문병기 SK인포섹 하이테크사업본부 팀장<사진>은 22일 <디지털데일리> 주최로 은행연합회관에서 열린 ‘2018 블록체인·이노베이션 전략 컨퍼런스’를 통해 블록체인 비즈니스 때 보안을 고려해야 한다며 이같이 강조했다.

EU산하 정보보호기구인 ENISA 보고서에 따르면 블록체인 비즈니스를 시작할 때 키관리, 거래 검증 및 합의, 참여자 권한관리, 블록체인 소프트웨어 보안, 서비스 보안 등을 살펴야 한다.

이 중에서도 키 관리는 중요한 부분이다. 공격자에게 키를 도난당하거나 분실된 키가 악용되면 자산 및 기밀 거래 메시지가 유출된다. 취약한 키 생성 알고리즘으로 인해 키 재생성 공격이 가능할 경우에도 마찬가지다.

또, 블록체인 소프트웨어에 보안 취약점이 존재하면 공격자가 키 도난, 합의조작, 디도스 공격 등에 악용할 수 있다.

이와 관련 문 팀장은 “보안위협에 대응하기 위한 안전장치가 필요하다”며 “특히 블록체인 노드를 프라이빗에 구축할 때 물리적으로 같은 공간에 두면 안 된다”고 설명했다.

또 “합의를 가로챌 수 있는 위변조 가능한 조건이 생길 수도 있기 때문”이라며 “취약점 점검도 자주해야 한다”고 조언했다.

이날 문 팀장은 블록체인 기반 암호화폐 거래소를 예로 들며, 시스템 설계 때 취약점은 반드시 존재한다는 전제 아래 방어대책을 수립하고 구축해야 한다고 강조했다.

문 팀장은 “거래소 해킹 사건들이 이어졌는데, 해커들은 주로 핫월렛을 통해 암호화폐를 빼가거나 내부자 PC를 감염시켜 계정을 탈취하고 있다”며 “지능형지속위협(APT) 공격 대응과 월렛 보호, 내부자 PC 통제가 미흡한 것”이라고 지적했다.

또 “서비스 보안, 구간 암호화, OA 인프라 보안, 개발 보안, 엔드포인트 보안, 포렌직은 기본으로 들어가야 한다”며 “보안 위협에 제대로 대응할 수 있도록 설계하지 않으면 분명 홀이 생길 수밖에 없다”고 말을 보탰다.

아울러, 문 팀장은 “SK인포섹은 규제 정책에 맞게 프로세스 수립하고 필요한 시스템을 적용할 수 있도록 하고 있다”며 “최근 출입통제부터 데이터에 대한 보호, 여러 데이터를 묶어서 융합보안 체계로 관제할 수 있는대상을 확대한 서비스를 내놓은 바 있다”고 전했다.

<최민지 기자>cmj@ddaily.co.kr