암호화폐 개발자들이 IOTA를 싫어하는 이유?
이 기사를 공유합니다
Alyssa Hertig
Alyssa Hertig 2018년 4월20일 06:00
이미지 출처: blog.iota.org


암호화폐 세계만큼 미래를 향한 장밋빛 전망과 야망으로 가득 찬 곳도 또 없을 것이다. 그 가운데서도 이른바 사물인터넷(internet of things, IoT)은 관련한 숱한 전망과 다양한 이야기가 가득한 분야다.

사물인터넷이란 손목시계, 냉장고, 자동차 등 우리 주변에 있는 거의 모든 사물이 인터넷으로 서로 연결돼 서로 이야기하듯 정보를 주고받는다는 개념이다. 예를 들어 냉장고 안에 들어있는 우유병에도 센서가 있어서 우유가 거의 바닥이 나면 알아서 동네 슈퍼에 우유를 새로 주문해놓는 식이다.

이오타(IOTA) 프로젝트는 이러한 사물인터넷에 암호화폐 기술을 접목해 새로운 시장을 개척할 것으로 많은 기대를 받았다. 실제로 뉴욕에서 열리는 테크 관련 모임에 나가보면 이오타의 기반 기술이기도 한 "블록체인 없는 블록체인", 이른바 "탱클(tangle)"이라는 기술이 블록체인의 미래가 될 것이라고 말하는 개발자들을 흔히 만날 수 있다.

이오타는 현재 모든 것이 중앙에서 통제되는 시스템을 송두리째 바꾸고 사업에 드는 시간과 비용을 절감해줄 뿐만 아니라 블록체인 업계가 봉착한 여러 기술적인 난관을 극복할 열쇠로 꼽힌다. 예를 들어 거래량이 많아지면 속도가 느려지고 수수료도 더 많이 드는 이른바 확장성의 문제부터 암호화폐 채굴에 엄청난 양의 에너지가 쓰이는 문제 등 산적한 문제에 이오타와 탱글은 완전히 새로운 해법을 제시한다.

이오타의 공동창업자인 데이비드 손스테보는 코인데스크와의 인터뷰에서 이를 다음과 같이 설명했다.

"이오타 프로젝트는 블록체인 이상의 기술과 해법을 찾아 나선 첫 번째 프로젝트다. 채굴 과정을 없앴고, 수수료가 없기 때문에 거래 과정에서 발생하는 수많은 문제도 근본적으로 해결됐다."

폭스바겐과 대만 타이베이시를 비롯해 유수의 대기업과 정부가 이오타 프로젝트와 제휴를 맺었다. 이오타에 투자하거나 파트너가 된 기업이나 기관 이름만 살펴보면 이오타가 그리는 미래는 더욱 밝아만 보인다.

하지만 이오타 프로젝트에 몸담은 개발자와 암호 전문가를 비롯한 팀원 150명은 아직 뚜렷한 실행 계획을 세워 흔들림 없이 앞으로 나아가지 못하고 있다. 또한, 특히 이오타 프로젝트의 약점으로 꼽히는 보안 문제에 대한 비판이 제기될 때마다 효율적으로 대응하지도 못했다.

그러자 전문가들 사이에서도 이오타가 내놓은 야심 찬 아이디어들이 과연 현실에서 구현될 수 있을지 의문을 제기하는 이들이 늘어났다. 가장 큰 문제는 현재 시가총액 37억 달러 규모에 이르는 이오타 프로젝트가 실패하면 수많은 투자자와 지지자, 이용자들이 아무런 소득도 얻지 못한 채 버려질지 모른다는 점이다.

히브루대학교의 선임 강사이자 암호 연구자인 아비브 조하르는 "특히 시가총액이 너무 크기 때문에 문제가 더욱 심각하다"고 말했다. 조하르는 이미 이오타 프로젝트의 맹점을 지적한 연구가 많이 나왔으며, 앞으로 발표될 연구도 많다고 덧붙였다. 소위 '이오타 때리기'가 수그러들 기미가 보이지 않는다는 것이다.
당장 나부터 이오타를 기꺼이 싫어할 이유가 너무 많다.

