발전하는 기술의 숙명, 위험...활용만 생각하고 보안은 생각지 않는 사용자들
아는 만큼만 사용하고, 조심스럽게 접근하면 신기술의 가능성 제대로 누려
[보안뉴스 문가용 기자] 블록체인의 열풍에 가담하지 않았더라도, 이 신기술의 이름마저 들어보지 못한 사람은 없을 것이다. 세상 모든 사람이 블록체인과 암호화폐에 대해 이야기하는 것 같은 때이기 때문이다.
[이미지 = iclickart]
하지만 새로운 기술이 급격하게 떠오를 때마다 소리 없이 따라오는 게 있으니, 바로 위험이다. 블록체인도 마찬가지다. 실제로 위협 행위자들은 이미 블록체인 생태계에 있는 새로운 표적들을 찾아 공격을 가하고 있다. 소셜 엔지니어랑. 멀웨어, 익스플로잇 등이 다양하게 사용되고 있으며, 기업, 개인, 기관 등이 고루 공격받고 있다.
보안 업체 맥아피(McAfee)의 수석 과학자인 라지 사마니(Raj Samani)는 “현재 블록체인 계통은 아무런 법 체계가 없는 서부시대 같다”고 설명한다. “블록체인 산업은 현재 수천만 달러의 규모와 가치를 가지고 있는데, 이 시장을 구성하고 있는 조직들은 중소기업이에요.”
블록체인 생태계에서 가장 주목을 받고 있는 건 암호화폐 산업이다. 2009년 비트코인의 등장과 함께 시작된 것으로, 그동안 사이버 범죄자들 사이에서 주로 사용되어 오다가 1~2년 전부터 일반인들 사이에서도 인기가 크게 올라갔다. 암호화폐의 인기는 아직도 고공행진 중이다. 하지만 블록체인의 위험과 보안에 대해서는 많은 이야기가 나오고 있지 않다.
맥아피의 고급 위협 전문가인 스티브 포보니(Steve Povony)는 “블록체인과 관련하여 위험이나 보안 이야기가 많이 나오고 있지 않은 이유 중 하나는 아직도 한창 발전 중에 있는 상태라 잦은 변화를 겪고 있기 때문”이라고 설명한다. “블록체인을 도입하고 실험해보는 기업들이 아직 많습니다. 주요 산업에서 손꼽히는 업체들은 거의 전부 블록체인을 도입 중에 있습니다.”
진짜 문제는 일반 개인 사용자들이다. 블록체인에 대한 이해도 부족도 문제지만, 블록체인의 ‘보안’ 문제가 너무나 복잡하고 사용자들 사이에서 외면되고 있기 때문에 큰 사고가 발생한다는 것이다. “물론 블록체인이 근본적으로는 안전한 기술이 맞습니다. 그러나 ‘안전’에는 여러 가지 측면이 있고, 블록체인이라고 해서 모든 방면에서 완벽히 안전한 상태는 아닙니다. 규제가 제대로 마련되어 있지 않은 채 탈중앙화를 추구한다는 점만 해도 이미 수많은 위험을 불러오고 있습니다. ‘해킹 불가능한 기술’이라는 말만 듣고 안전하다고 믿어버려서는 안 됩니다.”
포보니는 “블록체인에 대한 공격 방식 자체가 아직까지 일률적인 편”이라며 “이건 좋은 소식이면서도 동시에 나쁜 소식”이라고 평가한다. “본질적으로 비슷한 공격에 계속 당하고 있다는 건 우리가 블록체인의 약점을 전혀 모르고 있거나, 고치질 못하고 있다는 뜻이기도 하지만 동시에 다음 공격도 어느 정도 예측할 수 있다는 뜻이 되거든요.”
사이버 범죄자들, 블록체인을 겨누다
현재 가장 많은 공격 대상이 되고 있는 건, 블록체인과 관련된 여러 ‘응용 기술’들이다. 예를 들면 ‘브레인 지갑(brain wallet)’이 있다. 이는 사람들이 비밀 키를 잘 관리할 수 있도록 만들어진 기술이다. 기억하기 쉬운 단어나 글자를 가지고 키를 생성해주는 방식인데, 이런 원리가 도리어 공격자들에게 이용당하고 있다.
