보안 / 블록체인

유로클리어 CISO가 알려준 4가지 블록체인 보안 교훈

Dan Swinhoe  | CSO 2019.10.24
과장된 선전이 진짜 사실이라면, 블록체인은 커피 재배와 물류에서부터 국제 운송, 의약품 전달, 투표까지 세상의 대부분 문제를 해결할 그런 기술이다. 또한 보안을 크게 강화할 도구이다. 어쩌면 비밀번호를 없앨 수도 있다. 애널리스트들은 블록체인 하이프(hype)가 가까운 장래에 축소되지 않을 것으로 예상한다. IDC 예측에 따르면, 유럽의 블록체인 투자는 2019년 8억 달러에서 2023년에는 49억 달러로 증가할 전망이다.
 
ⓒ Getty Images Bank 

유명 기업들이 블록체인 기반 프로젝트와 파일럿을 시작한다는 뉴스가 헤드라인을 장식하고 있지만, 현실을 살펴보면 블록체인 프로젝트를 프로덕션 단계까지 진척시키는데 성공한 기업은 드물다. 딜로이트의 2019년 글로벌 블록체인 서베이 결과에 따르면, 전세계적으로 블록체인 기반 기술을 프로덕션 단계로 완성한 기업의 비율은 24%에 불과하다. 심지어 조사 대상 프로젝트 가운데 성공한 비율이 0%로 조사된 조사 결과도 존재한다.

이는 블록체인 베스트 프랙티스와 교훈을 찾기 어렵다는 의미도 된다. 블록체인을 안전하게 만드는 방법에 대한 실증적 데이터는 더 찾기 힘들다. 벨기에 소재 금융서비스 기업인 유로클리어(Euroclear)는 블록체인 기술을 테스트하면서 비즈니스에 초래되는 추가적인 위험을 피할 수 있었다. 


유로클리어의 블록체인 프로젝트

유럽의 유명한 금융청산, 결제기업인 유로클리어는 채권과 증권, 파생상품, 투자 펀드 등의 유가증권 거래청산을 지원하는 기업이다. 이 기업의 청산, 결제금액 총계는 2018년 기준 791조 유로에 달한다. 이를 위해 빠르고 정확한 거래 확인, 100%의 가용성과 복원성(탄력성)이 요구된다. 이는 유로클리어가 블록체인에 관심을 갖게 된 이유이다.

유로클리어는 지난해 유가증권 거래청산과 관련된 개념증명(PoC) 프로젝트를 발표했다. 2019년 6월, 유로클리어는 여러 시장 참여자 간 거래를 처리하고, 거래 시장의 투명성을 높이기 위한 목적으로 ECP(European Commercial Paper, 일종의 국제 단기대출 또는 채권)을 발행할 계획이며, 이를 위한 블록체인 솔루션을 구현하기 위해 유럽 투자 은행(European Investment Bank), 산탄데르(Santander), 회계업체인 EY와 협력하고 있다고 발표했다.

유로클리어 CISO 빈센트 로렌스는 “우리는 2가지 측면에서 블록체인 기술에 접근하고 있다. 첫 번째는 탄력성(Resilience)이고, 두 번째는 블록체인 흐름과 블록체인 기술을 사용해 확인(validation) 단계 가운데 일부를 개선하는 것이다”라고 설명했다. 

유로클리어는 극단적이지만 발생 가능성이 존재하는 그런 상황을 중심으로 탄력성이 필요한 특정 시기에 블록체인 기술을 ‘골든 카피(golden copy)’로 사용할 수 있는지 여부에 대해 조사하고 있다. 또한 블록체인으로 여러 거래 및 확인 단계를 거쳐야 하는 전통적인 거래 청산 프로세스를 향상시킬 수 있는지 여부에 대해 조사하고 있다.

로렌스는 자사가 추진하는 블록체인 프로젝트는 아직 진행 중인 상태이지만, 블록체인을 시작하려 계획한 기업에게 도움이 될 조언 몇 가지를 갖고 있다고 말했다. 


위험을 피할 견고한 계획을 수립

불변성(Immutability)과 여러 당사자간 ‘SSOT(Single Source Of Truth)’라는 개념이 일부 상황에서 기업에 매력적일 수 있다. 그러나 ‘온-체인(on-chain)’ 데이터와 프로세스는 모든 이들에게 가시성이 있어야 하고, 이를 발생시킬(또는 변경시키기 위한) 합의가 형성되어야 한다. 이는 견고한 계획과 실사가 요구된다는 의미이다. 작은 프라이빗 콘소시엄 블록체인 프로젝트의 경우에도, 데이터나 프로세스의 오류, 스마트 컨트랙트(smart contracts)의 취약점 등을 바로잡기가 매우 어려울 수 있다.

