2019.07.30

'일부러 취약한’ 블록체인 프로젝트 나온다

Lucas Mearian | Computerworld
사이버보안 업체 쿠델스키 시큐리티(Kudelski Security)가 블록체인 취약성에 대한 인식을 높이고자, 업계 최초의 “의도적으로 취약한”(purposefully vulnerable) 블록체인을 출범시킬 계획이다. 이 블록체인은 다음 달 블랙햇(Black Hat) 컨퍼런스에서 시연될 예정이다.

쿠델스키 시큐리티 사이버보안 연구 책임자 네이선 해미얼에 따르면 이번 펌블체인(FumbleChain) 프로젝트는 블록체인 생태계의 취약성을 강조하는 것이 목적이다.

결함이 있는 블록체인 원장은 파이썬3.0으로 작성되어 있어서 누구나 쉽게 그 소스 코드를 읽고 수정할 수 있다. 또한 모듈식이기 때문에 사용자가 이를 쉽게 해킹하거나 새로운 과제를 추가할 수 있어 지속적인 학습이 가능하다.

쿠델스키 블록체인은 기트허브에서 코드 다운로드로 제공되며, 회사 웹사이트의 데모로도 제공될 예정이다. 이 경우, 코드를 다운로드할 필요 없이 기능을 시험해 보고 작동 방식을 배울 수 있다.
 
ⓒ GettyImagesBank


해미얼은 다음과 같이 말했다. “대부분의 경우 블록체인이 본질적으로 안전한 존재인 것은 아니다. 블록체인에는 생태계가 따로 존재한다. 전통적인 애플리케이션들에 생태계가 따로 존재하는 것과 마찬가지이다. 예상치 못한 곳에서 취약성이 튀어나오는 경우가 꽤 많다. 우리는 이런 사전 제작된 블록체인과 관련 교육 체계를 만들어서 사용자가 이에 대해, 또한 블록체인 보안에 대해서 더 많이 배우게 해 주고 싶었다.”

이 개념은 다른 오픈소스 프로젝트와 비슷하다. 예컨대, 취약성을 드러내기 위한 공격 기술을 개발자들이 시험해 볼 수 있도록 웹 애플리케이션을 만드는 식이다. 

한번 작성한 후 여러 번 덧붙이는 기술인 블록체인은, 그 자체로는 매우 안전하다. 그러나 몇몇 전문가들은 이 분산 원장 기술이 고립되어 있는 존재가 아니라는 점을 지적하곤 한다. 블록체인이 쓸모가 있으려면 그 내부에 암호화폐와 같은 애플리케이션이 포함되어야 하는데 이로 인해 특정 공격 매개체에 취약해진다는 것이다.

이 기술은 기본적으로 P2P 기반 분산원장 또는 데이터베이스로서, 블록체인과 결합된 프로토콜들에 의해 구성되어 있다. 본질적으로 시간의 흐름에 따른 불변의 변경 내용을 기록하는 일련의 암호화된 데이터 모음이다. 이는 비교적 간단할지 모르지만 기술의 시행 방식은 다양한 순열로 이어질 수 있다.

제이 골드 어소시에이츠의 수석 연구 애널리스트 잭 골드는 다음과 같이 말했다. 

“대부분의 일이 그렇듯이 문제는 디테일에 있다. 블록체인은 기술이라기 보다 사양에 가깝다. 그것도 비교적 헐거운 사양이다… 다양한 시행 방법이 있다… 따라서, 안전하지 않은 방식으로 시행하면 망가질 수 있다.”

IDC월드와이드 블록체인 스트래터지스(IDC Worldwide Blockchain Strategies)의 연구 책임자 제임스 웨스터는 자신이 담당하는 업무와 관련해 블록체인을 정의하는 일과 더불어 ‘블록체인’이라는 일반적인 범주에 들어가는 기술들, 예를 들면, 토큰화된 자산, 암호 화폐, 암호 지갑, 스마트 계약, 자주적 신원 등을 정의하는 일이라고 밝혔다. 후자에 속하는 것은 블록체인 네트워크 상에서 실행 가능하지만 이 기술의 원천적인 부분은 아닌 애플리케이션 또는 아키텍처들이다.