하지만 현재 시점까지 가장 많은 공격의 표적이 되고 있는 건 블록체인의 일반 개인 소비자다. 암호화폐에 투자하려는 사람이나, 암호화폐 거래소를 시작하려는 개인 사업자 모두 여기에 해당한다. “이런 사람들은 희망에 부풀어 있고, 신기술의 가능성에 집중하려는 성향이 강합니다. 보안은 항상 후속조치일 뿐이죠. 빠르게 치고 나가 큰 돈을 만지고 싶기 때문에 공격자들로서는 이보다 더 좋은 먹잇감이 있을 수가 없습니다.”
가장 빈번한 공격 방식은 피싱이다. 가장 흔하게 발견되기도 하고, 성공률도 가장 좋다. 공격자들은 돈만 얻어낼 수 있다면 피해자가 누구인지 상관하지 않는다. 그러므로 표적형 공격을 할 필요가 없어진다. 심지어 코인 종류도 개의치 않는다. 최근 기승을 부린 갠드크랩(GandCrab) 랜섬웨어만 해도 비트코인이 아니라 모네로(Moneroa)와 대시(Dash)라는, 비교적 덜 알려진 코인을 요구했었다.
그 다음으로 나타나는 공격 방식은 멀웨어를 활용한 것이다. 이는 여러 가지 형태로 나타난다. 특정 브라우저를 표적으로 삼아 멀웨어를 심고 암호화폐를 채굴하기도 하고, 엔드포인트에 채굴 소프트웨어를 설치하기도 한다. 특히 2017년 후반부터 2018년 초반까지 엔드포인트에 채굴 코드를 심는 행위는 폭발적으로 증가했다. 맥아피에 따르면 채굴 코드는 계속해서 새롭게 등장하고 있고, 오래된 것들도 빠르게 재구성되고 있다고 한다. 가장 많이 당하는 건 PC지만 최근 들어 스마트폰도 주요 공격 표적이 되고 있다.
블록체인 기술을 구축하는 데 필요한 툴들과 주변 기술을 노리는 예도 있다. 블록체인과 연동되는 소프트웨어나 웹 애플리케이션들이 주요 표적이다. 블록체인을 직접 기술적으로 노리는 것보다 성공률이 높다. 이는 사용자들이 블록체인 기술과 그 위험성에 대해 제대로 이해하고 있지 못하기 때문에 생기는 약점을 노리는 공격이라고 분류가 가능하다.
“이건 블록체인만이 아니라 모든 ‘복잡한’ 기술의 운명이라고 볼 수 있습니다. 새롭게 출현한 기술에 대해 충분히 학습하지 않고 사용했을 때 빈틈이 생기기 마련입니다. 사용자들이 기술의 세부적인 사항을 무시했을 때, 취약점은 많아지고 보안 구멍은 커집니다.”
그 다음으로는 블록체인의 운영 부분에 대한 공격이 많이 발생한다. “클라우드 환경 설정을 잘못해 자료를 유출시키는 것과 비슷한 개념입니다. 블록체인 기술을 사용하되 ‘안전하게’ 사용하지 못해서 나타나는 약점들을 노리는 것입니다. 좋은 예로는 사전 공격(dictionary attack)이 있습니다. 블록체인 사용자가 허술하게 비밀번호를 관리하는 부분을 공략하는 것이죠.”
맥아피는 “블록체인이 가진 가능성은 분명 대단하다고 볼 수 있지만, 잘 사용하지 못하면 폭탄처럼 터질 수 있다”고 경고한다. “신기술일수록, 잘 알지 못할수록 조심해가며 써야 합니다. 아는 만큼만 사용하고 투자하면 된다는 것이죠. 잘 모르는 거래소에 큰 돈을 맡기지 말라는 겁니다. 이메일 비밀번호는 쉽게 설정하더라도, 블록체인을 새롭게 구축했다면 그 인증은 좀 까다롭게 해보는 게 어떨까요.”
