IT는 물론이고 금융, 경제 전반에 ‘블록체인’ 열풍이 불어오면서 우려할만한 움직임도 보이고 있다. 블록체인이 비트코인과 동일한 것이며, 큰 돈을 벌 수 있는 투자처라고 호도하는 사기꾼들이 등장하고 있는 것이 가장 경계해야 할 일이다.
블록체인이 공인인증서를 대체할 기술이라고 홍보하는 것도 우려스러운 일이다. 블록체인은 거래사실을 증명하고 부인방지 기능을 제공할 수 있지만, 블록체인이 공인인증서는 아니다. 블록체인도 공개키기반 인프라(PKI)를 활용할 수 있다는 점을 들어 공인인증서를 대체할 수 있다고 하지만, 공인인증서는 제도에 관한 문제이며, 기술로 대체할 수 없다.
공인인증서는 KISA가 루트CA 역할을 하며, 5개의 공인인증 기관에서 공개키를 발급하고 개인이 개인키를 관리한다. 블록체인은 중앙화된 인증기관을 두지 않고, 거래에 참여하는 노드들이 사용자와 거래사실을 증명하는 형태로 운영된다. 두 가지 인증 방식은 전혀 다른 철학을 갖고 있으며, 활용도도 다르다는 뜻이다.
공인인증서와 블록체인을 결합한 ‘한국형 블록체인’은 나타날 가능성이 있다. 중앙정부 혹은 산하기관에서 금융 및 공공을 위한 블록체인 인증기관의 역할을 하며, 여기에서 인증서를 발급하고 관리하는 방식이 제안될 수 있다. 그러나 이러한 방식은 또 다른 공인인증제도일 뿐이며, 결국 한국 시장을 갈라파고스로 만들 뿐이다.
글로벌 핀테크 연구원장인 박수용 서강대 교수는 “블록체인은 본인확인, 거래증명, 부인방지 등 인증서가 가진 요건을 모두 맞출 수 있으며, 공인인증서가 수행하는 모든 기능을 대체할 수 있다. 그러나 블록체인을 공인인증서 대체용으로만 하정시켜서는 안된다”며 “블록체인과 같은 개방된 기술을 활용해 특정 기술이나 환경에 종속되지 않고 많은 비용을 들이지 않고 인증 서비스를 구현하는 방법이 필요하다”고 말했다.
박세열 한국IBM 기술영업본부 책임전문위원은 “블록체인을 공인인증서 대체용으로 국한시켜서는 안된다”며 “블록체인은 사람에 대한 인증, 거래에 대한 인증, 전자문서 인증, IoT 인증 등 다양한 분야에 사용될 수 있다. 국경을 넘어, 분야를 넘어 사용될 수 있으므로 하나의 국가, 하나의 벤더에 종속되어서는 안되며, 국제표준을 제정해 이를 기반으로 생태계를 만들어가야 한다”고 지적했다.
‘블록체인 해킹 불가능’ … 맹신해서는 안돼
블록체인은 해킹이 불가능하다는 것도 대표적인 오해 중 하나이다. 블록체인은 해킹이 어렵지만 불가능한 것은 아니다. 금융보안원 보고서에서는 ‘각 노드에 저장된 해시 값은 이전 블록들의 값에 영향을 받아 생성되므로 등록된 내용을 위·변조하기 어렵다. 노드의 과반수를 동시에 해킹한다면 데이터 변조가 가능하지만 현실적으로 어렵다고 설명하고 있다.
블록체인 해킹은 어렵다는 사실은 모든 사람이 인정하는 바이다. 최백준 틸론 대표는 전자문서 관리를 예로 들어 블록체인의 해킹이 어려운 이유를 설명했다. 문서가 변경되면 해시코드가 바뀌고 이를 기록하기 위해 새로운 노드가 생성돼 해당 내용이 기록되고 다른 노드에 이 정보에 대한 해시값이 기록된다. 최종 승인된 문서에 변경이 발생해 새로운 노드가 생성됐다면 문서의 불법적인 위변조를 감지할 수 있다. 각각의 노드들이 서로서로 연결되어 있기 때문에 변경된 내용을 즉시 알 수 있어 불법적인 해킹은 즉시 감지할 수 있다.
블록체인 기술 자체는 안전하다 해도, 이를 운영하는 시스템의 소스코드 취약점, 혹은 운영 과정에서의 취약점을 통한 공격은 가능하다. 지난해 홍콩 비트코인 거래소 비트피넥스가 해킹을 당해 6500만달러 상당의 비트코인을 도난당하면서 비트코인 가격이 20% 가까이 폭락한 적이 있었다. 스마트 컨트랙터를 개발하는 이더리움도 해킹을 당한 적이 있었다. 모두 다 블록체인 자체의 문제는 아니다. 비트피넷느는 거래소 프라이빗키가 탈취당해 일어난 사고이며, 이더리움은 소스코드 버그를 이용해 해커가 불법으로 송금한 사고이다.
전문가 중에서는 마이닝 툴을 이용해 수퍼컴퓨터로 분석해 해시값 생성 패턴을 알아내면 해킹이 가능하다고 주장하는 사람들이 있으며, 블록체인을 형성하는 네트워크의 51% 컴퓨팅 파워를 확보할 수 있으면 해킹을 당할 수 있다는 분석도 있다. 블록체인 27%를 점유하면 가짜 데이터로 오염시킬 수 있다는 분석도 나온다. 또한 블록체인 네트워크에 접속하는 신원검증을 탈취해 가짜 정보를 계속 입력해 블록체인의 데이터를 오염시킬 수 있다.
운영 과정에서 취약점 제거해야
블록체인은 참여하는 사람이 많아질수록 해킹이나 위변조가 어려워지지만, 참여자가 많을 때 작업증명에 많은 시간이 걸릴 수 있다. 동시 거래가 다수 발생하면 여러개의 블록들이 가지처럼 뻗어나가는데, 어떤 블록이 최종 데이터인지 파악하는데 시간이 걸린다. 비트코인은 10분에 한번씩 데이터 정합성을 맞추고 있다.
박세열 한국IBM 전문위원은 리눅스재단이 주도하는 ‘하이퍼레저(Hyperledger)’가 이 문제를 해결할 수 있다고 제안했다. 블록체인에서 변경 내용을 찾기 위해 블록을 따라가는데 꽤 오랜 시간이 걸린다. 하이퍼레저는 데이터 변경 히스토리를 DB로 남기기 때문에 블록을 일일이 따라갈 필요 없이 조회가 가능하다.
블록체인 자체의 위험성은 낮다고 해도 운영 과정에서 발생할 수 있는 취약점은 반드시 해결해야 할 것이다. 공인인증서의 기반 기술인 PKI의 안정성에 누구도 이의를 제기하지 않지만 공인인증 제도 자체가 가진 문제로 인해 보안 취약성이 높고 공인인증서에 대한 사람들의 신뢰가 낮다. 블록체인 역시 마찬가지로 블록체인 기술의 보안성은 높다 해도 운용과정에서 발생할 수 있는 보안 문제를 해결할 방법은 반드시 마련돼야 한다.
블록체인에 참여하는 사람에 대한 신원인증과 블록체인에 기록되는 데이터의 암호화, 그리고 인증 및 암호화에 사용되는 키관리가 필수적으로 요구된다. 암호화와 키를 안전하게 보호하는 방법으로 하드웨어 보안 모듈(HSM)이 사용될 수 있다는 주장도 나오고 있으며, HSM 시장을 이끌고 있는 젬알토와 탈레스가 블록체인 전문기업들과 협력해 블록체인 보안성을 강화하고 있다.