웨스터는 다음과 같이 말했다. “이러한 차이를 실제로 몰라도 이 기술에 대해 비교적 그럴듯한 논의를 할 수 있다. 따라서 적당히 아는 사람들 중에는 용어와 기술에 대해 배울 생각조차 하지 않는 경우도 많다.”

퍼블릭 블록체인은 물론 프라이빗 블록체인(가입에 사전 승인이 필요한 것)은 모두 선천적으로 안전하다. 왜냐하면 변경이 사실상 불가능하기 때문이다. (즉, 각각의 기록이나 블록은 변경할 수 없으며 다른 모든 것에 연결되어 있다.) 또한, 새로운 블록을 추가하려면 사용자 간의 동의가 필요하다. (그 동의의 규모는 사용 중인 블록체인에 따라 달라진다. 50%인 경우도 있고 더 많은 경우도 있다.)

즉 블록체인은 변경 불가능성과 동의 요건 때문에 대부분의 다른 네트워킹 기술보다 선천적으로 더욱 안전하다. 단, 아키텍처에 따라, 그리고 노드를 실행하는 주체와 장소에 따라, 블록체인은 공격에 취약하다는 것이 여러 차례에 걸쳐 드러났다.  

미네아폴리스 연방준비은행의 보고서에 따르면, 블록체인에 기록된 데이터는 무결성이 보장되지만 추가적인 기술이나 시스템 없이 블록체인 자체만으로는 데이터 유출과 같은 무단 접근을 방지할 수 없다.

예를 들어, 최근에 발생한 이더리움 클래식 토큰 교환에 대한 ‘51% 공격’(51% attack)은 블록체인일지라도 게이밍에 취약하다는 것을 보여 주었다. 51% 공격이란 암호화폐 채굴 풀에서 CPU들의 대다수를 장악하는 악성 행위자를 말한다. 그러한 공격은 노드 수가 적은 소규모 블록체인에 한정되는 경우가 보통이다. 왜냐하면 그러한 블록체인은 작업증명(PoW) 동의 매커니즘에 기반하여 한 사람이 장악하는 경우에 더욱 취약하기 때문이다. 

비트코인 등 디지털 화폐에 접근하게 해 주는 개인 키를 저장하는 암호화폐 지갑 역시 공격에 취약한 것으로 드러났다. 

골드는 다음과 같이 말했다. “블록체인을 단순히 암호 화폐 목적 이상으로 사용하려는 회사라면 원장과 프로세스의 다양한 요소를 안전하게 하기 위해 투자하는 시간과 노력의 양이 관건이다.”

데이터 투명성, 즉, 블록체인 상의 모든 당사자가 트랜잭션을 볼 수 있다는 점이 그 매력 중 일부이다. 왜냐하면 악성 행위자들이 미확인 데이터를 추가하려고 할 때 재빨리 알아챌 수 있기 때문이다. 

반면, 그러한 투명성이 위협이 될 수도 있다. 예를 들면, 기밀성이 보안의 주요 요소인 금융기관의 정산 또는 청산 시스템에서는 시스템 데이터 투명성이 보안 위험이라고 연방준비은행 보고서는 밝혔다.

블록체인은 과도한 기대를 받고 있는 기술인 관계로 서로 상이한 주장으로 이어지는 경우가 많다고 해미얼은 진단했다. 즉, 지지자들은 블록체인을 찬양하면서 세상을 바꿀 기술이라고 주장하는 반면, ‘싫어하는 사람들’은 블록체인이 실제로 어떤 문제를 해결하든 관계없이 블록체인 사용을 거부한다.

해미얼은 “진실은 그 중간 어디쯤 있다”라고 전제하며 “블록체인이 해결하는 문제가 있는 것은 분명하다. 사람들이 물어볼 것이 많은 흥미로운 분야라고 생각한다. 사람들은 블록체인 기술에 호기심을 갖고 있지만 이를 알아보는 데 많은 시간을 쓰지 않고는 관련 정보를 쉽게 접할 방법이 없다. 이번에 그 문제가 해결되기를 바란다”라고 말했다. ciokr@idg.co.kr


2019.07.30

'일부러 취약한’ 블록체인 프로젝트 나온다

Lucas Mearian | Computerworld
사이버보안 업체 쿠델스키 시큐리티(Kudelski Security)가 블록체인 취약성에 대한 인식을 높이고자, 업계 최초의 “의도적으로 취약한”(purposefully vulnerable) 블록체인을 출범시킬 계획이다. 이 블록체인은 다음 달 블랙햇(Black Hat) 컨퍼런스에서 시연될 예정이다.

