보안

보안 분야에서의 블록체인 사용 사례 6가지

Doug Drinkwater | CSO 2018.02.09
블록체인은 절대적인 보안과 신뢰 제공 모델을 바탕으로 구축된 탈중앙화된 분산 전자 원장이다. 거래는 암호화를 사용해 시간순으로, 공개적으로 기록되며 각각 1회용 스탬프가 찍히고 이전 거래와 연결된다. 이런 디지털 '블록'은 모든 참가자의 동의를 통해서만 업데이트가 가능하므로 데이터 가로채기, 수정, 삭제가 거의 불가능하다.

그 결과 블록체인은 가트너의 "2016년 하이프 사이클(hype cycle)의 정점"에 도달한 이후, 특히 금융 서비스, 에너지, 제조 분야에서 업계 리더가 되기 위한 우선 요소로 부상했다. 가장 잘 알려진 사용 사례는 비트코인 결제 인증이지만 콘텐츠 전송 네트워크, 스마트 그리드 시스템과 같은 애플리케이션 분야에도 확장 적용할 수 있다.

블록체인, 사이버보안에 어떻게 적용되는가
블록체인은 데이터 무결성과 디지털 ID를 개선하고 IoT 기기의 안전성을 높여 DDoS 공격을 차단하는 등 모든 분야를 더 개선할 잠재력을 지녔다. 실제로 블록체인은 'CIA의 3요소'인 기밀성(confidentiality), 무결성(integrity), 가용성(availability)을 포괄해 더 강화된 탄력성과 암호화, 감사, 투명성을 제공할 수 있다.

유명한 컴퓨터 과학자이자 에든버러 네이피어 대학 컴퓨팅학과 교수인 빌 부캐넌은 "블록체인은 취약한 보안 구현과 신뢰의 부재가 남겨놓은 간극을 메운다"면서 "2018년에는 암호화가 기본이 되어야 한다. 지금은 자신에게 전송된 이메일을 다른 사람이 읽지 않았는지, 메일이 수정되지 않았는지 확인할 방법이 없다. 심지어 보낸 사람을 확인할 수 없는 경우도 많다"고 말했다.

부캐넌은 "블록체인을 통해 트랜잭션을 적절히 확인하고 서명할 수 있다. 암호화화폐의 경우 다소 과장된 면이 있지만 블록체인 구현은 디지털 서비스를 위한 더 신뢰할 수 있는 인프라를 구축하게 될 것이다. 가장 큰 애플리케이션은 공공 분야의 변혁이며 이를 통해 더 시민 중심의 인프라가 만들어지게 된다. 시민들이 스스로의 ID를 소유하고 모든 거래가 확인된다. 사람들은 스마트 거래를 사용하고 서명된 어서션(assertion)을 기반으로 예를 들어 수당 지급과 같은 공공 서비스 요소를 제정할 수 있다"고 말했다. 

다음은 실제 보안 환경에서 블록체인의 사용 사례다.

1. 인증을 사용해 에지 기기 보호
IT의 초점이 데이터와 연결성을 가진 "스마트" 에지 기기로 옮겨가면 보안도 따라가게 된다. 결국 네트워크의 확장은 IT 효율성, 생산성, 전력 사용 측면에서는 좋은 일이겠지만(즉, 클라우드 및 데이터센터 리소스에는 좋은 일) CISO, CIO, 더 넓게는 비즈니스 측면에서는 풀어야 할 보안 과제를 의미한다.

블록체인 기술은 인증을 강화하고 데이터 귀속과 흐름을 개선하고 기록 관리에 도움이 되므로 많은 이들은 블록체인을 사용해 IoT와 산업용 IoT(IIoT) 기기를 보호할 방법을 찾고 있다.
예를 들어 2017년 하반기 창업한 신생 업체인 제이지 시큐리티(Xage Security)는 자사의 "위조 방지" 블록체인 기술 플랫폼이 대규모 기기 네트워크에서 개인 데이터와 인증을 분산하는 기능을 한다고 주장했다. 또한 이 플랫폼은 모든 통신을 지원하며 연결이 불규칙적인 에지에서 작동할 수 있고 다양한 산업용 시스템을 보호한다.

이 업체는 이미 ABB 와이어리스(ABB Wireless)와 함께 분산 보안이 필요한 전력 및 자동화 프로젝트를 추진 중이며, 델과 함께 에너지 산업을 위한 델 IoT 게이트웨이 및 에지X(EdgeX) 플랫폼에 보안 서비스를 제공하고 있다고 밝혔다.

