보안 / 블록체인

기업 블록체인 보안을 위협하는 5가지 요소

Maria Korolov  | CSO 2018.07.19
사이버보안 분야에서 가장 인기있는 주제 가운데 하나는 바로 기업 블록체인이다. 이는 비트코인과 같은 암호화화폐를 뒷받침하는 기술과 동일하다. 간단하게 정의하자면, 블록체인은 동료들과 공유되는 트랜잭션이나 계약(contracts) 목록인데, 일부 영리한 암호 기법으로 잠겨있다. 비트코인을 넘어 이는 공급사슬의 무결성을 보장하고, 계약을 관리하며, 금융 거래를 위한 플랫폼 역할을 할 수도 있다.



암호화화폐 영역에서의 인기도와 암호화 사용, 분산이라는 속성은 블록체인이 현재 사이버보안 문제의 많은 부분을 해결할 수 있음을 증명한다. 아카마이 테크놀로지는 현재 온라인 지불을 위한 블록체인 기반 네트워크를 구축하고 있다. 아카마이 랩 부사장이자 CTO 앤디 샴페인은 "블록체인 자체는 보안 기술이다. 이는 실제 보안 원칙을 기반으로 한다"고 말했다.

샴페인은 "비트코인 거래소의 해킹 소식은 누구나 노드를 설정할 수 있는 개방형 퍼블릭 네트워크와 관련이 있지만 기업 블록체인 프로젝트는 퍼블릭 네트워크와는 다르다"며, "기업 블록체인은 보통 허가된 블록체인이다. 일련의 노드가 있지만 노드는 프라이빗이며, 노드에 대한 액세스는 보안 경계선을 통해 허가된 기관의 구성원인 사람으로 제한한다"고 설명했다.

쿠델스키 시큐리티 CTO 앤드류 하워드는 "블록체인은 과대광고가 아니다. 만병통치약 정도는 아니더라도 이점은 현실이며 기술은 존재한다. 기본 개념은 이론적으로 공격에 매우 강하다. 학문적으로 볼 때, 블록체인은 많은 의미가 있다. 제대로 구현되면 공격하기가 힘들다는 점이다"고 설명했다.

블록체인은 해커에게 어려운 목표일 수 있지만, 해킹할 수 없는 것은 아니다. 많은 보안 전문가는 블록체인 구현이 가져올 다양한 위험에 대해 기업은 이를 인식하고 있어야한다고 경고한다.

암호화관련 범죄, 아주 큰 시장
기업 블록체인 프로젝트에 대한 사이버공격 보고서는 아직 발표된 바 없다. 아직 이 기술이 개발 단계나 파일럿 단계에 있기 때문이다. 하지만 퍼블릭 블록체인 프로젝트에 대한 공격은 일반적이다.

카본블랙에 따르면, 해커들은 올해 상반기에 11억 달러 규모의 암호화화폐를 훔쳤다. 카본블랙 보안 전략가 릭 맥엘로이는 "사이버범죄의 증가는 악성코드 작성자 수를 증가시켰으며 다크웹은 이를 판매할 수 있는 완벽한 장터를 제공한다"고 말했다. 범죄자들은 이런 공격에서 얻는 전문 지식과 지하에서 확산되고 있는 도구를 기업 블록체인 프로젝트에도 활용할 수 있다.

맥엘로이는 "암호화화폐 공격의 대부분은 블록체인의 핵심 기술을 표적으로 삼지 않는다"고 덧붙였다. 대신 범죄자들은 보안이 취약한 거래소와 지갑과 지갑을 적절히 보호하지 않는 개인과 기업을 표적으로 한다. 또한 암호화화폐 트랜잭션을 자신의 지갑으로 전환하기 위해 중간자 공격(man-in-the-middle)을 시도한다.

블록체인 보안에 대한 최근 맥아피 보고서에 따르면, 이런 문제 가운데 많은 부분은 최종 사용자 보안이나 구현상의 문제와 관련이 있으며, 블록체인 암호화 프로토콜 자체가 아니다. 공개적으로 노출된 공격 영역의 범위는 동일하지 않더라도 기업 블록체인 프로젝트에는 구현상 문제가 있을 수 있다. 멕클로이는 블록체인을 도입하고자 하는 기업은 새로운 기술 도입에 대한 비용대비 이익과 위험대비 구현비용을 먼저 고려해야 한다. 기업 블록체인 보안을 위협하는 다섯가지 요소는 다음과 같다.

1. 블록체인 트랜잭션을 입력할 때 사람의 실수
어떤 면에서 기업 블록체인은 퍼블릭 블록체인보다 훨씬 취약할 수 있다. 블록체인 장점 가운데 하나는 대규모의 분산형 P2P 네트워크의 탄력성이다. 하나의 노드가 다운되면 시스템이 해당 노드를 중심으로 라우팅하므로 장애가 발생하지 않는다. 한 참가자가 불법 거래를 원장에 몰래 넣으려고 해도 다른 회원은 정직하게 유지한다. 그러나 누군가 정직한 실수를 한다면 어떻게 될까?