로렌스 따르면, 유로클리어는 법, 생태계의 합의와 관련한 사항에 대해 약 1년의 시간을 투자했다. 로렌은 “시간이 필요하다. 대부분이 PoC 단계에 머무르는 이유가 여기에 있다. 참여자가 여럿인 경우 거버넌스와 책임성이 필요하다. 문제가 발생했을 때, 하나의 생태계로 회복할 방법을 찾아야 한다”라고 말했다.

기업들이 빠른 시장화에 초점을 맞추면서 보안을 무시하는 경우가 많다. 로렌스는 다행히 자신의 회사는 시작부터 보안을 다뤄야 한다는 점을 인식하고 있었다고 말했다. 로렌스는 “블록체인을 추구하는 것은 클라우드를 추구하는 것과 같다. 참을성을 가져야 한다. 나 같은 경우, CISO 입장에서 이사회를 찾아가 속도를 늦추자고 설득할 필요가 없었다는 점이 다행이었다. 사이버보안에 대한 인식 수준이 높은 기업에서 일하고 있었기 때문이다. 우리는 중요한 FMI(Financial Market Infrastructure)로 얼리 어댑터가 되지 않는 경향이 있다. 아주 조심하고, 위험을 경계하는 편이다”고 말했다.


아직 성숙기에 도달하지 못한 블록체인 보안 기술과 스킬

기반이 되는 블록체인 기술 자체가 기업들에게 이점이 될 수 있는 일정 수준의 보안과 불변성을 제공한다. 그러나 여기에 바탕을 둔 애플리케이션의 경우, 다른 애플리케이션과 동일한 보안 위험이 존재하며, 이런 위험을 경감할 선택지와 기회가 더 적은 경우가 많다.

가트너는 블록체인에서 실행되는 프로세스에 적용되는 규칙인 스마트 컨트랙트는 규제와 테스트 미흡 문제 때문에 기업이 사용할 수 있는 단계에 도달하지 않았다. 블록체인과 스마트 컨트랙트에 특정적인 보안과 감사 도구가 존재하지만, 아직은 초창기이고, 기존 구형 도구와 원활히 통합할 수 있는 경우가 드물다.

로렌스는 “테스트 관점에서 블록체인 기반 보안을 위한 도구가 필요하다. 앞으로 구현이 될 부분으로 판단한다. 대부분의 보안 테스트 도구는 오픈소스이고, (블록체인 분야에서) 커뮤니티의 영향이 확인된 즉시 이런 도구들을 보게 될 것이다”고 말했다.

하지만 현재 기술의 기본적인 보안 원칙들을 블록체인에 적용할 수 있지만, 이와 관련된 스킬(전문성 또는 전문가)이 부족한 실정이다. 로렌스는 “진짜 문제, 빠진 부분이 스킬이다. 블록체인 보안 원칙에 대한 지식을 갖고 있는 사람들이 얼마나 되는가?”라고 질문을 던졌다.

EY의 추정에 따르면, 블록체인에 초점을 맞춘 팀을 운영하고 있는 수백 개의 블록체인 스타트업과 기업이 있지만 블록체인 전문 인력의 수는 총계 기준으로 수천 명에 불과하다. 로렌스는 보안을 전문적으로 다루는 인재로 좁혀 봤을 때, 블록체인과 보안 모두에 관심이 있는 인재의 수는 유럽이 10~15명, 전세계적으로 약 100명에 불과할지 모른다고 신랄하게 말했다.

로렌스는 “블록체인은 새로운 기술이 아니다. 그러나 핵심 서비스를 지원하는 블록체인으로 좁히면 새로운 기술이다. 핵심 서비스를 대상으로 블록체인을 추구하기 시작하는 즉시, 깊이 있는 보안과 견고한 보안 위생을 적용해야 한다. 블록체인을 특정한 보안 프로토콜이나 보안 기능이 필요한 완전히 새로운 기술로 간주하는 것은 아주 큰 실수라고 생각한다. 블록체인을 안전하게 만들고 싶다면, 올바른 거버넌스부터 기술제어 및 관리, 구현까지 과거의 올바른 보안 기본 원칙들을 적용할 필요가 있다”라고 강조했다.

로렌스는 자사가 추진한 프로젝트들은 팀원들이 새로운 스킬을 개발하도록 도움을 줬지만, 보안 테스트와 관련된 도구와 스킬이 부족해 외부 전문가를 초빙해 유로클리어 블록체인 프로젝트 테스트와 감사에 도움을 주도록 했다고 설명했다. 

