하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

[주말판] 소문 무성한 블록체인, 보안에 적용 가능할까?
등록일 :
2018.09.15
블록체인, 이론적으로는 보안에 적용 가능한 특성 가지고 있어
의료 기관에서 어쩌면 가장 먼저 적용 사례 보게 될지도


[보안뉴스 문가용 기자] 블록체인이라는 이름 아래 여러 곳에 장부를 분산시키는 신기술은 이미 여러 분야에서 응용 및 적용되고 있다. 블록체인이 많은 곳에서 환호 받는 이유는 여러 가지고, 그 중 하나는 ‘안전을 보장해주는 기술’이라는 점이다. 그렇다면 블록체인이 안전을 도모하는 분야인 보안에 사용되지 못할 이유가 없어 보인다.

[이미지 = iclickart]


실제로 많은 보안 전문가들이 블록체인과 보안의 결합을 꿈꾸며 다양한 시도를 해왔다. 그리고 정말로 블록체인이라는 신기술이 보안에도 적용이 가능하다는 쪽으로 결론이 나고 있는 상황이다. 데이터와 네트워크, 신원과 사회 인프라를 보호하는 데에 있어 블록체인이 꽤나 좋은 효과를 발휘할 수 있다는 것이 증명되고 있다. 그래서 지금은 ‘블록체인도 보안에 적용 가능할까?’라고 아무도 묻지 않는다. ‘블록체인을 보안에 가장 적합하게 활용하려면 어떻게 해야 할까?’가 더 큰 문제다.

그러나 블록체인을 보안의 여기저기에 적용하기 전에 반드시 기억해야 할 것이 있다. ‘해킹이 불가능하다’는 점을 믿어서는 안 된다는 것이다. 물론 아직까지 블록체인 네트워크 자체를 뚫고 침투에 성공한 사례는 없지만, “블록체인은 해킹이 불가능하다”고 말할 수는 없다. 2018년 초에는 이른바 ‘51% 공격’이라는 것이 꽤나 유효한 위협이라는 것이 드러나기도 했다. 공격자가 블록체인 네트워크의 절반 이상을 통제하면 장부의 무결성을 훼손시킬 수 있다는 것이 바로 51% 공격의 이론인데, 이것이 실제로 증명이 된 것이다.

물론 51% 공격은 그리 쉬운 기법이 아니다. 게다가 공격에 들어가는 비용이 꽤나 높기도 하다. 하지만 51% 공격을 불가능의 영역에 올려놓을 수준은 아니다. 이 위협 역시 실재하는 가능성이라는 것이 중요하다. 그러므로 보안 전문가들이라면 블록체인을 그저 유용한 기술 중 하나로 봐야지, 해킹을 원천 차단시키는 꿈의 기술로서 접근하면 안 된다. 다음은 블록체인이 실제 적용되었거나 조만간 적용될 것 같은 보안 분야들이다.

1. 분산 신원
네트워크 상에서의 신원은 두 가지 형태로 구분된다. 사용자의 신원과 기기의 신원이 바로 그것이다. 사물인터넷의 경우 전통적 의미의 사용자가 없을 때가 많은데, 그렇기 때문에 장비 및 기기 자체의 신원을 확인하는 것이 매우 중요해진다. 이 지점에서 블록체인의 활용이 가능하다. 바로 이 사용자 없는 사물인터넷 기기들의 신원을 올바르게 유지시키는 것이다.

그래서 등장한 것이 아이오타(IOTA)다. ‘승인이 없는 블록체인’으로, 사물인터넷 장비들의 신원을 확립하고 유지시키는 것을 포함해, 사물인터넷을 안전하고 편리하게 활용하기 위한 방안들을 모색하고 있는 플랫폼이다. 소액 결제 인프라를 제공함으로써 소비자들과 조직들이 사물인터넷 서비스를 사용할 때마다 돈을 내는 방식인데, 기기 신원 인증을 위해 돈을 꼭 내야만 하는 건 아니다.

이 아이오타 모델의 기본 바탕은 탱글(Tangle)이라고 하는 개념인데, 이는 완전한 노드(Full Node)와 가벼운 노드(Light Node)로 구성되어 있다. 완전한 노드는 네트워크 내 정상적인 P2P 자격을 부여받은 구성원이고, 가벼운 노드는 거래의 완결을 위해서 완전한 노드에 연결되어야만 하는 구성원을 말한다. 탱글은 기존 블록체인의 응용 버전으로, 비교적 덜 강력한 기능을 가진 사물인터넷 기기들이 네트워크에 참여해 항상 신원이 보장된 상태로 기능을 발휘할 수 있도록 해준다.