[국제부 문가용 기자(globoan@boannews.com)]
아는 만큼만 사용하고, 조심스럽게 접근하면 신기술의 가능성 제대로 누려
[보안뉴스 문가용 기자] 블록체인의 열풍에 가담하지 않았더라도, 이 신기술의 이름마저 들어보지 못한 사람은 없을 것이다. 세상 모든 사람이 블록체인과 암호화폐에 대해 이야기하는 것 같은 때이기 때문이다.
[이미지 = iclickart]
하지만 새로운 기술이 급격하게 떠오를 때마다 소리 없이 따라오는 게 있으니, 바로 위험이다. 블록체인도 마찬가지다. 실제로 위협 행위자들은 이미 블록체인 생태계에 있는 새로운 표적들을 찾아 공격을 가하고 있다. 소셜 엔지니어랑. 멀웨어, 익스플로잇 등이 다양하게 사용되고 있으며, 기업, 개인, 기관 등이 고루 공격받고 있다.
보안 업체 맥아피(McAfee)의 수석 과학자인 라지 사마니(Raj Samani)는 “현재 블록체인 계통은 아무런 법 체계가 없는 서부시대 같다”고 설명한다. “블록체인 산업은 현재 수천만 달러의 규모와 가치를 가지고 있는데, 이 시장을 구성하고 있는 조직들은 중소기업이에요.”
블록체인 생태계에서 가장 주목을 받고 있는 건 암호화폐 산업이다. 2009년 비트코인의 등장과 함께 시작된 것으로, 그동안 사이버 범죄자들 사이에서 주로 사용되어 오다가 1~2년 전부터 일반인들 사이에서도 인기가 크게 올라갔다. 암호화폐의 인기는 아직도 고공행진 중이다. 하지만 블록체인의 위험과 보안에 대해서는 많은 이야기가 나오고 있지 않다.
맥아피의 고급 위협 전문가인 스티브 포보니(Steve Povony)는 “블록체인과 관련하여 위험이나 보안 이야기가 많이 나오고 있지 않은 이유 중 하나는 아직도 한창 발전 중에 있는 상태라 잦은 변화를 겪고 있기 때문”이라고 설명한다. “블록체인을 도입하고 실험해보는 기업들이 아직 많습니다. 주요 산업에서 손꼽히는 업체들은 거의 전부 블록체인을 도입 중에 있습니다.”
진짜 문제는 일반 개인 사용자들이다. 블록체인에 대한 이해도 부족도 문제지만, 블록체인의 ‘보안’ 문제가 너무나 복잡하고 사용자들 사이에서 외면되고 있기 때문에 큰 사고가 발생한다는 것이다. “물론 블록체인이 근본적으로는 안전한 기술이 맞습니다. 그러나 ‘안전’에는 여러 가지 측면이 있고, 블록체인이라고 해서 모든 방면에서 완벽히 안전한 상태는 아닙니다. 규제가 제대로 마련되어 있지 않은 채 탈중앙화를 추구한다는 점만 해도 이미 수많은 위험을 불러오고 있습니다. ‘해킹 불가능한 기술’이라는 말만 듣고 안전하다고 믿어버려서는 안 됩니다.”
포보니는 “블록체인에 대한 공격 방식 자체가 아직까지 일률적인 편”이라며 “이건 좋은 소식이면서도 동시에 나쁜 소식”이라고 평가한다. “본질적으로 비슷한 공격에 계속 당하고 있다는 건 우리가 블록체인의 약점을 전혀 모르고 있거나, 고치질 못하고 있다는 뜻이기도 하지만 동시에 다음 공격도 어느 정도 예측할 수 있다는 뜻이 되거든요.”
사이버 범죄자들, 블록체인을 겨누다
현재 가장 많은 공격 대상이 되고 있는 건, 블록체인과 관련된 여러 ‘응용 기술’들이다. 예를 들면 ‘브레인 지갑(brain wallet)’이 있다. 이는 사람들이 비밀 키를 잘 관리할 수 있도록 만들어진 기술이다. 기억하기 쉬운 단어나 글자를 가지고 키를 생성해주는 방식인데, 이런 원리가 도리어 공격자들에게 이용당하고 있다.
