거래내역에 대한 위변조가 사실상 불가능에 가깝다는 점에서 안전하다고 알려진 블록체인을 활용한 프로젝트에도 적절한 보안 솔루션으로 보호가 필요하다는 의견이 제시됐다. 아직은 초기 단계이나 본격적으로 블록체인 프로젝트들이 상용화되기 시작하면 이에 대한 보안 역량 강화가 필요하다는 주장이다.
25일 서울 삼성동 그랜드인터컨티넨탈 호텔에서 포티넷코리아가 개최한 기자간담회에 참석한 포티넷 아태 지역 솔루션 마케팅 담당 매튜 콴 디렉터는 "블록체인 기술이 중개기관 없이도 거래의 무결성을 보장하며 해외송금 등에 활용하면 일반적으로 3일 걸리던 것을 30분으로 단축시킬 수 있고, 유지관리비가 들지 않아 저렴하다는 장점에도 불구하고 보안면에서 해결해야할 과제들이 있다"고 강조했다.
그의 설명에 따르면 블록체인 프로젝트는 결국 PC/노트북, 스마트폰 등 엔드포인트 기기를 통해 뭔가 요청이 이뤄지고 이를 네트워크에서 처리하는 과정을 거친다. 중앙 서버 대신 다수 참여자들이 컴퓨팅 자원을 제공하는 분산 네트워크, 분산 스토리지 등을 활용하지만 거래의 신뢰성, 투명성을 보장할 수 있다는 점에도 불구하고 여러가지 보안 위협이 공존한다.
그의 설명에 따르면 분산서비스거부(DDoS) 공격을 생각해 볼 수 있다. 공격자가 블록체인 상에 암호화폐를 주고 받을 수 있는 디지털지갑을 만들어 대량으로 스팸성 거래를 밀어 넣는 경우를 생각해 볼 수 있다. 이렇게 되면 거래내역을 블록체인에 올리는 시간이 지연될 가능성이 크다. 실제로 지난해 3월에는 비트코인 네트워크가 거의 중단에 가까울 정도로 느려지는 사고가 발생한 바 있다.
부동산 거래, 중고차 매매, 해외송금, 분산 스토리지 임대 등 여러 분야에 블록체인 프로젝트가 활성화되면 서로 다른 블록체인을 연결해야할 필요성이 생긴다. 이를 두고 사이드체인이라 부른다.
매튜 콴은 "사이드체인을 사용하는 과정에서는 양방향 페깅(2-way pegging)을 통해 메시지를 전송하는데 이런 과정에서 공격이 이뤄지게 되면 조작된 내역을 재조정하기가 불가능하다"고 설명했다.
이보다 더 큰 문제는 스마트계약서(SmartContracs)가 공격에 노출될 가능성이 크다는 점이다. 이더리움으로 대표되는 블록체인 프로젝트는 이더라는 암호화폐를 주고 받을 수 있는 블록체인을 구성, 이 안에서 여러가지 앱(Dapp)을 구동하거나 'A가 거래를 승인하면 X월X일까지 B에게 3이더 보낸다'와 같이 계약서를 만들 수 있다.
문제가 되는 것은 이더리움과 같은 블록체인 프로젝트가 일종의 프로그래밍 언어 역할을 하는 만큼 보안취약점에 노출될 가능성이 존재한다는 사실이다.
대표적인 사건이 분산형 자율조직(DAO) 해킹 사건이다. 새로운 블록체인 기반 프로젝트에 투자하는 일종의 펀드 역할을 하는 DAO는 지난해 5월 1억5천만달러에 달하는 이더를 모았으나 같은 해 6월에 DAO에 사용된 소스코드에서 발견된 버그를 악용해 5천만달러가 도난 당하는 사건이 발생했다.
이밖에도 암호화폐 거래소에서 관리하는 개인 사용자의 디지털지갑 접속 정보 등이 해킹될 가능성도 배제할 수 없다.
매튜 콴 디렉터에 따르면 포티넷은 이러한 문제를 해결하기 위한 방안으로 네트워크 보안을 기반으로 엔드포인트 보안을 통합한 '포티넷 보안 패브릭(security fabric)'을 내세웠다.
포티넷 보안 패브릭은 통합 보안 아키텍처로 클라우드, 사물인터넷(IoT), 원격 기기 등과 같이 분산 네트워크에서 개별적으로 다뤄지던 보안을 네트워크 인프라 중심부에서 통합 관리할 수 있도록 지원하는 것을 목표로 한다.
네트워크, 무선, 기기, 앱 보안에 더해 알려지지 않은 보안위협, 클라우드 보안 등을 통합해 가시성을 높이면서 자동화된 대응을 가능케 하겠다는 전략이 반영됐다.
관련기사
- AI-IoT 발 보안 위협…네트워크는 어떻게 대응하나2017.10.25
- 포티넷 "랜섬웨어 활동 감지 기업 10%뿐"2017.10.25
- 포티넷, MS와 보안 기술 제휴 확대2017.10.25
- 포티넷코리아, 보안 자동화로 시장공세 강화2017.10.25
다만 아직까지는 국내는 물론 글로벌 시장에서도 기업이나 기관들이 활용할 수 있는 상용 블록체인 프로젝트를 찾기는 힘든 실정이다.
매튜 콴 디렉터는 "블록체인 프로젝트와 같은 새로운 기술을 기업, 기관들이 도입할 때 각 분야별로 개별적으로 관리하는 전통적인 보안방식은 효과적이지 않다"며 "인터넷 시대가 열린 초차기와 마찬가지로 블록체인이 가진 보안 문제도 상황에 따라 적응할 수 있는 접근법을 쓸 필요가 있다"고 강조했다.