분산화의 이점은 합의가 없이는 어떤 것도 바뀔 수 없다는 것이다. 소포스 수석연구 과학자 쳇 위스니에스키는 "그래서 암호화폐 거래를 실수했을 때, 이를 취소할 수 없다. 중앙 권한이 없다. 자신의 코인 지갑 비밀번호를 잊어버리면 영원히 사라진 것이다. 기업 영역에서는 이런 일을 겪어서는 안된다"고 말했다.

또한 블록체인 암호화로 인해 사용자가 기록 원장을 변경하는 것을 방지할 수는 있지만, 시스템은 보통 참가자가 새로운 항목을 추가할 수 있도록 설정한다. 기업 프로젝트의 경우, 참가자는 보통 무작위 회원이라기보다는 신뢰할 수 있는 거래 상대방이다. 하이테크 브리지 SA CEO 일리야 콜로첸코는 "그러나 신뢰할 수 있는 당사자가 해킹을 당하면 블록체인 보안은 사라진다"고 말했다.

2. 51% 공격
더 나쁜 것은 네트워크 대부분이 해킹 당하면 어떻게 될까. 그 이후 공격자는 더 많은 피해를 줄 수 있다. 이것이 51% 공격의 아이디어다. 악의적인 행위자 또는 그룹이 시스템 노드의 대부분을 장악한 후, 모든 사람에게 자신의 의도를 강요한다.

비트코인의 경우, 네트워크에 많은 참여자가 있기 때문에 어려운 일일 수 있다. 하지만 비트코인 골드(Bitcoin Gold)와 같은 작은 암호화폐는 취약하다. 지난 5월 공격자는 1,800만 달러 상당의 통화를 갖고 51% 공격을 감행했다.

기업 블록체인 프로젝트는 일반적으로 퍼블릭 암호화폐 플랫폼보다 훨씬 적은 수의 참가자가 있다. 포어스카우트 신기술 담당 부사장 롭 맥너트는 "네트워크 규모가 작을수록 네트워크를 해킹하는 데 필요한 노드 수가 줄어든다. 트랜잭션을 처리하기 위해 은행이 블록체인을 출시할 경우, 노드 수는 퍼블릭 네트워크보다 상당히 작아서 해킹하기 위한 장치의 수도 훨씬 적다"고 설명했다.

기업 배포는 훨씬 더 동질성이 높기 때문에 한 노드에서 취약점이 발견되면 해당 취약점으로 다른 모든 노드를 공격하는데 사용할 수 있다. 맥너트는 "퍼블릭 도메인에서 사람들은 다른 마이닝 소프트웨어를 다운로드하고 구성은 모두 다르다"고 말했다.

3. 블록체인 구현 오류
블록체인 프로젝트의 또 다른 주요 취약점은 블록체인 기술이 너무 새롭고 구현 오류가 발생하기 쉽다는 사실이다. 블록체인 암호화의 핵심 기술조차도 문제가 될 수 있다. 위스니에스키는 "알고리즘이 수학적으로는 괜찮을 지 몰라도, 특정 버전의 코드는 그렇지 않을 수 있다"고 말했다.

만약 수학을 이해할 수 없다면, 기본적으로 바깥 쪽에 마법이라는 상자가 다운로드되어 있고, 그것이 무엇을 할 것인지 모를 것이다. 사람들이 서드파티 라이브러리에 의존하고 있는 오픈소스 세계에서 여러 번 경험한 바 있다. 누군가 깃허브에 들어가 코드를 바꾸고는 6개월동안 아무에게도 알려주지 않았다.

위스니에스키는 "블록체인 기술이 너무 새롭다는 사실이다. 어떤 실수를 할지 알지 못한다. 또한 블록체인 배포와 함께 제공되는 모든 암호화 키를 적절히 관리해야 한다. 대부분의 기업은 웹사이트 인증서조차 올바르게 관리할 수 없다"고 지적했다.

기업 블록체인은 또 다른 기술 프로젝트와 동일한 많은 공격 경로의 영향을 받을 수 있다. 예를 들어, 피싱과 속임수를 쓰는 것이다. CA 베라코드(CA Veracode) CTO이자 공동창업자인 크리스 와이소팔은 "아직 기업 블록체인에서 이런 유형의 공격은 보지 못했다. 하지만 이는 아직 극히 적기 때문일 뿐이다"고 말했다.

이런 공격은 퍼블릭 프로젝트에서 흔히 발생한다. 공격자는 웹 페이지를 가로채거나 해킹한 수신자로 가장해 많은 사람의 거래를 가로채는 것을 보았다. 암호화폐일 필요는 없으며 다른 종류의 트랜잭션일 수도 있다.

블록체인 프로젝트를 진행하는 기업은 웹 공격으로부터 보호하기 위해 최신의 가장 안전한 소프트웨어 개발 및 검토 프로세스를 사용하고 다중 요소 인증의 보장, 웹사이트 잠그기를 포함해 모든 기본적인 사항들을 갖췄는지 확인해야 한다.

