"블록체인에 필요한 보안 리스트 만든다"

윤두식 블록체인 전문위원회 위원장 인터뷰

컴퓨팅입력 :2018/12/16 10:50    수정: 2018/12/16 16:33

“올해 거래소 해킹을 비롯한 여러 블록체인 보안 사고가 생겼을 때, 저희 정보보호 업체들이 공동으로 대응하지 못해 아쉬움이 컸습니다. 앞으로 저희 블록체인 전문위원회는 블록체인 환경에서 보안을 담보할 수 있도록 가이드라인을 제시하고, 블록체인 기반의 보안서비스도 발굴하려 합니다.”

한국정보보호산업협회(KISIA) 산하 블록체인 전문위원회의 윤두식 위원장(지란지교시큐리티 대표)은 최근 기자와의 인터뷰에서 이 같이 밝히며 "앞으로 거래소, 암호화폐, 전자지갑, 스마트컨트랙트, 표준화 등 보안이 필요한 부분에서 누구보다 먼저 보안을 찾아내고 암호·인증 기반의 핵심 기술을 개발하는 역할을 하겠다"고 말했다.

지난 9월 한국정보보호산업협회(KISIA)는 보안과 블록체인 기술의 적극적인 연계와 활성화를 위해 ‘블록체인 전문위원회’를 구성했다. 윤두식 지란지교시큐리티 대표가 위원장을 맡았고 조훈 KT엠하우스 대표가 부위원장, 한국과학기술원(KAIST) 김용대 교수가 기술고문을 맡았다.

윤 위원장은 “블록체인에서 보안이 무엇보다 중요한데, 국내에서는 블록체인이 자체 산업으로 인식되기보다 암호화폐와 거래소로 인식되면서 국내 정보보호업계가 블록체인 보안 이슈를 끌고 가지 못한 것 같다”며 블록체인 전문위원회 설립 배경을 설명했다.

윤두식 블록체인 전문위원회 위원장

KISIA는 국내 정보보호 이슈가 발생했을 때 정보보호 업계가 공동으로 대응하기 위해 만든 단체로 올해 20주년을 맞았다. 그동안 정보보호 업계 관련 가이드라인을 마련하는 등 일반 산업에서의 정보보호 이슈를 도맡아왔다. 하지만 블록체인 분야에서는 정보보호 업계의 역할이 부족했다는 지적이다.

윤 위원장은 그중에서도 지난 암호화폐거래소 해킹 당시 정보보호업계가 공동대응을 하지 못한 데 아쉬움을 표했다. “취약점 진단하는 회사들이 뭉쳐서 전방위적으로 나서줬으면 당시 과학기술정보통신부와 한국인터넷진흥원이 대응할 때, 우리도 전체적인 가이드라인을 만들 수 있었을 텐데 많이 아쉬웠다”고 언급했다.

그는 “보안이 부각되지 못한 상태에서 블록체인 시장이 흘러가게 되면 위험하다”며 “늦었지만 지금이라도 정보보호 업계가 가진 노하우를 바탕으로 보안 측면에서 가이드라인 제시, 정책 제언 등 우리가 할 수 있는 역할을 다 하려 한다”고 설명했다.

블록체인 전문위원회는 정기보고서 발간을 첫 번째 목표로 한다. 블록체인 관련 보안 이슈가 발생했을 때, 보안 문제를 가장 먼저 끌어내 대응 방안 보고서를 내놓을 계획이다. 윤 위원장은 “상반기와 하반기에 각각 (블록체인 환경에서의 보안) 가이드라인도 만들려 한다”고 덧붙였다.

또 블록체인 산업에서 정보보호업계가 어떤 걸 할 수 있는지, 리스트를 만드는 작업도 진행한다. 윤 위원장은 “블록체인 적용 분야에서 보안성을 담보하기 위해 정보보호 업계가 해야 하는 역할을 들여다보고 있다”면서 “내년 상반기에 리스트가 나오면 블록체인 산업계, 예를 들면 메인넷 만드는 회사 등이 정보보호를 위해 어떤 걸 고려해야 하는지, 그 역할은 어떤 정보보호 업체가 할 수 있는지 등을 알 수 있을 것”이라고 밝혔다.

이어 “그러기 위해서는 정보보호 업체들 간의 기술 교류가 필요하다”며 “기술 교류를 위해 세미나, 간담회 등을 개최하고 보안업계의 블록체인 분야 진행사항 공유를 위한 전시회도 열 계획”이라고 설명했다.

블록체인 환경에서 필요한 보안은 무엇일까.

윤 위원장은 “블록체인 환경이라고 해서 보안이 기존 시스템과 큰 차이가 있는 건 아니”라면서 “다만 블록체인 환경에서 크게 부각되는 보안 이슈가 있다”고 소개했다. ▲키 관리 ▲프라이버시 ▲제로데이 공격 위협이 그것이다.

그는 “엔드포인트에 있는 사용자 지갑의 키가 분실되거나 변조될 수 있는 근본적인 취약점이 존재한다”며 “HSM, TPM과 같은 보안 하드웨어를 이용하거나 다중 서명 방식을 이용하는 등 조금 더 안전한 키 관리가 필요하다”고 설명했다.

프라이버시와 관련해서는 블록체인 위에 올라간 데이터가 삭제가 불가능하기 때문에 잊혀질 권리 구현이 어렵다는 문제점이 있다. 이에 대해서는 블록에 올라가기 전 데이터 암호화를 하는 등의 관리 보안체계가 필요하다는 입장이다.

제로데이 공격 위협도 존재한다. 윤 위원장은 “블록체인도 하나의 소프트웨어”라며 “소프트웨어 취약점, 버그에 따른 공격에도 대응해야 한다”고 피력했다.

관련기사

세부적으로는 합의 알고리즘 취약점, 거래소의 관리 보안, 부정거래·자금 세탁 등 블록체인 환경에서 해결해야 할 보안 문제가 산적해 있다. 윤 위원장은 “정보보호 업계가 블록체인과 관련해 연구할 것은 굉장히 많다”며 “보안은 블록체인 생태계를 담보해줄 수 있는 필수불가결한 요소”라고 강조했다.

윤 위원장은 “앞으로 거래소, 암호화폐, 전자지갑, 스마트컨트랙트, 표준화 등 보안이 필요한 부분에서 누구보다 먼저 보안을 찾아내고 암호·인증 기반의 핵심 기술을 개발하는 역할을 할 것”이라며 “보안 산업 분야에서의 킬러앱을 개발하는 등 보안 업체가 블록체인 기반 보안 서비스를 연구·발굴할 수 있는 환경을 구축할 것”이라고 포부를 밝혔다.