MIT에서 불붙은 논쟁

조하르 말고도 이오타에 비판적인 전문가를 찾기는 어렵지 않다. 지난해 9월 MIT의 디지털 화폐 연구(Digital Currency Initiative)에 참여한 연구진들은 이오타의 기술을 조사한 결과 프로젝트 코드에서 취약한 부분을 발견했다고 발표했다. 이후 이오타의 기술을 둘러싼 부정적인 평가가 이어졌다.

연구진은 이오타 개발자들이 자체적으로 만든 (P-Curl이라는) 해시함수로 시스템 내에 데이터를 저장했다는 점을 크게 우려했다. 암호학 전문가들 사이에서는 오랫동안 연구되고 숱한 비판을 거쳐 다듬고 다듬은 기존의 해시함수를 쓰는 것이 훨씬 낫다는 의견이 우세하다.

이에 이오타 개발자들은 오픈소스 소프트웨어를 다른 누군가가 함부로 복제하지 못하게 하려고 일부러 자체 해시함수를 썼다고 반박했다.

연구진은 이오타 개발자의 해명은 전혀 설득력이 없다며 다시 반론을 제기했다. 오픈소스 소프트웨어라는 것 자체가 개발자 커뮤니티 안에서 누구든 원하면 복제해서 사용하라는 취지인데, 복제를 막기 위해 자체 해시함수를 썼다는 건 말이 안 된다는 것이다. 존스홉킨스의 암호학자 매튜 그린 교수도 트윗을 올려 이 점을 꼬집었다.

"도대체 내가 왜 저들이 만든 안전하지 못한 해시함수를 안전하다고 믿어야 하는지, 아직 제대로 된 설명을 이오타 개발자들에게서 듣지 못했다."

이후 논란이 과열되면서 문제가 걷잡을 수 없이 커졌다.

이오타 프로젝트의 공동창업자 세르게이 이반체글로는 해시함수의 취약성을 지적한 연구진 가운데 한 명인 보스턴대학교의 이튼 헤일만을 위협하는 트윗을 올리기에 이르렀다.

"이미 변호사들이 문제를 검토하고 있다. (이튼 헤일만은) 각오하는 게 좋을 것이다."

2월 말 열린 2018 금융 분야 암호화폐 콘퍼런스에서 이반체글로의 트윗을 둘러싸고 많은 논쟁이 벌어졌다. 자기들끼리만 아는 복잡한 문제로 논쟁을 벌이다 감정싸움으로 번져 서로 얼굴을 붉히는 일은 암호화폐 업계에서도 흔한 일이긴 하지만, 연구진은 특히 법정 소송을 불사하는 태도를 보이는 것이 건전한 비판마저 용납하지 않겠다는 발상으로 보인다며 큰 우려를 표명했다.

유니버시티 칼리지 런던의 컴퓨터과학자 사라 아주비는 코인데스크에 이렇게 말했다.
창업자가 직접 나서 연구자를 고소하는 것은 정말로 대단히 우려스럽다. 연구진은 서비스와 제품을 꼼꼼히 분석하고 평가해 결국 더 안전하고 좋은 서비스를 만들 수 있도록 해주는 맡은바 임무를 다한 것뿐이다. 이번 소송 때문에 사람들이 버그를 신고하는 것조차 주저하게 된다면 이는 정말로 심각한 폐해를 낳는 셈이다.

400만 달러 손실

자체적으로 만든 해시함수 때문에 이오타 이용자가 돈을 잃은 사례는 없는 것으로 보인다. 하지만 이오타 이용자 가운데 암호화폐 상당량을 분실한 이들이 있다. 손실액만 해도 400만 달러에 이르는데, 업계 전문가들 가운데 사고의 원인으로 이오타 측의 심각한 무능을 꼽는 이들이 적지 않다.

