back

검색

당해 봐서 안다... 이더리움이 보안에 신경 쓰는 까닭은

유성민, 블록체인, 보안, 이더리움

[유성민‘s Chain Story] 보안은 정보통신기술(ICT) 서비스 제공 안정성에 있어서 중요한 요소다. 블록체인을 위한 보안 기술 수준을 조사해 봤다. 애석하게도 별로 검색되지 않았다. 갑자기 삼성전자가 개최한 보안 세미나에서 유명 교수가 한 말이 떠올랐다. 그는 “보안에서 가장 가치 있는 연구는 특정 기술에 기반한 보안 서비스가 아니라 특정 기술을 위한 보안”이라고 말했다. 그의 의견을 따르자면, 예를 들어, 인공지능(AI) 기반 보안 서비스 연구보다는 ‘AI를 위한 보안’이 중요하다. 블록체인을 위한 보안 연구를 찾기 힘든 이유 이 말이 불연듯 떠오른 건 블록체인 분야에서 블록체인에 기반한 보안 서비스가 압도적으로 많아서다. 블록체인을 위한 보안은 찾기 힘들다. ①블록체인 서비스가 보편화되지 않았다 이유가 뭘까. 두 가지 정도로 설명할 수 있겠다. 첫째, 블록체인 서비스가 보편화되지 않았다. 거의 모든 ICT 서비스 현황을 살펴보면, 보안은 가장 뒤에 연구된다. 서비스 제공에 있어서 보안은 사용자 눈에 잘 보이지 않기 때문이다. 서비스 개발자 또한 어떤 보안 취약점이 있는지를 예상하기 어렵다. 해커가 신규 서비스를 어떤 방식으로 공격할지 예상하기가 쉽지 않다. 로봇 청소기를 예로 들어보자. 어떤 해킹이 가능할까. 로봇 청소기의 조작 센서와 영상 센서를 해킹해 사생활을 침해할 수 있다. 상상력이 지나치다고? 실제로 보안 전문 기업 체크포인트가 로봇 청소기를 대상으로 이 같은 해킹 시연을 한 적 있다. 한 대기업은 스마트 워치로 문을 열 수 있는 스마트 도어락을 만들었다. 그런데 인증 보안을 고려하지 못했다. 어떤 일이 일어났을까. 해당 스마트 워치로 해당 스마트 도어락 모두를 열 수 있었다. 사용자 인증 구분이 어렵기 때문이다. 최근 논란이 된 AI 스피커의 도청 가능성도 마찬가지다. 블록체인도 겨우 10년 된 신규 기술이다. ②블록체인 자체를 ‘만능 보안 기술’로 오해한다 그런데 다른 신규 기술과 비교해도 유독, 블록체인을 위한 보안 연구는 정말 드물다. 두 번째 이유다. 블록체인 기술 자체를 ‘만능 보안 기술’로 오해한다. 지금은 이러한 인식이 많이 사라지기는 했다. 그러나 2년 전만 해도 블록체인을 완벽한 보안 기술로 오해하는 경우가 많았다. ‘완벽 보안’은 보안 전문가에게 꿈과 같은 얘기다. 창과 방패처럼 해커는 언제나 시스템의 취약점을 찾아내 해 해킹을 감행한다. 또, 특정 보안 시스템이 모든 영역의 보안을 다루지 않는다. 통합 보안 추세이기는 하나, 특정 시스템 하나가 모든 보안을 총괄하지 않는다. 블록체인은 데이터 조작을 합의 알고리즘으로 막아낼 수 있다. 무결성을 우수한 보안 기술로 볼 수 있다. 하지만, 무결성은 여러 보안 요구사항 중 하나일 뿐이다. 기밀성ㆍ가용성ㆍ익명성ㆍ부인방지ㆍ접근제어 등의 다양한 보안 요구사항이 있다. 이더리움이 보안에 공을 들인 까닭은? 블록체인을 위한 보안 연구가 필요하다. 완벽 보완이라는 오해에서 벗어나, 새롭게 등장하는 블록체인 서비스의 안정성에 신경 써야 한다. 