블록체인 기술이 존재하는 이유를 가장 ‘쓸모 있게’ 활용하는 사회가 돼야
<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]
[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안
[이미지=gettyimagesbank]
[보안뉴스= 정다은 기술사/한국정보인증] 블록체인은 웹 3.0의 핵심 기술이자 디지털 대전환과 데이터 경제의 주요 동인으로 꼽힌다. 특히, 코로나 19로 인해 급진전하게 된 디지털 기술의 혁신, 모바일 기술 확산, 가상자산 거래 활성화 등 사회 전반적으로 블록체인이 직간접적으로 활용되며 관련 인프라 및 서비스가 더욱 주목을 받게 되었다. 이처럼 기술의 ‘쓸모’에 대한 사회 구성원들의 인식이 크게 바뀌며 그동안 무의식적으로 이용해왔던 중앙 집중형 시스템의 문제점, 일부 기업 및 서비스에 대한 과도한 의존도, 반복되는 개인정보 유출 등 다양한 문제를 해소할 수 있는 방법을 찾기 시작했다.
블록체인 기술을 앞세운 가상자산이 금융범죄 수단으로 악용되거나 각종 해킹 사고 등으로 막대한 경제적 피해 규모가 전해질 때마다 부정적인 시선을 거둘 수 없지만, 블록체인의 기술 그 자체로는 죄가 없다. 오히려 분산형 네트워크를 통해 중개자 없이 참여자 간 검증과 승인만으로 거래가 성사되고 자산의 이동이 발생할 수 있다는 점에서 기존 레거시 기술이 갖고 있는 문제를 해결하고 웹 3.0 시대를 맞이할 수 있다는 점에서 블록체인은 여전히 ‘핫’하다.
아직 웹 3.0을 실현하기 위한 블록체인 기술은 그 성숙도나 준비도 측면에서 부족한 것이 사실이지만, 토큰 증권(Security Token), 대체 불가능 토큰(Non-fungible Token, NFT) 등 새로운 가능성이 무한히 열려 있다. 반대급부로 블록체인을 향한 보안 위협은 지속될 것이며, 이러한 보안 위협은 사용자, 스마트 컨트랙트, 블록체인 노드 서버, 네트워크 등을 중심으로 다양하게 발생할 수 있다.
블록체인은 분산 네트워크, PKI, 전자서명, 암호화 등의 기술을 활용하여 안전하다고 알려져 있지만, 오픈소스 등을 활용해 코드를 구성하고 온라인 서비스 형태로 사용자가 접근할 수 있으며 이 과정에서 네트워크와 각종 인프라 자원을 사용하기 때문에 모든 ICT 시스템이 갖고 있는 보안 위협에는 동일하게 노출될 수밖에 없다. 특히, 가상자산 거래소를 중심으로 키 유출, 전자지갑 해킹 등의 문제가 불거지며 블록체인의 안전성에 의문을 제기하는 의견도 적지 않다. 이에 블록체인이라는 기술적 특징에 따라 더 특별히 유의해야 할 보안 위협을 자세히 들여다보고, 이에 대응할 수 있는 방안을 모색해보고자 한다.
블록체인 보안 위협은 스마트 컨트랙트 코드 취약점을 노린 공격, 전자지갑 해킹 및 키 탈취, 블록체인 분산 노드 DDoS 공격, 이용자의 개인정보 유출 등이 대표적이다. 특히 그 중에는 스마트 컨트랙트의 취약점을 겨냥한 공격이 가장 많고, 그 수가 매년 증가하고 있는 추세이다. 일반적인 프로그램의 소스코드와 같이 스마트 컨트랙트도 매우 많은 수의 코드로 작성된 프로그램이기 때문에 소위 말하는 ‘시큐어 코딩(Secure Coding)’이 이뤄지지 않으면 취약점을 노린 공격에 대책 없이 당할 수밖에 없다. 예를 들어 지갑에 있는 가상자산 잔액보다 더 큰 금액을 잘못 전송하거나 정당한 절차를 통해 소유하게 된 NFT 등의 자산이 다음날 전혀 다른 사람의 소유물로 넘어갈 수도 있는 것이다.
