닫기

코인정보 읽기

읽기

‘블록체인은 안전하다’는 거짓말…비트코인마저 위태롭다

작성자:     작성일시: 작성일2018-10-04 13:29:41    조회: 12,225회    댓글: 0
 

비트코인마저 위태롭다는 말이 나온다. 지난달 24일 ‘비트코인에 치명적인 결함이 있다’는 보도가 이어졌고, 이 버그로 인해 ‘비트코인을 맘대로 찍어낼 수도 있다’는 분석까지 등장했다.

‘블록체인은 안전하다’는 이야기를 자주 접했던 투자자들로선 당황스러울 수밖에 없다. 암호화폐 거래소뿐 아니라 블록체인 네트워크 자체도 취약한 게 아닐까. 최근 드러난 비트코인의 치명적인 결함을 통해 진위를 파악해보자.

비트코인의 어떤 부분에 결함이 생긴 걸까

사건은 지난달 17일로 거슬러 올라간다. 비트코인 코어 개발팀은 ‘CVE-2018-17144’라는 버그를 제보받았다. 블록을 생성하는 채굴자(miner)들은 트랜잭션(거래 내역)을 블록체인에 올리기 전 이를 검증하는 과정을 거치는데, 채굴자의 비트코인 코어 프로그램에서 검증 과정을 생략하게 하는 버그가 있다는 제보였다.

거래를 검증하지 않을 경우 누군가 가짜 거래 내역을 뿌려서 ‘이중 지불 문제’가 붉어질 수 있다. ‘이미 비트코인을 맘대로 찍어낸 것 아니냐’는 분석이 나오는 이유다. 비트코인캐시 개발자인 아매니(Awemany)는 자신이 이번 결함의 제보자라고 밝히며 블로그를 통해 “(이 버그가) 최근 비트코인 네트워크에서 발견한 최악의 버그”라고 짚었다.

다행히 버그 제보 직후인 지난달 18일 비트코인 코어 개발팀은 결함을 수정한 비트코인 0.16.3 버전을 새로 배포했다.

이번 비트코인 에러에 대한 비트코인 코어 개발팀의 알림

블록체인은 복합적인 소프트웨어

이번 비트코인의 결함은 블록체인이 안전을 담보하는 것은 아니라는 점을 알려준다. 블록체인은 대개 일정 시간(블록) 동안 네트워크에서 발생한 상태 변화를 기록한 후 암호화해서 이전 기록과 연관 짓는 ‘분산원장 기술’이라 일컫는다. 분산원장이기 때문에 새로 생긴 기록을 차차 모든 관리자이 공유하며 블록체인 위의 기록은 외부에도 투명하게 공개된다.

여기까지가 대중적으로 통용되는 블록체인에 대한 ‘프로세스’이다. 암호화, 분산, 투명성, 이런 특성들로 인해 블록체인은 해커가 과거의 코인 거래 기록을 변조하기 어려운 안전한 데이터 저장소로 여겨진다.

하지만 블록체인이 유지되기 위해선 암호화된 장부 외에 다른 프로그램의 보안도 중요하다. 단적인 예로 비트코인 코어는 장부 자체가 아니라 장부 위에 올릴 기록을 검증하는 코드다. 버전은 꾸준히 업데이트 되는데, 2017년 9월에 이 프로그램의 0.15버전이 배포될 당시 ‘검증 생략’ 코드가 끼어든 것으로 알려졌다. 코드를 메인 프로그램에 도입하기 전에 상위 개발자가 이를 검토했음에도 이 코드는 그대로 프로그램에 반영됐다.

스마트컨트랙트도 안전성을 요구하는 프로그램 중 하나다. 스마트컨트랙트는 프로그램을 통해 적정 조건에서 암호화폐를 자동으로 송금하는 기술이다. 2016년 더 다오(The DAO)는 블록체인상에 스마트컨트랙트 코드를 짜서 중앙 주체 없이 자율적으로 운영되는 조직을 표방했으나 해커가 해당 코드 속의 논리적 결함을 악용했다. 이로 인해 당시 750억 원 규모의 해킹 피해가 있었다. 블록체인이라는 단어가 스마트컨트랙트 보안을 보장해주지 않는다는 게 자명하다.   

