“블록체인 해킹 가능성, 실재한다”

가 +
가 -

10월25일 서울 강남구에서 포티넷코리아 기자간담회가 열렸다.

10월25일 서울 강남구에서 포티넷코리아 기자간담회가 열렸다.

블록체인은 보안성이 뛰어난 기술로 여겨진다. 하지만 해킹 위험에 대해 완전무결한 것은 아니다.

“블록체인으로 인해 보안 문제가 제기될 수 있으며, 이런 위험은 실재한다.”

매튜 콴 포티넷 아태지역 솔루션 마케팅 디렉터는 10월25일 열린 기자간담회에서 이같이 말했다.

그는 블록체인 네트워크에 보안 문제를 발생시킬 수 있는 취약성 및 공격법을 제시했다.

(출처=매튜 콴 디렉터 발표자료 발췌)

(출처=매튜 콴 디렉터 발표자료 발췌)

# 스마트 계약 취약성

스마트 계약은 프로그램으로 된 일종의 계약서다. 블록체인 네트워크에서 거래 및 계약이 이뤄질 때 거래 방법, 계약 조건 등을 프로그램화한 것이다.

문제는 스마트 계약이 코딩과 관련된 작업 때문에 발생할 수 있는 각종 오류에 취약하다는 것이다.

실제로 2016년 6월 스마트 계약의 취약성이 악용된 사례가 있다. 피해를 입은 기관은 ‘더 다오’라는 탈중앙화 자율 조직이다. 다오는 크라우드펀딩으로 28일이라는 단기간 내에 1억5천만달러에 상당하는 이더(Ether)를 모금했다. 크라우드펀딩 역사상 최대 규모다. 그런데 2016년 6월17일, 신원이 밝혀지지 않은 공격자가 스마트 계약 취약성을 악용해 다오 펀드를 공격, 이더리움에서 총 5천만달러 상당의 가상화폐를 빼냈다. 다행히 사건 이후 ‘하드포크’ 업데이트를 통해 도난당한 이더를 복구했다.

# 합의 가로채기

중앙집권적이지 않은 블록체인 네트워크는 다수결을 통해 합의를 도출한다. 만약 공격자가 과반수가 넘는 부분을 점유하면 검증 프로세스를 조작하는 게 가능해진다.

비트코인의 경우, 이런 방법을 ‘51% 공격’이라고 부른다. 51% 공격에 성공한 공격자는 자신이 점유한 비율을 뺀 나머지 블록체인 네트워크 부분보다 더 빠른 속도로 새 블록을 만들 수 있다. 그러면 네트워크 참가자들은 공격자가 조작한 체인이 유효하다고 간주한다.

# 디도스 공격

공격자가 블록체인 네트워크에 대량의 스팸 거래를 밀어넣어 네트워크가 정상 작동하지 않게 만들 수 있다. 디도스 공격이 발생하면, 사기성 거래 여부를 확인하느라 시간이 소요돼 처리 속도가 느려진다. 서비스 거부가 발생할 수도 있다.

2016년 3월 비트코인 네트워크 속도가 느려져 중단에 가까워진 사건이 발생했다. 이 사태의 원인이 스팸 거래가 대량으로 투입됐기 때문이었다.

#사이드체인 취약성

사이드체인 취약성은 두 블록체인이 연결되는 지점에서 발생한다. 서로 다른 블록체인을 사용하는 두 조직이 있다고 가정하자. 이 두 조직이 협업을 하려면 각자의 블록체인을 연결해야 한다. 이때 연결 지점을 견고하게 하기 위해서 양방향 패깅을 한다. 사이드체인 취약성을 이용한 공격은 이 연결 지점을 공격하는 수법이다.

매튜 콴 디렉터는 “공격 양상을 보면 단일 형태로 발생하지 않는다”라며 “여러 공격법을 혼합해 공격하는 게 현재 나타나는 공격 경향”이라고 말했다.

예를 들어, 공격자가 디도스 공격을 하되 이를 주공격으로 삼지 않고 사람들의 관심을 분산시키는 용도로 삼는다. 그리고 실질적인 공격은 이메일을 통해서 하는 방식이다.

매튜 콴 디렉터는 “이런 공격은 전통적인 보안 접근 방식으로 방어할 수 없다”라며 “새로운 기술을 도입하는 노력을 해야 한다”라고 말했다.