한국정보보호산업협회(KISIA) 산하 블록체인 전문위원회가 블록체인 기술 동향 보고서를 발간했다.
이번 보고서는 블록체인전문위원회가 구성된 이후 내놓은 첫 보고서로, 블록체인 기술의 보안 위협과 대응 방안을 담기 위해 발간됐으며 블록체인 제품 및 솔루션도 함께 소개됐다.
블록체인전문위원회는 보안과 블록체인 기술의 적극적인 연계와 활성화를 위해 2018년에 구성된 조직이다. 윤두식 지란지교시큐리티 대표가 위원장을 맡았으며, 조훈 KT 엠하우스 대표가 부위원장, 김용대 한국과학기술원(KAIST) 교수가 기술고문을 맡았다.
해당 보고서는 블록체인 보안 검토 유형을 ▲블록체인 서비스(Application) 단계 ▲스마트계약 단계 ▲블록체인 네트워크(P2P 네트워크) 단계로 구분했다.
블록체인 서비스 단계에서 위협으로는 전자지갑 탈취와 이중지불 공격, 채굴 악성코드 감염 등이 소개됐다.
전자지갑 탈취는 주로 일반적인 컴퓨팅 환경에 동작하고 있는 월렛 소프트웨어에 랜섬웨어와 같은 악성코드 감염을 통해 특정 주소의 자산을 동결시키거나, 각 지갑 주소를 생성하는 비밀키를 탈취해 위조한 주소를 생성·배포해 암호화폐를 다른 지갑으로 옮기는 등의 방식으로 이뤄지는 공격이다.
이중지불 공격은 한 번 사용한 암호화폐를 한 번 더 사용하게 하는 공격으로, 보통 블록체인 합의 알고리즘이 각 거래를 처리하고 검증하는 데 걸리는 시간 간격을 이용한다. 블록체인 내부의 프로토콜이 하드포크됐을 때, 기존체인과 신규체인간의 전자지갑 주소의 인증키 중복 현상을 이용하기도 한다.
최근에는 해커가 일반인의 PC에 암호화폐 채굴을 위한 악성코드를 몰래 설치해 암호화폐를 채굴하도록 만든 후 채굴한 암호화폐를 자신의 전자지갑으로 전송하는 방식의 공격인 크립토재킹이 자주 발생한다. 보통 이메일 피싱 공격 또는 보안이 유지되지 않는 웹사이트 방문 등에 의해 악성코드가 PC에 설치되는 경우가 많지만, 최근에는 웹 크립토재킹 방식의 공격도 빈번히 발생하고 있다.
이외에도 보고서는 스마트계약 단계에서는 ▲재진입 공격 ▲리플레이 공격 ▲잔고증액 공격 등의 보안 위협을, 네트워크 단계에서는 ▲51% 장악 공격 ▲허위 정보 전파 공격 ▲이기적 채굴 독점 ▲블록보류 공격 ▲분산서비스거부 공격 등을 소개했다.
관련기사
- 디시네트워크, 블록체인 기반 저작권 침해 방지 시스템 특허2020.01.15
- 삼성SDS, 美 시니버스와 블록체인 플랫폼 공동 개발2020.01.15
- 빗썸, 부산규제특구에 글로벌 통합거래소 설립 추진2020.01.15
- "블록체인에 필요한 보안 리스트 만든다"2020.01.15
블록체인전문위원회는 보고서를 통해 "블록체인이라는 신기술을 통한 새로운 비즈니스를 창출하고자 한다면 단순히 '블록체인은 안전하다'라는 기존의 생각을 전환해야 한다"며 구현하고자 하는 서비스·솔루션의 형태에 따라 구분되는 유형별 보안 위협을 면밀히 살펴볼 것을 제언했다.
또 "현재까지 주로 알려진 암호화폐 해킹 사례는 블록체인 시스템 자체에 대한 해킹 사고가 아닌 블록체인 기술을 이용해 제작된 암호화폐를 거래하는 '거래소'에 대한 해킹이 다수"라며 "블록체인 보안 분야에 있어 거래소 보안을 블록체인 보안 논의에서 배제하는 것이 아닌 별도의 보안 유형으로 보아 대응 방안을 모색해야 할 것"이라고 덧붙였다.