결국 장부 자체는 안전하더라도 이 장부와 연결된 다른 프로그램에 취약점이 있다면 플랫폼에 결함이 발생한다. 소브린월렛 윤석구 대표는 “서비스는 블록체인만으로 만들 수 없고 여러 IT시스템이 융합한다”며 “가장 취약한 부분이 전체 보안의 강도를 결정한다면 블록체인 관련 대부분 서비스나 제품은 취약한 상태”라고 설명했다.  

‘블록체인=안전하다’ 말은 쉬워도

또한 ‘블록체인은 안전하다’는 말에도 어폐가 있다. 예컨대 블록체인에선 하나의 기록을 여러 노드가 공유하기 때문에 해킹으로부터 안전하다는 의견이 있다. 하지만 여러 노드가 서로 기록을 공유하는 프로토콜(통신 규칙)이라서 도리어 구조적으로 보안에 전념해야 한다는 반론이 가능하다. 경희대 컴퓨터공학과 한호현 교수는 “개별 노드의 보안 수준, 환경이 서로 다르기 때문에 (취약한 노드를 통해) 보안 취약점이 늘어날 수 있다”고 지적했다.

블록체인 자체가 튼튼하게 유지되기 위해 ‘큰 덩치’도 필요하다. 카이스트 전산학과 김용대 교수는 “(지난 5월 있었던) 비트코인 골드 해킹의 경우 (프로토콜을 유지하는) 컴퓨팅 파워가 적어서 51% 공격을 받았다”며 “기존 노드의 리소스를 압도해버리는 공격은 블록체인이기 때문에 생기는 문제점”이라고 말했다.

게다가 분산 애플리케이션 개발 경험이 이 업계에 더 필요한 실정이다. 윤 대표는 “(비트코인 코어의 경우도) 프로그램 관점에서는 문제가 없던 코드가 전체 프로토콜 관점에선 중대한 오류였다”며 “분산 운영체제에서도 다른 프로그램 모듈을 신뢰할 수 없기에 보안이 우선시되는데 다른 모듈의 검증을 그대로 믿고 추가 검증을 하지 않은 것은 초보적인 실수”라고 평가했다.

따라서 블록체인이 안전하다고 말하기 위해선 프로토콜부터 서비스 단위, 개발 인력까지 여러 요건을 먼저 갖춰야 한다. 김 교수는 “블록체인이 계획대로, 제대로 구현돼 있다면 신뢰할 수 있겠지만 항상 신뢰를 주는 플랫폼이라 볼 수는 없다”며 “블록체인 자체가 고난도의 소프트웨어인데다 기존 소프트웨어가 겪어온 문제들이 겹쳐진 상황”이라고 설명했다.

코인이 복사된다면..? (image : giphy)

가치 있는 데이터는 보안으로부터

이런 가운데 블록체인 업계는 해커들의 주 무대로 떠올랐다. 수 천억 원의 암호화폐가 흐르는 한편, 보안 취약점은 꾸준히 드러나는 상황. 윤 대표는 “가치가 오가는 금융 프로젝트이기 때문에 암호화폐 프로젝트는 당연히 최고 수준 해커들의 주요 타깃”이며 “기본적으로 보안 소프트웨어 프로젝트라는 점이 간과되고 있다”고 진단했다.

대표적으로 ‘복사/붙여넣기’ 문제가 있다. 블록체인 프로젝트는 대개 코드를 공개하는 편이고, 새로 출범하는 프로젝트들은 기존 프로젝트들의 코드를 차용하곤 한다. 김 교수는 “기존 스마트컨트랙트를 그대로 복사해 쓰면서 과거 취약점도 함께 가져간다”고 진단했다. 실제로 스마트컨트랙트 보안 취약점을 분석하는 서비스인 제우스(Zeus)에 따르면, ‘2만2400개 컨트랙트 코드를 분석한 결과 94.6%가 취약하다’는 결과가 나왔다.

‘꺼진 불도 다시 보자’는 각오가 필요한 시점이다. 실제로 퀀트스탬프, 해치랩스 등 스마트컨트랙트를 검토하는 업체들이 등장하고 있다. 이미 비트코인, 이더리움, 이오스 등 규모가 큰 플랫폼 프로젝트에서는 취약점을 찾으면 경제적 보상을 주는 버그 바운티를 진행하고 있었다. 윤 대표는 “(가치를 머금은 데이터를 다루는 만큼) 기존 금융권 수준 이상의 보안을 적용해야 한다”고 강조했다.