2. 분산 스토리지
사이버 공격자들은 큰 데이터베이스를 대단히 좋아한다. 한 데이터베이스에 예를 들어 테라바이트 단위의 데이터가 들어있다고 한다면, 단 한 번의 성공으로 엄청난 정보를 얻어낼 수 있게 되기 때문이다. 이 지점에서 블록체인의 활용도가 하나 나타난다. 데이터를 여러 곳에 분산시켜 저장하는 것이다. 물론 이 경우 각 노드의 무결성이 보장되는 것이 가장 중요하다.

블록체인으로 구현된 분산 저장이 갖고 있는 중요한 기능 중 하나는 데이터의 무결성이다. 데이터가 변경될 때마다, 그 변경의 주체와 대상이 무엇이든, 변경 내용이 먼저 블록체인에 의해 확인되어야 한다. 즉 변경이 용이하지 않다는 건데, 그것 자체로 데이터베이스의 보안이 강화된 것이라고 볼 수 있다.

또한 이러한 분산 저장 데이터 모델은 IoT에 적용하는 부분에 있어서도 유용하다. IoT란 센서와 제어 장치에 어마어마한 데이터가 생성되는 생태계인데, 필요한 데이터 일부가 분산 저장을 위해 로컬에 저장된다면 네트워크를 통해 데이터를 요청하는 것보다 안전해진다. 특히 데이터가 한 곳에 몰려있는 중앙 서버의 해킹 걱정이 상당히 줄어들 수 있다.

3. 강제된 책임성
누구나 보안이 중요하다고 말할 줄 안다. 그러나 투자자들과 관련 정책의 책임자들은 립 서비스 이상을 원하기 마련이다. 즉, “보안이 중요하다는 걸 몸소 실천하고 있다는 증거”를 보고 싶어 하는 것이다. 블록체인이 이러한 ‘증거 제공’의 역할을 담당할 수 있다.

이런 개념을 실제 서비스로 제공하고 있는 회사가 있으니 바로 세이지(Xage)이다. 조직들에게 확인이 가능한 컴플라이언스를 블록체인을 기반으로 제공하고 있다. 세이지의 CEO인 던칸 그레이트우드(Duncan Greatwood)는 “블록체인의 가장 큰 장점 중 하나가 바로 책임성 향상”이라고 설명한다. “블록체인은 그 특성상 모든 변화를 확인하고 기록합니다. 그러므로 뭔가 잘못되었을 때 감사나 포렌식을 할 수 있게 해줍니다.”

블록체인의 장부 구조는 보안과 인프라 관리에 있어서 감사 지원 기능에 배고팠던 사람들을 만족시킬 수 있을 것으로 보인다. 그레이트우드는 “물론 블록체인의 확인 기능을 스푸핑하는 게 완전히 불가능한 건 아니지만, 지금까지보다 훨씬 저렴한 비용과 노력으로 규정 준수와 감사를 실시할 수 있게 된다”고 설명한다.

4. 데이터의 무결성
모든 변화의 증거가 남기 때문에 블록체인이 컴플라이언스와 책임성을 강화시킨다는 것도 장점이지만, 그렇기 때문에 데이터 무결성이 유지된다는 것도 블록체인의 강점이다. “블록체인은 탈중앙화 된, 데이터 변경이 쉽지 않은 구조를 가지고 있습니다. 그 안에는 비밀번호부터 정책까지, 시스템 운영에 필요한 모든 정보를 저장하는 게 가능하고요.” 그레이트우드의 설명이다. “그러나 시스템 전체적인 변화를 한 노드에서만 일으킬 수 없다는 것도 기억해야 합니다.”

비트코인에도 이 점이 활용되고 있다. 비트코인에서 매우 중요한 기능 중 하나는 연결된 타임스탬핑(linked timestamping)인데, 블록체인 내 데이터의 무결성을 확인해주는, 필수불가결의 기능이다. 에스토니아 정부를 위해 공식적으로 확인 가능한 보안 시스템을 만드는 데 참여한 보안 기업 가드타임(Guardtime)은 블록체인을 활용해 데이터 무결성을 확인시켜주는 서비스를 제공하고 있다.

