지금까지 블록체인은 ▲중앙 서버가 아니라 다수가 합의해 움직여 각각의 노드가 독립성을 유지하는 한 불변하고(immutable)▲사기꾼이 블록을 위조해 체인을 다시 계산하려면 비현실적인 컴퓨팅파워가 필요하기 때문에 안전하다는 평가가 다수였다.
|
고성능 네트워크 보안업체인 포티넷의 매튜 콴 아태지역 솔루션 디렉터는 25일 기자간담회에서 2016년 6월 발생한 블록체인 해킹 사건에 대해 설명했다.
일명 ‘다오(DAO, Decentralized Autonomous Organization, 분산형 자율 조직)’라고 불리는 펀드의 투자자들은 2016년 5월 16일, 단 28일 만에 무려 1억5000만 달러에 상당하는 가상통화인 이더(Ether)를 모금했다. 이는 역대 최대 규모의 크라우드 펀딩 사례였다.
하지만 2016년 6월 17일 새벽, 도둑(신원이 밝혀지지 않음)이 ‘다오’를 해킹해 스마트 계약의 취약성을 악용해 이더리움(Ethereum)에서 총 5000만 달러 상당의 가상 화폐를 빼냈다.
|
그는 “권한이 없는 분산형 네트워크에서 다수결로 합의를 도출할 경우 공격자가 네트워크의 나머지 부분보다 더 빠른 속도로 새 블록을 만들 수 있게 돼 참가자들이 이 체인이 유효하다고 간주하는 결과를 초래할 수 있다”고 설명했다.
비트코인(Bitcoin)의 경우 이를 일명 ‘51% 공격(51% attack)’이라 부른다. 과반수가 손상된 경우 또는 그만한 부분을 같은 법인이 제어하거나 복수의 불순한 거래상대방(counterparty)이 연합해 제어하는 경우다.
하지만 더 우려가 큰 것은 DDoS다. 원장의 분산적인 성격 탓에, 악성 지갑(rogue wallet)이 네트워크로 대량의 스팸 거래를 밀어넣기로 결정하면 서비스 거부를 초래하고 노드가 사기성 거래의 유효성을 확인하느라 시간이 걸려 처리 시간이 늘어나게 된다.
이밖에도 콴 디렉터는 “상위 항목과 사이드체인 사이에서 양방향 페깅(2-way pegging)을 통해 메시지를 전송할 때 사용되는 게이트웨이의 취약성이나, 분산 원장에서 실행되는 계약 프로그램의 코딩 관련 오류도 블록체인의 구멍이 될 수 있다”고 부연했다.
하지만 그는 블록체인 자체가 해킹에 취약한 것은 아니라고 했다.
콴 디텍터는 “블록체인이나 분산원장기술 자체는 불변적이기 때문에 매우 튼튼하다”면서도 “다만, 이와 병행해 실행되는 다른 요소들이 해킹의 원인이 될 수 있다. 특히 여러 거래소에서 관리하는 전자지갑은 접근 시 자격증명이 한 번 손상되면 해커가 얼마든지 아수라장을 만들 수 있다”고 말했다.
그는 “이 때문에 한국정부에서도 가상화폐 거래소에 대한 보안점검을 하는 것으로 안다”며 “블록체인의 공격은 여러가지가 혼합된 형태로 발생하기 때문에 보안 역시 전통적인 접근은 안된다. 통합적이고 지능적인 방식으로 해결해야 한다”고 밝혔다.