블록체인이 산업 전방위에서 화두로 떠오르고 있습니다. 하지만, 안전한 블록체인 생태계를 구축하려면 보안문제를 빼놓고 말할 수 없습니다. 아직 블록체인 보안과 관련한 전문인력은 부족한 실정이고, 핵심적인 기술현황에 대한 의견도 뚜렷하게 모아지지 않고 있는 상황입니다. 특히, 블록체인이 해킹과 위·변조에 완벽하다는 오해가 퍼지면서 보안조치에 대해 소홀히 할 수 있는 여지도 생기고 있습니다. 이에 <디지털데일리>는 정부·기업·학계를 대표할 만한 3인을 통해 관련 현황과 문제점·대응방안 등을 논의합니다. <편집자주>

[디지털데일리 최민지기자] 블록체인은 유통, 물류, 금융, 보안 등 다양한 산업분야에서 효율성과 안전성을 보장하는 기술로 각광받고 있다. 하지만, 단순히 블록체인만 사용한다 해서 마술처럼 모든 문제를 해결할 수 있는 것은 아니다. 보안도 마찬가지다.

블록체인을 안전하고 적절히 활용하려면 키 관리부터 시작해 개인정보보호 및 프라이버시, 취약점 등에 대한 조치가 필요하며 보안과 효율성 사이의 접점도 찾아야 한다.

이와 관련 김도원 취약점분석팀장을 포함한 한국인터넷진흥원(KISA), 최영철 SGA솔루션즈 대표, 한호현 경희대 컴퓨터공학과 교수는 각각 정부, 기업, 학계 대표로 <디지털데일리>에서 마련한 블록체인 보안 논의 자리에 서면으로 참석했다.

다음은 ‘한국 블록체인, 보안 미래를 논하다’를 주제로 한 블록체인 보안 현황 및 대응방안에 대한 3인의 질의응답이다.

Q. 금융·유통 등 다양한 산업에서 블록체인을 도입하기 위한 움직임이 거세지고 있습니다. 블록체인을 도입할 때 보안을 고려해야 하는 가장 큰 이유는 무엇입니까?

▲(한호현 교수) 가장 중요한 부분은 이용자 인증과 개인키 관리입니다. 특히 개인키가 해킹 등으로 유출됐을 경우 그 복구가 어렵기 때문에 피해를 회복하기 어렵다는 난제를 안고 있습니다. 이러한 부분을 감안한 금융 및 유통 분야에서의 블록체인 기술 도입을 고려해야 합니다.

잦은 가상통화 해킹에서 볼 수 있듯이 한 번의 해킹으로 피해 복구가 거의 불가능하다는 단점을 보완해야 합니다. 또한 스마트컨트랙트 등에 사용되는 소프트웨어의 취약점으로 인해 발생하는 보안의 경우도 살펴볼 필요가 있습니다. 더 나아가 금융 및 유통에서 사용된 개인정보의 보안도 심각하게 고려해야 합니다.

▲(최영철 SGA솔루션즈 대표) 일반적으로 퍼블릭 블록체인은 가상화폐의 이중사용방지를 위해 비트코인·이더리움 등과 같은 가상화폐에서 주로 사용되며, 프라이빗 블록체인은 금융기업 간 업무, 유통기업 간 업무, 공공부처 간 업무 등에 적용되는 것이 특징입니다. 이때 블록체인을 업무에 도입하는 이유는 업무 데이터에 대한 위변조방지 및 부인방지 기능을 위하여 탈중화된 분산장부를 상호 공유하고 이를 언제든지 검증하기 위함입니다.

이때 블록체인에 기록되는 데이터가 개인정보 또는 중요비밀정보라고 한다면 블록에 저장하는 것에 대한 보안성 검토가 반드시 필요합니다. 블록체인 특성상 누구나가 손쉽게 블록 내 데이터를 확인할 수 있기 때문에 개인정보나 중요정보의 경우 블록 내 기록과 관리에 대한 보안을 검토해야 합니다.