과연, 어떤 부분의 보안 연구가 필요할까. 블록체인 시스템 자체의 보안 연구가 중요하다. 곧, 시스템 취약점을 보호하는 연구가 필요하다. 이더리움은 블록체인 시스템 취약점 보호에 신경을 쓰고 있는 듯하다. 두 번이나 주변 서비스 취약점으로 해킹 피해를 봤기 때문이다. 지난 3월 이더리움은 콘스탄티노플이라고 불리는 하드포크를 진행했다. 두 번이나 연기하는 등 과정이 순탄치 않았다. 지난해 8월 이더리움은 콘스탄티노플 출시를 처음으로 발표했는데, 당초 목표 일정은 작년 11월이었다. 그러나 시스템 오류로 올해 1월로 미뤄졌다. 그리고 보안 문제로 올해 3월로 한 번 더 미뤄졌다. 당시 체인시큐리티(Chain Security)가 콘스탄티노플 보안성을 점검했는데, 해커가 보안 취약점으로 암호화폐를 탈취할 수 있다고 경고했다. 이더리움이 시스템 오류뿐만 아니라 보안성도 신경 쓰고 있음을 보여주는 대목이다. 이더리움은 예전에 시스템 취약점으로 해킹 공격을 당한 적이 있다. 이더리움은 이러한 사건을 계기로 보안에 신경 쓰는 듯하다. 2016년 6월 이더리움 기반 서비스인 다오(DAO)가 해킹당했다. 이로 인해 360만 개의 이더리움이 도단 당했는데, 당시 시세로 640억 원에 달한다. 해킹 방식은 DAO 서비스 취약점을 악용한 것으로 드러났다. 해커는 이더리움으로부터 이더를 보상받을 때 사용되는 함수 취약점을 악용했는데, DAO의 잔액과 상관없이 이더를 무한정 보상받았다. 이더리움 취약점 해킹은 여기서 끝나지 않고, 2017년 7월에 한 번 더 발생한다. 해커는 이더리움 지갑인 패리티의 취약점을 악용해 이더를 빼돌렸다. 참고로 38만 개의 이더가 도난당했는데, 그나마 다행인 것은 23만 개의 이더를 회수했다는 점이다. 블록체인 취약점 해킹, 남의 얘기가 아니다 수많은 블록체인 플랫폼과 서비스가 나오고 있다. 해커의 새로운 연구 대상이 늘고 있다는 뜻이다. 시스템 취약점은 나올 수밖에 없다. 앞서 사례로 들었던 이더리움 해킹이 남의 얘기가 아닐 수 있다는 의미다. 그나마 다행스러운 것은 블록체인을 위한 보안 연구가 조금씩 진행되고 있다는 점이다. 이더리움 재단은 자체 시스템 보호를 위해 버그 바운티 프로그램(취약점을 찾아내면 보상해주는 프로그램)을 운영 중이다. 최근 페이스북 또한 버그 바운티를 시작했다. 최대 1만 달러(약 1200만 원)를 보상한다. 블록체인을 위한 보안 솔루션도 일부 등장했다. 글로벌 보안 전문 기업 ’카스퍼스키‘는 블록체인 보안을 위한 서비스를 제공하고 있다. 국내에서는 한컴시큐어가 블록체인 보안 솔루션을 개발했다. 블록체인을 위한 보안 연구가 조금씩 진행되고 있다. 아직은 부족하다. 서비스 안정화 측면에서 블록체인 보안도 반드시 활발히 연구돼야 하는 주제다. 유성민 동국대 국제정보호대학원 외래교수

조인디 logo
j o i n
d

Article Title

  • J loading image
  • O loading image
  • I loading image
  • N loading image
  • D loading image

RE:CENT