[테크M=강진규 IT칼럼리스트] 세계적으로 블록체인 기술을 둘러싼 열기가 뜨겁다. 2009년 블록체인 기술을 이용한 비트코인이 나왔을 때만 해도 사람들은 블록체인 기술에 대해서 호기심을 가지는 정도에 그쳤다. 하지만 블록체인이 가진 잠재력이 알려지면서 블록체인 기술을 다방면에 적용하려는 시도가 이뤄지고 있다.

일각에서는 블록체인이 제2의 인터넷이 될 수 있다고 기대하고 있다. 블록체인이 주목받는 이유는 기존 중앙집중식 체계를 벗어난 분산구조에 있다. 분산구조는 해킹이 어렵고, 신뢰성을 확보할 수 있다는 장점이 있다. 보안기술로 블록체인이 활용될 수 있다는 기대가 크다. 반면 51% 공격과 같은 새로운 해킹 방식이 등장하면서 블록체인 기술이 안전하지 않다는 반론도 만만치 않다. 블록체인을 둘러싼 보안활용 가능성과 위협 요인에 대해 알아봤다.
 

분산구조로 해킹 위험을 낮춘 블록체인

2008년 글로벌 금융위기로 기존 금융시스템에 대한 불신이 높아졌다. 2009년 나카모토 사토시라는 컴퓨터 프로그래머 또는 전문가 집단이 비트코인(Bitcoin)이라는 암호화폐를 선보였다. 비트코인은 디지털코드이기 때문에 우리가 익히 알고 있는 싸이월드 도토리나 기업들이 운영하는 포인트와 같다고 오해할 수 있다.

하지만 비트코인은 기존 방식과 큰 차이를 보이고 있다. 기존에는 중앙의 기관이나 기업이 화폐를 발행하고 관리한다. 디지털화폐도 중앙 서버와 스토리지에 저장돼 운영되는 방식이다. 그런데 비트코인은 비트코인을 갖고 있는 사람들이 분산해서 코드를 저장하는 블록체인 방식으로 고안됐다.

화폐는 신뢰성이 중요하다. 우리가 한국 돈을 주고받는 것은 그 돈을 발행한 한국은행이라는 기관을 신뢰하기 때문이다. 따라서 개개인이 화폐를 발행하기는 어렵다. 개인에 대한 신뢰를 다수의 사람이 공유하기 어렵기 때문이다.

그런데 블록체인은 100명의 노드(참여자)가 있다면 100곳에 동일한 내용이 저장되기 때문에 그 데이터를 수정하기가 어렵다. 다수가 신뢰를 공유함으로써 믿고 비트코인을 거래하는 것이다. 물론 100곳을 모두 해킹해 저장된 자료를 변경할 수도 있다. 그러나 100곳을 해킹하는 것은 1곳의 집중화된 자료를 해킹하는 것보다 훨씬 어려운 것이 현실이다.

이런 특성을 살려 위조가 우려되는 분야에서 보안을 위해 블록체인을 적용하고 있다. 삼성SDS가 추진하고 있는 물류 적용 사례가 대표적이다. A라는 제품이 생산돼 배에 실려서 중국에 하역되고, 현지 물류센터를 거쳐 도매상으로 갈 때까지 경로를 추적하고 기록할 수 있다. 누군가 중간에 A라는 제품을 빼돌리거나 다른 제품으로 바꿔치기할 수 없도록 한 것이다. IBM 역시 중국에서 돼지고기 생산과 유통 등에 블록체인 기술을 적용한 사례가 있다. 어디서 언제 생산된 돼지고기인지 확인을 해 주는 시스템이다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 블록체인의 보안성을 이용하기 위해 다양한 시범사업을 진행하고 있다. 시범사업의 일환으로 선거관리위원회는 블록체인 기술을 전자투표 시스템에 적용하고, 외교부는 우리나라에서 발행한 문서를 해외에서 인정받을 수 있도록 하는 시스템을 구축한다. 국토부는 부동산 거래에 필요한 서류에 블록체인 기술을 적용하는 방안을 추진 중이다.