또한, 개인이 소유 및 관리하는 블록체인 지갑의 개인 키를 탈취하여 가상자산을 빼돌리는 공격이 발생할 수 있다. 특히, 블록체인 지갑은 소프트웨어로 관리하는 핫 월렛(Hot Wallet)과 별도의 물리적인 공간에 보관하는 콜드 월렛(Cold Wallet)으로 나뉘는데, 온라인 접근이 가능한 핫 월렛이 공격에 취약할 수밖에 없다. 가상자산 거래소나 별도의 전문 서비스를 통해 안전하게 지갑을 관리할 수 있지만, 해당 기업의 서버가 해커로부터 공격을 받거나 사용자 개인의 실수로 계정이 노출된다면 개인 키의 안전은 담보할 수 없고 이로 인해 눈 깜짝할 새 해킹 대상이 되는 것이다.
블록체인 서비스를 구성하는 오픈소스도 보안상 취약점이 된다. 최근의 개발 트렌드가 그러하듯, 블록체인 시스템 또한 다양한 오픈소스 소프트웨어를 활용하여 개발이 이루어진다. 따라서 보안에 취약한 오픈소스를 향한 공격이 개시될 경우 블록체인 서비스 가용성 저해 등 다양한 공격이 가능해지는 것은 자명한 사실이다. 또한, 소수의 코드를 다양한 블록체인 시스템에서 재사용함으로 인해 취약점의 전파가 비교적 쉽고 하나의 시스템 문제로만 그치지 않을 수도 있다는 점도 유의해야 할 점이다.
네트워크를 통한 보안 위협도 간과할 수 없다. 인터넷 환경의 취약점을 노려 데이터를 탈취하거나 전체 네트워크 마비를 일으키는 공격이 있다. 바로 BGP(Border Gateway Protocol, 경계 경로 프로토콜) 하이재킹이다. BGP는 데이터 전송 시 가장 적합한 경로를 지정하는 프로토콜을 의미하는데, 이 BGP의 구조적인 취약점을 공격하는 것이다. 라우팅 테이블을 조작하여 악성코드를 배포하거나 특정 서버로 전송되는 요청을 가로채어 데이터와 가상자산을 탈취한다. 지난 2022년, 클레이스왑(KLAYswap)이 이 BGP 하이재킹 공격으로 22억 규모의 가상자산이 해킹되는 사고가 있었다.
이외에도 지난 2022년에는 가상자산 게임의 대표주자인 ┖엑시 인피니티┖에서 해킹이 발생, 이더리움 17만여 개 등이 탈취되며 하루 만에 6억 달러, 우리 돈으로 7,400억 원이라는 상당 규모의 자산을 탈취당했다. 이 해킹 사고는 높은 이더리움 수수료를 낮추기 위해 게임사에서 출시한 사이드체인 ‘로닌’의 브릿지에서 발생한 것이다. 블록체인 특성상 다수의 검증 노드가 거래를 검증하고 과반이 승인해야 새로운 블록을 생성할 수 있는데 엑시 인피니티의 ‘로닌’ 브릿지는 단 9개의 검증 노드만을 운영하고 있었으며, 해커들은 이미 5개 노드를 해킹으로 확보해둔 상태였기 때문에 거래 내용을 쉽게 조작할 수 있었던 것이다. 해당 브릿지는 가상자산 환전과 전송을 담당하는 ‘환전소’와 같은 역할을 하고 있었기 때문에 대규모의 자산 탈취가 발생했다.
이처럼 경제적 피해가 막대한 블록체인 관련 보안 사고가 발생할 때마다 이를 두고 봐야 하는 것일까? 당연히 아니다. 가상자산 거래소 및 환전소(브릿지), 지갑 서비스 등의 보안성은 물론이고 애플리케이션, 시스템, 네트워크 등에서 발생할 수 있는 보안사고 유형을 철저히 분석해 이에 적합한 보안 기술을 적용하고 이를 블록체인 서비스의 설계 과정부터 고려하여 내재화할 수 있어야 한다.
먼저, 스마트 컨트랙트 코드의 취약점을 분석하고 진단하는 기술을 적용해볼 수 있다. 지난 2021년, 고려대학교 연구진에 의해 스마트 컨트랙트의 취약한 트랜잭션 시퀀스(Transaction Sequence)를 식별해 내는 기술 ‘SMARTEST’가 개발되었으며, 이를 누구나 사용할 수 있도록 오픈소스로 제공하고 있다. 또한 재사용한 코드로 인해 전파될 수 있는 취약점을 발견하도록 개발한 ‘VUDDY’도 함께 공개되어 있다. 이는 취약 함수와 구문이 유사한 함수가 시스템 내에 존재하는지 식별하며 수천만 라인의 코드도 수 초 만에 탐지하는 성능을 보인다.
