[디지털데일리 최민지기자] “은행시스템에서 영희가 순돌의 비밀번호를 알아내 본인 통장으로 돈을 옮겼을 때 사람들은 흔히 은행이 해킹 당했다고 합니다. 그런데 블록체인 시스템에서는 거래소가 해킹당한 것이지 블록체인은 해킹과 위·변조가 불가능하다고 말하고 있나요?”
한호현 경희대학교 교수<사진>가 지난 26일 쉐라톤 서울 디큐브시티 호텔 그랜드볼룸에서 여린 ‘NES2018 차세대 기업보안 세미나’를 통해 블록체인 보안에 대한 근본적인 문제에 대해 짚었다.
한 교수는 “2010년 이후 비트코인 취약점은 28개가량 등록돼 있는데, 비트코인 자체에도 해킹과 위·변조 위험성이 상존하고 있다”라며 “해킹이라는 용어를 잘못 인지하고 있는데, 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것이라 정의돼 있다”고 말했다.
해킹의 기본행위는 사용자 또는 관리가 권한을 획득하거나, 시스템 자체 취약점을 악용한다. 이후 2차적으로 위·변조, 데이터 파괴, 데이터 유출, 업무 지연 등을 일으킨다. 사용자 계정을 탈취해 코인을 유출하는 등 블록체인 시스템상에서 발생한 일련의 위협 행위들을 해킹으로 봐도 무방하다는 의미다.
블록체인 사용자 권한은 각 노드의 개인키 등인데, 이를 누군가 훔쳐가려는 행위 자체가 해킹이라는 설명이다.
위·변조에 대한 설명도 이어졌다. 위조는 새롭게 가짜를 만드는 것이고, 변조는 기존에 기록된 내용을 임의로 바꾸는 것이다. 은행시스템에서 통장 잔액이 변하는 변조가 발생하면 대부분 실시간으로 표출되는데, 위조거래는 당한 사람이 인지하기 전까지 알 수 없다.
한 교수는 “블록체인이든 은행이든 전체를 바꾸기는 어렵기 때문에 변조 자체는 불가능하다고 봐야 하지만, 위조는 블록체인에서도 사용자 권한만 획득하면 가능한 시나리오”라고 설명했다.
이날 한 교수는 블록체인을 바라볼 때 기존 시스템과 다른 관점으로 바라보면서 블록체인 보안에 대해 고민해야 한다고 제언했다.
우선, 중앙 시스템과 다르게 블록체인은 각각의 노드가 하나의 중요한 구성요소다. 블록체인 시스템도 소스코드로 만들어지며, 인터넷 기반에서 운영된다. P2P 특성에 대한 이해도 필요하다. 또, 블록체인은 개방된 시스템이라 데이터 암호화 문제가 해결되지 않으면 프라이버시 문제로 넘어갈 수밖에 없다.
한 교수는 “수많은 노드가 침투할 수 있는 경로”라며 “중앙시스템에서는 각 노드에 대해 통제하는 수준이 비슷하고 개별적 요소에 영향을 덜 받았지만, 블록체인에서는 위험요소가 된다”고 부연했다.
블록체인 해킹 문제는 노드에서 발생할 수밖에 없다. 이에 대응해 하드웨어 월렛, 다중인증 등에 대한 이야기가 나오고 있다. 소스 문제의 경우, 기본적인 시큐어 코딩과 런타임 모니터링뿐 아니라 더 많은 고려를 해야 한다.
한 교수는 “블록체인은 디도스 공격에 아주 취약한데, 특정 노드단을 공격하면 그 노드단에 물려있는 노드들이 막혀버리면서 상당한 어려움에 빠지게 된다”며 “블록체인에 올라가는 개인정보를 어떻게 보호할 것인가에 대한 주제가 부각되고 있다”고 말을 보탰다.
개인정보를 보호하기 위해 암호화를 하게 되면, 암호키 관리에 대한 문제로 넘어간다. 공통키로 하면 블록체인의 의미가 사라진다. 데이터는 별도 저장소에 보관하려는 곳도 있다.
한 교수는 “원천적으로 해결하지 못하면 블록체인 내에서의 보안 문제는 끊임없이 제기될 것”이라며 “이러한 문제 때문에 블록체인 시스템 효율을 올리는 부분에서 어려움을 겪을 수 있다”고 강조했다.