전문가들은 블록체인 기술로 공인인증서 같은 기존 인증 수단을 대체할 수 있다고 보고 있다. 실제로 금융권을 중심으로 블록체인 인증기술 개발이 진행되고 있다. 또 문서보안, 디지털 포렌식, 보안감사 등을 블록체인이 적용될 수 있는 보안서비스로 보고 있다.

블록체인 보안기술로 주목받는 영지식증명

2016년 발표된 암호화폐 제트캐시(Zcash)에 영지식증명이 적용되면서 블록체인과 영지식증명의 결합에 주목하는 전문가들이 많아지고 있다. 영지식증명은 암호학에서 누군가가 상대방에게 정보를 보여주지 않고도 참이라는 것을 증명하는 기술이다. 가령 내가 사과를 가지고 있다고 할 때 사과를 갖고 있다는 사실을 상대방에게 보여주지 않으면서도 사과를 갖고 있다는 사실만 증명해 주는 방식이다. 참인지 거짓인지 여부를 제외
한 다른 정보를 노출하지 않는다. 영지식증명이 되려면 완전성(Completeness), 정당성(Soundness), 영지식성(ZeroKnowledgeness)이라는 세 가지 성질을 만족시켜야 한다.

완전성은 어떤 문장이 참이면 정직한 증명자는 정직한 검증자에게 이 사실을 납득시킬 수 있어야 한다는 개념이다. 또 정당성은 어떤 문장이 거짓이면, 어떠한 부정직한 증명자라도 정직한 검증자에게 이 문장이 사실이라고 납득시킬 수 없어야 한다는 것이다. 영지식성은 어떤 문장이 참이면 검증자는 문장의 참, 거짓 이외에는 아무것도 알 수 없어야 한다.
영지식증명을 실용화한 것은 앞서 언급한 암호화폐 제트캐시다. 제트캐시 개발자들은 zkSNARK(영지식 간결한 비대화지식 논증법)을 이용해 사용자들이 익명을 유지하면서 거래를 할 수 있게 만들었다. 제트캐시의 이 기술을 활용하면 거래 금액과 대상을 보호하면서도 거래를 할 수 있다. 거래자의 프라이버시 보호가 가능한 것이다.
제트캐시 외에도 지코인(Zcoin), 피벡스(Pivx), 커렌트(Kurrent) 같은 암호화폐가 영지식증명을 적용하고 있다.
국내에서는 상대적으로 영지식증명과 블록체인 기술에 대한 관심이 적지만 최근 관련 연구는 한창이다. 올해 초 서강대에서는 ‘블록체인 내 사물인터넷 디바이스를 위한 영지식증명 기반 인증 및 관리 기법’이라는 논문이 발표됐다. 이 논문은 영지식증명을 기반으로 사용자가 자신의 개인키를 공개하지 않고 인증 서버에 키를 인증할 수 있도록 하고, 블록체인을 사용해 다양한 사물인터넷(IoT) 장치를 효율적으로 관리할 수 있도록 하는 기법을 제안하고 있다.

블록체인은 100% 안전한가

강력한 보안기술로 블록체인 기술이 주목을 받고 있지만 회의적인 시각도 많다. 한 보안 전문가는 “100% 완벽한 보안은 있을 수 없다”며 블록체인을 맹신할 수 없다고 지적했다. 다른 IT 전문가 역시 “블록체인이 안전하다는 것은 상대적이다”라며 “해킹이 어렵다는 것이지 불가능한 것은 아니다”고 말했다.

이론적으로 블록체인 정보가 저장되는 모든 노드를 해킹해 정보를 수정하면 해킹이 가능하다. 모든 노드가 아니더라도 과반수(50%) 이상의 노드를 해킹하는 것으로도 정보를 바꿀 수 있다. 물론 수 만 개의 노드를 바꾸는 것이 쉽지 않은 것이 현실이다. 많은 시간과 돈이 들어가기 때문이다. 노드를 장악하는 방식을 사용할 수 있지만 천문학적인 돈이 들어갈 수 있다.

