블록 체인 보안 | 블록체인의 모든 것 [세상의모든지식 X 챔프], 22 개의 가장 정확한 답변

당신은 주제를 찾고 있습니까 “블록 체인 보안 – 블록체인의 모든 것 [세상의모든지식 X 챔프],“? 다음 카테고리의 웹사이트 ppa.maxfit.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.maxfit.vn/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 세상의모든지식 이(가) 작성한 기사에는 조회수 50,597회 및 좋아요 921개 개의 좋아요가 있습니다.

블록 체인 보안 주제에 대한 동영상 보기

여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!

d여기에서 블록체인의 모든 것 [세상의모든지식 X 챔프], – 블록 체인 보안 주제에 대한 세부정보를 참조하세요

4차 산업혁명의 화두라고 불리며 요즘 가장 주목받고 있는 새로운 데이터 보안 기술, 블록체인~!!
사실~ 블록체인 기술은 금융뿐 아니라 정치, 경제, 교육, 의료, 환경, 과학 등
그 쓰임새와 활용도가 어마어마해 제2의 인터넷 혁명이라고 불릴 정도다.
블록체인은 누가 먼저~ 또 어떻게 활용하느냐에 따라~
기업의 앞날도 달라질 수 있을 만큼 엄청난 능력을 가졌는데,
4차 산업혁명의 가장 핵심적인 기술, 블록체인에 대해 알아보자.
기술 백과사전은 챔프(국가인적자원개발컨소시엄)와 협업으로 제작되었습니다.
국가인적자원개발컨소시엄의 다른 영상을 보실분은 아래 링크에서 확인하시면 됩니다^^
https://www.youtube.com/channel/UCwdj30TSf8pcDFrBNyTPdUg
세모지 멤버십에 가입하시면 좀 더 일찍 세모지 영상을 보실수 있습니다.
멤버십 링크 → https://www.youtube.com/channel/UCCsGPRmHOXhF4WTYs7ght9g/join
우리 모두 지식인이 되는 그날까지 열심히 영상 만들겠습니다.
구독, 좋아요, 알람설정도 부탁드려요~ ^^
#블록체인 #비트코인 #가상화폐

블록 체인 보안 주제에 대한 자세한 내용은 여기를 참조하세요.

[보고서]보안 분야 블록체인 기술 동향 및 적용 사례 – ScienceON

1. 서언 블록체인은 절대적인 보안과 신뢰 제공 모델을 바탕으로 구축된 탈중앙화된 분산 전자 원장이다. 거래는 암호화를 사용해 시간 순으로, 공개적으로 기록되며 …

+ 여기에 더 보기

Source: scienceon.kisti.re.kr

Date Published: 10/4/2022

View: 4362

블록체인 보안 – 해시넷 위키

블록체인 보안(블록체인 保安, blockchain security)이란 대내외의 공격으로부터 블록체인상의 정보 자산을 안전하게 지키는 행위를 말한다.

+ 여기에 더 보기

Source: wiki.hash.kr

Date Published: 8/25/2022

View: 9697

블록체인 기술 및 보안 위협 분석 – Korea Science

블록체인(Block chain, Blockchain)은 관리 대상 데. 이터를 ‘블록’이라고 하는 소규모 데이터들이 P2P 방. 식을 기반으로 생성된 체인 형태의 연결고리 기반 분. 산 …

+ 여기에 표시

Source: www.koreascience.or.kr

Date Published: 3/30/2021

View: 9404

2. 블록체인 및 비트코인 보안 기술.hwp

블록체인 및 비트코인 보안 기술. (보안연구부 보안기술팀 / 2015.11.23). □ 개요 o 블록체인(BlockChain)은 보안성, 무결성을 제공하는 저장 플랫폼으로써,.

+ 자세한 내용은 여기를 클릭하십시오

Source: www.fsec.or.kr

Date Published: 12/4/2021

View: 4481

블록체인에 푹 빠진 보안업계…주도권 경쟁 시작 – 아이뉴스24

암호화폐 지갑·신원증명·솔루션 연동…전방위 확대. [아이뉴스24 김혜경 기자] 국내 보안기업들이 블록체인을 미래 성장 동력으로 점찍고 사업 확장에 …

+ 여기에 더 보기

Source: www.inews24.com

Date Published: 11/27/2022

View: 9228

[보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 1편

‘블록체인(혹은 분산원장기술)’이라는 용어는 이제 ICT(Information and Communication Technology, 정보통신기술) 분야에서 일상적인 단어가 …