미국 버지니아 소재 사이버보안업체 멀린 인터내셔널(Merlin International) 엔지니어링 담당 부사장 테즈 루스라는 "XSS(cross-site scripting) 공격에 취약하다면 프라이빗이든 퍼블릭이든 여부는 중요하지 않다. 블록체인은 사이버보안 세계에서 널리 펴져있는 모든 공격에 취약하다"고 말했다.

4. 스마트 컨트랙트 해킹
2016년 DAO(Distributed Autonomous Organization)는 이더리움(Ethereum) 플랫폼을 사용하는 블록체인 기반의 투자 펀드를 출시했다. 이더리움 플랫폼은 단순한 통화 트랜잭션이 아닌 스마트 컨트랙트(smart contracts)를 저장할 수 있는 블록체인의 한 버전이다. 가트너에 따르면, 해커들은 스마트 컨트랙트를 통해 1억 5,000만 달러 상당의 이더를 훔칠 수 있었다.

리즌 소프트웨어(Reason Software) 설립자이자 CEO 앤드류 뉴만은 "DAO 사례는 단지 블록체인이라는 것만으로 본질적으로 안전하다는 의미가 아님을 상기시켜주는 상징이 됐다"고 말했다.
뉴만은 "요즘 모든 사람이 블록체인을 사용하려고 한다. P2P 분산 원장 모델을 활용하면 그 위에 구현된 다른 모든 것도 안전할 것이라 생각한다. 하지만 이는 잘못된 가정이다. 구현은 만드는 만큼만 안전하다고 볼 수 있다"고 설명했다.

스마트 컨트랙트는 기업에게 매력적이다. 조건이 충족되면 자동으로 실행되고 이는 되돌릴 수 없다. 즉, 문제를 실행 취소하고 실수를 수정하거나 사기(frauds)를 되돌리기가 매우 어렵다는 걸 의미한다.

그렇게 되면, 돈은 블록체인에 영원히 잠기게 된다. 다시 말하지만, 이는 이론상의 문제가 아니다. 지난해 가을 누군가가 실수로 멀티파티 이더리움 계약을 잠궜는데, 그 결과 3억 달러 상당의 통화가 손실됐다.

5. 탐지되지 않은 블록체인 취약점 사용
오늘날 퍼블릭 암호화폐 거래소는 블록체인 생태계에서 낮게 달린 열매다. 돈은 풍부하고, 해킹하기 쉽고, 잡힐 확률은 정말 낮다. 인텔 시큐리티 부사장이자 CTO인 라지 사마니는 "범죄자들은 최대한의 ROI(Return Of Investment)를 거둘 수 있는 곳으로 갈 것이다"고 말했다.

맥아피 첨단 위협 연구 책임자 스티브 포볼니는 "바로 앞의 미래일 수 있다. 이 업계는 지금 매우 새롭다. 블록체인 관련한 비암호화폐에서 취약점을 발견하고 보고할 수 있는 플랫폼조차 없다. 현재 약 50개의 대기업이 블록체인 기술에 투자하거나 블록체인 기술을 도입하거나 구현하고 있다. 아마도 잠시 동안은 실제 타격을 입는 경우는 그리 많지 않을 것이다"고 설명했다.

미국 라스베가스 소재 스마트 컨트랙트 감사에 특화되어 있는 호쇼(Hosho) 설립자이자 CEO 요섭 권은 "상당한 규모의 돈을 필요로 하거나 주요 인프라나 비즈니스 프로세스에 관련되거나, 정치적 또는 군사적으로 민감한 정보를 포함한 기업 프로젝트가 온라인으로 들어오면서 변하고 있다. 모든 사람에게 커다란 학습 곡선이 될 것이다. 블록체인을 도입하는 대기업은 먼저 이를 경험하고 교훈을 배우게 될 것이다"고 예상했다.

기업 블록체인, 황금시대를 맞기에 준비되지 않았다
베로딘(Verodin) 행동연구팀장 제임스 레루드는 "비즈니스 세계에서 블록체인은 현재 문제를 찾는 솔루션"이라며, "가장 큰 위험은 자신의 문제를 블록체인으로 해결하고 싶다는 마음가짐에서 비롯된다. 실제 빨리 배포할 수 있는 것부터 해야 한다. 블록체인은 만능이 아니다"고 주장했다.

레루드는 "블록체인 아키텍처는 중개인에 의지하지 않고도 합의를 통해 신뢰를 확보할 수 있는 능력을 제공한다. 이는 많은 문제를 해결할 수 있지만, 모든 문제를 해결하지는 못한다. 이는 기업이 블록체인을 조사할 때 잘 못될 수 있는 부분이다. 사람들은 여기에 훌륭한 해결책이 있다. 이에 맞는 문제를 찾아보자고 말한다. 이는 기술적인 측면에서 위험한 단계다"고 말했다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.