더불어 블록체인 프로젝트를 설계하는 초기부터 보안 취약점을 꼼꼼히 살피자는 목소리가 들린다. 김 교수는 “ICO를 빨리 진행하고 메인넷 론칭 스케줄을 맞춰야 하니 보안에 덜 신경 쓰게 되겠지만 보안 전문가와 설계 단계부터 구현, 실제 설치와 그 이후 안전성까지 분석해야 한다”고 말했다. 한 교수 또한 “보안은 절차의 문제로 해결되는 것이지 다른 해법이 없다”며 “프로그램 개발 단계에서 보안 취약점을 걸러낼 수 있도록 해야 한다”고 짚었다.

 

https://blockinpress.com/archives/9412

  추천 0   비추천 0
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기
  • 밴드로 보내기

댓글목록

등록된 댓글이 없습니다.

 

전체: 3,580개 (1/103페이지)
코인정보 목록
제목 글쓴이 조회 추천 비추천 날짜
  [필독] 불법홍보글 / 회원간 분란 발생 시 엄중하게 처리하겠습니다. (수정) [15] 4523 10 0 11-28
  ICO List 게시판이 신설되었습니다. [1] 2867 0 1 03-12
[2018-10-15] 코인시장 동향 (시총:$212,357,119,024) new 638 0 0 10-16
모스랜드(MOC)와 디센트럴랜드(MANA), 블록체인으로 왜 게임을 만들지? new 828 0 0 10-16
모스코인 떡상 예언한 이유와 분석 (feat: 25% 떡상) new 949 0 0 10-16
Zcash v2.0.1 릴리즈 되었습니다. (419,200블록 Sapling 포크 전 필수 업데이트) new 966 0 0 10-16
업비트는 테더에대한 지급보증을 하지 않습니다. new 1053 0 0 10-16
참고하세요. new 1041 0 0 10-16
펌) 10월 16일 지난밤 글로벌 암호화폐 뉴스 정리 new 1078 0 0 10-16
펌) 코인 양극화는 심해질거라네요. new 1132 0 0 10-16
빗썸 에어드랍 점점 시작하네요 new 1147 0 0 10-16
APOT 토큰 new 1321 0 0 10-16
[이벤트]소닉 거래소 선착순 이벤트 계속 중! 어서 가입하고 코인 받아가세요~ new 1443 0 0 10-16
에어드랍 이벤트 INEREX ( REX ) 1757 0 0 10-16
비트메타 사전가입이벤트 1852 0 0 10-16
체인파트너스 표철민 대표가 이끄는 데이빗거래소 OPEN [1] 1920 0 0 10-16
블록체인기술 기반 제품 인증 프로세스 플랫폼 Arianee 2653 0 0 10-15
후오비풀 앱 출시 2667 0 0 10-15
[2018-10-14] 코인시장 동향 (시총:$202,008,863,419) 2728 0 0 10-15
스팀잇은 HF20 직전 대비 얼마나 정상화되었을까요. 2742 0 0 10-15
테더를 잘 모르시는분들을 위해서 정보요약! 2768 0 0 10-15
이더리움 콘스탄티노풀, 테스트넷 사용 불가…이유는? 2761 0 0 10-15
비트코인 상승(급등) 이유 - 테더 이슈로 인한 매도 2849 0 0 10-15
호재의 연속 중국 '법정 가상화폐' 발행 굳힘 2832 0 0 10-15
리코어(REEX) Excoincial 상장 2850 0 0 10-15
다닐(DAN) 베타 앱 런치 2866 0 0 10-15
중국 및 유럽 금융시스템은 지금 2950 0 0 10-15
[2018-10-13] 코인시장 동향 (시총:$201,974,855,519) 2952 0 0 10-15
로저비어 와 찰리리,라이트닝 네트워크에대한 토론. 2959 0 0 10-15
리플(XRP) 가격 강세…"비트코인 상승하면 0.5달러대 회복될 것" 3042 1 0 10-15
네이버 개발자 컨퍼런스에서 발표한 링크 관련 자료 [2] 4677 3 0 10-14
[정보]Bitsonic 코인이 드디어 거래가 되네요. 이벤트 중! 7055 0 0 10-12
빗썸 트론(TRX) 출금재개 안내 7067 0 0 10-12
센티넬프로토콜(UPP) 원화마켓 오픈 기념 깜짝 이벤트 7062 0 0 10-12
BTC 마켓 코인 추가 (메탈 MTL) 7117 0 0 10-12