한편 영국의 맨 섬 정부는 다른 노선을 택했다. 맨 섬은 IoT 기기의 침해를 방지할 수 있는지 여부를 확인하기 위해 블록체인 기술을 테스트 중이다(물리적인 대상에 고유한 ID를 서명해 신빙성 확인).

이런 개선은 칩셋 수준에도 내장되고 있다. 신생 업체인 필라멘트(Filament)는 최근 산업용 IoT 기기가 여러 블록체인 기술과 호환되도록 해주는 새로운 칩을 발표했다. 블로클릿(Blocklet) 칩의 개념은 "분산 상호 작용 및 교환을 위한 안전한 토대를 제공하기 위해" IoT 센서 데이터를 블록체인에 직접 코드화해서 넣을 수 있도록 한다는 것이다.

2. 기밀성 및 데이터 무결성 개선
블록체인은 원래 구체적인 접속 제어 없이 탄생했지만 일부 블록체인 구현은 데이터 기밀성 및 접속 제어에 대응한다. 데이터를 손쉽게 조작하거나 위조할 수 있는 시대임을 감안하면 이는 중요한 과제다. 블록체인 데이터를 전체 암호화하면 이 데이터가 전송 중일 때 권한이 없는 사람이 데이터에 접속할 수 없음이 보장된다(중간자(MiTM) 공격이 성공할 가능성이 거의 없다).

이 데이터 무결성은 IoT와 IIoT 기기로까지 확장된다. 예를 들어 IBM은 왓슨(Watson) IoT 플랫폼에 IBM의 클라우드 서비스 내에 통합된 프라이빗 블록체인 원장에서 IoT 데이터를 관리하는 옵션을 제공한다. 에릭슨의 블록체인 데이터 인테그리티(Blockchain Data Integrity) 서비스는 GE의 프레딕스(Predix Paas) 플랫폼 내에서 작업하는 앱 개발자에게 완전히 감사 가능하고 규정을 준수하며 신뢰할 수 있는 데이터를 제공한다.

3. 개인 메시징 보호
옵시디언(Obsidian)과 같은 신생 기업은 블록체인을 사용해 채팅, 메시징 앱, 소셜 미디어를 통해 교환되는 개인 정보를 보호한다. 옵시디언 메신저는 왓츠앱, 아이메시지와 같은 앱이 사용하는 엔드 투 엔드 암호화 대신 블록체인을 사용해 사용자 메타데이터를 보호한다. 사용자는 메신저를 사용하기 위해 이메일이나 기타 인증 방법을 사용할 필요가 없다. 메타데이터는 원장 전역에 걸쳐 무작위로 분산되므로 한 지점에서 이 데이터를 수집해 침해하기가 불가능하다.

미 국방 첨단과학기술 연구소(DARPA)는 안전하고 외부 공격을 통한 침투가 불가능한 메시징 서비스를 만들기 위해 블록체인으로 테스트 중인 것으로 알려졌다. 블록체인이 안전하고 인증된 통신에 기반을 두는 만큼 앞으로 이 분야가 더 발전할 가능성이 높다.

4. PKI 강화 또는 대체
공개 키 인프라(Public Key Infrastructure, PKI)는 이메일, 메시징 애플리케이션, 웹 사이트를 비롯한 다양한 형태의 통신을 보호하는 공개 키 암호화다. 그러나 대부분의 구현은 키 쌍(key pairs)을 발행, 회수, 저장하는 중앙화된 타사 인증 기관(CA)에 의존한다.

범죄자들은 인증기관을 목표로 공격해 암호화된 통신을 침해하거나 신원을 조작할 수 있다. 대신 블록체인에 키를 게시하면 이론적으로는 가짜 키 전파 위험을 없애고, 애플리케이션에서 통신 상대방의 신원을 확인할 수 있게 된다.

서트코인(CertCoin)은 블록체인 기반 PKI의 첫 구현 가운데 하나다. 이 프로젝트는 중앙 기관을 완전히 없애고, 블록체인을 도메인 및 공개 키의 분산 원장으로 사용한다. 또한 서트코인은 마찬가지로 단일 실패 지점이 없는 감사 가능한 공개 PKI를 제공한다.

신생 기업 레미(REMME)는 블록체인을 기반으로 각 장치에 고유한 SSL 인증서를 부여해 인증서 위조를 차단한다. 기술 연구 업체 폼코어(Pomcor)는 블록체인을 사용해 발급 및 해지된 인증서의 해시를 저장하는 블록체인 기반 PKI를 위한 청사진을 게시했다(다만 이 경우 CA는 여전히 필요하다).

