블록체인 문제가 아니더라도, 그걸 도입하는 플랫폼은 문제
금융 당국의 규제가 필요할지도...“규제 없으면 보안도 없어”
[보안뉴스 문가용 기자] 현지 시각으로 월요일 한 사이버 범죄자가 암호화화폐인 이더리움으로 7백만 달러를 벌었다. 블록체인 기술 자체가 공격을 받은 것이 아니라 여러 플랫폼 중 하나인 코인대시(CoinDash)라는 업체에서 사건이 터진 것으로, ICO라고 불리는 ‘코인 공개’ 과정 중에 벌어진 일이다. 공격자는 악성 주소를 하나 ICO 과정에 삽입해 여러 투자자들이 해당 주소로 송금하도록 꾀었다고 한다.
[이미지 = iclickart]
코인대시는 해당 사건에 대해 공식적으로 발표하기도 했다. 그에 따르면 약 2천명의 사용자들이 잘못된 주소로 돈을 보냈고, 총 액수는 약 3만 7천 이더리움이라고 한다. 공격 시점은 코인대시가 ICO 토큰 판매를 공개적으로 시작한 7월 17일이었다. 거의 ICO 발표 직후였다.
그래서 코인대시 측은 포렌식 수사를 시작했고 사법 당국과도 접촉했다. 그리고 피해자들에게 토큰을 줘 그들이 원래 의도한 곳에 돈을 보낸 것과 똑같은 상태로 만들어놓을 예정이라고 한다. “현재는 각 피해자의 상황에 대한 정보를 모으고 있습니다. 곧 피해자 명단을 확보할 수 있을 것으로 봅니다. 그러면 그 명단을 공개해 커뮤니티의 검토를 받도록 할 것입니다.” 공동창립자인 알론 뮤록(Alon Muroch)과 아담 에프리마(Adam Efrima)의 설명이다.
“그렇다고 코인대시가 문을 닫거나 사업 방향을 전환시킬 수는 없습니다. 앞으로 가는 것만이 단 하나의 옵션입니다. 이런 일로 모든 걸 접는다는 건 있을 수 없고, 비전은 확고하며, 저희가 개발하는 제품들은 여전히 많은 이들의 사랑을 받고 있습니다. 지금 ‘끝’을 생각하기에는 이뤄놓은 것이 너무 중요하기에, 앞으로도 더욱 암호화 화폐 시장에서 강력하고 빠르게 행동을 지속할 예정입니다.”
암호화화폐와 블록체인 기술에 대한 ‘강력한 보안성’이 대두되고 있다. 실제로 블록체인만 있으면 금융 거래가 획기적으로 안전해질 거라는 전망이 여기저기서 나오고 있기도 하다. 그러나 그런 한 편에서는 이런 사고들이 적잖게 일어나고 있는 것도 사실이다. 그리고 블록체인의 뛰어난 보안성과 ‘익명성’ 때문에 보안 사고가 났을 때 범인을 밝히는 게 더 어려워진다는 것도 증명되고 있다.
“지갑의 ID를 사용해 거래한다는 건 효율적이고 편하지만 이더리움 알고리즘의 익명성 제공 기능 때문에 범죄자들을 추적하는 게 몇 배로 어려워지고 있습니다.” 사이버 보안 업체인 임퍼바(Imperva)의 보안 그룹 관리자인 벤 허츠버그(Ben Herzberg)의 설명이다. 한편 451 리서치(451 Research)의 정보보안 연구 책임자인 스캇 크로포드(Scott Crawford)는 “암호화화폐의 도입을 통해 더 많은 기회가 생긴 것도 맞는 말이지만, 새로운 리스크들이 생긴 것 역시 사실”이라고 설명한다. “플랫폼을 노린다는 것이 최근 공격자들이 발견한 방법이라고 보입니다.”
크로포드는 “이런 식의 사고가 더 많이 발생하면 암호화화폐에 대한 사람들의 관심이 갑자기 식는 것도 가능한 일”이라고 말한댜. “물론 암호화화폐 특유의 그 불안정성은 익히 알려져 온 바입니다. 하지만 공격에 대한 개선점이 전혀 나오고 있지 않고, 이 악순환이 반복되고 자리 잡는다면 사람들의 신뢰를 얻는 게 불가능에 가까워 질 수 있습니다.”
그러면서 크로포드는 “암호화 기술이 과거에 그랬듯, 문제는 블록체인의 알고리즘에 있는 게 아니라 이를 도입시키는 데(deployment) 있다”고 강조했다. “즉 공격자들이 플랫폼 시스템만 뚫을 수 있게 된다면, 그리고 그런 사고가 꾸준히 발생한다면 플랫폼에 대한 신뢰가 사라지게 됩니다. 가상화화폐란 참여자가 더 많이 늘어나야 하는데, 그런 조건이 충족되지 못하는 상황이 오는 것이죠.”
