고려대학교 정보보호대학원 김형중 교수
고려대학교 정보보호대학원 김형중 교수

최근 라자루스 해킹 집단이 암호화폐(가상자산) 거래소를 비롯한 블록체인 기업들을 해킹하는 일이 잇따르고 있다. 지난달에는 일본 암호화폐 기업을 표적삼아 이메일과 소셜 미디어를 이용한 피싱 링크로 해킹을 가했으며, 지난 3월에는 블록체인 기반 게임 ‘엑시인피니티’의 사이드체인인 ‘로닌 네트워크’에서 총6억 달러 상당을 탈취했다. 북한이 암호화폐를 탈취해 약 1조7000억원 이상을 확보했다는 소식이 알려지기도 했다. 

혹자는 분산원장 기술로 인해 블록체인은 해킹 자체가 어렵다고 생각하기 쉽다. 중앙서버 한 곳에 데이터를 보관하는 방식이 아니기 때문에 데이터 왜곡, 디도스 공격 등을 원천적으로 차단할 수 있다는 설명이다. 똑같은 장부가 다수 존재하는 블록체인에선, 모든 블록을 해킹해 내용을 수정해야만 해킹이 가능한데 이것이 사실상 어렵다는 것이다. 특히 BTC(비트코인)의 경우 해킹은 거의 불가능한 것으로 알려졌다. 

블록체인 보안 전문가인 김형중 고려대학교 정보보호대학원 교수는 현재 일어나는 해킹사고는 블록체인이 정착되는 과정에서 거쳐야할 수순이라고 짚었다. 김 교수는 “기존 웹 시장은 코딩이 어디서 어떻게 오류가 발생하는지 이미 정립이 되어 있지만 스마트 컨트랙트는 현재 이더리움 탄생으로부터 10년도 안 된 개념”이라고 말했다. 기존 웹 시장은 시큐어코드 가이드라인에 따라 해당 코딩의 버그 유무를 잡아낼 수 있지만, 스마트 컨트랙트에는 이러한 것이 존재하지 않고 시행착오가 적지 않아 보안 실수들이 일어나기 쉽다는 설명이다. 특히 오픈소스로 다양한 코드들을 가져와 쓰다보니 코드 객체들은 다 안전하지만 이들을 묶고 쓸 때 어디선가 버그가 발생할 수 있다. 

“블록체인이 이 세상에 등장한 초창기에는 할 수 있는 일이 코인 전송 정도로 단순했습니다. 단순 템플릿만 이용할 때는 사고가 날 확률이 떨어지죠. 당시에는 주소를 잘못 보내는 정도의 사고만 있었어요. 하지만 지금은 달라졌습니다. 기술이 개발될수록 이에 상응하는 고급 프로그래머들이 필수적입니다. 인력 양성이 돼야하겠죠.” 

김 교수는 이 같은 문제 해결을 위해 블록체인 업계에 기술을 통합적으로 잘 이해하는 고급 프래그래머들이 필수적이라고 짚었다. 알고리듬 원리를 잘 알고 있고 다수의 프로그래밍 경험이 있으며, 최신 기술을 반영해서 코딩할 수 있어야 보안 측면에서도 안전한 스마트 컨트랙트를 만들 수 있는 확률이 높아지기 때문이다. 또 단순히 IT 기술을 잘 아는 차원에 그치면 보안상 위험을 초래할 수 있다고 덧붙였다. 블록체인의 특성상 단순히 기술만으로 접근하면 보지 못한 섹터가 생길 수 있기 때문이다. 블록체인 기반의 금융과 IT를 복합적으로 이해하면서 웹 퍼블리싱 등의 부가적인 기술까지도 모두 파악할 수 있는 고급 프로그래머가 있어야 보안상 허점도 줄일 수 있다고 그는 역설했다. 