에스토니아의 데이터 보안 신생 업체 가드타임(Guardtime)의 말대로 된다면, 블록체인은 PKI를 완전히 대체할 수도 있다. 이 업체는 블록체인을 사용해 PKI를 대신하는 키리스 시그니처 인프라(Keyless Signature Infrastructure, KSI)를 만들었다. 가드타임은 매출, 직원 수, 실제 고객 구축 면에서 세계 최대의 블록체인 업체로 성장했으며, 2016년부터 블록체인 기술로 에스토니아의 의료 기록 100만 개 전체를 보호하고 있다.

부캐넌은 "현재 신뢰 인프라 생성은 PKI에 의존하지만 특히 사이버 범죄자들이 자체 디지털 서명을 만들고 있는 지금 PKI에는 부족한 부분이 많다"면서, "블록체인 방법을 사용하면 일반 시민이 생성한 ID를 사용해 거래에 서명할 수 있게 된다"고 말했다.

5. 더 안전한 DNS
미라이(Mirai) 봇넷은 범죄자가 핵심 인터넷 인프라를 얼마나 쉽게 망가뜨릴 수 있는지를 잘 보여준 사례다. 공격자들은 대부분의 주요 웹 사이트가 사용하는 도메인 이름 시스템(DNS) 서비스 공급업체를 다운시켜 결과적으로 트위터, 넷플릭스, 페이팔 등의 서비스에 대한 접근을 차단했다. 이론적으로 블록체인을 사용해 DNS 항목을 저장하면 공격 가능한 단일 목표를 제거함으로써 보안을 개선할 수 있다.

네불리스(Nebulis)는 접속 요청이 물밀 듯 쇄도하는 경우에도 장애를 일으키지 않는 분산 DNS 개념을 연구하기 위한 새로운 프로젝트다. 네불리스는 이더리움 블록체인, 그리고 HTTPS의 분산 대안인 인터플라네터리 파일시스템(IPFS)을 사용해 도메인 이름을 등록하고 확인한다.

부캐넌은 "인터넷의 중심에 있는 DNS와 같은 핵심 서비스는 대규모 서비스 중단이나 기업 조직 해킹을 위한 기회를 제공한다. 따라서 블록체인 방법을 사용하는 더 신뢰할 수 있는 DNS 인프라를 사용하면 인터넷의 핵심 신뢰 인프라를 크게 강화할 수 있다"고 말했다.

6. DDoS 공격 감소
블록체인 신생 업체 글라디우스(Gladius)는 자사의 분산 원장 시스템이 분산 서비스 거부(DDoS) 공격을 차단하는 데 도움이 된다고 주장한다. 현재 DDoS 공격이 100Gbps를 넘어서고 있는 상황에서 상당히 주목을 끄는 주장이다. 글라디우스 측은 "자사 분산 솔루션으로 가까운 보호 풀에 연결해 더 나은 보호 기능을 제공하고 콘텐츠를 가속화함으로써 이런 공격으로부터 시스템을 보호할 수 있다"고 말한다.

흥미로운 점은 분산 네트워크를 통해 사용자가 여분의 대역폭을 임대해 수익을 거둘 수 있다는 글라디우스의 주장이다. 이렇게 임대된 잉여 대역폭은 노드로 분산되어 DDoS 공격을 받는 웹 사이트로 대역폭을 전환, 사이트가 가동 상태를 유지하도록 한다. 글라디우스 네트워크는 일반 상태(DDoS 공격을 받지 않는 상태)에서는 콘텐츠 전송 네트워크 역할을 해서 인터넷 접속 속도를 높여준다.

블록체인 보안, 만병통치약이 아니다
블록체인이 만병통치약은 아니다. 기술적인 복잡함과 수많은 시스템도 장벽이고 100% 보안을 보장할 수도 없다. 부캐넌이 우려하는 점은 적용 가능한 트랜잭션 속도 측면의 제약, "정보를 블록체인에 저장해야 할지 그 밖에 저장해야 할지 여부를 두고 일어나는 갈등"이다.

부캐넌은 "2018년에는 모든 데이터에 암호화를 적용해야 하며 블록체인은 이를 기업에서 대규모로 실행하기 위한 기반을 제공할 것이다. 핵심 과제는 기존 레거시 IT 인프라에서 탈피해 블록체인을 중심으로 재구축하는 것이다. 핵심적인 요소는 개인을 식별하는 공개 키와 개인 키 쌍 생성이다. 그러나 법 집행 인프라는 여전히 전통적인 IT 방법에 초점을 두고 있으며, 블록체인 방법으로 전환하는 과정에서 개인 프라이버시와 스스로를 보호할 사회의 권리(rights of society) 간 갈등이 높아질 것이다"고 말했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.