데이터 변경이 쉽지 않고, 모든 변화에 있어서 확인이 필요하며, 기록이 남는다는 점 때문에 블록체인은 데이터의 무결성을 지키는 데 적합한 툴이 된다.

5. 주요 인프라 보호
최근 들어 주요 인프라를 보호한다는 게 점점 더 어려워지고 있다. 그레이트우드는 “러시아 공격자들이 전기 공급망에 RAT를 남겨둔 것이 발견되면서, 인프라 보안에 비상등이 켜졌죠. 산업 제어 시스템 관리자들에게 있어 인프라를 겨냥한 사이버 공격은 새로운 문젯거리입니다.”

혹시 블록체인이 이 부분에 도움을 줄 수 있을까? 데이터 변화가 반드시 확인되어야 하고 거래가 투명하게 일어난다는 점 때문에 답은 ‘YES’이다. 인프라 시스템이 블록체인으로 보호되면 이 투명함 때문에 멀웨어가 오랜 시간 숨어있다는 게 불가능해진다. 또한 침투한 해커들이 데이터에 악의적인 변경을 일으키는 것도 불가능하게 된다.

6. 분산된 암호화
데이터 보안에 있어 데이터 암호화는 매우 기본적인 장치이다. 그러나 암호화는 키의 보관 문제라는 치명적일 수 있는 약점을 가지고 있다. 공격자가 키의 저장소를 찾아내면, 아무리 강력한 암호화 알고리즘이라도 무용지물이 된다. 그러므로 비밀번호와 같은 중요한 정보도 위험해진다.

그런데 최근 서트코인(CertCoin)이라는 것이 나왔다. PKI(공개 키 기반구조)에 탈중앙화 개념을 최초로 접목시킨 연구물이자 기술로, 블록체인을 인증과 암호화에 적용한 것이라고 볼 수 있다. 서트코인 연구자들에 의하면 “서트코인은 도메인들 및 관련된 공개 키들을 공개 장부에 저장하는 개념”이라고 설명한다.

이는 굉장히 혼란스러운 설명이다. 키를 공개적인 장소에 모두가 볼 수 있게 기록한다니, 이게 무슨 말일까? 오히려 아무도 보지 못하는 곳에 꼭꼭 감춰두어야 하는 게 아닐까? 여기서 생각해야 할 건 블록체인의 ‘분산된 구조’와 ‘해시 알고리즘의 복잡성’이다. 이 두 가지가 복합적으로 작용하기 때문에 기존의 해킹 툴들 대부분은 쓸모가 없어진다. 물론 이론상 그렇다는 이야기이고, 해커가 또 어떤 기발한 수를 들고 나올지 모르지만, 아직까지는 블록체인과 암호화의 궁합은 꽤나 좋아 보인다.

7. 특별한 경우 : 의료 분야
의료 분야에 저장되는 각종 민감한 정보들은 다크웹에서도 비싸게 거래되는 것들이다. 게다가 의료 분야에는 이러한 정보가 산처럼 가득하다. 그렇기 때문에 공격자들이 호시탐탐 기회를 엿보고 있고, 이 때문에 일부 보안 전문가들이 블록체인을 사용해 의료 기록들을 보호하는 방법을 연구하기 시작했다.

그런 연구를 현재 선두에서 지휘하고 있는 기업이 메디칼체인(MedicalChain)이다. 이미 블록체인을 사용해 주요 의료 정보들을 저장하는 파일럿 프로그램을 시작했다. 블록체인이 건강 정보 교환 및 유통을 위한 아키텍처로서 작용한다. 여기에 정보가 한 번 저장되면 모든 의료인들이 이 정보에 접근할 수 있게 된다. 정보 저장이 크게 어렵지 않고, 노드를 추가하는 것 또한 간편하다. 동시에 컴플라이언스와 데이터 무결성을 유지하는 것 또한 가능하게 된다. 블록체인에 참여하지 않는 이상 이 정보를 열람할 수 없고 말이다.

최근 메이오클리닉(Mayo Clinic)이란 의료 기관에서 메디칼체인과 함께 블록체인의 적용을 긍정적으로 검토하고 있다는 발표를 한 적 있다. 메이오클리닉은 의료 산업의 기술 적용을 주로 먼저 하는 기관으로, 메이오가 적용한 기술은 빠르게 의료 산업 내로 퍼져간다는 점을 생각해보면, 블록체인으로 강화된 보안의 실제 적용 사례를 의료 기관에서 곧 볼 수 있을 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top