블록체인전문위원회, 블록체인 기술 동향 보고서 발간

한국정보보호산업협회(KISIA) 산하 블록체인 전문위원회가 블록체인 기술 동향 보고서를 발간했다.

이번 보고서는 블록체인전문위원회가 구성된 이후 내놓은 첫 보고서로, 블록체인 기술의 보안 위협과 대응 방안을 담기 위해 발간됐으며 블록체인 제품 및 솔루션도 함께 소개됐다.

블록체인전문위원회는 보안과 블록체인 기술의 적극적인 연계와 활성화를 위해 2018년에 구성된 조직이다. 윤두식 지란지교시큐리티 대표가 위원장을 맡았으며, 조훈 KT 엠하우스 대표가 부위원장, 김용대 한국과학기술원(KAIST) 교수가 기술고문을 맡았다.

해당 보고서는 블록체인 보안 검토 유형을 ▲블록체인 서비스(Application) 단계 ▲스마트계약 단계 ▲블록체인 네트워크(P2P 네트워크) 단계로 구분했다.

블록체인 서비스 단계에서 위협으로는 전자지갑 탈취와 이중지불 공격, 채굴 악성코드 감염 등이 소개됐다.

전자지갑 탈취는 주로 일반적인 컴퓨팅 환경에 동작하고 있는 월렛 소프트웨어에 랜섬웨어와 같은 악성코드 감염을 통해 특정 주소의 자산을 동결시키거나, 각 지갑 주소를 생성하는 비밀키를 탈취해 위조한 주소를 생성·배포해 암호화폐를 다른 지갑으로 옮기는 등의 방식으로 이뤄지는 공격이다.

이중지불 공격은 한 번 사용한 암호화폐를 한 번 더 사용하게 하는 공격으로, 보통 블록체인 합의 알고리즘이 각 거래를 처리하고 검증하는 데 걸리는 시간 간격을 이용한다. 블록체인 내부의 프로토콜이 하드포크됐을 때, 기존체인과 신규체인간의 전자지갑 주소의 인증키 중복 현상을 이용하기도 한다.

최근에는 해커가 일반인의 PC에 암호화폐 채굴을 위한 악성코드를 몰래 설치해 암호화폐를 채굴하도록 만든 후 채굴한 암호화폐를 자신의 전자지갑으로 전송하는 방식의 공격인 크립토재킹이 자주 발생한다. 보통 이메일 피싱 공격 또는 보안이 유지되지 않는 웹사이트 방문 등에 의해 악성코드가 PC에 설치되는 경우가 많지만, 최근에는 웹 크립토재킹 방식의 공격도 빈번히 발생하고 있다.

이외에도 보고서는 스마트계약 단계에서는 ▲재진입 공격 ▲리플레이 공격 ▲잔고증액 공격 등의 보안 위협을, 네트워크 단계에서는 ▲51% 장악 공격 ▲허위 정보 전파 공격 ▲이기적 채굴 독점 ▲블록보류 공격 ▲분산서비스거부 공격 등을 소개했다.