하지만 현재 시점까지 가장 많은 공격의 표적이 되고 있는 건 블록체인의 일반 개인 소비자다. 암호화폐에 투자하려는 사람이나, 암호화폐 거래소를 시작하려는 개인 사업자 모두 여기에 해당한다. “이런 사람들은 희망에 부풀어 있고, 신기술의 가능성에 집중하려는 성향이 강합니다. 보안은 항상 후속조치일 뿐이죠. 빠르게 치고 나가 큰 돈을 만지고 싶기 때문에 공격자들로서는 이보다 더 좋은 먹잇감이 있을 수가 없습니다.”
가장 빈번한 공격 방식은 피싱이다. 가장 흔하게 발견되기도 하고, 성공률도 가장 좋다. 공격자들은 돈만 얻어낼 수 있다면 피해자가 누구인지 상관하지 않는다. 그러므로 표적형 공격을 할 필요가 없어진다. 심지어 코인 종류도 개의치 않는다. 최근 기승을 부린 갠드크랩(GandCrab) 랜섬웨어만 해도 비트코인이 아니라 모네로(Moneroa)와 대시(Dash)라는, 비교적 덜 알려진 코인을 요구했었다.
그 다음으로 나타나는 공격 방식은 멀웨어를 활용한 것이다. 이는 여러 가지 형태로 나타난다. 특정 브라우저를 표적으로 삼아 멀웨어를 심고 암호화폐를 채굴하기도 하고, 엔드포인트에 채굴 소프트웨어를 설치하기도 한다. 특히 2017년 후반부터 2018년 초반까지 엔드포인트에 채굴 코드를 심는 행위는 폭발적으로 증가했다. 맥아피에 따르면 채굴 코드는 계속해서 새롭게 등장하고 있고, 오래된 것들도 빠르게 재구성되고 있다고 한다. 가장 많이 당하는 건 PC지만 최근 들어 스마트폰도 주요 공격 표적이 되고 있다.
블록체인 기술을 구축하는 데 필요한 툴들과 주변 기술을 노리는 예도 있다. 블록체인과 연동되는 소프트웨어나 웹 애플리케이션들이 주요 표적이다. 블록체인을 직접 기술적으로 노리는 것보다 성공률이 높다. 이는 사용자들이 블록체인 기술과 그 위험성에 대해 제대로 이해하고 있지 못하기 때문에 생기는 약점을 노리는 공격이라고 분류가 가능하다.
“이건 블록체인만이 아니라 모든 ‘복잡한’ 기술의 운명이라고 볼 수 있습니다. 새롭게 출현한 기술에 대해 충분히 학습하지 않고 사용했을 때 빈틈이 생기기 마련입니다. 사용자들이 기술의 세부적인 사항을 무시했을 때, 취약점은 많아지고 보안 구멍은 커집니다.”
그 다음으로는 블록체인의 운영 부분에 대한 공격이 많이 발생한다. “클라우드 환경 설정을 잘못해 자료를 유출시키는 것과 비슷한 개념입니다. 블록체인 기술을 사용하되 ‘안전하게’ 사용하지 못해서 나타나는 약점들을 노리는 것입니다. 좋은 예로는 사전 공격(dictionary attack)이 있습니다. 블록체인 사용자가 허술하게 비밀번호를 관리하는 부분을 공략하는 것이죠.”
맥아피는 “블록체인이 가진 가능성은 분명 대단하다고 볼 수 있지만, 잘 사용하지 못하면 폭탄처럼 터질 수 있다”고 경고한다. “신기술일수록, 잘 알지 못할수록 조심해가며 써야 합니다. 아는 만큼만 사용하고 투자하면 된다는 것이죠. 잘 모르는 거래소에 큰 돈을 맡기지 말라는 겁니다. 이메일 비밀번호는 쉽게 설정하더라도, 블록체인을 새롭게 구축했다면 그 인증은 좀 까다롭게 해보는 게 어떨까요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
