세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
블록체인에 관한 소문 셋, 진상을 파헤쳐보자
  |  입력 : 2017-09-11 16:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블록체인, 소문만큼 완전하지도, 안전하지도, 무결하지도 않아
소규모 블록체인은 특히 주의할 필요 있어...검토에 검토, 반드시 선행되어야


[보안뉴스 문가용 기자] 블록체인 기술이 등기소 기록을 보관하는 문제에서부터 음악 저작권 관리에까지 모든 산업에서 뜨거운 감자로 떠오르고 있다. 옆에서 이런 흐름을 지켜보다 보면 블록체인으로 뭔가 획기적인 변화가 일어날 것 같고 많은 문제가 해결될 것처럼 보인다. 게다가 중앙통제 장치 없이 관련자들끼리 알아서 구축하고 쌓아가는 신뢰 관계라니, 더없이 매력적이다.

[이미지 = iclickart]


하지만 스마트폰 초기 시절의 QR 코드나 몇 년 전의 빅데이터처럼 이 블록체인이란 말이 지나치게 자주 등장하는 감이 없지 않다. 아직 블록체인에 대한 개념이 뚜렷하게 전파되지도 않았고, 아는 사람도 드물며, 그 적용사례는 더더욱 희귀한데 누가 이렇게 블록체인을 언급하고 관련된 소문을 퍼트리는 걸까? 지금 돌아다니고 있는 소문들의 진실을 파헤쳐보자.

소문 1 : 블록체인은 보안성이 강한, 분산형 데이터베이스다
많은 사람들에게 있어 블록체인과 비트코인은 동의어다. ‘전 세계 컴퓨터 여기저기에 흩어진 전자 거래장부(digital ledger)의 복사본에 기반을 둔 거래 시스템’ 정도가 대부분이 알고 있는 블록체인 혹은 비트코인의 뜻이다. 확실히 비트코인과 이더리움 등 대중에게 널리 알려진 블록체인 네트워크의 규모는 ‘전 지구적’이라고 해도 될 만큼 거대하다. 또한 ‘보안이 튼튼하다’ 혹은 ‘해킹이 불가능하다’는 주장도 꽤나 합리적이라고 볼 수 있다. 네트워크를 구성하는 각 노드에는 전체 거래장부의 완전본이 저장되어 있고, 이 장부들은 블록체인 자체의 작업증명(Proof of Work, PoW) 원리를 통해 동시에 동기화된다.

하지만 실제 블록체인 네트워크는 이렇게 이상적으로만 구축되어 있지 않다. 특히 최근에 등장하는 것들이 그렇다. 대부분 ‘누구나 참여하는’ 공개 체인이 아니라 대여섯 개 노드로 구성된 ‘비밀 체인’을 사용하고 있다. 또한 특수한 목적성을 이루기 위해 만들어졌으며, 그러므로 원래 대규모 블록체인이 가지고 있는 보안성을 보유하지 못하고 있다. 노드의 수가 적은 블록체인 네트워크는, 각 노드 보유자가 직접 관리하고 설정해야 하는데, 이렇게 되면 보안성의 측면에서 블록체인만의 강점은 하나도 나타나지 않는다고 해도 과장이 아니다. 분산형 데이터베이스의 효용가치가 무엇인가 의문이 드는 대목이다.

여기서 또 하나 ‘태클’을 걸자면, 블록체인은 데이터베이스가 아니라는 것이다. 그저 장부의 기록이 새로운 데이터 조각이 덧붙여지기 용이하고 감사자가 전체 내용물에 대한 검사를 실시하기 좋은 형태로 구조화된 것일 뿐이다. 데이터에 대한 요청을 처리하기 위해 만들어진 것도 아니고, 기존 데이터베이스들이 실행하고 있는 복잡한 요청 처리는 더더구나 할 수가 없다. 만약 어떠한 사업을 한다고 했을 때, 블록체인에 데이터를 저장한다는 식의 아이디어가 누군가에게서 나온다면, 일단 경고등부터 켜라. 기존 데이터베이스에 비해 블록체인이 더 나은 이유를 확실하게 밝혀내기 전까지는 말이다.

여기에 기밀성 문제도 언급해야 하겠다. 공개장부란 말 그대로 공개된 데이터다. 공개되지 않은 데이터를 가지고 있는 기존 사업체들이 너도나도 블록체인을 사용할 수 없는 이유가 여기에 있다. 물론 ID 값이나 해시 값 등은 블록체인에 저장하고 실제 데이터는 다른 데이터베이스에 저장하는 식으로 블록체인을 활용할 수는 있다.

소문 2 : 블록체인은 감사라는 목적을 달성하기에 완벽한 툴이며 불변한다
블록체인은 해시처리된 데이터 구조에 거래가 일어난 순서대로 사건을 장부에 기록한다. 비트코인의 경우 이 거래들은 한 지갑 주소에서 다른 지갑 주소로 자금이 이동하는 것이 기록되는 게 보통이다. 그렇다면 다른 블록체인은 어떨까? 금융정보처럼 형태가 명확하지 않거나, 주소가 항상 명시되어 있지 않은 경우라면 말이다.

