블록체인, 발전하는 기술의 숙명...이미 수많은 공격에 노출돼있다

가상화폐(암호화폐) 시장이 ‘해킹 쇼크’에 휘청거렸다. 암호화폐 거래소 코인레일이 얼마전 해킹 공격을 받아 보유 암호화폐가 유출됐다. 400억원 규모 해킹 피해를 입어 아직도 비트코인•이더리움•리플 등 코인 가격 급락으로 이어지고 있다.

블록체인은 분산과 탈(脫)중앙화로 보안에 강점을 지녀 각광 받고 있다. 해킹이 특히 암호화폐에 치명적일 수밖에 없는 이유다. 기술적으로 완벽하다고 알려진 블록체인 기술 기반의 암호화폐는 왜 해킹에 취약점을 노출했을까.

18일 관련 업계와 학계 의견을 종합하면, 이번 해킹은 블록체인 자체의 결함이라기보다는 암호화폐 거래를 중개하는 거래소의 보안 문제가 핵심이다.

블록체인의 열풍에 가담하지 않았더라도, 이 신기술의 이름마저 들어보지 못한 사람은 없을 것이다. 세상 모든 사람이 블록체인과 암호화폐에 대해 이야기하는 것 같은 때이기 때문이다.

하지만 새로운 기술이 급격하게 떠오를 때마다 소리 없이 따라오는 게 있으니, 바로 위험이다. 블록체인도 마찬가지다. 실제로 위협 행위자들은 이미 블록체인 생태계에 있는 새로운 표적들을 찾아 공격을 가하고 있다. 소셜 엔지니어랑. 멀웨어, 익스플로잇 등이 다양하게 사용되고 있으며, 기업, 개인, 기관 등이 고루 공격받고 있다.

                                                          이미지 iclickart

■ 블록체인의 구조

보안 업체 맥아피(McAfee)의 수석 과학자인 라지 사마니(Raj Samani)는 “현재 블록체인 계통은 아무런 법 체계가 없는 서부시대 같다”고 설명한다. “블록체인 산업은 현재 수천만 달러의 규모와 가치를 가지고 있는데, 이 시장을 구성하고 있는 조직들은 중소기업이에요.”

블록체인 생태계에서 가장 주목을 받고 있는 건 암호화폐 산업이다. 2009년 비트코인의 등장과 함께 시작된 것으로, 그동안 사이버 범죄자들 사이에서 주로 사용되어 오다가 1~2년 전부터 일반인들 사이에서도 인기가 크게 올라갔다. 암호화폐의 인기는 아직도 고공행진 중이다. 하지만 블록체인의 위험과 보안에 대해서는 많은 이야기가 나오고 있지 않다.

맥아피의 고급 위협 전문가인 스티브 포보니(Steve Povony)는 “블록체인과 관련하여 위험이나 보안 이야기가 많이 나오고 있지 않은 이유 중 하나는 아직도 한창 발전 중에 있는 상태라 잦은 변화를 겪고 있기 때문”이라고 설명한다. “블록체인을 도입하고 실험해보는 기업들이 아직 많습니다. 주요 산업에서 손꼽히는 업체들은 거의 전부 블록체인을 도입 중에 있습니다.”

진짜 문제는 일반 개인 사용자들이다. 블록체인에 대한 이해도 부족도 문제지만, 블록체인의 ‘보안’ 문제가 너무나 복잡하고 사용자들 사이에서 외면되고 있기 때문에 큰 사고가 발생한다는 것이다. “물론 블록체인이 근본적으로는 안전한 기술이 맞습니다. 그러나 ‘안전’에는 여러 가지 측면이 있고, 블록체인이라고 해서 모든 방면에서 완벽히 안전한 상태는 아닙니다. 규제가 제대로 마련되어 있지 않은 채 탈중앙화를 추구한다는 점만 해도 이미 수많은 위험을 불러오고 있습니다. ‘해킹 불가능한 기술’이라는 말만 듣고 안전하다고 믿어버려서는 안 됩니다.”

포보니는 “블록체인에 대한 공격 방식 자체가 아직까지 일률적인 편”이라며 “이건 좋은 소식이면서도 동시에 나쁜 소식”이라고 평가한다. “본질적으로 비슷한 공격에 계속 당하고 있다는 건 우리가 블록체인의 약점을 전혀 모르고 있거나, 고치질 못하고 있다는 뜻이기도 하지만 동시에 다음 공격도 어느 정도 예측할 수 있다는 뜻이 되거든요.”

