유럽연합(EU) 일반 개인정보보호법(GDPR)이 오는 5월 시행에 들어감에 따라 국내 기업들의 컴플라이언스 대응도 불가피한 상황이며 보안 및 내부통제에 대한 사회적 관심도 커져가고 있다.

<디지털데일리>는 오는 4월26일 개최되는 'NES 2018' 컨퍼런스에 맞춰 국내 보안 시장 동향과 전망 등을 알아본다.<편집자>

[디지털데일리 최민지기자] 블록체인은 해킹과 위·변조에 완전무결한 해답지일까? 그렇지 않다. 블록체인 플랫폼을 통해 기존보다 신뢰할 수 있는 거래를 확보할 수는 있지만, 해킹과 위·변조의 위험은 어느 곳에서나 도사리고 있다.

블록체인은 비즈니스 네트워크의 모든 참여자들이 원장을 볼 수 있도록 해 주는 공유 원장 기술이다. 비즈니스 네트워크 내 모든 거래가 기록되고, 공인된 제3자 없이도 거래 기록의 신뢰성을 확보한다.

블록체인을 활용하면, 서비스 운영의 신뢰성과 투명성을 강화할 수 있기 때문에 일각에서는 ‘완벽한 보안’ 플랫폼으로 오인하고 있다.

암호화폐를 빗대어 보면 이해가 쉽다. 블록체인과 연관된 암호화폐는 그 자체만 놓고 보면 안전한 편이다. 이에 해커들은 암호화폐를 직접 노리지 않고, 보안에 취약한 거래소를 공격하거나 관리자나 이용자 계정을 탈취해 이득을 취하고 있다. 암호화폐가 모인 거래소와 이를 이용하는 사용자의 보안까지 모두 충족돼야 하는 상황이다.

블록체인도 마찬가지다. 해커가 우회해 진입할 수 있는 홀은 어디에나 있다. 100% 안전하다고 말하는 것은 사기에 가깝다고 보안전문가들이 말하는 이유도 여기에 있다. 이에 블록체인 시스템을 설계할 때 취약점은 반드시 존재한다는 전제 아래 방어대책을 수립해야 한다.

블록체인 보안위협의 경우, 공격자에게 키를 도난당하거나 분실된 키가 악용될 경우 자산 및 기밀거래 메시지를 유출당할 수 있다.

가능성이 낮기는 하지만 참여자 중 과반수를 장악해 블록체인의 합의과정을 조작할 수 있다는 점은 이미 널리 알려진 사실이다. 불가능한 시나리오는 아니다. 또, 거래정보에 대한 참여자의 접근권한 관리가 부족하면 개인정보 침해도 가능하다.

블록체인 소프트웨어에 보안취약점이 존재하면 키 도난, 합의조작, 디도스(DDoS) 공격 등에 모두 악용된다. 다수 참여자가 악성코드 등을 통해 공격자에게 장악되면 대량의 스팸거래를 발생해 서비스 자체를 중단시킬 수 있다.

또한, 참여자의 내·외부 권한 관리에 소홀하게 되면 금융회사·내부지원에 의한 보안사고도 발생하게 된다. 권한 오남용에 따른 결과로, 거래 관련 내부 직원 서명을 식별하고 인증을 강화해야 할 필요성이 있다는 설명이다.

우선적으로는 키 관리 대응정책과 보안가이드 적용이 무엇보다 중요하다. 또, 블록체인 소프트웨어 취약점 점검체계를 갖추면서 지속적 모니터링 및 이상행위탐지체계도 수립해야 한다.

유럽연합 산하 정보보호기구인 ENISA 리포트에 따르면 블록체인 도입 때 ▲키 도난 및 분실 ▲취약한 키 생성 ▲합의 가로채기 ▲사이드체인 내 비정상 거래 발생 ▲개인정보 침해 ▲권한 오남용 ▲블록체인 소프트웨어 취약점 ▲스마트 컨트랙트 취약점 ▲분산서비스거부 공격 ▲가용성 저하 ▲비정상거래 탐지 불가 ▲상호 운영성 미제공 등을 고려해야 한다.

이처럼 보안사항을 고려한 후 블록체인 비즈니스를 추진하고 위협에 대처해야 한다. 더군다나 블록체인이 초기단계인 만큼, 이 분야에서 보안을 경험한 숙련가와 전문가가 부족한 실정이다. 관련 원천기술도 충분치 않다. 암호화를 진행하고, 보안성을 얹을수록 가용성이 떨어지는 문제도 해결해야 한다.

한호현 경희대 컴퓨터공학과 교수는 “블록체인과 관련해 노드에서 일어나는 해킹을 막기 위한 절차들이 제기되고 있다”며 “다중 서명과 보안이 적용된 하드웨어 월렛 등이 그 예”라고 말했다.

이어 “개인정보를 어떻게 보호할 것이냐에 대한 문제도 있다”며 “암호화를 하거나 다른 곳에 저장해 보관할 수 있는데 키를 공격자에게 잃어버리는 등의 상황에 처할 수 있기 때문에, 블록체인을 활용한다고 해킹과 위변조가 불가능하다고 말하기 어렵다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr