아이콘에 심각한 취약점이 있다는 주장이 제기됐다

아이콘 "이미 알고 있는 내용, 실제로는 보안상 문제 없다"

등록 : 2019년 1월 24일 07:10 | 수정 : 2019년 1월 24일 01:09

국내 블록체인 프로젝트 아이콘(ICON)의 코어 엔진에 심각한 취약점이 존재한다는 주장이 제기됐다. 이에 아이콘루프 측은 해당 이슈는 이미 내부적으로 파악하고 있는 내용이며 활성화되지 않은 모듈에서 발견된 취약점이어서 실제로는 보안상 문제가 없다고 반박했다. 하지만, 주장을 제기한 연구팀이 현재 루프체인에서 사용되고 있는 모듈에서 발생하는 취약점이라고 재반박해 논란이 예상된다.

아이콘 로고

아이콘 로고. 이미지=아이콘루프 제공

 

ADEVT 연구팀은 지난 22일 미디엄을 통해 루프체인을 기술적으로 분석한 보고서를 발간했다. ADEVT는 이 보고서를 통해 “아이콘 프로젝트의 코어 엔진인 ‘루프체인’에 구현상 심각한 취약점이 존재해 네트워크에 치명적인 장애를 일으키는 것으로 확인됐다”라고 주장했다.

ADEVT에 따르면, 노드 확인을 위해 이용하는 서드파티 라이브러리 ‘피클(pickle)’에 공격자가 원격으로 컴퓨터를 공격할 수 있게 하는 취약점이 발견됐다. 누군가 이 취약점을 악용해 루프체인 네트워크를 통제하는 관리 노드를 오염시킬 수 있다는 게 ADEVT의 주장이다.

ADEVT는 “악의적인 의도를 가진 사용자가 노드의 접근 권한을 갖게 될 경우, 모든 노드를 오염시켜 악성 거래를 성사시킬 수 있게 되는 것”이라면서 “이는 합의 프로토콜 전체를 흔들 수 있는 취약점”이라고 지적했다.

ADEVT은 또 프로그래밍 언어 파이썬을 사용하는 루프체인의 스마트 계약인 ‘스코어(SCORE)’에 제대로 된 샌드박싱이 이뤄지지 않아 악성 코드가 시스템 자원에 직접적인 위협을 미칠 수 있다고 지적했다. 샌드박싱은 가상 컴퓨터와 같이 분리된 환경에서 프로그램을 작동시켜 악성 행위나 에러가 직접적으로 물리 시스템에 영향을 미치지 못하게 하는 것을 뜻한다.

아이콘루프 측은 ADEVT 보고서가 발간된 후 빠르게 입장을 내놓았다. 해당 이슈는 내부적으로 이미 파악하고 있는 내용이며, 이슈가 발생한 모듈은 현재 내부적으로만 사용돼 문제 될 것 없다는 입장이다. 아이콘루프 측은 취약점 이슈가 제기된 라디오스테이션과 피클 라이브러리는 대표 노드(P-rep) 선출 전에 제거될 예정이며, 스코어 샌드박스에 대해서도 현재 악성 코드를 걸러내고 있다고 발표했다. 또 로드맵에 샌드박스 구현이 포함돼 있다고 덧붙였다.

류혁곤 아이콘루프 최고기술책임자(CTO)는 23일 <코인데스크코리아>와의 전화 통화에서 “(ADEVT 연구팀이 취약점을 발견한 모듈이) 현재 사용되고 있는 모듈인 것은 맞지만, 외부에서는 사용할 수 없다”라고 말했다. 그는 “(루프체인) 노드들은 아이콘 재단이 운영하고 있고 보안이 철저하게 유지되고 있는데 이 노드들을 해킹해야 해당 모듈을 사용할 수 있다”라고 덧붙였다.

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.