블록체인 기술은 해킹에서 자유롭다고 알려져 있다.
새로운 거래가 발생하면 구성원에게 동의를 구해 해당 거래를 인증한다. 또 개방형 구조로 중앙서버에 모든 정보를 관리하는 것이 아니라 거래 정보를 분산해 기록한다. 기존에는 중앙서버를 해킹했다면 이제는 다수 PC를 공격해야 한다. 그만큼 해킹이 어렵다는 의미다.
사물인터넷 등 모든 것이 연결되는 4차 산업혁명 시대 보안문제가 더 중요한 이슈로 떠오르고 있다. 블록체인이 주목받는 이유다.
◇블록체인은 100%안전?…'아니다'
보안성이 높다고 알려진 블록체인 플랫폼도 해킹공격에 100% 안전하지 않다. 알려진 것처럼 블록체인을 해킹하기 위해 네트워크 노드 51%를 장악하면 된다. 현실적으로는 일어나기 힘든 얘기지만 실현 불가능한 것은 아니다.
시스템 고유 취약점을 공략하면 얘기는 달라진다. 네트워크로 빠르게 전파되는 악성코드를 이용한 해킹 기술은 블록체인 고유 보안영역을 무너뜨릴 수 있다.
오픈소스인 블록체인 소프트웨어 취약점도 속속 발견되고 있다. 특히 대규모 분산서비스거부(디도스·DDos) 공격은 블록체인 플랫폼에 치명적이다.
최근 포티넷코리아는 비트코인 플랫폼 취약점이 점차 증가하고 있다고 밝혔다. 보안 취약점 공식 집계 사이트 CVE디테일에 따르면 비트코인 관련 CVE취약점은 23개로 나타났다.
문제는 기업이나 기관이 해당 블록체인 플랫폼을 쓰면서 알려진 보안 취약점을 업데이트하지 않는데서 발생한다. 블록체인 자체가 오픈소스로 개발되고 분산 네트워크 방식으로 작동해 빠른 보안패치나 검증이 어렵다. 보안 침해사고 90% 이상은 알려진 취약점을 방치한 상태로 시스템을 운용해 발생한다. 위험요소를 그대로 안고 있는 셈이다.
배준호 포티넷코리아 이사는 “블록체인 특성상 하나의 노드가 랜섬웨어에 걸리면 급속도로 랜섬웨어가 다른 노드로 퍼지게 된다”면서 “블록체인 내부 거래과정을 단순 해킹하는 것은 불가능하지만 이외에도 많은 취약점이 존재하는 만큼 대비책을 반드시 세워야 한다”고 말했다.
디도스 공격도 블록체인 플랫폼을 무력화시킬 수 있다. 비트코인, 이더리움 등의 블록체인은 거래(트랜잭션)에 한정된 서버를 사용한다. 이들 서버 가운데 일부가 손상되면 통제가 어렵다. 가상화폐를 유지·관리하는 서버가 100대 있다고 가정할 때 51대가 손상되면 기존 합의체계는 무너진다. 해커는 해당 블록체인이 제대로 작동하지 못하게 DDoS 공격을 할 수 있다.
사용자 인터페이스를 통해 비밀키가 유출·분실될 위험도 있다. 공개키 암호화 방식을 사용하기 때문에 비밀키를 제3자에게 도난당하거나 분실하면 블록체인에 저장된 내용물 소유권을 주장 못한다. 예를 들어 가상화폐는 이를 보증하는 기관 또는 기업이 없기 때문에 거래소 해킹 등으로 비밀키를 잃어버리면 다시 찾을 방법이 없다.
업계 관계자는 “블록체인은 해킹할 수 없는 안전한 보안 플랫폼이라고 인식하고 있지만 해킹이 불가능한 IT는 없다”고 덧붙였다.
◇국내 보안기업, 블록체인 도입에 관심↑…가시적 성과는 '아직'
보안업계는 아직 블록체인을 활용한 가시적 성과를 내지 못하고 있다. 파수닷컴, 넥스지 등을 제외한 기업 대부분 여전히 초기 연구단계 수준이다.
파수닷컴은 지난해 7월 블록체인 기반기술이 접목된 문서 플랫폼 랩소디 개발에 착수했다. 올해 6월 공식 서비스 출시 예정이다. 랩소디는 문서가 생성되는 과정에서 모든 버전 문서를 자동으로 수집·관리해 보관시점과 원본을 증명한다. 이를 바탕으로 전자문서 무결성과 보안성을 확보한다. 여기에 블록체인 기반기술을 접목해 문서 검증, 기록, 보관 등 데이터 신뢰성이 향상된다. 랜섬웨어와 같은 외부 해킹에 대한 보안성도 상당히 높아질 것으로 내다본다.
파수닷컴 관계자는 “블록체인 기술을 랩소디에 적용해 문서 검증, 기록, 보관 등 데이터 신뢰성을 향상시켰다”면서 “해외에서도 인정받고 있는 만큼 해외진출까지 염두해 두고 있다”고 말했다.
라온시큐어는 더루프와 함께 블록체인 기술을 접목한 생체인증 시스템을 개발에 나선다. 양사는 블록체인과 생체인증 기술을 접목, 공인인증서를 대체할 차세대 인증 시스템을 개발한다.
블록체인 생체인증 시스템은 FIDO 서버의 인증 정보 생성과 검증 과정을 블록체인 핵심 기술인 스마트 컨트랙트(Smart Contracts)로 구현한다. 공인인증서나 사설인증서에서 발생하는 중앙화 시스템의 보안 위협을 줄일 수 있다.
넥스지는 최근 서강대학교 산학협력단과 블록체인 전문 기술회사 '엠블럭'을 설립했다. 엠블럭은 블록체인 핵심 플랫폼 기술 개발과 인재 양성에 초점을 맞춘다. 지능형 블록체인연구센터로부터 기술을 이전 받아 플랫폼 연구개발에 집중한다. 자율주행차와 드론 등 사물인터넷(IoT) 분야에 활용 가능한 블록체인 기반 보안기술 '블록키' 개발 사업을 병행한다.
이들을 제외한 보안기업 대부분 블록체인 도입은 연구·개발 초기 수준이다. 2년 연속 매출 2000억원 고지를 넘어선 SK인포섹은 신사업의 한 방향으로 블록체인 사업을 명시했다. 그러나 사물인터넷(IoT), 클라우드 등 신사업 개발과 함께 언급하는 데 그쳤다.
지란지교시큐리티는 올해 초 한국블록체인산업협회 예비 회원사로 등록했다. 올해 초 신기술융합사업부를 신설해 콘텐츠 무해화(CDR), 블록체인, 인공지능 등 신기술 기반 제품 기획 등을 담당한다.
지니언스는 기술연구소를 '연구기획실'로 개편했다. 기술연구소가 제품 고도화를 위한 조직이었다면 연구기획실은 블록체인·머신러닝 등 신기술 확보에 집중하는 조직이다.
업계 고위 관계자는 “보안제품 수요기업 대부분 새로운 보안위협에 니즈가 있는 것이 아닌 법령에 따라 움직인다”면서 “보안기업도 당장 수익이 나지 않는 블록체인 개발에 많은 투자와 역량을 쏟지 않고 있다”고 말했다.
정영일기자 jung01@etnews.com