9위의 솔라나(SOLANA)에서 블록체인 네트워크 기반의 지갑 8,000여개가 해킹 당해 520만 달러(68억원)의 피해가 발생하는 등 전 세계에서 암호화폐 등 디지털화폐 관련 해킹사고는 끊이지 않고 있다.
CBDC 2가지 구현방식, 단일원장 및 분산원장방식
이러한 가운데 디지털화폐를 대상으로 발생할 수 있는 해킹 가능성 등 보안 취약점을 보완할 수 있는 CBDC의 구현방식에 관심이 모아지고 있다.
CBDC 구현방식은 중앙은행 또는 시중 은행이 CBDC 계좌 및 관련 거래정보를 보관 또는 관리하는 단일원장방식(계좌방식)과 다수의 거래참가자가 동일한 거래기록을 관리하는 분산원장방식 등으로 구분된다.
단일원장방식은 크게 △은행 예금계좌와 CBDC 계좌 간 자금이체업무 △CBDC 계좌간 자금이체업무로 나뉜다. ‘은행 예금계좌와 CBDC계좌간 자금이체업무’에서는 직접 운영의 경우 고객이 은행예금을 CBDC로 교환 요구시 중앙은행은 해당 고객의 CBDC 계좌 잔액을 증가시키고, 중앙은행과 은행 모두 이에 상응해 자산계정과 부채계정을 조정한다. ‘CBDC 계좌간 자금이체업무’에서는 고객의 CBDC 지급요청과 동시에 중앙은행 원장 내 계좌대체를 통해 결제되며, 간접운영 시에는 은행간 CBDC 준비금의 교환절차가 수반되는 점이 직접 운영과의 차이점이다.
분산원장방식은 △은행 예금계좌와 CBDC전자지갑 간 자금이체업무 △CBDC 전자지갑 간 자금이체업무로 구분할 수 있다. 먼저 ‘은행 예금계좌와 CBDC 전자지갑 간 자금이체업무’에서는 단일원장방식에서와 같이 (중앙)은행의 자산과 부채계정에서 조정이 된다. 다만, 간접 운영은 중앙은행이 발행한 일정금액의 CBDC를 은행이 고객 요구에 따라 예금과 교환해 주는 점이 직접 운영과 다르다. ‘CBDC 전자지갑 간 자금이체업무’는 직접 또는 간접운영 모두 지급과 결제가 분산원장 네트워크상에서 이뤄짐에 따라 은행과 중앙은행의 재무제표에는 변함이 없다.
분산원장방식은 거래 참여자 누구나 거래검증과 원장기록에 참여가 가능한 비허가형, 거래검증 및 원장기록 권한을 신뢰할 수 있는 일부 참여자에게만 부여하는 허가형으로 분류된다.
▲CBDC, 현금 및 지급준비예치금 간 특성 비교[표=한국은행]
분산원장방식, 단일원장방식에 비해 보안성·복원력 등 확보
한국은행은 주요국 중앙은행의 테스트 결과 등을 기초로 △보안성 △복원력 △확장성 △호환성 등 주요 기술적 평가요소별로 비교·평가를 진행했다.
보안성과 복원력 부문에서는 단일원장방식의 경우 단일실패점 문제에 대한 근본적인 해결이 어려워 이를 이용한 분산서비스공격(DDoS)에 취약하다. 하지만 분산원장방식은 복수의 원장관리 노드가 존재하므로 단일실패점 문제를 해소할 수 있다. 또한, 원장의 복사본이 다수 존재하고, 이들 원장이 합의과정을 거쳐 확정되기 때문에 상대적으로 정보의 위·변조나 분산서비스공격 등으로부터 안전하다.
확장성 부문에서는 현재의 기술개발 수준에서는 단일원장방식이 분산원장방식에 비해 거래처리 속도가 빠른 것으로 분석되고 있다. 단일원장방식의 대표적인 전자지급 결제수단인 비자카드 네트워크(Visanet)는 최대 초당 2만4,000건의 거래를 처리할 수 있으며, 허가형 분산원장의 일종인 IBM의 하이퍼렛저 패브릭(Hyperledger Fabric)은 최근 테스트 결과 초당 1,350건 거래의 처리가 가능하다.