+ 여기에 보기

Source: blog.lgcns.com

Date Published: 1/13/2022

View: 1296

네트워크 보안 기술인 블록체인 – Lantek

엘리트 주의적 의미가 아닌 보안 측면에서 폐쇄된 공동체 내에서 금전 거래를 하기 위한 비트코인의 출현으로 블록체인이 탄생하게 되었다. 블록체인 기술은 침입할 수 …

+ 자세한 내용은 여기를 클릭하십시오

Source: www.lantek.com

Date Published: 1/13/2022

View: 1728

[구멍난 블록체인 보안] ③ “블록체인 서비스 보안 구멍 많다 …

블록체인 업계 전반에 해킹 주의보가 내려졌다. 연일 블록체인 관련 해킹 사태가 벌어지고 있지만 뚜렷한 보안 대책이 마련되지 않고 있다.

+ 여기에 더 보기

Source: www.techm.kr

Date Published: 4/21/2021

View: 5552

블록체인 보안 강화 방안은? – Sciencetimes – 사이언스타임즈

블록체인 기술은 거래 정보를 하나의 암호화된 블록으로 묶어 거래 참여자들에게 공유한다. 데이터는 체인 형태의 연결고리 기반 분산 데이터 저장 환경에 …

+ 여기에 자세히 보기

Source: www.sciencetimes.co.kr

Date Published: 7/3/2022

View: 1928

주제와 관련된 이미지 블록 체인 보안

주제와 관련된 더 많은 사진을 참조하십시오 블록체인의 모든 것 [세상의모든지식 X 챔프],. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.

블록체인의 모든 것 [세상의모든지식 X 챔프],
블록체인의 모든 것 [세상의모든지식 X 챔프],

주제에 대한 기사 평가 블록 체인 보안

  • Author: 세상의모든지식
  • Views: 조회수 50,597회
  • Likes: 좋아요 921개
  • Date Published: 2020. 9. 7.
  • Video Url link: https://www.youtube.com/watch?v=3lrAaCWUSWs

[보고서]보안 분야 블록체인 기술 동향 및 적용 사례

초록

1. 서언

블록체인은 절대적인 보안과 신뢰 제공 모델을 바탕으로 구축된 탈중앙화된 분산 전자 원장이다. 거래는 암호화를 사용해 시간 순으로, 공개적으로 기록되며 각각 1회용 스탬프가 찍히고 이전 거래와 연결된다. 이런 디지털 ‘블록’은 모든 참가자의 동의를 통해서만 업데이트가 가능하므로 데이터 가로채기, 수정, 삭제가 거의 불가능하다. 그 결과 블록체인은 가트너의 “2016년 하이프 사이클(hype cycle)의 정점”에 도달한 이후, 특히 금융 서비스, 에너지, 제조 분야에서 업계 리더가 되기 위한 우선 요소로 부상했다. 가장 잘 알려진 사용 사례는 비트코인 결제 인증이지만 콘텐츠 전송 네트워크, 스마트그리드 시스템과 같은 애플리케이션 분야에도 확장 적용할 수 있다. 블록체인은 데이터 무결성과 디지털 ID를 개선하고 IoT 기기의 안전성을 높여 DDoS 공격을 차단하는 등 모든 분야를 더 개선할 잠재력을 지녔다. 실제로 블록체인은 ‘CIA의 3요소’인 기밀성(confidentiality), 무결성(integrity), 가용성(availability)을 포괄해 더 강화된 탄력성과 암호화, 감사, 투명성을 제공할 수 있다[1].

최근 들어 국내외 보안업체가 블록체인으로 성장 동력을 강화하고 있다[2]. 특히 암호 인증 분야의 기술을 갖고 있는 기업들을 중심으로 블록체인 사업을 연계하려는 움직임이 활발하게 전개되고 있는 시점에서 본 분석보고서에서는 4차산업혁명에 적응하기 위한 기업들의 디지털 전환 변화에 기여할 블록체인의 보안 분야 기술 동향과 적용 사례 분석을 통하여 블록체인 기술의 연구개발 방향과 어떻게 산업 현장에 접목하여 기업 활동의 안전성을 높일 것인가의 문제를 살펴보고자 한다.

