“블록체인도 뚫릴 수 있다..통합 보안으로 막아야”

[이데일리 김현아 기자] 가상화폐 비트코인의 온라인 장부 역할뿐 아니라 여러 금융 서비스 기반 기술로 쓰이는 ‘블록체인(Blockchain)’도 해킹에서 자유롭지 않다는 지적이 나왔다.

지금까지 블록체인은 ▲중앙 서버가 아니라 다수가 합의해 움직여 각각의 노드가 독립성을 유지하는 한 불변하고(immutable)▲사기꾼이 블록을 위조해 체인을 다시 계산하려면 비현실적인 컴퓨팅파워가 필요하기 때문에 안전하다는 평가가 다수였다.

포티넷 아태지역 솔루션 마케팅 디렉터 매튜 콴씨

하지만, 블록체인같은 분산원장기술(DLT)도 해커의 공격에 의해 손상될 수 있어 글로벌 보안 업계가 대응책 마련에 나서고 있다.

고성능 네트워크 보안업체인 포티넷의 매튜 콴 아태지역 솔루션 디렉터는 25일 기자간담회에서 2016년 6월 발생한 블록체인 해킹 사건에 대해 설명했다.

일명 ‘다오(DAO, Decentralized Autonomous Organization, 분산형 자율 조직)’라고 불리는 펀드의 투자자들은 2016년 5월 16일, 단 28일 만에 무려 1억5000만 달러에 상당하는 가상통화인 이더(Ether)를 모금했다. 이는 역대 최대 규모의 크라우드 펀딩 사례였다.

하지만 2016년 6월 17일 새벽, 도둑(신원이 밝혀지지 않음)이 ‘다오’를 해킹해 스마트 계약의 취약성을 악용해 이더리움(Ethereum)에서 총 5000만 달러 상당의 가상 화폐를 빼냈다.

이후 도난당한 이더를 복구하는데는 성공했지만 이 문제를 해결하기 위해 ‘하드 포크(일종의 소프트웨어 업데이트)’를 해야 했다. 이 사건은 ‘계약으로 맺은 약속은 일단 블록체인에 정착되면 최종 확정된 것으로 간주한다’는 블록체인의 불변성이 훼손됐다는 논란을 낳았다.

이더리움 재단

콴 디렉터는 블록체인이 손상될 수 있는 경우는 ▲합의 가로채기(Consensus Hijack) ▲분산서비스거부공격(DDoS) ▲사이드체인(sidechain)의 취약성▲스마트 계약 등에서 발생할 수 있다고 설명했다.

그는 “권한이 없는 분산형 네트워크에서 다수결로 합의를 도출할 경우 공격자가 네트워크의 나머지 부분보다 더 빠른 속도로 새 블록을 만들 수 있게 돼 참가자들이 이 체인이 유효하다고 간주하는 결과를 초래할 수 있다”고 설명했다.

비트코인(Bitcoin)의 경우 이를 일명 ‘51% 공격(51% attack)’이라 부른다. 과반수가 손상된 경우 또는 그만한 부분을 같은 법인이 제어하거나 복수의 불순한 거래상대방(counterparty)이 연합해 제어하는 경우다.

하지만 더 우려가 큰 것은 DDoS다. 원장의 분산적인 성격 탓에, 악성 지갑(rogue wallet)이 네트워크로 대량의 스팸 거래를 밀어넣기로 결정하면 서비스 거부를 초래하고 노드가 사기성 거래의 유효성을 확인하느라 시간이 걸려 처리 시간이 늘어나게 된다.

2016년 3월에는 비트코인 네트워크가 거의 중단에 가까울 정도로 느려지는 사고가 발생하기도 했다. 비트코인 지갑이 평균 거래 수수료보다 높은 수준의 스팸 거래를 대량으로 투입했기 때문이다.

이밖에도 콴 디렉터는 “상위 항목과 사이드체인 사이에서 양방향 페깅(2-way pegging)을 통해 메시지를 전송할 때 사용되는 게이트웨이의 취약성이나, 분산 원장에서 실행되는 계약 프로그램의 코딩 관련 오류도 블록체인의 구멍이 될 수 있다”고 부연했다.

하지만 그는 블록체인 자체가 해킹에 취약한 것은 아니라고 했다.

콴 디텍터는 “블록체인이나 분산원장기술 자체는 불변적이기 때문에 매우 튼튼하다”면서도 “다만, 이와 병행해 실행되는 다른 요소들이 해킹의 원인이 될 수 있다. 특히 여러 거래소에서 관리하는 전자지갑은 접근 시 자격증명이 한 번 손상되면 해커가 얼마든지 아수라장을 만들 수 있다”고 말했다.

그는 “이 때문에 한국정부에서도 가상화폐 거래소에 대한 보안점검을 하는 것으로 안다”며 “블록체인의 공격은 여러가지가 혼합된 형태로 발생하기 때문에 보안 역시 전통적인 접근은 안된다. 통합적이고 지능적인 방식으로 해결해야 한다”고 밝혔다.