출처=플리커
출처=플리커

최근 블록체인 업계에서 '디파이(DeFi: Decentralized Finance, 탈중앙화 금융 서비스)'라는 단어가 유행하고 있다.

디파이는 '블록체인 네트워크상에서 스마트계약(Smart Contract) 기반으로 가상자산(암호화폐)을 이용해 동작하는 탈중앙화 된 금융 서비스'를 일컫는다. 지난 2017년 메이커다오(MakerDAO) 프로젝트를 통해 본격적으로 알려졌으며, 이후 다양한 방식의 탈중앙화 된 유동성 공급 기술들이 등장하면서 급성장했다.

헥슬란트(Hexlant)가 2019년 9월에 발간한 보고서에 따르면, 디파이를 기존 금융 시스템과 구별 짓는 주요 특징은 ▲허가 ▲운영 주체 ▲중개인 ▲투명성 ▲검열 방지 ▲프로그래밍 가능 여부 등 6가지이다.

디파이는 원하는 사람은 누구든지 네트워크를 통해 자유롭게 금융 서비스(송금, 결제, 예금 및 적금, 담보대출, 금융투자, 증권거래, 보험 등)를 이용하는 것이 가능하며, 금융거래 시 특정한 서비스 운영 주체(금융기관)나 중개인의 개입이 필요하지 않다.

또한 단순히 이자율과 같은 정보뿐만이 아니라 고객들로부터 예치된 자금이 어떤 경로로 흘러 얼마의 수익을 내고 어떻게 배분되는지 등과 같은 금융 로직까지도 투명하게 공개되며, 독점적 권한을 가진 개인이나 조직, 또는 외부의 강제력에 의해 특정 거래가 무효(또는 변경)가 된다거나 운영이 중단되지 않는다. 끝으로 기존 금융 서비스들이 사람 또는 사람들로 이루어진 특정 조직의 중개에 의해 이루어졌다면 디파이에서는 프로그램 코드가 이를 대신한다.

무엇보다 디파이를 구성하는 모든 프로그램 코드들이 오픈소스로 투명하게 공개되어 있어서 누구나 이를 가져다가 자신이 만들고자 하는 금융 서비스에 접붙이는 것이 가능하다. '머니 레고(Money Lego)' 시스템이라고도 불리는 이러한 특징은 소규모의 디파이 금융 서비스들이 자유롭게 서로 연결되고 조합되면서 점점 더 거대화되고, 이를 통해 금융 서비스 전반으로 영역을 확장해 나갈 수 있게끔 하는 주요 원동력이 된다.

이러한 디파이의 특성은 일부 프로그램 코드의 취약성으로 인한 문제를 해당 프로그램과 연결된 다른 프로그램들 및 디파이 생태계 전체로까지 확대될 수 있다. 디파이에서 보안이 매우 중요한 요소 중 하나로 꼽히는 이유다.

자동차에 사용되는 개별 부품들이 모두 안전성 테스트를 통과했다고 해서 이들 부품으로 이루어진 차량 또한 안전성 테스트를 통과할 것이라고 장담할 수 없듯이, 개별 프로그램 코드의 보안성이 검증됐다고 해서 이 코드가 결합해 만들어진 더 큰 디파이 프로그램이 안전할 것이라고 말할 수는 없다.

이를 전문적인 용어로 '합성 보안(Compositional Security)' 문제라고 한다. 실제로 2017년 10월 벨기에 루벤대학(University of Leuven) 소속 연구원들이 와이파이 보안 표준인 WPA2(Wi-Fi Protected Access II)에서 다수의 보안취약점을 발견했다. WPA2는 표준으로 재정 당시에 이미 해킹에 안전함이 수학적으로 증명됐었기에 발견된 보안취약점은 세상을 떠들썩하게 했다. WPA2 보안 표준의 데이터 암호화 모듈과 비밀키 생성⸱공유 모듈에 대해서는 보안성이 수학적으로 검증했으나, 두 모듈을 합친 전체에 대해서는 수학적 검증이 이루어지지 않았던 점이 원인으로 지적됐다. 

현재 합성 보안 문제를 효과적으로 해결하기 위한 다양한 방법들이 연구되고는 있으나 아직 범용적이고도 효율적인 방법을 찾지는 못한 실정이다. 물론 코드가 추가될 때마다 프로그램 코드 전체에 대한 보안성 검증을 반복적으로 수행할 수는 있겠으나 이 경우 프로그램 개발에 드는 시간과 비용이 기하급수적으로 증가하게 된다.

현재 디파이 시장은 급성장하고 있다. 특히 여러 가지 디파이 코인을 결합해서 합성자산을 만들거나 두 개 이상의 디파이 상품을 결합하는 등의 시도가 증가하면서 코드들의 복잡성은 빠르게 높아지고 있다. 이로 인해 보안 사고 발생 가능성은 커져만 가고 있다.

만약 디파이 생태계가 지금보다 훨씬 커지고 서로 복잡하게 얽혀져 있는 상황에서 사고가 발생한다면 그 효과가 연관된 모든 서비스로 파급되기에 그 피해액은 상상을 초월할 것이다. 지금부터라도 디파이 보안성 검증의 어려움을 인식하고, 이에 대한 문제 해결 및 합성 코드에 대한 보안성 평가⸱인증 체계 마련에 더욱더 많은 관심을 기울여야 하겠다.

김승주 교수는 2011년부터 고려대학교 정보보호대학원 교수로 재직했으며, 올해부터는 새롭게 사이버국방학과의 학과장을 맡고 있다. 교수 재직 전에는 한국인터넷진흥원(KISA)에서 암호기술팀장과 IT보안평가팀장으로 근무한 암호 보안 전문가다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지