"100% 안전한 크로스브릿지도, 스마트 컨트랙트도 없어…보안에선 사람이 문제" 

라자루스 그룹은 추적을 피하기 위해 해킹 이후 믹싱할 수 있는 토네이도 캐시를 사용했다. 하지만 토네이도 캐시가 제재를 당하자 믹서가 아닌 브릿지를 통한 해킹을 시도했다. 

한 메인넷과 다른 메인넷은 대부분 호환이 되지 않는다. 예를 들면 비트코인 메인넷과 이더리움 메인넷은 호환되지 않는다. 그래서 BTC를 ETH와 함께 쓸 수 없었다. 그런데 메인넷과 메인넷을 연결해주는 브릿지라는 기술이 개발되어 함께 쓸 수 있게 되었다. 예를 들어, BTC를 브릿지 스마트계약에 예치하고 WBTC라는 ERC20 토큰을 받아 이더리움 메인넷에서 사용할 수 있다. 나중에 WBTC를 브릿지 스마트계약에 반환하면 예치했던 BTC를 돌려 받게 되는 식이다. 서로 다른 메인넷들을 연결해 주는 브릿지라서 크로스체인 브릿지라고 부른다. 

한 체인에서 브릿지 스마트계약에 코인을 예치하지 않았는데도 다른 체인에서 사용할 수 있는 코인이 만들어지도록 함으로써 크로스체인 브릿지 해킹이 이루어진다. 그렇지만 검증자들의 다수결 승인을 얻어야 스마트계약 실행이 가능하다. 라자루스 그룹이 시도한 로닌 브릿지 해킹은 9명의 검증자 가운데 5명의 비밀키를 확보해 스마트계약 실행 결과를 적합한 확인 없이 승인해 코인을 탈취했다. 라자루스 그룹이 헤드헌터로 가장해 지능적으로 검증자들의 비밀키를 얻어낸 것으로 알려졌다. 큐빗 브릿지에서는 코인을 예치하지 않았는데도, 웜홀 브릿지에서는 가짜 코인을 예치하고도 검증이 통과되어 다른 체인에서 쓸 코인이 만들어지면서 해킹이 이루어졌다. 


전문 커스터디 업체 통해 투자자 개인 보안도 강화 가능

해킹 수법이 날로 고도화하고 있는 이때 개인들이 조심할 수 있는 방법은 무엇일까. 김 교수는 흔히 알려진 방법으로 단순히 콜드 월렛 주소와 비밀키를 잘 보관하는 것은 지나치게 제한적인 대책이라고 지적했다. 디파이(Defi, 탈중앙금융) 등 다양한 블록체인 기반 금융으로 수익을 얻을 수 있는데도 단순히 오프라인에 지갑 주소를 보존하는 것만 강조하는 것은 시대에 맞지 않는 보안 방법이라는 뜻이다. 

그러면서 보다 근원적인 해결을 위해선 개인 소액 투자자들을 위해서도 이들의 자산을 잘 관리해줄수 있는 커스터디 업체가 필요하다고 덧붙였다. 투자자들이 프로젝트의 안정성이나 보안 상태, 고도화된 프로그램 설계를 알아보는 데는 한계가 있다. 이같은 정보 부족 속에서 투자할 수 있는 창구만 널리 알려져있으니 가격이 오르고 내리는 데만 집중하는 투기를 부추길 수밖에 없다. 따라서 전문적인 코인 커스터디 업체들이 프로젝트들의 자본금과 안정성 등을 따져보고 안전한 투자를 위한 창구가 되어줘야 한다고 김 교수는 짚었다.

그러면서 이러한 업체들을 제도권 안으로 가져와 관리해줄 수 있어야 투자자들이 실질적으로 보호를 받을 수 있다고 강조했다. 

“블록체인은 가능성이 무긍무진합니다. 새롭게 시장이 정착되고 있는 이때 다수의 이용자들을 위해 제도적인 지원이 빨리 이뤄져야합니다. 그래야 보안상으로도 대처할 수 있는 역량을 키울 수 있어요. 지금은 중요한 시기입니다.” 

 

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지