호환성 부문에서 단일원장방식은 기존 은행 예금계좌 등과 동일한 방식이므로 기존 시스템과의 기술적인 호환성이 매우 높다. 하지만 분산원장방식의 경우에는 CBDC 시스템과 기존 시스템을 연동시키기 위한 작업이 추가로 필요할 수 있다.
▲CBDC 발행을 검토하고 있는 국가의 CBDC 발행동기[표=한국은행]
한국은행, CBDC 본격 도입 전까지 보안 등 기술적 문제 해결 연구 지속
한국은행 금융결제국 디지털화폐기술반 유희준 반장은 “현재 중앙은행 디지털화폐의 기술적인 구현 가능성에 대한 연구를 꾸준히 하고 있지만 도입 시점이 결정한 바는 없다”며 “CBDC의 도입 여부가 확실하게 결정되지 않은 상황에서 CBDC의 장점에 대해 말할 수 있는 단계는 아니”라고 말했다.
CBDC의 보안이슈에 대해 유희준 반장은 “모든 걸 다 동일한 기준에서 이야기하기는 어렵지만, 암호자산 대부분은 공개용 블록체인으로 동작해 불특정 다수가 참여하는 상황에서 보안적 한계는 있기 마련”이라며 “향후 도입될 CBDC가 반드시 블록체인 기술을 도입해 분산원장방식으로 운영된다는 보장도 없지만, 인가된 사용자에 대해서만 거래를 한다는 전제 하에 보안상 안전할 것으로 생각한다”고 말했다. 그는 이어 “어떤 기술을 사용할지 언제 도입할지도 모르는 상황에서 구체적인 논의는 불가능하다”고 덧붙였다.
세계경제포럼(WEF)은 지난해 ‘CBDC에 대한 사이버보안 측면에서의 주의해야 할 사항’을 백서로 발행하며 크게 △자격증명 도난 및 분실 △권한 있는 역할을 가진 사용자 △서비스 거부 △이중 지출 △양자 컴퓨팅 등 5가지를 언급했다.
이 5가지 이슈에 대해 유희준 반장은 “양자 컴퓨팅은 꾸준히 발전하고 있는 시스템 방식이기 때문에 변화에 따라 보안 대책을 업그레이드해야 하고, 지급결제 시스템에서 이중지출을 막기 위해 결제 완결성을 높이거나 한 번 결제에 사용했던 데이터가 재사용되는 걸 막는 방법을 개발하는 것이 필요하다”고 말했다. 이어 “자격증명 도난 및 분실과 관련해서는 신원 인증 방식을 구상하고, 보유 자산에 대한 자격증명의 기술적인 방법을 기반으로 논의되어야 하는 시점이며, 서비스 거부 관련해서도 기술 개발이 진행돼야 한다”며 “암호화 기술의 발전 메커니즘을 보고 향후 어떻게 사용할 수 있을지 분석하는 단계를 거쳐야 한다”고 설명했다.
한국은행은 현재 단말기 소유자가 거래내역을 임의로 변조할 수 없도록 방지하는 보안장치에 대한 기술적인 연구를 진행 중이다. 현재 분산원장기술을 활용해 CBDC를 구현할 수 있는지 모의실험 중에 있으며, 준비가 마무리되면 언론에 공개할 예정이라고 밝혔다.
한편, 한국은행이 몇몇 시중 은행과 함께 진행하고 있던 CBDC 관련 모의실험 연구 용역사업은 모두 종료됐으며, 기술 연구는 실제 CBDC가 시중 은행의 결제 시스템에 최종 도입되기 직전까지는 계속 진행해 나갈 방침이라고 밝혔다. 그러면서도 현재 CBDC 기술 관련해 시중 은행들과 진행한 프로젝트 결과에 대해서는 언급할 수 없다고 말했다.
[김영명 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