블록체인, 특히 암호화화폐에 대한 대중의 무조건적인 신뢰가 심히 우려된다고 그는 설명을 이어갔다. “물론 절대 깨지지 않는 보안을 제공할 가능성도 있고, 디지털 혁명을 일으킬 가능성도 있습니다. 그러나 아직은 그렇지 않습니다. 특히 도입과 구축의 문제에 있어서 이미 여려 번 불안정성이 드러난 바 있죠. 그런데도 안전하다고 하는 믿음 때문에 오히려 더 공격에 취약한 게 지금의 블록체인이며 암호화화폐인 것입니다.”
하이테크브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)도 비슷한 의견이다. “블록체인이야 정말 높은 수준의 데이터 무결성을 보장해주는 기술이 맞죠. 하지만 블록체인이 어디 스스로 존재하는, 그런 절대적인 것이 아니죠. 현대의 수많은 기술들이 겹겹이 이뤄놓은 생태계 안에 있는 것입니다. 그 복잡한 IT 환경과 생태계가 취약하다면, 블록체인도 안전할 수만은 없는 것이 사실입니다.”
또한 콜로첸코는 “내부자 소행이 아닌 이상 피해자들이 돈을 돌려받기는 어려워 보인다”고 말했다. “돈을 돌려준다는 게 불가능하거든요. 사법 당국도 뭘 어쩌지 못할 겁니다.”
지불 관련 보안 업체인 뷰포스트(Viewpost)의 크리스 피어슨(Chris Pierson) CISO는 “암호화화폐를 다루는 기업들은 특히 보안에 더 신경을 써야 할 것”이라고 강조한다. 그리고 가능하다면 “금융 당국의 적당한 표준 및 정책 정립도 필요할 수 있겠다”고 주장한다. “화폐라는 이름을 가지고 있는데, 아무런 규제나 감독 아래 있지 않다는 것 자체가 이미 안전성과 거리가 먼 것입니다. 규제가 보안의 전부는 아니지만, 규제가 없는 곳에 보안이 있을 수 없지요.”
[국제부 문가용 기자(globoan@boannews.com)]
금융 당국의 규제가 필요할지도...“규제 없으면 보안도 없어”
[보안뉴스 문가용 기자] 현지 시각으로 월요일 한 사이버 범죄자가 암호화화폐인 이더리움으로 7백만 달러를 벌었다. 블록체인 기술 자체가 공격을 받은 것이 아니라 여러 플랫폼 중 하나인 코인대시(CoinDash)라는 업체에서 사건이 터진 것으로, ICO라고 불리는 ‘코인 공개’ 과정 중에 벌어진 일이다. 공격자는 악성 주소를 하나 ICO 과정에 삽입해 여러 투자자들이 해당 주소로 송금하도록 꾀었다고 한다.
[이미지 = iclickart]
코인대시는 해당 사건에 대해 공식적으로 발표하기도 했다. 그에 따르면 약 2천명의 사용자들이 잘못된 주소로 돈을 보냈고, 총 액수는 약 3만 7천 이더리움이라고 한다. 공격 시점은 코인대시가 ICO 토큰 판매를 공개적으로 시작한 7월 17일이었다. 거의 ICO 발표 직후였다.
그래서 코인대시 측은 포렌식 수사를 시작했고 사법 당국과도 접촉했다. 그리고 피해자들에게 토큰을 줘 그들이 원래 의도한 곳에 돈을 보낸 것과 똑같은 상태로 만들어놓을 예정이라고 한다. “현재는 각 피해자의 상황에 대한 정보를 모으고 있습니다. 곧 피해자 명단을 확보할 수 있을 것으로 봅니다. 그러면 그 명단을 공개해 커뮤니티의 검토를 받도록 할 것입니다.” 공동창립자인 알론 뮤록(Alon Muroch)과 아담 에프리마(Adam Efrima)의 설명이다.
“그렇다고 코인대시가 문을 닫거나 사업 방향을 전환시킬 수는 없습니다. 앞으로 가는 것만이 단 하나의 옵션입니다. 이런 일로 모든 걸 접는다는 건 있을 수 없고, 비전은 확고하며, 저희가 개발하는 제품들은 여전히 많은 이들의 사랑을 받고 있습니다. 지금 ‘끝’을 생각하기에는 이뤄놓은 것이 너무 중요하기에, 앞으로도 더욱 암호화 화폐 시장에서 강력하고 빠르게 행동을 지속할 예정입니다.”
