[2018 블록체인 혁신] SK인포섹 “블록체인 플랫폼 취약성 검증 거쳐야”
[디지털데일리 최민지기자] “블록체인에 대한 안전성은 검증됐더라도, 블록체인 플랫폼에 대한 안전성은 확인되지 않았다. 플랫폼 내에서 취약점 없이 안전하게 운영할 수 있는지에 대해서는 아직 모른다. 취약점 검증이 필요한 이유다.”
문병기 SK인포섹 하이테크사업본부 팀장<사진>은 22일 <디지털데일리> 주최로 은행연합회관에서 열린 ‘2018 블록체인·이노베이션 전략 컨퍼런스’를 통해 블록체인 비즈니스 때 보안을 고려해야 한다며 이같이 강조했다.
EU산하 정보보호기구인 ENISA 보고서에 따르면 블록체인 비즈니스를 시작할 때 키관리, 거래 검증 및 합의, 참여자 권한관리, 블록체인 소프트웨어 보안, 서비스 보안 등을 살펴야 한다.
이 중에서도 키 관리는 중요한 부분이다. 공격자에게 키를 도난당하거나 분실된 키가 악용되면 자산 및 기밀 거래 메시지가 유출된다. 취약한 키 생성 알고리즘으로 인해 키 재생성 공격이 가능할 경우에도 마찬가지다.
또, 블록체인 소프트웨어에 보안 취약점이 존재하면 공격자가 키 도난, 합의조작, 디도스 공격 등에 악용할 수 있다.
이와 관련 문 팀장은 “보안위협에 대응하기 위한 안전장치가 필요하다”며 “특히 블록체인 노드를 프라이빗에 구축할 때 물리적으로 같은 공간에 두면 안 된다”고 설명했다.
또 “합의를 가로챌 수 있는 위변조 가능한 조건이 생길 수도 있기 때문”이라며 “취약점 점검도 자주해야 한다”고 조언했다.
이날 문 팀장은 블록체인 기반 암호화폐 거래소를 예로 들며, 시스템 설계 때 취약점은 반드시 존재한다는 전제 아래 방어대책을 수립하고 구축해야 한다고 강조했다.
문 팀장은 “거래소 해킹 사건들이 이어졌는데, 해커들은 주로 핫월렛을 통해 암호화폐를 빼가거나 내부자 PC를 감염시켜 계정을 탈취하고 있다”며 “지능형지속위협(APT) 공격 대응과 월렛 보호, 내부자 PC 통제가 미흡한 것”이라고 지적했다.
또 “서비스 보안, 구간 암호화, OA 인프라 보안, 개발 보안, 엔드포인트 보안, 포렌직은 기본으로 들어가야 한다”며 “보안 위협에 제대로 대응할 수 있도록 설계하지 않으면 분명 홀이 생길 수밖에 없다”고 말을 보탰다.
아울러, 문 팀장은 “SK인포섹은 규제 정책에 맞게 프로세스 수립하고 필요한 시스템을 적용할 수 있도록 하고 있다”며 “최근 출입통제부터 데이터에 대한 보호, 여러 데이터를 묶어서 융합보안 체계로 관제할 수 있는대상을 확대한 서비스를 내놓은 바 있다”고 전했다.
<최민지 기자>cmj@ddaily.co.kr
이재용 결심 최후진술 "삼성 미래 우려 크다는 것 알고 있다…반드시 극복"
2024-11-25 20:17:13[DD퇴근길] 이재용 삼성 회장, 2심도 징역 5년…檢 "헌법가치 훼손"
2024-11-25 17:33:44이재용 항소심 결심 공판…檢 이재용에 징역 5년·벌금 5억 구형
2024-11-25 17:11:34[콘텐츠뷰] 강풀표 '미스테리 심리 썰렁물'을 아시나요
2024-11-25 17:09:52[인터뷰] '방화벽 장인' 체크포인트, AI 통합보안 전문가로 변신…차별점 3가지는?
2024-11-25 17:08:04