"암호기술, 토큰이코노미의 핵심 멤버"

"블록체인 트렌드가 침체된 것처럼 보이지만 앞으로 뛰어난 토큰(token) 기반 생태계가 확장하리라 본다. 그럴만한 회사가 3~5년 안에 등장할 거다. 인터넷 회사에서 암호전공자를 많이 채용 중인 걸로 안다. 토큰이코노미를 준비하는 상황 아닐까. 과거 암호 기술은 보안 시스템을 위해서만 필요했는데 이젠 사회 변화를 추구하는 데 절대적인 존재가 됐다. 암호는 그런 새로운 생태계의 핵심멤버다."

충남대학교 컴퓨터공학과 류재철교수는 최근 한국정보시스템감사통제협회(ISACA Korea), 연세대학교 바른ICT연구소와 정보대학원 주최 컨퍼런스에서 '블록체인 보안과 표준화 현황'을 주제로 강연하며 이같이 말했다.

그는 강연을 통해 암호화폐 개념에 초점을 맞춘 블록체인 기본개념을 설명하고 그 해킹사고 유형 및 대응방안과 보안관련 국제표준 동향을 소개했다.

■ 20년전 유행했던 전자화폐가 실패한 이유

그에 따르면 암호화폐(cryptocurrency)라는 단어가 널리 쓰이기 전인 2000년엔 디지털 거래수단으로 '전자화폐'라는 용어가 쓰였다. 전자화폐는 등장 초기 미래 10대 유망 IT상품에 항상 포함될만큼 각광받았다. 지금의 암호화폐보다 오히려 전자화폐가 암호기술을 더 많이 사용했다는 점도 특징이었다. 전자화폐도 화폐를 발행하는 중앙은행, 즉 규칙과 통제 주체가 있어 문제발생에 책임을 지는 구조였다.

당시 금융권은 전자화폐에 관심이 많았다. 신기술이 등장하면 은행이나 카드사가 인수했다. 마스터카드는 전자화폐를 만든 영국회사 먼덱스를 인수했다. 한국에선 한국은행과 사업체 협력으로 'K캐시'라는 전자화폐가 만들어진 적도 있다. 그런데 대략 20년이 지난 지금은 이런 이름이 낯설다. 상업적으로 성공하지 못했다는 얘기다. 왜일까.

류 교수는 "먼덱스는 현금을 저장하는 IC카드 형태의 매체가 있고, 그걸 전용 리더 장치로 읽고 사용하는 방식을 썼다"며 "그 전자화폐 서비스는 (리더를 탑재한) 특수 전화에 카드를 꽂아 인터넷이나 전화를 통해 돈을 이체할 수 있게 만들어졌는데, 사람들의 반응은 나름대로 좋았지만, 사업적으로는 실패했다"고 설명했다.

그는 "이유는 오버헤드(overhead, 특정 기능을 수행하기 위해 추가로 사용되는 자원)가 너무 많아서"였다고 지적했다. 이런 얘기다. 먼덱스는 전자화폐 안전성, 신뢰성에 완벽을 기하려 했다. 완벽한 암호 알고리즘을 사용했다. 암호화 및 복호화를 빠르게 처리하려면 하드웨어도 비싸지기 마련이었다. 현실 시장에서 이 서비스를 활성화하려면 하드웨어를 널리 공급해야 했는데 그 비용을 마땅히 댈 주체가 없었다.

류 교수는 "과거 전자화폐 방식 중 살아남은 건 교통카드"라며 "공개키암호 기술을 안 써 가볍고 저렴한 장치로 시스템을 구축한 덕분"이라고 설명했다. 이어 "카드사가 중개자(PG)를 두고 제공한 지불서비스라든지, 다른 네트워크형 전자화폐와 소프트웨어적 전자화폐도 나왔지만 다 죽었다"며 "은행에 돈을 넣고 찾는 것보다도 훨씬 간편한 인터넷뱅킹이 가능해지다보니 다양했던 전자화폐가 다 죽었다"고 말했다.

■ 전자화폐보다 암호를 덜 쓰는 암호화폐

대부분 실패한 전자화폐 기술에 주목해 온 사람들이 허탈해할 무렵, 비트코인이 등장한다. 분류하자면 비트코인을 비롯한 암호화폐는 전자화폐에 필요한 신뢰 확보를 소프트웨어적으로 해결한 사례다. 류 교수는 "과거 전자화폐는 암호를 쓰며 하드웨어로 뭔갈 해결하려 했는데 비트코인은 암호를 쓰긴 썼지만 많이는 아니었고, 분산처리 개념을 활용해 소프트웨어적으로 안전성을 만들어냈다"고 설명했다.