■ 사이버 범죄자들, 블록체인을 겨누다

현재 가장 많은 공격 대상이 되고 있는 건, 블록체인과 관련된 여러 ‘응용 기술’들이다. 예를 들면 ‘브레인 지갑(brain wallet)’이 있다. 이는 사람들이 비밀 키를 잘 관리할 수 있도록 만들어진 기술이다. 기억하기 쉬운 단어나 글자를 가지고 키를 생성해주는 방식인데, 이런 원리가 도리어 공격자들에게 이용당하고 있다.

하지만 현재 시점까지 가장 많은 공격의 표적이 되고 있는 건 블록체인의 일반 개인 소비자다. 암호화폐에 투자하려는 사람이나, 암호화폐 거래소를 시작하려는 개인 사업자 모두 여기에 해당한다. “이런 사람들은 희망에 부풀어 있고, 신기술의 가능성에 집중하려는 성향이 강합니다. 보안은 항상 후속조치일 뿐이죠. 빠르게 치고 나가 큰 돈을 만지고 싶기 때문에 공격자들로서는 이보다 더 좋은 먹잇감이 있을 수가 없습니다.”

가장 빈번한 공격 방식은 피싱이다. 가장 흔하게 발견되기도 하고, 성공률도 가장 좋다. 공격자들은 돈만 얻어낼 수 있다면 피해자가 누구인지 상관하지 않는다. 그러므로 표적형 공격을 할 필요가 없어진다. 심지어 코인 종류도 개의치 않는다. 최근 기승을 부린 갠드크랩(GandCrab) 랜섬웨어만 해도 비트코인이 아니라 모네로(Moneroa)와 대시(Dash)라는, 비교적 덜 알려진 코인을 요구했었다.

그 다음으로 나타나는 공격 방식은 멀웨어를 활용한 것이다. 이는 여러 가지 형태로 나타난다. 특정 브라우저를 표적으로 삼아 멀웨어를 심고 암호화폐를 채굴하기도 하고, 엔드포인트에 채굴 소프트웨어를 설치하기도 한다. 특히 2017년 후반부터 2018년 초반까지 엔드포인트에 채굴 코드를 심는 행위는 폭발적으로 증가했다. 맥아피에 따르면 채굴 코드는 계속해서 새롭게 등장하고 있고, 오래된 것들도 빠르게 재구성되고 있다고 한다. 가장 많이 당하는 건 PC지만 최근 들어 스마트폰도 주요 공격 표적이 되고 있다.

블록체인 기술을 구축하는 데 필요한 툴들과 주변 기술을 노리는 예도 있다. 블록체인과 연동되는 소프트웨어나 웹 애플리케이션들이 주요 표적이다. 블록체인을 직접 기술적으로 노리는 것보다 성공률이 높다. 이는 사용자들이 블록체인 기술과 그 위험성에 대해 제대로 이해하고 있지 못하기 때문에 생기는 약점을 노리는 공격이라고 분류가 가능하다.

“이건 블록체인만이 아니라 모든 ‘복잡한’ 기술의 운명이라고 볼 수 있습니다. 새롭게 출현한 기술에 대해 충분히 학습하지 않고 사용했을 때 빈틈이 생기기 마련입니다. 사용자들이 기술의 세부적인 사항을 무시했을 때, 취약점은 많아지고 보안 구멍은 커집니다.”

그 다음으로는 블록체인의 운영 부분에 대한 공격이 많이 발생한다. “클라우드 환경 설정을 잘못해 자료를 유출시키는 것과 비슷한 개념입니다. 블록체인 기술을 사용하되 ‘안전하게’ 사용하지 못해서 나타나는 약점들을 노리는 것입니다. 좋은 예로는 사전 공격(dictionary attack)이 있습니다. 블록체인 사용자가 허술하게 비밀번호를 관리하는 부분을 공략하는 것이죠.”

맥아피는 “블록체인이 가진 가능성은 분명 대단하다고 볼 수 있지만, 잘 사용하지 못하면 폭탄처럼 터질 수 있다”고 경고한다. “신기술일수록, 잘 알지 못할수록 조심해가며 써야 합니다. 아는 만큼만 사용하고 투자하면 된다는 것이죠. 잘 모르는 거래소에 큰 돈을 맡기지 말라는 겁니다. 이메일 비밀번호는 쉽게 설정하더라도, 블록체인을 새롭게 구축했다면 그 인증은 좀 까다롭게 해보는 게 어떨까요.”