암호화화폐와 블록체인 기술에 대한 ‘강력한 보안성’이 대두되고 있다. 실제로 블록체인만 있으면 금융 거래가 획기적으로 안전해질 거라는 전망이 여기저기서 나오고 있기도 하다. 그러나 그런 한 편에서는 이런 사고들이 적잖게 일어나고 있는 것도 사실이다. 그리고 블록체인의 뛰어난 보안성과 ‘익명성’ 때문에 보안 사고가 났을 때 범인을 밝히는 게 더 어려워진다는 것도 증명되고 있다.
“지갑의 ID를 사용해 거래한다는 건 효율적이고 편하지만 이더리움 알고리즘의 익명성 제공 기능 때문에 범죄자들을 추적하는 게 몇 배로 어려워지고 있습니다.” 사이버 보안 업체인 임퍼바(Imperva)의 보안 그룹 관리자인 벤 허츠버그(Ben Herzberg)의 설명이다. 한편 451 리서치(451 Research)의 정보보안 연구 책임자인 스캇 크로포드(Scott Crawford)는 “암호화화폐의 도입을 통해 더 많은 기회가 생긴 것도 맞는 말이지만, 새로운 리스크들이 생긴 것 역시 사실”이라고 설명한다. “플랫폼을 노린다는 것이 최근 공격자들이 발견한 방법이라고 보입니다.”
크로포드는 “이런 식의 사고가 더 많이 발생하면 암호화화폐에 대한 사람들의 관심이 갑자기 식는 것도 가능한 일”이라고 말한댜. “물론 암호화화폐 특유의 그 불안정성은 익히 알려져 온 바입니다. 하지만 공격에 대한 개선점이 전혀 나오고 있지 않고, 이 악순환이 반복되고 자리 잡는다면 사람들의 신뢰를 얻는 게 불가능에 가까워 질 수 있습니다.”
그러면서 크로포드는 “암호화 기술이 과거에 그랬듯, 문제는 블록체인의 알고리즘에 있는 게 아니라 이를 도입시키는 데(deployment) 있다”고 강조했다. “즉 공격자들이 플랫폼 시스템만 뚫을 수 있게 된다면, 그리고 그런 사고가 꾸준히 발생한다면 플랫폼에 대한 신뢰가 사라지게 됩니다. 가상화화폐란 참여자가 더 많이 늘어나야 하는데, 그런 조건이 충족되지 못하는 상황이 오는 것이죠.”
블록체인, 특히 암호화화폐에 대한 대중의 무조건적인 신뢰가 심히 우려된다고 그는 설명을 이어갔다. “물론 절대 깨지지 않는 보안을 제공할 가능성도 있고, 디지털 혁명을 일으킬 가능성도 있습니다. 그러나 아직은 그렇지 않습니다. 특히 도입과 구축의 문제에 있어서 이미 여려 번 불안정성이 드러난 바 있죠. 그런데도 안전하다고 하는 믿음 때문에 오히려 더 공격에 취약한 게 지금의 블록체인이며 암호화화폐인 것입니다.”
하이테크브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)도 비슷한 의견이다. “블록체인이야 정말 높은 수준의 데이터 무결성을 보장해주는 기술이 맞죠. 하지만 블록체인이 어디 스스로 존재하는, 그런 절대적인 것이 아니죠. 현대의 수많은 기술들이 겹겹이 이뤄놓은 생태계 안에 있는 것입니다. 그 복잡한 IT 환경과 생태계가 취약하다면, 블록체인도 안전할 수만은 없는 것이 사실입니다.”
또한 콜로첸코는 “내부자 소행이 아닌 이상 피해자들이 돈을 돌려받기는 어려워 보인다”고 말했다. “돈을 돌려준다는 게 불가능하거든요. 사법 당국도 뭘 어쩌지 못할 겁니다.”
지불 관련 보안 업체인 뷰포스트(Viewpost)의 크리스 피어슨(Chris Pierson) CISO는 “암호화화폐를 다루는 기업들은 특히 보안에 더 신경을 써야 할 것”이라고 강조한다. 그리고 가능하다면 “금융 당국의 적당한 표준 및 정책 정립도 필요할 수 있겠다”고 주장한다. “화폐라는 이름을 가지고 있는데, 아무런 규제나 감독 아래 있지 않다는 것 자체가 이미 안전성과 거리가 먼 것입니다. 규제가 보안의 전부는 아니지만, 규제가 없는 곳에 보안이 있을 수 없지요.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