쿠델스키 시큐리티 사이버보안 연구 책임자 네이선 해미얼에 따르면 이번 펌블체인(FumbleChain) 프로젝트는 블록체인 생태계의 취약성을 강조하는 것이 목적이다.

결함이 있는 블록체인 원장은 파이썬3.0으로 작성되어 있어서 누구나 쉽게 그 소스 코드를 읽고 수정할 수 있다. 또한 모듈식이기 때문에 사용자가 이를 쉽게 해킹하거나 새로운 과제를 추가할 수 있어 지속적인 학습이 가능하다.

쿠델스키 블록체인은 기트허브에서 코드 다운로드로 제공되며, 회사 웹사이트의 데모로도 제공될 예정이다. 이 경우, 코드를 다운로드할 필요 없이 기능을 시험해 보고 작동 방식을 배울 수 있다.
 
ⓒ GettyImagesBank


해미얼은 다음과 같이 말했다. “대부분의 경우 블록체인이 본질적으로 안전한 존재인 것은 아니다. 블록체인에는 생태계가 따로 존재한다. 전통적인 애플리케이션들에 생태계가 따로 존재하는 것과 마찬가지이다. 예상치 못한 곳에서 취약성이 튀어나오는 경우가 꽤 많다. 우리는 이런 사전 제작된 블록체인과 관련 교육 체계를 만들어서 사용자가 이에 대해, 또한 블록체인 보안에 대해서 더 많이 배우게 해 주고 싶었다.”

이 개념은 다른 오픈소스 프로젝트와 비슷하다. 예컨대, 취약성을 드러내기 위한 공격 기술을 개발자들이 시험해 볼 수 있도록 웹 애플리케이션을 만드는 식이다. 

한번 작성한 후 여러 번 덧붙이는 기술인 블록체인은, 그 자체로는 매우 안전하다. 그러나 몇몇 전문가들은 이 분산 원장 기술이 고립되어 있는 존재가 아니라는 점을 지적하곤 한다. 블록체인이 쓸모가 있으려면 그 내부에 암호화폐와 같은 애플리케이션이 포함되어야 하는데 이로 인해 특정 공격 매개체에 취약해진다는 것이다.

이 기술은 기본적으로 P2P 기반 분산원장 또는 데이터베이스로서, 블록체인과 결합된 프로토콜들에 의해 구성되어 있다. 본질적으로 시간의 흐름에 따른 불변의 변경 내용을 기록하는 일련의 암호화된 데이터 모음이다. 이는 비교적 간단할지 모르지만 기술의 시행 방식은 다양한 순열로 이어질 수 있다.

제이 골드 어소시에이츠의 수석 연구 애널리스트 잭 골드는 다음과 같이 말했다. 

“대부분의 일이 그렇듯이 문제는 디테일에 있다. 블록체인은 기술이라기 보다 사양에 가깝다. 그것도 비교적 헐거운 사양이다… 다양한 시행 방법이 있다… 따라서, 안전하지 않은 방식으로 시행하면 망가질 수 있다.”

IDC월드와이드 블록체인 스트래터지스(IDC Worldwide Blockchain Strategies)의 연구 책임자 제임스 웨스터는 자신이 담당하는 업무와 관련해 블록체인을 정의하는 일과 더불어 ‘블록체인’이라는 일반적인 범주에 들어가는 기술들, 예를 들면, 토큰화된 자산, 암호 화폐, 암호 지갑, 스마트 계약, 자주적 신원 등을 정의하는 일이라고 밝혔다. 후자에 속하는 것은 블록체인 네트워크 상에서 실행 가능하지만 이 기술의 원천적인 부분은 아닌 애플리케이션 또는 아키텍처들이다.