문제는 몇 개의 노드만 운영하는 프라이빗 블록체인과 중소 규모 블록체인 플랫폼이다. 외신들에 따르면 지난 5월에 비트코인 골드가 51% 공격을 받았다. 51% 공격은 특정 개인이나 그룹이 전체 해시파워의 과반수(51%) 이상을 독점해 무단으로 블록체인 장부내용을 조작하는 공격이다. 비트코인골드는 공식 홈페이지를 통해 51% 공격이 있었다고 밝혔다. 해커 주소로 비트코인골드 38만8200개가 전송됐다고 전해졌다. 전송된 비트코인골드의 가치는 약 200억원 규모다.

또 6월 4일 젠캐시 네트워크(ZenCash Network)는 공식 블로그를 통해 “6월 2일(현지시간) 오후 10시 43분에 51% 공격 대상이 됐다”며 “블록체인 보안을 강화하고 현재 용의자를 추적 중”이라고 밝혔다.

암호화폐가 아니더라도 프라이빗 블록체인에서도 비슷한 상황이 벌어질 가능성이 있다. 일부 기업과 전문가들은 블록체인 기술의 장점을 이용하면서도 관리를 쉽게 하려고 몇 개의 노드만으로 프라이빗 블록체인을 구성하고 있다. 만약 10개 노드로 프라이빗 블록체인이 구성됐는데 이 중 6개 노드가 해킹당하면 정보가 변조될 수 있다. 물론 1개 서버에서 정보를 관리하는 것에 비해서는 이런 방식이 보안이 강하다고 해도 선거와 의료정보, 공문서, 세관 관리 같이 민감한 분야에서 블록체인을 적용할 때 간과할 수 없는 허점이다
51% 공격 외에 블록체인 디도스(DDoS) 공격 가능성도 있다. 2017년 서강대에서 발표된 ‘Least Mean Square 기반의 동적 거래 크기 제한 방법을 이용한 블록체인 DDoS 공격 대처 방법’ 논문에 따르면 블록체인에서도 디도스 공격이 발생할 수 있다. 블록체인에서 디도스 공격 노드는 짧은 시간 동안 무수히 많은 새로운 거래를 생성해 연결된 희생 노드들에게 전송하는 방법을 사용할 수 있다. 이 같은 공격을 당하면 거래를 더 저장할 수 없게 된다. 이에 따라 거래에 걸리는 시간이 늘어나고, 최악의 경우 거래가 중지되는 것은 물론 데이터가 삭제될 수 있다.
다만 최근 이슈가 되고 있는 거래소 해킹이나 거래소 사용자의 피싱 피해는 블록체인 자체 보안성과는 별개 사안이다. 거래소 해킹은 관리자인 거래소에 관리하는 정보의 문제다. 거래소에서 A라는 고객이 100 비트코인을 갖고 있다는 정보가 있을 때 B라는 해커가 이를 해킹해 A라는 고객 정보를 B로 바꿔 100 비트코인을 전송하는 것이다. 또 피싱 피해도 보이스피싱처럼 범죄자들이 거래소 이용 고객을 속여 거래소 이용 정보를 빼내거나 자신의 암호화폐 지갑으로 전송을 유도하는 방식이다.
보안 전문가들은 세상에 어떤 기술도 100% 완벽한 것은 없다고 설명한다. 이에 블록체인의 보안성을 ‘신격화’하는 것은 위험하다고 지적한다. 그럼에도 기존 중앙집중 방식에 비해 블록체인이 훨씬 보안이 강하고 해킹이 어려운 것이 사실이다.
따라서 블록체인의 허점을 보완하면서 더 안전한 기술로 만들어가는 것이 필요하다. 블록체인 플랫폼을 기획하고 설계할 때부터 보안성을 맹신하기보다는 다양한 보안기술을 접목해야 한다. 또 블록체인 활용 용도에 따라 해킹이 어려운 수준으로 노드를 구성하고, 각각 노드를 보호하는 방안도 마련해야 한다.
 

<본 기사는 테크M 제65호(2018년 9월) 기사입니다>