로렌스는 “내부에 보안 테스트 팀이 있지만, 사이버보안 분야 종사자로 새로운 종류의 시스템을 테스트하는 것은 ‘경이로운’ 일이다. 전체 생태계, 그리고 내가 책임진 보안 부서에 모두 도움이 되는 일이다. 다시 말하지만, 전문성과 전문 인재가 희소하다. 우리도 다른 기업과 마찬가지로 외부의 도움을 받는다. 이 분야의 스킬에 투자를 한 그런 외부 업체들이다”라고 말했다.


블록체인 보안 관련 교훈

로렌스는 자신의 경험에 바탕을 둔 교훈 몇 가지를 알려줬다.

1. 중요한 보안 문제를 우선시한다
새 프로젝트 추진은 아주 힘든 과업이 될 수 있다. 위험이 무엇일까? 취약점은 어디에 있을까? 이를 방지하려면 어떻게 해야 할까? 이런 부분들이 큰 도전과제가 될 수 있다. 로렌스는 가장 먼저 할 일은 특정 작업이나 문제에 초점을 맞추는 것이라고 강조했다. 한 번에 모든 것을 시도해서는 안된다.

로렌스는 “‘0’을 출발점으로 삼아, 가장 중요한 3가지를 파악한다. 여기에 집중하고, 이것만 선택한다. 이 3가지를 끝내면, 다음으로 중요한 3가지를 선택해 추진한다. 이런 식으로 진행해 나간다. 사이버보안 전문가로 블록체인을 다룬 경험이 전혀 없다면, 스스로에게 ‘어디에서 시작해야 할까?’라는 질문을 할 것이다. 그리고 ‘크립토나 아키텍처, 거버넌스에 초점을 맞추자’고 생각할 수 있다. 이 경우, 초점을 맞출 부분이 15개 정도 되어버린다. 결국 어떤 것에도 초점을 맞추지 못하게 된다. 이렇게 접근하면 실패한다”라고 말했다.

2. 기본적인 사이버보안 위생을 잊지 않는다
블록체인이 보안 측면에서 힘든 도전과제, 새로운 도전과제로 보일 수 있다. 그러나 로렌스는 블록체인에 특정적인 위협을 걱정하기 전에 기본적인 보안 원칙을 적용하는 것이 중요하다고 강조했다. 

로렌스는 “사이버보안의 기본인 ‘심층 보안(security in-depth)’, 보안 테스트, 거버넌스를 잊지 말아야 한다. 블록체인은 네트워크에 연결된다. 따라서 네트워크 보안의 베스트 프랙티스를 적용해야 한다. 인증 메카니즘과 ID(신원)와 관련된 부분이 있기 때문에 ID와 액세스 관리 베스트 프랙티스 및 기술을 적용해야 한다. 테스트도 해야 한다. 침입 테스트도 필요하다. 또 위험 평가도 필요하다. 그 결과를 확인해야 한다. 이를 주기적인 ‘확인 계획’에 반영해 취약점을 없애야 한다”라고 강조했다.

3. 블록체인의 기본적인 요소들을 올바르게 구현한다
블록체인은 ‘퍼블릭’, 불변성이라는 특징 때문에 준비가 아주 중요하다. 처음부터 안전하게 구현하는 것이 중요하다. 로렌스는 “블록체인은 확인(인증 또는 검증) 메카니즘이다. 다른 확인 메카니즘처럼 잘못 구현하면 취약점이 생긴다. 처음부터 보안 통제 요소들을 통합하지 않을 경우, 즉 ‘보안 내재화(secure by design)’ 원칙을 적용하지 않을 경우, 쉽게 침해당할 수 있는 취약점이 생긴다”라고 말했다.

이는 암호화에도 적용되는 이야기이다. 로렌스는 “독자적으로 암호화를 구현하는 경우, 구현 관점에서 보안에 만전을 기해야 한다. 암호화 메카니즘 구현 측면의 약점과 단점은 취약점과 이 취약점을 통한 침해를 초래하기 때문이다”라고 말했다.

4. 혼자 하려 하지 않는다
로렌스는 가능한 조기에 생태계 참여자를 참여시켜, 아이디어와 베스트 프랙티스를 공유하는 것이 좋다고 말했다.

로렌스는 “혼자 하려 하면 안된다. 블록체인 관련 업무를 맡고 있는 내부의 사람들이 생태계와 협력하도록 만들어야 한다. 블록체인은 사람들이 서로 ‘확인’과 ‘검증’을 하는 사람들간 ‘신뢰 사이클(trusted circle)’이다. 그 즉시 향후 블록체인에 참여할 사람들과 커뮤니케이션, 대화, 통합을 시작해야 한다. 그리고 사이버보안 대책에 대해 토론해야 한다”라고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.