블록체인이 보안에 완벽하다고?

블록체인이 보안에 완벽하다고 주장하는 사람들이 있다. 그 반대로 기존 시스템보다 블록체인이 보안에 취약하다고 이야기하는 이들도 있다. 무엇이 정답일까?

정답은 없다. 블록체인은 새로운 기술이고, 기존 보안에 대한 개념으로 접근하기에는 한계가 많다. 그렇다고 보안을 완벽하다고 주장하기에도 기존에 통념적으로 사용되어 왔던 보안의 개념과 충돌한다.

보안의 영역은 다양한데, 그 영역을 먼저 정의할 필요가 있으며 그 정의된 영역에서 세분화하여 블록체인이 어떤 영역에서 어떻게 보안을 강화할 수 있는지를 먼저 살펴봐야 한다.

기본적으로 블록체인은 탈중앙화를 추구하기 때문에, 중앙화방식의 시스템에서 오는 보안의 문제점을 상당수 해결할 수 있다. 예를 들어 중앙화방식의 시스템에서는 관리자의 실수, 관리자의 도덕적 해이 등으로 발생할 수 있는 사고의 가능성이 항상 열려 있다. 즉, 관리자가 문제를 일으켰을 때 시스템으로 해결할 수 있는 보안적 조치가 취약한 것이 중앙화 방식의 시스템의 취약점이다.

이러한 취약점을 탈중앙화 방식의 시스템에서는 해결할 수 있다. 관리자의 문제, 관리자의 도덕적 해이등이 발생하더라도 시스템 전체가 도난당하거나 정보들이 유출될 수 있는 가능성의 한계가 많이 존재한다. 

비트코인 시스템은 어떠한 중앙의 관리나 주체가 없음에도 아직까지 해킹에 성공한적이 없다. 비트코인을 유지시켜주는 합의 알고리즘(POW)이 부족한 점이 많음에도 불구하고 시스템을 유지시켜주는 핵심 코어가 현재까지 유지되고 있다는 것은 시사하는 바가 크다.

블록체인에 대한 대한민국 정부의 관심

비트코인 시스템의 사례때문일까? 최근 정부는 블록체인 사업을 본격적으로 진행하고 있다. 2020년에 주요 부처와 지자체에서 시행하는 사업들은 아래와 같다.

- 2020년 블록체인 공공선도 시범사업 10개 과제

1. 블록체인 기반 강원도형 만성질환 통합 관리 플랫폼 구축 시범사업 (강원도)
2. 분산신원증명(DID) 기반 지역 공공서비스 플랫폼 구축 시범사업 (경상남도)
3. 블록체인 기반 디지털 증거 관리 플랫폼 구축 시범사업 (경찰청)
4. 블록체인 기반 노지작물 생산‧유통 관리 플랫폼 구축 시범사업 (농촌진흥청)
5. 블록체인 기반 복지급여 중복수급 관리 플랫폼 구축 시범사업 (보건복지부)
6. 블록체인 기반 상수도 스마트 수질 관리 시스템 구축 시범사업(부산광역시)
7. 블록체인 기반 자율주행자동차 신뢰 플랫폼 구축 시범사업 (세종특별자치시)
8. 블록체인 기반의 식품안전 데이터플랫폼 구축 시범사업 (식품의약품 안전처)
9. 블록체인 기반 상호 신뢰 통행료 정산 플랫폼 구축 시범 사업 (한국 도로공사)
10. 블록체인 기반 전기차 배터리 Life Cycle 관리시스템 구축 (제주특별자치도)

다양한 분야에 다양한 산업에 블록체인을 접목하기 위한 시도가 이미 이루어졌고, 시행되고 있다. 앞으로 더욱 많은 분야에서 블록체인 기반의 시스템의 전환은 이미 약속되어진 것처럼 보인다.

 기존 IT 기반 시스템에서의 다양하게 발생했던 취약점들을 블록체인 시스템 극복할 수 있을 거라는 기대감 때문일까? 

 아니면, 실제적으로 블록체인 시스템이 적용되었을 때 기존보다 훨씬 나은 보안과 효용을 줄 수 있어서일까?

 아마도, 앞으로 블록체인이 사회의 많은 영역을 바꿀 것이라는 예상을 근거로 미리 시스템을 준비하고 있다고 보인다.

블록체인 보안의 허점, 해결책은 존재하나?

블록체인의 핵심은 합의 알고리즘이다. 비트코인은 POW(Proof of work)라는 작업 증명 방식의 합의 알고리즘을 통해서 탈중앙화 시스템이 유지되고 있다. 이더리움은 비트코인의 확장성에 대한 한계를 극복하였다. 특별히 디도스 공격을 막기 위해서 이더리움의 합의과정에서 가스비(수수료)를 지불하도록 아이디어를 낸 것은 신의 한 수라고 불려진다. 

비트코인과 이더리움을 이어서 다양한 합의 알고리즘들이 블록체인 시장에 도출되었고, 서로 다른 블록체인 시스템 간의 통신 및 교환이 불가능했던 한계를 극복하기 위한 다양한 블록체인 시스템들이 등장했다. 그중에서 코스모스 프로젝트를 주목할 수 있는데, 코스모스 프로젝트에서 합의 알고리즘 보안의 한계를 극복하기 위해서 슬래싱(Slashing)이라는 새로운 개념을 도입했다. 탈중앙화방식에서 합의 및 시스템 유지에 공헌하지 못한 경우 자신이 가진 지분(암호화폐)을 삭감함으로써 탈중앙화 시스템이 유지되기 위한 새로운 아이디어다.

이를 통해서 살펴볼 수 있는 것은, 블록체인 시스템, 즉 탈중앙화 시스템에서 가장 중요한 부분이 합의 알고리즘인 것을 알 수 있고, 이 합의 알고리즘이 해킹되거나 공격받는 다면 전체 시스템에 치명적인 피해를 입힐 수 있음을 알 수 있다.

그래서, 블록체인 시스템의 보안 취약점은 이러한 시스템의 코어가 해킹당하거나 피해를 입는 경우다. 결국 기존보다 보안은 강화되었지만 여전히 보안의 취약점이 블록체인에도 존재한다.

이러한 보안의 취약점을 해결하기 위한 다양한 방법들이 기존 보안업계에서 시도되고 있다. 특별히 엔사이퍼에서 제공하고 있는 코드세이프(Code Safe)기능은 합의 로직을 보호할 수 있어서 귀추가 주목된다.

[nCipher HSM 도입 전후 합의 알고리즘 보안 비교]

엔사이퍼 코드세이프(Code Safe) 특장점

° 변조 방지 HSMs 내에서 실행해 민감한 애플리케이션을 보호

° 디지털 서명과 코드 인증을 통해 무결성 확보 지원

° 정책 이행을 통해 키 관리에 대한 안전한 환경 제공

° 고유의 방식으로 키와 인증서를 애플리케이션에 연동시켜 강력한 접근 통제 지원

° 원격 코드세이프(Code Safe) 툴을 활용하여 고객에게 편리한 솔루션을 제공

엔사이퍼 코드세이프(Code Safe)와 같은 블록체인 합의 알고리즘을 보호해 줄 수 있는 보안장치들이 지속적으로 발전되어 블록체인의 핵심 보안이 더욱 강화되고 다가올 미래에는 지금보다 더 안전하고 투명한 사회가 되기를 기대해 본다.

김동환 한경닷컴 칼럼니스트

ⓒ 한경닷컴, 무단전재 및 재배포 금지