테크
"블록체인이 보안의 아이콘? 절대 아니다"
유진 아시브 체인스택 CTO “현 보안 기술로는 블록체인 지켜내기 버거워”
강민승 기자
등록일: 2019-04-03  수정일: 2019-04-03


“블록체인이라고 결코 안전한게 아니며 오히려 데이터 보호를 위한 매우 정교한 보안 기술이 필요하다.”


유진 아시브 체인스택 공동창립자이자 최고기술책임자(CTO)는 지난달 27일 서울 코엑스에서 개최된 글로벌 보안 컨퍼런스인 '코드게이트 2019'의 연사로 참가해 기업용 블록체인과 보안 기술의 중요성을 강조하며 이같이 말했다. 


기업용 블록체인을 사용하면 거래를 할 때 회사 간 사용하는 원장 데이터 형식이 달라 호환되지 않는 불편함을 제거할 수 있다. 블록체인을 통해 쌍방 간 합의된 프로토콜과 분산원장기술(DLT)를 사용하면 데이터의 정합성을 쉽게 이룰수 있기 때문이다. 뿐만 아니라 며칠이 걸리던 기업 간 정산 작업도 곧장 완결된다.


기업용 블록체인은 금융 컨소시엄, 사용자인증(KYC), 물류 공급망 등에 광범위하게 사용된다. 이를 위한 엔터프라이즈 이더리움 연합(EEA)의 쿼럼, R3의 코다, 익소넘, 하이퍼레저 패브릭 등이 현재 출시돼 있다. 


하지만 블록체인이나 분산원장기술은 아직까지 완벽하지 않다. 블록체인과 관련된 해킹이 수시로 발생하고 있어 우려를 낳고 있다. 실제로 국내 암호화폐 거래소 빗썸은 작년 350억원대의 해킹피해가 발생했지만 얼마전 또 다른 해킹 피해가 발생해 이슈다. 


아시브 CTO는 거래소 뿐만 아니라 엔지니어, 사용자 모두에게 보안상 주의를 당부했다. 아시브 CTO는 “DLT, 블록체인을 도입하면 마법처럼 해킹에 안전해질 것이라고 흔히 생각하지만 절대 아니다"며 "오히려 원장을 관리하기 위해 더욱 정교한 보안 기술이 필요하다”고 지적했다. 


기존 보안 솔루션만으로는 충분하지 않아

블록체인은 중앙시스템이 아닌 탈중앙화된 분산원장으로 애초에 완전히 다른 아키텍처를 가지기 때문에 기존의 보안 솔루션만으로는 큰 효과를 보기 어렵다고 그는 말한다. 중앙화된 시스템과 달리 여러 주체들이 참여하기 때문에 고려할 점이 많아서다. 아시브 CTO는 “현재의 보안 기술, 데이터 관리 기법, 위협 관리 기술만으로는 블록체인이나 DLT를 지켜내기 버겁다”고 조언한다.


그는 특히 기술적인 복잡도보다 광범위한 영역에 걸쳐 보안이 필요하다는 점이 더욱 큰 문제라고 지적했다. 아시브 CTO는 “DLT 자체는 사용자의 접근을 통제하는 기술이지만 전체 블록체인 기술에서 DLT 또한 매우 적은 부분에 불과하다"며 "해커의 침투 공격을 막으려면 사실상 블록체인의 모든 부분에서 보안상 주의를 요한다”고 설명했다.


아시브 CTO는 실제로 분산원장 시스템을 구축하는 데는 손으로 하나하나 설정하는 작업이 많기에 주의가 요구된다고 말했다. 오픈소스를 수정해 블록체인을 만드는 작업이나 환경을 설정하는 작업에도 매우 신중해야 한다는 조언이다. 그는 “기존 블록체인 소스 코드를 수정할 때나 환경 설정을 할 때 만에 하나라도 빈틈이 발생하면 프로토콜의 보안 취약점으로 바로 직결된다”고 강조했다. 


클라우드 환경에서 더욱 조심하라

아시브 CTO는 클라우드 서버를 사용해 블록체인을 구축할 경우에는 외부로 리소스가 탈취되지 않도록 각별히 주의해야 한다고 조언했다. 사용자가 블록체인에 접속하기 위한 엔드포인트를 중간에 교묘하게 바꿔 자금을 탈취하는 등 고전적인 피싱 수법도 아직까지 끊이지 않고 있다. 최근에는 배포된 원격 프로시저 콜(RPC) 애플리케이션 프로그래밍 인터페이스(API)를 탈취하는 공격도 발생하고 있어 블록체인의 보안을 결코 만만하게 봐서는 안된다고 그는 말했다.


아시브 CTO는 이어 “사용자 입장에서는 키 관리가 사용자 보안의 전부라고 볼 수 있을 정도로 개인키 관리가 가장 중요하다”고 덧붙였다. 또 개발자는 스마트 컨트랙트나 디앱(dApp) 등을 개발하는데 있어서 웹 취약점을 다루는 오픈소스 웹어플리케이션 보안 프로젝트(OWASP) 탑10을 참고하는 것이 도움이 될 것이라고 조언했다.


아시브 CTO는 머신러닝 기법이 블록체인 보안에도 효과적으로 사용될 수 있다고 조언했다. 그는 "블록체인상에서 비정상행위를 추적하기는 속도가 느려 파악이 어렵기 때문에 거래 행위를 모두 별도의 데이터베이스로 복사해 옮기고 머신러닝 기법을 이용해 비정상적인 거래 패턴을 추적하는 방식으로 활용할 수 있을 것"이라고 귀띔했다.


한편 체인스탁은 보안 관련 기술력을 토대로 보안 성능을 높인 블록체인서비스(BaaS) 사업을 진행하고 있다. 이밖에 키관리를 위한 하드웨어 보안모듈(HSM), 악의적인 트래픽을 필터링하는 기법, 스토리지 암호화 기법, 블록체인 노드에 적용되는 하드웨어 보안 솔루션을 위한 소프트웨어 가드 익스텐션(SGX) 모듈을 개발하는 등 보안 솔루션을 총체적으로 개발하고 있다. 


[강민승 기자]

디스트리트 커뮤니티 광고
북마크
좋아요 : 0
공유
https://dstreet.io/news/view-detail?id=N20190402185546394038
URL복사
댓글 0
댓글쓰기
댓글 쓰기
BC CHALLENGE X