긴장하라, ‘51% 전사’가 등장했다

암호화폐 취약점 알리려 '51% 공격' 시연

등록 : 2018년 11월 16일 07:00 | 수정 : 2018년 11월 16일 00:06

이제 막 대학 생활을 시작한 학생이 당신의 암호화폐를 노리고 있다. 코인을 탈취해 부자가 되려는 것이 아니라, 암호화폐가 51% 공격에 얼마나 취약한지 직접 보여주려고 하는 일이다.

영화 ‘300’의 한 장면. 이미지=한겨레 자료사진

 

“geocold51”이라는 아이디를 사용하는 이 암호화폐 보안 연구가는 특히 소규모 암호화폐들이 업계가 가장 우려하는 51% 공격에 매우 취약하다고 주장한다. 곧 네트워크 전체 채굴 능력(mining power)의 절반 이상을 장악한 채굴자가 이미 발생한 거래를 삭제하고 새로운 거래로 대체하는 상황, 바로 이중 지불(double spend)이 발생할 수 있다는 것이다.

비트코인을 포함한 유명 암호화폐는 생태계가 구축되어 있어서 이런 종류의 공격에 내성을 갖추고 있지만, 채굴자 커뮤니티가 제대로 갖춰지지 않은 군소 암호화폐들은 허점이 많을 수밖에 없다. 확실히 코인 규모가 작을수록 51% 공격이 빈번히 발생하고 있다. 보안 업체 그룹원비(Group-1B)에 따르면 올 한해만 해도 2천만 달러 상당의 암호화폐가 이런 공격을 받아 도난당했다.

geocold51은 51% 공격이 얼마나 쉬운지 실제로 보여주기 위해 지난 10월 13일 시가 총액 4,700만 달러 규모의 비트코인 프라이빗(Bitcoin Private, BTCP)에 51% 공격을 하고, 이 과정을 인터넷으로 실시간 중계했다. geocold51은 암호화폐가 이렇게 쉽게 공격당한다면 값어치가 떨어지는 것 아니냐고 반문했다. 실시간 중계는 비트코인 프라이빗에서 이중 지불을 시연하기 직전에 차단됐지만, 어쨌든 공격에 든 비용은 다 해봤자 100달러 남짓에 그쳤다.

다시 한번 밝혀두지만, geocold51은 코인을 훔치려는 의도가 전혀 없었고, 보유한 비트코인 프라이빗 코인을 자신의 다른 지갑 두 개로 옮기는 시연을 했을 뿐이어서 다른 사용자나 거래소에는 전혀 피해가 없었다. 단지 많은 코인이 공격에 취약하고, 가치가 지나치게 부풀려졌다는 사실을 증명하려는 시도였다.

나쁜 의도를 가진 공격자가 자신이 지출한 비용의 두 배인 약 200달러 정도만 들이면 51% 공격을 실행하고 막대한 이득을 취할 수 있다고 geocold51은 예상했다. 즉, 거래소에서 비트코인 프라이빗 코인으로 비트코인을 사고, 그 첫 번째 거래를 무효로 하는 두 번째 거래를 ‘더 긴 체인’에 만들어서 비트코인 프라이빗을 돌려받고 (비트코인을 거저 준 셈이 되는) 거래소는 손해를 보는 식이다.

거래소를 통하는 프로세스는 비용이 더 들지만, 클라우드 컴퓨팅 덕분에 51% 공격으로 이익을 얻을 수 있다. geocold51은 클라우드 컴퓨팅이 없었다면 자신의 비트코인 프라이빗 공격에 약 10만 달러 상당의 하드웨어가 필요했을 것이라고 밝혔다.

“나이스해시(NiceHash) 등 해싱 파워를 빌려 쓸 수 있는 시장이 생기면서 51% 공격의 양상이 근본적으로 변화했다. (나쁜 의도를 가진 이들이 네트워크를 장악하지 못하도록) 충분한 해싱 파워로 보호되지 않으면서 고평가된 코인은 51% 공격의 좋은 먹잇감이 된다.”

geocold51이 레딧(Reddit)에 생방송 계획을 발표하자 ‘업보트’(upvote, 좋아요) 1,500개, 조회 수 6만 번을 기록하고, 도지코인(dogecoin, DOGE)의 창시자인 잭슨 팔머도 트윗에서 언급할 정도로 많은 관심을 끌었다.

geocold51은 인터넷을 통한 실시간 중계방송이 계획대로 진행되지 않았으므로, 완전한 51% 공격을 다시 한번 시도하고 시연 장면을 녹화해서 유튜브에 올리겠다고 밝혔다.

 

전설의 해커에 대한 오마주

이 젊은 보안 연구가의 계정을 보면 한 보안 권위자가 자연스럽게 떠오른다. geocold51은 자신이 전설적인 해커 geohot으로부터 영감을 받았다고 했다. geohot은 예전에 통신사와 앱에 대한 제약을 없애는 아이폰 탈옥에 성공한 일화로 유명하다. 요즘 geohot은 보안 문제를 파헤치는 인터넷 방송을 하고 있는데, geocold51은 그를 따라 암호화폐 생태계에서 같은 일을 하겠다는 의지를 아이디에 담은 것이다.