블록체인의 큰 장점이라면 1) 장부에 기록된 그대로 거래가 실제로 일어나며 2) 기록이 영원히 남는다는 것이다. 무슨 뜻일까? 행위와 감사 로그의 1:1 매칭이 가능하다는 것이며, 이는 완벽한 포렌식 증거자료가 된다. 하지만 이 ‘완벽함’을 누리려면 사업적 거래가 블록체인을 기반으로 형성되어야 한다. 예를 들면 이더리움이나 버러우의 스마트 계약서를 사용하는 식으로 말이다. 평범한 사업적 거래가 끝난 후 감사 관련 내용을 블록체인에 포스팅하는 것뿐이라면 위에서 언급된 블록체인의 장점은 누리지 못하게 된다. 회사 내 진행되는 모든 거래가 체인에 포스팅된다는 보장이 없거나 실제로 발생한 사업적 거래의 내용이 체인에 사실대로 반영되지 않는다면 블록체인의 감사 기능은 발휘되지 않는다.

블록체인의 불변성 이론 역시 그대로 믿어서는 안 되는 특성 중 하나다. 물론 모든 종류의 블록체인들은 장부 내용을 변조하려는 공격에 기본적인 방어 체계를 갖추고 있는 건 맞다. 하지만 충분한 노드 보유자들이 공모하기만 한다면 블록체인 장부의 기록 역시 변경되는 게 가능하다. 불가능하기만한 시나리오일까? 예를 들어 은행 세 곳이 블록체인 장부를 공유하고 있다고 해보자. 그 중 두 곳이 몰래 작전을 짜는 게 불가능하기만 할까? 앞서 말한 대로, 현실 속 블록체인들이 비밀리에, 작은 규모로 구성되고 있다는 걸 생각해보면, 이 시나리오가 너무 극단적이지만은 아닐 것이다. 이를 해결하기 위해서는 사설 블록체인을 공공 블록체인과 연결시켜야 한다. 이미 이러한 개념의 서비스를 제공하는 스타트업들도 생겨나고 있다.

소문 3 : 미래에는 모든 사업체들이 블록체인을 기반으로 한 스마트 계약서를 사용하게 될 것이다
“블록체인 상”에서 임의의 코드를 실행할 수 있도록 설계된 최초의 블록체인은 이더리움이다. 사용자들이 작은 분량의 코드를 블록체인 주소에 올려 실행할 수 있도록 된 뛰어난 구조라고 볼 수 있다. 이 코드는 블록체인에 연결된 모든 사람들이 실행시킬 수 있고 그 결과는 블록체인 전체에 반영된다. 물론 스팸을 방지하기 위한 보안 장치가 마련되어 있다.

이 코드로 스마트 계약서를 만든다고 생각해보라. 다양한 사업적 가능성이 열린다. 실수를 하기 마련이고, 마음을 고쳐먹을 수 있는 인간이 자동화된 스크립트를 통해 올바른 코드를 항상 올바른 방법과 목적으로 실행할 수 있기 때문이다. 게다가 보안 장치까지 기본적으로 내제되어 있다니, 여기엔 문제가 있을 수 없다. 이론상으로는 말이다.

하지만 현실은 언제나 녹록치 않다. 일단 아무런 오류도 없는 계약서 코드를 만드는 것 자체가 정말 힘든 일이다. 2016년 이더리움 블록체인을 운영하는 다오(The DAO)라는 곳에서 5천만 달러가 도난당했을 때 이 취약점이 확연하게 드러난 바 있다. 당시 공격자들은 계약서 코드에 있던 버그를 활용해 다오가 가진 자본의 1/3을 빼내갈 수 있었다. 실제 우리가 사용하고 있는 전통의 계약서에도 수많은 오류들이 있어 법정에서 항상 ‘문구의 해석’에 관한 분쟁이 일어나고 있지 않은가.

이뿐만이 아니다. 스마트 계약서라는 것에는 법적 문제도 존재한다. 당분간 스마트 계약서는 문서화 된 계약서의 부차적인 기능만을 수행할 것으로 보인다. 즉 법적인 보호와 책임 등을 완전히 보장해주는 건 앞으로도 한참은 문서화된 계약서일 거라는 뜻이다. 그렇다고 스마트 계약서의 개념 자체가 틀린 것은 아니다. 그 잠재력은 시장에서 높이 평가받고 있으며, 많은 기업들이 이에 대한 연구를 실시하는 것에도 다 이유가 있다. 다만 이 스마트 계약서가 아직은 문서화된 계약서를 대체할 수 없다는 걸 기억해야 한다.

모든 기술들이 그렇듯 블록체인에도 장점과 단점이 공존한다. 하지만 최근 돌아다니는 소문에는 너무 ‘긍정적’이고 ‘장밋빛’ 희망들만 가득하다. 소문이 이렇게 나기 시작하면 블록체인에 대한 정확한 분석 없이 곧바로 현장에 투입되다가 낭패 보는 이들이 생기기 마련이다. 회사에서 하는 모든 거래를 블록체인으로 옮길 수 있다면야 수많은 장점들을 무료로 가져올 수 있게 된다. 그러나 그렇지 않을 때는 – 그리고 대부분 그렇지 않을 것이다 – 블록체인이 정말 단 하나뿐인 해결책인가를 더 꼼꼼하게 검토해봐야 한다.

글 : 던컨 존스(Duncan Jones), Thales e-Security
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#블록체인   #보안   #무결성   #소문   #헛소문   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)