▲(KISA) 블록체인의 입력 값 자체가 거짓 값이라면 블록체인의 데이터 전체를 신뢰할 수 없고 이를 이용한 서비스 또한 무용지물이 됩니다. 입력 전 데이터 값의 무결성이 중요합니다. 따라서 블록체인을 도입할 때 데이터 관리의 보안을 고려해야야 합니다.

Q. 실제 기업·기관에서 블록체인을 도입할 때 가장 먼저 고려해야 하는 보안사항은 무엇입니까?

▲(최영철 SGA솔루션즈 대표) 당사자 이외 참여자의 시스템에도 노드가 설치되고 동일 데이터가 공유 블록 내 저장되기 때문에 해당 정보의 노출이 위험요소를 발생시킬 수 있는 업무인가에 대한 검토가 반드시 필요합니다. 서로 다른 기업 및 기관들 노드 서버 간 네트워킹이 이뤄지기 때문에 망분리 및 네트워크 보안도 생각해야 합니다.

▲(KISA) 블록체인의 입력 값의 입력 주체 인증과 입력 데이터의 무결성 관리가 가장 중요한 보안사항입니다.

▲(한호현 교수) 금융 등의 분야에서와 마찬가지로 이용자 인증 및 개인키 관리 등을 최우선적으로 고려해야 합니다. 또한 사용된 데이터의 보안도 마찬가지입니다.

Q. 한국의 블록체인 정책 기조에서 보안과 관련해 개선돼야 하는 사항은 무엇입니까?

▲(KISA) 블록체인은 중앙의 관리 및 통제없이 데이터의 무결성을 유지할 수 있는 잠재력이 높은 기반기술임에는 틀림없습니다. 그러나 아직 암호화폐 이외의 뚜렷한 특출한 응용분야가 나오지 못하는 근본 이유들을 해결해야 합니다. 보안을 위해 유지해왔던 10분 작업증명 시간을 실시간 수준으로 낮추기 위한 노력, 거래규모가 확대되면서 처리 속도를 개선하기 위한 문제 등을 함께 해결해야 합니다.

▲(최영철 SGA솔루션즈 대표) 현재 정부부처나 협회 등에서 준비되거나 진행되고 있는 블록체인 기반 응용사업들은 대부분 프라이빗 블록체인 기반의 사업들입니다. 프라이빗 블록체인의 경우에는 합의알고리즘의 복잡도가 높지 않고, 참여 노드 또한 많지 않기 때문에 블록체인 플랫폼 측면에서 개발할 기술이 그리 복잡하지 않은 것이 사실입니다. 또한 블록 생성 작업 때 기존 퍼블릭 블록체인을 기반으로 하는 가상화폐에서처럼 보상을 위한 코인의 사용도 필요 없습니다.

하지만 블록체인의 가치가 실질적으로 발휘되는 분야는 퍼블릭 블록체인을 사용하는 영역입니다. 가상화폐에서 이중사용방지 및 부인방지를 위해서 탈중앙화 된 퍼블릭 블록체인을 사용했고 이때 블록 생성의 보상으로서 코인을 최초 블록 생성자에게 지급하는 방식(가상화폐에서는 채굴)이 불가피하게 필요하게 됩니다. 블록체인 기술 활성화를 위해서는 퍼블릭 블록체인 관련 원천기술 개발이 진행돼야 하며 이를 위해서는 블록체인, 가상화폐, 가상화폐거래소, ICO 등에 대한 유기적 관련 정책이 요구됩니다.

▲(한호현 교수) 블록체인은 해킹이나 위변조로부터 안전하다는 잘못된 인식부터 개선이 이뤄져야 합니다. 기존의 시스템과 동일한 수준으로 보안을 바라봐야 합니다. 블록체인도 하나의 시스템이라는 점을 고려할 때, 프로그램 단계에서부터 활용에 이르는 전 과정에 걸쳐 보안 가이드라인을 지켜야 합니다.