비트코인을 처리하는 블록체인의 거래 기록과 합의 프로세스 설명이 이어졌다. 거래는 'A가 B에게 얼마를 보낸다'는 정보를 담는다. 이 정보는 암호문제 형태로 노드에 보내진다. 노드가 각자 암호문제를 풀어 정보를 확인하고, 약 10분마다 거래정보를 모은 블록 하나를 만든다. 블록은 전세계서 만들어져 시간순서대로 연결된다. 정보가 일치하지 않는 블록이 생기면 가장 길게 먼저 연결된 체인을 맞는 것으로 친다.

류 교수는 "최악의 경우 거래 정보가 불일치하는 블록이 6개까지 이어질 수 있는데 (1개 만드는 데 약 10분 걸리므로) 정보의 완전성을 보장하려면 최장 60분, 1시간이 걸린다는 얘기"라며 "트랜잭션의 완전성 보장에 너무 오래 걸리는 게 문제지만 (거래정보 불일치 현상을 해결한) 합의 알고리즘을 소프트웨어적으로 아주 잘 만든 셈이고 이게 비트코인이 오늘날 각광받게 된 특징"이라고 평했다.

그에 따르면 비트코인은 암호화폐라 불리는 이름에 비해 암호가 적게 쓰인 기술이다. 비트코인은 미국 국립표준기술연구소(NIST)가 표준화한 타원곡선전자서명알고리즘(ECDSA)을 쓴다. 이 알고리즘으로 전자서명 개인키와 지갑주소가 만들어진다. 개인키는 출금거래를 허용해야 할 때 그 소유주임을 밝히는 수단이고, 지갑주소는 입금을 받는 수신처 역할을 한다.

류 교수는 "과거 구현된 전자화폐 중엔 트랜잭션 1번에 암호화 및 복호화를 6번까지 하는 시스템으로 돌아가는 것도 있었는데, 그만큼 안전성을 추구하느라 무거워지고 하드웨어를 써야 했던 것"이라며 "그와 달리 비트코인은 소프트웨어만으로 전체 시스템이 돌아가게 해 안전성을 확보했고, 암호화폐라 이름붙은 이유는 잘 모르겠지만 실제론 암호기술을 많이 안 썼다"고 설명했다.

■ 관건은 '탈중앙, 확장성, 보안'…모두 우월한 블록체인은 없다

비트코인같은 암호화폐 시스템에 더 필요했던 건 '암호화폐거래소'였다는 게 류 교수의 지적이다. 암호화폐거래소는 여러 종류의 암호화폐간 거래, 암호화폐와 현금의 교환을 중개할 수단이었다. 비트코인이 등장하고 몇 년 지나 2013년 최초의 암호화폐거래소가 등장했는데, 이런 사업이 사람들에게 웹기반으로 편리하게 다수의 암호화폐간 거래와 현금교환을 지원함으로써 막대한 수익을 얻을 수 있었다는 평가다.

스마트컨트랙트(smart contract) 소개가 이어졌다. 블록체인에서 일정 조건이 충족되면 자동 실행되는 프로그램을 스마트컨트랙트라 부른다. 통상 암호화폐 거래는 사람이 사람을 상대로만 할 수 있다고 여기지만, 스마트컨트랙트는 그 프로그램이 사람과, 프로그램이 다른 프로그램과, 사람이 프로그램을 거쳐 다른 사람과 거래할 수 있게 만든다. 많은 거래가 사람 개입 없이 자동으로 효율적으로 처리될 수 있다.

류 교수는 "금융권에서 그 거래업무의 많은 영역을 스마트컨트랙트로 자동화할 수 있음을 알게 되면서, 금융권에 블록체인이 제일 먼저 들어가고 있다"고 언급했다. 또 "이더리움 스마트컨트랙트 언어 '솔리디티'는 쓰기 어렵진 않지만 그 프로그래머는 C언어 프로그래머보다 보수가 높다"며 "프로그램 짤 때 실행 수수료를 낮추는 최적화 능력과 해킹에 안전하게 만드는 능력이 중요해졌기 때문"이라고 덧붙였다.

그는 비트코인, 이더리움, 이오스(EOS), 3가지 암호화폐와 블록체인의 특징을 소개했다. 최대발행량, 합의메커니즘, 채굴 노드와 생성된 블록, 블록 생성 시간, 블록 크기 제한 유무, 거래정보 확정 시간, 초당 트랜잭션(TPS) 수, 수수료 유무를 비교했다. 모든면에서 우월한 블록체인은 없다고 지적했다. 특정노드에 의존하지 않는 탈중앙성, 많은 노드가 참여할 수 있는 확장성, 보안, 3가지를 주안점으로 삼았다.