이오타의 공식 지갑은 이용자가 암호화폐를 안전하게 보관하는 데 쓰는 개인 열쇠를 만드는 데 필요한 시드 생성 방식을 지원하지 않았다. 이오타 재단은 난수를 생성해 안전하게 보관하는 방법을 자세히 설명하며 검증된 난수 생성 웹사이트 목록까지 친절하게 적어놓았다. 하지만 이용자 가운데 검증된 웹사이트 대신 아무 웹사이트에서 난수를 생성해 비밀번호로 사용한 이들이 있었고, 이 가운데 한 곳에서 생성된 난수가 도용됐으며, 범인들은 훔친 난수로 이오타 지갑을 열고 암호화폐를 훔쳐갔다.

이오타의 공동창업자 손스테보는 "안일하게 생각한 사람들이 안전하게 보관해야 할 개인 열쇠를 쓰레기만도 못한 범인들에게 쥐어준 꼴"이라며, "정말 안타까운 일"이라고 말했다.

하지만 이오타가 잘못한 일이고 결국은 이오타의 책임이 크다고 비판하는 사람도 많다. 즉, 이오타 재단이 공식 지갑에 시드 생성기를 달아놓았으면 됐을, 너무나도 간단한 문제라는 것이다.

"핸런의 면도날이 떠오른다. 누가 봐도 어리석음 때문에, 멍청해서 일어난 일인데 누군가의 악의를 탓하고 있다."

라이트닝 네트워크 개발자이자 암호 전문가이기도 한 태지 드리자가 유명한 경구를 인용해 남긴 트윗이다. 그는 이어 코드 한 줄만 써넣으면 시드 생성기를 달 수 있는데, 그토록 간단한 일마저 하지 않은 것이야말로 "악의가 있는 것 아닌지" 의심스럽다고 꼬집었다.

이용자에게 시드 생성기를 제공하지 않는 암호화폐 프로젝트에 대해 헤일만은 코인데스크에 이해할 수 없는 처사라고 말했다.

"암호와 관련된 거의 모든 소프트웨어는 이용자가 사용할 수 있는 난수를 생성하는 기능을 직접 지원한다. 이용자더러 난수를 알아서 생성해 보안을 책임지라고 하는 건 위험하기 짝이 없다. 이용자는 나쁜 의도로 쳐 놓은 덫에 얼마든지 걸릴 수 있다."

이 문제에 관해서는 이오타 공동창업자들의 의견마저 엇갈린다.

먼저 도미닉 시에너는 현재 이용자들이 처한 상황이 이상적인 상황이 결코 아니라는 점을 인정하면서도 이오타가 말 그대로 뭇매를 맞는 지금 상황은 옳지 않다고 주장했다. 굳이 이오타가 아니더라도 원래 암호화폐나 암호 커뮤니티의 상황이 대개 아직 안정되지 않았다는 것이다. 반면 손스테보는 난수를 생성해 보안을 지킬지 말지도 이용자들의 판단과 선택에 맡기기로 한 건 이오타 프로젝트의 정신과 맞닿아있다고 주장했다.
직접 난수를 사용할지 말지도 이용자 개개인의 판단에 맡겼다. 우리는 지금 암호 업계에 있지 않나. 원래 암호 업계의 기본적인 철칙이 있다면 다른 누구도 믿지 말라는 것이다.

그러면서도 손스테보는 앞으로 몇 주 안에 이오타가 트리니티라는 이름의 새로운 지갑을 출시해 이 문제를 보완할 계획이라고 밝혔다. 트리니티 지갑에는 난수 생성기가 내장돼 있고, 이오타 팀이 추가로 보안 검사를 할 계획이다. 손스테보는 "보안이 그렇게 걱정된다면 우리가 철저히 해드리는 수도 있다"고 말했다.

원대한 목표는 좋다지만, 현실에서 쓸모가 없다면...

주소를 정하는 방식(addressing scheme)이 독특한 것도 이오타의 특징 가운데 하나다.