Q. 블록체인이 활성화되면 국내 보안기업들도 함께 성장할 수 있을까요?

▲(한호현 교수) 블록체인 자체가 보안기술을 중심으로 이뤄지는 시스템입니다. 중앙집중형 시스템과는 다르게 전체의 구조에 보안기술을 내재시켜야 함으로 보안기업들에게는 좋은 기회가 될 수 있습니다. 특히 각 노드와 관련된 보안 기술이 각광받을 것으로 보입니다.

▲(KISA) 블록체인의 원리기술이 공개키 기반 암호기술을 사용하고 있기 때문에 PKI 개인키 관리 솔루션(HSM) 산업 시장을 키울 수 있고, 암호화폐 이외 다양한 응용분야로 확대될 경우 OTP, 생체인식, 보안카드 등 디지털 ID·인증시장과 접목될 수 있어 관련 보안시장의 성장도 기대됩니다.

▲(최영철 SGA솔루션즈 대표) 블록체인 시스템의 근간 구조는 P2P(Peer-to-peer)입니다. 이는 기본적으로 각 노드 시스템들이 많이 필요하다는 의미이고 이에 대한 보안체계도 중요하다고 말할 수 있습니다. 이에 각 B2B 모델의 블록체인 노드들의 경우에는 노드서버를 보호할 수 있는 각종 시스템보안, 엔드포인트 보안 및 네트워크 보안 시스템들이 요구될 수 밖에 없습니다.

블록체인 자체의 기술은 전자서명 생성·검증, 암호화·복호화, 암호기술 기반의 블록체인 합의알고리즘 기술 등이 필요합니다. 이를 통해 볼 때 블록체인 사업이 활성화되면 기존 IT보안 업체들의 수요는 증가하게 됩니다. 실제 SGA솔루션즈이 은행연합회 블록체인 구축 사업에 참여해 주력인 서버보안솔루션을 공급했으며, 이는 핵심 서버 시스템에 대한 보안을 강화하기 위해서입니다.

Q. 다양한 보안 분야 중 어느 분야가 특히 수혜를 볼 수 있을 것으로 예상합니까?

▲(최영철 SGA솔루션즈 대표) 우선 암호·인증 관련 업체들의 원천기술을 기반으로 자체 블록체인 기술 개발을 추진해 볼 수 있습니다. 동시에 기존 IT보안 업체들도 블록체인 노드 서버들의 확대로 새로운 보안 수요가 발생할 수 있습니다. 암호·인증 관련 보안 업체들은 블록체인 자체의 합의알고리즘 개발 및 보안성과 성능이 개선된 블록체인 플랫폼 개발에 관심을 가져야 합니다.

▲(KISA) PKI 개인키 관리 솔루션(HSM·스마트카드 등) 시장과 개인을 식별하고 인증할 수 있는 OTP, 생체인식, 보안카드 등 디지털 ID·인증시장을 꼽고 싶습니다.

▲(한호현 교수) 우선적으로 이용자 인증과 관련한 기술이 각광을 받을 것입니다. 또한 영지식 증명 분야와 암호화된 데이터의 노출을 최소화해 처리하는 기술 분야도 유망할 것입니다. 이러한 분야에서 차별화된 기술 개발이 필요합니다.

Q. 안전한 블록체인 생태계를 이루기 위해 필요한 전문인력 양성 및 원천기술 개발 등이 필요하다는 의견이 나오고 있습니다.

▲(KISA) 블록체인 원천기술에 대한 보안 취약점을 연구하고 합의 알고리즘, 그룹 서명 등 암호 프로토콜 및 안전한 암호를 사용할 수 있는 블록체인 보안전문 인력을 양성해야 합니다.