류 교수는 "분산처리 탈중앙화, 확장성, 보안, 3가지 특성은 서로 '트레이드오프' 관계를 갖기 때문에 모든 조건을 완벽하게 만족시키는 블록체인은 없다"며 "비트코인은 분산처리가 확실하지만 확장성이나 불필요한 전기소모가 크다는 게 문제라면, 이오스는 처리속도가 빠르고 에너지 효율적이지만 블록생성권한을 갖는 노드에 디도스공격이 발생한다든지 하면 분산화와 보안 측면으로 문제가 될 수 있다"고 언급했다.

■ 암호화폐를 노리는 해킹 공격들

보안 문제는 암호화폐와 블록체인 기술 생태계 전반의 화두가 되고 있다. 류 교수는 블록체인 보안 이슈 중 암호화폐 탈취를 노린 해킹 사고 사례를 열거했다. 다수 개인키를 맡아 두고 있는 암호화폐거래소 대상 해킹, 자체 암호화폐 보유계정을 갖고 있는 스마트컨트랙트 대상 해킹, 암호화폐 거래의 기반을 제공하는 블록체인 인프라 자체의 취약점을 노린 해킹 등이 언급됐다.

류 교수는 "암호화폐 거래환경은 개인키를 거래소에 맡기는 경우가 대부분이라, 거래소를 해킹하면 수많은 사람들의 개인키를 한꺼번에 가져가는 일이 일어난다"며 "일반 도난 사건은 피해 금액 환산이 어려운데 거래소는 정확하게 산정되고 그 규모가 수백억, 수천억 단위로 크다"고 말했다. 그는 "해커는 암호화폐를 다량 보유한 개인의 PC를 해킹할 수도 있겠지만 그걸 우선적으로 노리진 않는다"고 덧붙였다.

그는 거래소 대상 해킹이 발생하는 과정을 설명했다. 해커가 경유 서버에 악성코드를 심어 놓고 피싱 메일이나 웹링크로 거래소 직원의 접속을 유도, 그 PC나 웹서버를 먼저 악성코드에 감염시킨다. 이후 접근권한을 추가 확보해 내부망에 보관된 개인키를 탈취하고 비정상 거래를 실행한다. 아예 블록 생성을 거치지 않고 거래소 DB로 실시간 처리되는 회원간 거래 영역(핫월렛)의 암호화폐가 탈취될 수도 있다.

그는 "스마트컨트랙트 계정은 자체 암호화폐를 갖고 있는데, 해커가 그 프로그램의 취약점을 통해 암호화폐를 탈취한 사건도 있다"고 말했다. 이어 "안정화된 체인에서 일어나긴 어렵지만 '비트코인골드'처럼 메인넷 운영 초기 혼란기에 블록체인 자체 취약점을 이용하는 일도 벌어질 수 있다"면서 "하지만 해커는 체인 자체 공격보다는 지갑과 스마트컨트랙트를 노린다는 걸 염두에 둬야 한다"고 덧붙였다.

거래소나 스마트컨트랙트 해킹이 아니라 개인이 보유한 암호화폐를 가로채는 공격도 있다. 그 중 한 방식은 거래소가 아니라 PC에 설치된 지갑 소프트웨어로 암호화폐를 거래하는 사람들을 노린 악성코드 공격이다. 해커는 악성코드에 감염된 PC의 지갑주소와 패스워드를 훔쳐간다. 또 ICO를 진행하는 홈페이지의 송금 주소를 해커의 것으로 바꿔치기해 투자금을 가로채는 수법도 발생하고 있다.

■ 블록체인 보안과 표준화 현황

류 교수는 거래소 해킹 시나리오에 개인키 분산관리 기술인 멀티시그(Multi Signature)를, 개인대상 암호화폐 탈취 시도에 개인키 보관용 지갑 사용을, 스마트컨트랙트 해킹에 '시큐어코딩'과 전용 감사(Auditing) 서비스 활용을 제안했다. 이미 발생한 해킹 사건은 사법기관이 암호화페 지갑주소를 남기는 거래 추적과 범인 검거로 대응할 수 있지만 지갑주소의 소유는 불명확해 추적에 한계가 있다고도 언급했다.

암호화폐 거래환경과 블록체인의 보안 강화가 요구된다. 주변국의 블록체인 보안 평가 및 표준화 동향이 소개됐다. 지난해 일본 경제산업성은 블록체인 보안성을 32가지 기술 특성과 기밀성, 무결성, 부인방지, 인증, 4가지 지표로 평가하는 양식을 만들었다. 올해 상반기 중국 공업신식화부는 기술력, 응용성, 혁신성, 3가지 기준으로 암화화폐별 지수를 매긴 평가표에서 이더리움을 1위, 비트코인이 13위로 쳤다.