블록체인 도입 때 보안을 고려해야 하는 이유

2017.10.27 09:38:52 / 최민지 cmj@ddaily.co.kr

관련기사

[디지털데일리 최민지기자] “블록체인은 안전한 기술이 아니다. 블록체인이 안전하려면 그에 맞는 알고리즘, 신뢰할 수 있는 참여자, 적절한 보안정책이 함께 수립돼야 한다.”

김동진 금융보안원 보안연구부 박사는 지난 26일 열린 ‘금융정보보호 컨퍼런스 2017’을 통해 블록체인 도입 때 보안을 고려해야 한다고 밝혔다.

블록체인은 P2P 네트워크에서 참여자 간 자산교환을 뒷받침하는 정보 저장소로, 참여자 간 정보를 효과적으로 공유·보관하는 기술이다. 위변조를 방지하는 데이터 무결성과 서비스 가용성을 보장하지만, 이는 블록체인 시스템의 안전성을 뜻하는 것은 아니다.

블록체인 시스템은 내·외부 공격으로 보안성을 훼손당할 수 있다. 주요 보안 위협은 ▲키 도난 및 분실 ▲합의 가로채기 ▲개인정보 침해 ▲블록체인 소프트웨어 취약점 ▲스마트 컨트랙트 취약점 ▲디도스(DDoS) 등이다.

단말 등에 저장된 키가 공격자에게 도난당할 경우, 해당 키로 보호되던 자산 및 기밀거래를 유출할 수 있다. 정상 참여자로 위장한 공격자의 다양한 공격에도 노출된다. 키에 대한 접근권한을 상실하거나 키를 분실하게 되면 자산 이전이 불가능해질 수 있으며 키가 악용되더라도 확인할 수 없다.

블록체인은 참여자 중 과반수의 동의로 합의를 도출한다. 공격자가 과반수를 장악하면 거래 유효성 검증 프로세스를 조작할 수 있다. 합의에 필요한 지분의 과반수를 장악하면 합의 가로채기가 가능하다.

예를 들어, 공격자가 블록체인 전체 컴퓨팅 파워의 51%를 장시간 장악해 다른 모든 채굴자보다 블록을 빨리 생성, 비트코인에서 합의 가로채기를 할 수 있다. 그러나 현실적으로 컴퓨팅 파워의 51%를 확보할 수 없다는 의견이 다수다.

프라이빗 블록체인에서도 합의 가로채기가 이뤄진다. 운영주체를 장악, 권한을 도용하는 것만으로 블록체인 전체를 장악하고, 적은 수의 참여자 및 거래 처리 성능 중심의 합의 알고리즘 적용으로 합의 가로채기가 가능하다.

김 박사는 “프라이빗 블록체인은 검증을 통해 신뢰할 수 있는 주체만 참여할 수 있도록 한다”며 “전체적으로 보안 위협이 증가하고 내·외부자 공격이 늘어나니, 합의 가로채기가 없을 것이라는 보장은 없다”고 설명했다.

이와 함께 블록체인은 모든 참여자가 전체 거래정보를 확인할 수 있어 개인정보 유출 가능성이 제기된다. 

김 박사는 “프라이빗 블록체인에서 10개 중 9명이 보안 수준이 높아도 하나의 참여자만 보안 수준이 낮으면 그 사람만 공격해 정보를 유출할 수 있다”며 “스마트 컨트랙트의 경우, 각 노드들에서 실행되는 블록체인 상의 애플리케이션이기 때문에 개인정보 침해가 나타날 수 있다”고 부연했다.

프라이빗 블록체인은 권한관리 미흡으로 개인정보 침해를 겪을 수 있다. 거래를 발생시킨 사람이 정책을 잘못 설정하면 개인정보 유출이 가능하기 때문이다. 일반적으로 거래 당사자가 접근권한을 직접 설정하기 때문에 별도의 검증절차가 없다. 

김 박사는 “블록체인이 보안적으로 충분히 검증됐다고 생각하지 않는다”며 “오픈소스로 공개돼 다수 전문가에게 검토, 비교적 보안성이 높다고 하나 알려지지 않은 취약점이 존재할 수 있고 실제로 10~25년만에 취약점을 발견한 오픈소스 사례도 있다”고 지적했다.

이어 “대부분 블록체인에서 스마트 컨트랙트 코드의 보안 수준은 개발자 능력에 의존하며 별도의 검증 절차 및 기능은 존재하지 않는다”며 “인터넷에 공개된 스마트 컨트랙트 템플릿 코드 중 상당수에 심각한 취약점이 있으며, 애플리케이션이기 때문에 악성코드도 배포할 수 있다”고 덧붙였다.

이에 김 박사는 키 관리에 대한 최신 보안가이드에서 권고하는 방식을 준수하고, 공격자에게 장악된 노드로 인해 거래 유효성이 조작되지 않도록 모니터링·차단해야 한다고 강조했다.

김 박사는 “블록체인 서비스 개발 및 보안기능 추가에 따라 발생 가능한 보안 위협 등 고려사항을 지속 검토해야 한다”며 “시스템에 대한 평가항목을 도출하고 세부 평가기준을 개발해야 한다”고 제언했다.

<최민지 기자>cmj@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
  • 동영상
  • 포토뉴스
[이주의 전자뉴스] 쌀쌀해진 날씨…계절가… [이주의 전자뉴스] 쌀쌀해진 날씨…계절가…
  • [이주의 전자뉴스] 쌀쌀해진 날씨…계절가…
  • 삼성전자, “인덕션 구입 10월에 하세요”
  • [IT발자국] ‘언제 어디서나 듣는 즐거움을…
  • LG전자, “새 옷 입은 ‘틔운미니’ 어때요?…