암호화폐에 대한 지식이 해박한 geocold51은 아마추어 채굴자들도 GPU 하드웨어를 이용해서 수익을 낼 수 있었던 시절에 꽤 많은 비트코인을 채굴했다. 이어 크립시(Cryptsy) 거래소를 통해 비트코인을 거래했는데, 거래소 최고경영자가 고객의 암호화폐 수백만 달러어치를 횡령하고 도주하는 바람에 보유한 비트코인을 거의 모두 잃고 말았다.

geocold51은 이 사건에도 불구하고 열정을 가지고 암호화폐를 계속 연구해왔고, 수백, 수천 가지 암호화폐가 쏟아져 나온 현시점에서 자신이 암호화폐 보안 문제 해결에 기여할 수 있으리라고 믿고 있다.

그의 노력에 동조하는 이들도 생겨났다. geocold51은 트위치(Twitch)를 통해서 888달러를 기부받았고, 레딧에 올린 포스트는 1,500여 개의 업보트를 받았다.

 

공격 개시

흥미롭게도 그의 첫 번째 목표는 비트코인 프라이빗이 아니었다.

geocold51은 먼저 라이트코인(litecoin, LTC)에서 포크한 시가총액 1,900만 달러, 하루 거래액 59만 달러 규모의 아인스타이늄(einsteinium, EMC2)을 표적으로 삼았었다. 그가 51% 공격 계획을 공표하고 실행에 옮기려고 하자, 채굴에 쓰이는 블록체인 네트워크의 전체 처리능력(processing power)을 뜻하는 해시레이트(hashrate)가 치솟고 있다고 그의 트위치 계정에 댓글이 달리기 시작했다.

아인스타이늄 이사회 구성원인 벤 컬랜드에 따르면, geocold51이 공격을 예고했기 때문에 체인 분리를 걱정한 아인스타이늄 커뮤니티가 해시레이트를 고의로 높인 것이다. 당시 아인스타이늄은 지갑을 업그레이드하던 중이어서, 사용자나 거래소가 제때 업그레이드를 마치지 못하면 손실을 볼 수도 있는 상황이었다.

해시레이트가 높아지는 것을 본 geocold51은 표적을 비트코인 프라이빗으로 바꿨다.

geocold51에 따르면, 생방송 조회수가 600회를 넘어서자 트위치 측이 “커뮤니티에 해를 끼칠 목적의 위협 시도” 조항을 들어 방송을 중단했다.

30분 뒤 스트림미(Stream.Me)에서 생방송을 다시 시작한 geocold51은 나이스해시에서 채굴자를 고용해 비트코인 프라이빗을 채굴할 수 있었다. 채굴을 시작하고 곧바로 블록 한 개를 채굴하고는 이내 50%를 넘는 해시 파워를 장악했다. 이윽고 “커뮤니티감시(CommunityWatch)”라는 계정이 “질문 있습니다. 지금 하시는 방송이 법에 저촉되지 않는지요?”라는 메시지를 보냈고, 얼마 안 가 스트림미 생방송도 끊겨버렸다.

geocold51이 코인데스크에 밝힌 바에 따르면 그는 당시 비트코인 프라이빗 해시레이트의 약 2/3를 장악하고 있었다. 첫 거래는 자신이 소유한 두 번째 지갑으로 보냈고, 오프라인 체인에서 자신의 세 번째 지갑으로 보내는 거래를 마친 상태였다. 이제 자신이 완성한 ‘더 긴 체인’을 네트워크에 전송해 51% 공격을 완료할 수도 있었지만, 공격이 얼마나 쉬운지 생방송으로 직접 보여주려고 시작된 일인 만큼, 생방송이 끊기자 공격도 같이 멈췄다.

 

공격을 막을 묘수는?

geocold51은 여기에 만족하지 않고, 다음 공격은 녹화해서 유튜브에 공유하겠다고 밝혔다.

한편, 암호화폐의 취약점이 노출되자 커뮤니티의 많은 사람이 우려하는 가운데, geocold51은 암호화폐 게임이론에 근거해서 코인의 보안을 강화할 방법이 있다고 말했다. 만일 대량의 코인 매각 시도가 있을 때, 커뮤니티가 잘 구성되어 있지 않고 유동성이 풍부하지 않으면 코인 가격은 크게 하락할 것이다. 따라서 해시 파워를 사서 네트워크를 장악할 수는 있지만, 51% 공격으로 돈을 벌기는 쉽지 않다.

이런 제약에도 불구하고 geocold51은 기부받은 돈으로 더 많은 암호화폐에 51% 공격을 실행할 계획이다. 사실 이미 51% 공격에 대비한 조처를 한 암호화폐를 의도적으로 골라내서 표적으로 삼을지도 모른다. 예를 들어, 호라이젠(Horizen, ZEN) 개발팀은 채굴자에게 특정한 벌칙을 가해서 51% 공격을 시작할 빌미를 주지 않는 방법을 개발했다. geocold51은 그러한 조처 덕분에 자신의 공격이 실패하기를 진심으로 바란다고 말했다.

한편, geocold51은 혼자서 51% 공격을 계획하고 실행에 옮기고 그 과정을 공을 들여 녹화, 편집해 소개하는 것도 좋지만, 자신의 생방송이 계획한 대로 진행되지 않아 약간 실망스럽다며 이런 말을 남겼다.

“생방송에는 나름대로 매력이 있다.”

트위치, 스트림미, 비트코인 프라이빗 측은 기사에 관한 취재 요청에 응하지 않았다.

번역: 뉴스페퍼민트

각종 제보 및 보도자료는 contact@coindeskkorea.com 으로 보내주세요.