무선네트워크·사물인터넷(IoT) 보안솔루션 기업 노르마(대표 정현철)가 이더리움 기반 'ERC-20 토큰'의 스마트 컨트랙트 취약점을 발견했다고 6일 밝혔다. 이번 취약점 발견은 중국 보안솔루션 기업 버그엑스와 공동 연구로 이뤄졌다.
이더리움 기반 ERC-20 토큰과 지브롤터 블록체인 거래소 GBX에서 발행하는 코인 'RTK'가 문제시 됐다. 암호화폐 거래 시 정상 이체 한도가 줄지 않을 수 있으며 송금계좌 잔액이 극대화되거나 암호화폐가 사라질 수 있다.
스마트 컨트랙트는 블록체인에 저장되고 자동 실행되는 프로그래밍 소스코드로 특정 조건을 만족할 때 계약이 자동 실행된다. 올해 2월 IBM 연구진이 최상위 보안 학회 NDSS에서 발표한 연구에 따르면 스마트 컨트랙트 대부분이 하나 이상 취약점을 갖고 있다. 코드로 인한 잠재적 취약점을 내포해 암호화폐가 탈취되거나 지갑이 동결될 수 있다는 지적이다.
정현철 노르마 대표는 “노르마는 스마트 컨트랙트 상 취약점을 감사할 수 있는 기술력을 보유하고 있다”면서 “개발자 소스코드 실수나 기능 구현을 위한 로직 오류로 버그가 발생할 수 있지만 감사를 통해 스마트 컨트랙트 취약점을 확인했다”고 강조했다.
노르마는 최근 암호화폐 보안분야까지 사업범위를 확대해 기존 기술력, 노하우, 데이터베이스(DB)를 활용해 금융거래 보안솔루션을 출시할 계획이다. 이번 스마트 컨트랙트 감사인 '오딧'은 암호화폐 보안솔루션 연구개발 일환으로 진행됐다.
정 대표는 “이더리움 스마트 컨트랙트를 전반적으로 분석한 결과 25개에 유사한 문제가 있었고 대부분 거래가 진행됐다”면서 “안전한 함수를 사용해 오버·언더플로우 현상이 발생하지 않게 해야 한다”고 제안했다.
공동연구를 진행한 버그엑스는 블록체인 보안전문기업으로 스마트 컨트랙트, 암호화폐 거래소, 전자지갑, 블록체인 백엔드 등에 대한 최신 보안 솔루션을 제공한다.
노르마는 무선 네트워크 취약점 점검 솔루션 '앳이어', 와이파이 보안 모듈 '와이파이 케어', IoT 보안을 위한 소프트웨어 모듈 'IoT 케어'를 주요 솔루션으로 하고 있다. 최근 암호화폐 거래를 보안하는 솔루션을 개발, 블록체인 보안분야로 사업범위를 확대했다.
이준희기자 jhlee@etnews.com