이오타 측은 (현재 암호화폐 시스템을 지탱하는 해시함수 계산 속도에 따른 암호화 방식을 엄청나게 빠른 연산 속도로 해제할 수 있는) 양자 컴퓨터가 도입되어도 유용한 방식을 도입해 이오타의 주소 지정 방식을 만들었다고 홍보해 왔다. 하지만 이용자들이 주소를 매번 접속할 때마다 바꾸지 않으면 도용당할 위험이 너무 커 이용자들은 불편하면서도 딱히 더 안전하지도 않은 방식을 고수하는 이오타 측에 불만을 쏟아냈다.

"guselbindel"이라는 아이디를 쓰는 레딧 이용자는 두 달 전 이런 방식으로 해킹을 당해 3만 달러를 잃어버렸다고 썼다. 실제로 이보다 더한 문제도 발생할 수 있다. 보안 업체 레커테크의 연구원 빌렘 핀커스는 퍼블릭 키를 이용하지 않고도 이용자의 주소를 알아낼 수 있는 방법을 발견하기도 했다. 블록체인 컨설턴트 피터 토드는 "(원래 공개되어도 보안에 전혀 영향을 주지 않아야 할) 퍼블릭 키를 보안상의 이유로 두 번 이상 쓸 수 없다는 사실 자체가 정말 말도 안 되는 것"이라고 트위터에 썼다.

결국, 엄청나게 원대한 야망과 실제 가능성을 조금씩이라도 입증해야 하는 실행 능력 사이의 괴리에 이오타를 향한 비판이 집중되는 것 같다. 이오타는 허가가 필요 없으며(permissionless), 확장성 문제를 해결한 솔루션임을 자랑스레 내걸고 있다. 하지만 이러한 특징도 꼼꼼히 따져보면 꼭 그렇지 않은 면이 있다.

먼저 이오타는 암호화폐 세계에서 대체로 통용되는 기준에 비춰봤을 때 중앙집권 성향이 강하다. 즉, 이오타 개발팀이 프로토콜 전반에 상당히 막강한 영향력을 행사한다. 이오타 이용자들이 이 사실을 확실히 체감할 수 있던 사건도 있었다. 한 번은 이용자들의 투자금에 대한 보안에 취약점을 발견한 이오타 재단이 곧바로 이용자들의 이오타 코인 수조 개를 압류해버린 것이다.

보안 문제를 해결하고 약점을 보강한 뒤 재단은 즉시 압류했던 코인을 이용자들에게 돌려줬지만, 이 일을 계기로 이오타는 개발자들이 너무 많은 권한을 행사한다는 이미지가 모두의 기억 속에 선명하게 남았다. 여전히 이오타 웹사이트와 마케팅 문건에는 탈중앙화가 핵심 가치라고 나와 있지만, 이오타를 바라보는 시선은 곱지 않다.

손스테보는 심지어 이를 부인하지도 않는다. 지금 상황은 "아직 탈중앙화에 완전히 이르지 못한 준중앙화(semi-centralized) 상태"라는 것이다. 그는 또 중앙에서 관리하는 코디네이터 노드가 있다는 점도 분명히 했다.

현재 이오타에서는 코디네이터 노드를 거치지 않고도 거래를 증명할 수 있게 돼 있다. 하지만 보안이 확실하지 않기 때문에 네트워크상의 신뢰 대부분이 중앙 코디네이터 노드에 집중돼 있다.

물론 이오타 개발자들은 열심히 개선책을 찾고 있다. 손스테보는 "비트코인을 비롯한 다른 암호화폐들이 갈수록 탈중앙화 목표에 근접해 가는 것처럼 이오타도 나아지고 있다"고 말했다. 그는 또 "이오타뿐 아니라 사실상 거의 모든 암호화폐가 시간을 두고 조금씩 나아질 것이라고 약속하고 있지 않느냐"고 반문하기도 했다.
하루아침에 완전히 분산된 탈중앙 네트워크를 만들 수는 없는 일이다. (부족하더라도) 어딘가에서 첫걸음을 내딛는 것이 중요하다.

번역: 뉴스페퍼민트
· This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.
· Translated by NewsPeppermint.

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.