또한, 국정원에서 제공하는 ‘국가 및 공공기관 도입을 위한 블록체인 암호기술 가이드라인’을 반드시 적용하도록 해야 한다. 해당 가이드라인에서는 의무, 권고, 허용으로 나누어 블록체인 시스템 개발 시 적용할 수 있는 암호기술을 상세히 제시하고 있다. 다만, 이미 완성된 소프트웨어를 뜯어볼 수도 없는 노릇이라 필요한 암호기술을 적용했는지 알아보기가 쉽지 않고 설사 블록체인 기업에서 해당 가이드라인을 준수하여 개발했더라도 이를 신뢰도 있게 입증하기 어렵기 때문에 이에 대한 검증 기준과 검증 도구 등이 개발 및 보급될 필요가 있다.
더불어 다수의 오픈소스 활용으로 코드 재사용이 증가함에 따라 블록체인 시스템도 공급망 관리가 중요해진 만큼 SBOM(Software Bill of Material) 제도화가 요구된다. 더 나아가 클라우드서비스 보안인증제도(CSAP)를 통해 클라우드 서비스를 믿고 도입할 수 있게 되었듯이 블록체인 서비스에도 안전성과 신뢰성을 입증할 수 있는 전문 보안인증 제도가 운영된다면 개발 단계에서부터 철저하게 보안을 고려한 개발이 이뤄졌는지 검증할 수 있다. 블록체인은 복잡한 생태계를 지닌 기술인만큼 네트워크, 인프라, 자산, 공급망, 암호화 기술 등 관리적·물리적·기술적 측면의 보안 심사 기준 확립을 통해 안전한 블록체인 서비스가 자리 잡아갈 수 있는 기반을 마련하는 것이 중요하다.
사용자 개인의 노력도 간과할 수 없다. 지갑의 자산을 안전하게 지키기 위해서는 마스터 키나 계정 복구 문구 등을 안전한 곳에 분리하여 보관하고, 로그인 시 비밀번호 외에 2차 인증 수단을 사용해야 한다. 가능하다면 거래 대상 지갑의 범죄 연루 사실 등을 확인하고 거래에 임하는 것이 중요하다. 또한 모든 사이버 보안 위협에 대응하기 위해서는 출처가 불분명한 파일의 다운로드나 URL 클릭을 하지 않는 것이 기본이다. PC와 모바일의 운영체제와 모든 소프트웨어는 최신 보안 패치를 적용해야 하고 백신 프로그램도 항상 최신 버전을 유지하는 등 기본적인 보안 수칙을 지키는 것이 중요하다.
블록체인은 탈중앙성이라는 고유의 특징 덕분에 앞으로 다가올 디지털 경제 시대의 핵심 기술로 자리 잡고 있다. 아직은 가상자산 거래에 활용되는 기술 정도로만 인식되어 있지만 에너지 거래, CBDC(Central Bank Digital Currency, 중앙은행 디지털화폐), 물류 및 유통 등 다양한 산업 분야에 널리 적용되어 점차 일상화되어 갈 것이다. 이 과정에서 블록체인 기술이 안전한 디지털 신뢰 사회를 구성하는 중추 역할을 맡기 위해서는 서비스의 설계, 개발 단계부터 최종 사용자에 이르기까지 모든 보안 위협 요소를 철저히 감시하고 예방, 차단해내는 것이 중요하다. 개인과 기업의 노력이 중요한 만큼 관련 정책 및 제도 마련, 인재 양성, 전문 컨설팅 제공, 기술 및 도구의 보급도 적극적으로 이뤄져야 한다. 이로써 블록체인 기술이 존재하는 이유를 가장 ‘쓸모 있게’ 활용하는 사회가 될 수 있기를 바라본다.
[글_ 정다은 기술사/한국정보인증]
필자 소개_
- 한국정보공학기술사회 블루보드위원회, 회원위원회 위원/ 정보관리기술사/ 정보시스템수석감리원
- 블록체인, 빅데이터, 인공지능, 클라우드 등 신기술 기반 사업기획 업무를 하고 있다. 사용자에게 의미 있는 기능과 서비스라야 이를 구성하는 기술도 가치 있다고 생각한다. 최근에는 보안, 개인정보보호 등에 관심을 가지고 다양한 기술들이 ‘안전하고 쓸모 있게’ 사용자에게 다가갈 수 있는 서비스를 기획, 제공하고자 한다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>