■ 블록체인 해킹 방지 키워드는 '분산, 속도, 보안, 제도화'

                                                          게티이미지뱅크

암호화폐의 기본 개념은 ‘분산 원장’이다. 원장은 거래 내역을 담은 장부를 가리키는 회계학 용어. 비트코인 개발자 사토시 나카모토는 기존 거래에서 중앙의 은행이 관리하던 원장 구조를 바꿔버렸다. 모든 참여자가 원장을 관리•생성하는 주체가 되어 원장 전체의 원본을 가질 수 있도록 했다. 이처럼 제3자 없이도 부정을 방지할 수 있는 시스템이 비트코인을 만들어냈다.

각각의 블록을 생성해 이어(블록체인) 탈중앙화가 가능해진 셈이다. 여기에 토대한 암호화폐는 공격의 타깃이 되는 중앙집중형 대상이 사라진 데다 데이터 위•변조가 불가능하다는 점에서 해킹 우려가 없다는 인식이 자리 잡았다.

그러나 정작 암호화폐 거래소는 중앙화 시스템을 택했다. 블록체인의 강점인 분산과 탈중앙화가 구현되지 못하고 있다는 얘기다. 블록체인의 성격과 정반대인 중앙집중형 암호화폐 거래소를 운영하는 것은 현실적 이유 때문이다.

우선 속도다. P2P(개인간 거래) 방식의 속성상 개인 블록체인 지갑끼리 직접 전송하는 데는 상당한 시간이 걸린다. 짧은 시간에 가격이 큰 폭으로 오르내리는 암호화폐의 특징을 감안하면 더욱 문제가 된다. 거래소는 실제로 암호화폐를 이동시키지 않는 식으로 돌파구를 찾았다. 암호화폐는 거래소 지갑에 두고 매매 기록만 서버에 남겨 빠른 거래가 가능하다.

개인이 하기 어렵거나 불편한 기능도 거래소에서 맡았다. 암호화폐 지갑에 접근할 수 있는 ‘프라이빗 키’를 관리하는 게 대표적이다. 거래소 지갑을 이용하면 개인 투자자가 암호키를 분실해도 복구할 수 있다.

                                                        게티이미지 뱅크

물론 거래소는 해킹을 차단하기 위해 네트워크에서 분리된 ‘콜드 월렛’과 네트워크에 연결된 ‘핫 월렛’의 두 가지 지갑을 사용하고 있다. 이번 해킹은 핫 월렛이 해킹 당해 보관 중인 투자자들의 프라이빗 키가 유출된 것으로 볼 수 있다. 한국블록체인협회는 자율 규제안에서 거래소 보유 암호화폐의 70% 이상을 콜드 월렛에 보관할 것을 권고했다. 코인레일이 “전체 보유 코인의 70%를 콜드 월렛으로 이동해 보관 중”이라고 밝힌 것은 이런 상황이 반영된 것이다.

거래소 보안 문제를 해결하려면 크게 두 가지 방법이 있다. 탈중앙화 거래소로 변화하거나, 현행 거래소 형태를 유지하되 보안 수준을 끌어올리는 것이다.

박성준 동국대 블록체인연구센터장은 “블록체인은 해킹을 막는 데 초점을 둔 기술은 아니다. 해킹은 암호화폐 지갑 등 기술을 발전시켜 풀어가야 한다”고 짚었다. 블록체인의 본질에 주목하는 관점이다. 탈중앙화 해법이 보다 강조된다. 해커가 코인레일에서 빼낸 암호화폐의 매각을 시도한 ‘이더델타’, ‘IDEX’ 등이 바로 탈중앙화 거래소다. 블록체인의 기본 성격과도 맞다.

단 탈중앙화 거래소는 앞서 언급한 것처럼 속도가 느리다는 문제를 안고 있다. 탈중앙화 거래소의 불편한 사용자 인터페이스(UI)도 단점으로 지적된다.

때문에 중앙화 거래소 형태를 유지하되 보안을 강화하는 방안이 좀 더 설득력을 얻는다. 인호 고려대 블록체인연구소장은 “아무래도 암호화폐 거래소의 보안 수준은 은행보다는 떨어진다. 은행 수준에 준하는 거래소의 보안 인증제를 도입하는 등 보완책이 필요하다”고 말했다.

블록체인의 ‘멀티 시그니처’ 기술도 한 대안으로 거론된다. 프라이빗 키를 개인이나 거래소가 관리하는 게 아니라 예컨대 은행과 거래소, 개인이 나눠 갖는 것이다. 해킹을 당하는 등 이상 징후가 발견될 경우 출금에 동의하지 않는 방식으로 안전성을 높일 수 있다.