▲(한호현 교수) 국내에는 보안 원천 기술이 취약한 상태입니다. 응용 분야에서는 많은 성과를 거둔 바가 있으나 블록체인의 경우는 원천 기술과 그 기술에서 파생되는 분야에 많은 인력이 필요한 상태입니다. 보안 분야에서 전문인력 양성과 원천기술 개발은 쉽게 이뤄지지 않습니다.

보다 멀리 보고 순차적이고 체계적으로 투자하여 양성하는 계획을 마련해야 합니다. 보안 분야의 전문인력 양성과 원천기술 개발은 장기적으로도 반드시 필요한 과제입니다. 하루아침에 이뤄지지 않는 분야임으로 긴 안목에서 정책적 대안을 가져갈 필요가 있습니다.

▲(최영철 SGA솔루션즈 대표) 현재 블록체인 생태계를 빅데이터나 인공지능 영역에 비유해 본다면 대한민국은 주로 공개된 오픈소스 엔진을 기반으로 해당 응용 개발에 집중하고 있는 형태입니다. 이 때문에 블록체인 분야도 빅데이터나 인공지능 분야처럼 다양한 교육 커리큘럼을 통해 오픈소스 엔진을 설치하고 이를 이용하는 개발자 교육이 활성화돼야 합니다.

암호학이나 가상화 및 네트워킹 등에 대한 원천기술의 이해가 필요할 수 있기에 좀 더 고급화된 심화교육을 제공할 수 있는 다양한 교육 프로그램들이 나온다면 산업 활성화에 기여할 수 있습니다. 기술개발 측면에서 본다면 합의알고리즘을 포함한 블록체인 원천기술을 개발이 반드시 필요하다고 판단되며, 이러한 부분들이 활성화돼야만 글로벌 시장을 선도할 수 있는 블록체인 관련 우수기업들이 나올 수 있습니다.

Q. 블록체인이 이슈에 오르면서 다양한 보안기업들이 주식시장에서 이득을 보고 있습니다. 일각에서는 실체 없는 이득이라는 비판도 있습니다. 옥석을 가리기 위해 전하고 싶은 말이 있나요?

▲(한호현 교수) 블록체인 시장과 보안 시장은 큰 틀에서 보면 큰 상관관계가 많지 않습니다. 기존에 개발된 보안 기술들이 가장 크게 응용된 부분이 블록체인 분야이기 때문입니다. 보안 기업이 갖고 있는 보안 제품들이 블록체인 시장 어느 부분에 적용되는 기술인지를 파악하는 것이 필요합니다. 또한 그 기술이 적용될 시장의 크기도 판단해보는 것이 중요합니다.

▲(최영철 SGA솔루션즈 대표) 최근 정부에서도 블록체인 활성화에 많은 관심을 가지고 투자하고 있으나 산업계 입장에서는 아직까지 시장 수요를 폭발적으로 일으킬 만큼 수익모델이 나오는 환경은 아니라고 보고 있습니다. 오히려 다수의 IT 비즈니스 모델을 갖는 기업들이 토큰을 발행해 자본시장에서 ICO를 통한 자금유치에 사실 상 더 집중하고 있는 형태입니다.

문제는 이러한 ICO가 아직 개발되고 활성화되지 않은 비즈니스를 모델로 자본유치를 하고 이에 따라 실체가 없거나 달성 가능성이 극히 희박한 모델들도 ICO를 통해 자본 조달을 하면서 수년 후 일반 투자자의 피해사례가 발생할 수 있다는 점입니다. 물론 미국을 포함한 글로벌 시장에서 높은 평가를 받는 ICO도 있고 크립토데스크(Crytpo Desk)나 크립토펀드(Crypto Fund)를 운용하는 기관투자가들도 ICO에 참여하는 긍정적 생태계 환경 구축도 조성되고 있는 것도 사실입니다.