웨스터는 다음과 같이 말했다. “이러한 차이를 실제로 몰라도 이 기술에 대해 비교적 그럴듯한 논의를 할 수 있다. 따라서 적당히 아는 사람들 중에는 용어와 기술에 대해 배울 생각조차 하지 않는 경우도 많다.”

퍼블릭 블록체인은 물론 프라이빗 블록체인(가입에 사전 승인이 필요한 것)은 모두 선천적으로 안전하다. 왜냐하면 변경이 사실상 불가능하기 때문이다. (즉, 각각의 기록이나 블록은 변경할 수 없으며 다른 모든 것에 연결되어 있다.) 또한, 새로운 블록을 추가하려면 사용자 간의 동의가 필요하다. (그 동의의 규모는 사용 중인 블록체인에 따라 달라진다. 50%인 경우도 있고 더 많은 경우도 있다.)

즉 블록체인은 변경 불가능성과 동의 요건 때문에 대부분의 다른 네트워킹 기술보다 선천적으로 더욱 안전하다. 단, 아키텍처에 따라, 그리고 노드를 실행하는 주체와 장소에 따라, 블록체인은 공격에 취약하다는 것이 여러 차례에 걸쳐 드러났다.  

미네아폴리스 연방준비은행의 보고서에 따르면, 블록체인에 기록된 데이터는 무결성이 보장되지만 추가적인 기술이나 시스템 없이 블록체인 자체만으로는 데이터 유출과 같은 무단 접근을 방지할 수 없다.

예를 들어, 최근에 발생한 이더리움 클래식 토큰 교환에 대한 ‘51% 공격’(51% attack)은 블록체인일지라도 게이밍에 취약하다는 것을 보여 주었다. 51% 공격이란 암호화폐 채굴 풀에서 CPU들의 대다수를 장악하는 악성 행위자를 말한다. 그러한 공격은 노드 수가 적은 소규모 블록체인에 한정되는 경우가 보통이다. 왜냐하면 그러한 블록체인은 작업증명(PoW) 동의 매커니즘에 기반하여 한 사람이 장악하는 경우에 더욱 취약하기 때문이다. 

비트코인 등 디지털 화폐에 접근하게 해 주는 개인 키를 저장하는 암호화폐 지갑 역시 공격에 취약한 것으로 드러났다. 

골드는 다음과 같이 말했다. “블록체인을 단순히 암호 화폐 목적 이상으로 사용하려는 회사라면 원장과 프로세스의 다양한 요소를 안전하게 하기 위해 투자하는 시간과 노력의 양이 관건이다.”

데이터 투명성, 즉, 블록체인 상의 모든 당사자가 트랜잭션을 볼 수 있다는 점이 그 매력 중 일부이다. 왜냐하면 악성 행위자들이 미확인 데이터를 추가하려고 할 때 재빨리 알아챌 수 있기 때문이다. 

반면, 그러한 투명성이 위협이 될 수도 있다. 예를 들면, 기밀성이 보안의 주요 요소인 금융기관의 정산 또는 청산 시스템에서는 시스템 데이터 투명성이 보안 위험이라고 연방준비은행 보고서는 밝혔다.

블록체인은 과도한 기대를 받고 있는 기술인 관계로 서로 상이한 주장으로 이어지는 경우가 많다고 해미얼은 진단했다. 즉, 지지자들은 블록체인을 찬양하면서 세상을 바꿀 기술이라고 주장하는 반면, ‘싫어하는 사람들’은 블록체인이 실제로 어떤 문제를 해결하든 관계없이 블록체인 사용을 거부한다.

해미얼은 “진실은 그 중간 어디쯤 있다”라고 전제하며 “블록체인이 해결하는 문제가 있는 것은 분명하다. 사람들이 물어볼 것이 많은 흥미로운 분야라고 생각한다. 사람들은 블록체인 기술에 호기심을 갖고 있지만 이를 알아보는 데 많은 시간을 쓰지 않고는 관련 정보를 쉽게 접할 방법이 없다. 이번에 그 문제가 해결되기를 바란다”라고 말했다. ciokr@idg.co.kr


X