블록체인과 가상화폐는 단순히 일시적 유행으로 지나가는 신기루는 아닐 것으로 판단되기에 실체 없는 비즈니스 모델을 기반으로 단순한 토큰 발행을 연계해 유행적으로 행하는 ICO가 아니라 빠른 시간 내에 서비스가 운용될 수 있거나 이미 기술개발이나 서비스가 확보된 정상적이고 발전 가능한 리버스(Reverse) ICO 생태계가 조성될 필요가 있다고 판단됩니다. 또한, 블록체인의 원천기술을 개발하는데 초점을 맞춘 글로벌 경쟁력을 갖는 관련 기업들이 많이 배출돼야 합니다.

Q. 현재 진행 중인 블록체인 관련 프로젝트나 비즈니스 모델을 소개해주세요. 마지막으로 당부하고 싶은 말이 있다면 전해주시기 바랍니다.

▲(최영철 SGA솔루션즈 대표) 전세계적으로 가상화폐와 이의 근본 기술구성요소인 블록체인 기술 및 관련 사업이 하루가 다르게 급성장하고 있습니다. 해당 기술과 사업이 정부 관련 정책에 밀접하게 관련돼 있는 분야로서 IT 기술 트렌드 중에서 정부 정책과 기술 개발의 하모니가 가장 중요한 기술 및 사업 영역이라고 볼 수 있습니다.

효율성 및 성능이 개선된 퍼블릭 블록체인의 개발은 블록의 생성과 검증을 위해 보상체계가 있어야 하며 이에 대한 코인이 필요할 수 있습니다. 진보된 퍼블릭 블록체인 기술 개발은 가상화폐와 밀접함이 높을 수밖에 없습니다. 대한민국의 블록체인 기술이 발전되고 이를 통해 글로벌 시장에 진출하기 위해서는 블록체인 원천기술 개발과 가상화폐 및 ICO에 대한 정책적 조화가 필요한 시점이라고 생각됩니다.

SGA솔루션즈는 지난 4월2일 내부 암호·인증 사업부문을 물적 분할해 SGA블록체인을 설립했습니다. 이후 한국인터넷진흥원의 클라우드 보안실증서비스 지원사업에서 ‘제로클라이언트 통합인증 및 블록체인 기반 전자서명서비스 구축’이라는 사업명으로 통합인증과 공인인증서 대신 사용가능한 블록체인 기반 부인방지 서비스를 클라우드 SECaSS(SECurity as Service) 형태로 구축 중에 있으며, 올해 연말 서비스를 선보일 예정입니다.

모회사인 SGA와 컨소시엄을 구성해 블록체인 국책 사업도 진행 중에 있습니다. SGA솔루션즈와 SGA블록체인, SGA는 향후 자체 블록체인기술 개발, 블록체인 응용 및 SI 사업 등 다양한 영역에서 관련 기술개발 및 사업을 확대할 계획입니다.

▲(한호현 교수) 하드웨어 기반의 블록체인 연구에 집중하고 있습니다. 특히 PUF(Physical Unclonable Functions) 기반 이용자 인증 및 보안 기술 개발을 완료하고 기업들이 활용할 수 있도록 지원하고 있습니다. PUF는 개인키를 복제하거나 훔쳐갈 수 없는 구조로 이용자 인증이나 개인키 보안에 좋은 대안이 되는 기술입니다. 해외에서도 PUF기반 관련 기술을 개발하여 IoT, 블록체인 인증 등의 분야에서 제품화된 사례가 나오고 있습니다.

마지막으로, 블록체인이 해킹이나 위변조가 불가능하다는 잘못된 인식이 지나치게 확산된 상태입니다. 블록체인도 해킹에 안전하지 않습니다. 잘못된 인식으로 보안에 대한 왜곡이 생겨날 우려가 있습니다. 이는 장기적으로 보안산업에 대한 불신으로 이러질 가능성도 큽니다. 보안업계가 이에 대해 적극적으로 나설 필요가 있다고 봅니다.

<최민지 기자>cmj@ddaily.co.kr