2. 블록체인 기술 동향

2.1. 블록체인/블록체인 기반 보안기술

2.1.1. 블록체인 기술 5가지 정의[3]

블록체인 기술은 분산원장 기술 이상의 개념을 포함하고 있으며, 블록체인 정의는 ‘글로벌 신뢰컴퓨터’로 간주할 수 있다. 그림 1은 블록체인을 정의하는 5가지 방법을 요약한 것이며, 가장 적절한 정의는 3번째 ‘스마트계약 실행 플랫폼’과 4번째 ‘글로벌 신뢰컴퓨터’로 볼 수 있다. 여기서 스마트계약이란 블록체인 컴퓨터에서 실행되는 소프트웨어로 간주할 수 있다.

그림 1. 블록체인 기술의 5가지 정의

2.1.2. 블록체인의 특성[4]

? 분산화: 기존 중앙집중식 트랜잭션 시스템에서 각각의 트랜잭션은 신뢰된 중앙서버(예를 들어, 중앙은행)를 통해 검증되어야 하므로 중앙서버에서 비용 및 성능 병목현상을 초래한다. 블록체인에서는 중앙집중식 시스템과는 달리 제3의 신뢰기관을 요구하지 않는다. 블록체인에서 합의 기법은 분산 네트워크에서 데이터의 일관성을 유지하는 데 사용된다.

? 불변성: 체인상의 트랜잭션은 신속하게 검증될 수 있으며 유효하지 않은 트랜잭션은 블록체인의 노드들에 의해 받아들여지지 않는다. 일단 트랜잭션이 블록체인에 기록되면 해당 내용을 삭제하거나 되돌리는 것이 거의 불가능하다. 유효하지 않은 트랜잭션을 포함하고 있는 노드의 블록은 즉시 발견될 수 있다.

? 익명성: 각 사용자는 자신의 유사 익명 주소로 블록체인과 상호 동작한다. 이 주소는 사용자 실체 신원 식별 정보가 포함되지 않는다. 따라서 사용자 익명성은 보존될 수 있다. 그러나 블록체인은 트랜잭션 내용을 모두 공개하므로 트랜잭션 익명성은 보장될 수 없다.

? 추적성: 모든 트랜잭션은 블록상 노드들에 할당된 이전 미사용 트랜잭션에 참조된다. 현재 트랜잭션이 블록체인에 기록되면 참조된 미사용 트랜잭션의 상태는 사용되지 않은 상태에서 사용된 상태로 전환된다. 따라서 모든 트랜잭션은 쉽게 확인하고 추적할 수 있다.

블록체인/블록체인 기반 보안기술은 원천 핵심기술, 플랫폼 기술, 보안 서비스 기술 등에 따라 다양하게 표 1과 같이 분류된다. 블록체인 기술 발전과 더불어 전 산업 영역으로 적용 범위가 점점 확대되고 있는 기술 분야이다.

표 1. 블록체인/블록체인 기반 보안 핵심기술 분류[5]

기반 기술

세부 기술

원천

핵심기술

블록체인 거래 검증 및 합의 기술

내외부 공격자에게 장악된 노드로 인해 거래 유효성이 조작되지 않도록 검증 및 합의하는 기술

블록체인 자산 보호를 위한 키 관리 기술

키를 분실하여 자산을 거래하지 못하거나 도난당한 키가 공격자에 의해 악용되는 것을 방지하기 위한 기술

플랫폼

기술

블록체인 참여자 식별 및 접근통제 기술

참여자를 식별하여 운영 주체가 인증서 등 참여자 식별 정보를 관리하고 이를 기반으로 거래 정보에 대한 접근을 통제하는 기술

블록체인 참여자 검증 및 모니터링 기술

프라이빗블록체인의 경우 참여자의 보안 수준이 일관성 있게 유지되도록 신규 참여자에 대한 보안성 검증 기준을 강화 및 마련하고 지속적으로 관리하는 기술

블록체인 비정상 거래 탐지 및 차단 기술

블록체인에서는 비정상 거래가 발생하더라도 거래 취소 등의 대응이 어려우므로 사전에 탐지 및 차단 기술

블록체인 분산 서비스 거부(DDoS) 공격 대응 기술

대량 스팸 거래 요청 등의 DDoS 공격으로 인해 블록체인 서비스가 중단되지 않도록 대응하는 기술

블록체인 스마트컨트랙트 악성코드 탐지 기술

스마트컨트랙트 코드에 존재할 수 있는 보안 취약점을 악용한 비정상 거래 등 악성 행위를 탐지하는 기술

블록체인 S/W 보안 취약점 점검 및 패치 관리 기술

블록체인 S/W에 존재할 수 있는 보안 취약점을 악용한 해킹 공격을 차단하는 기술

보안 서비스

기술

블록체인 기반 신원인증 서비스 기술

위변조가 불가능하고 하나의 신분증으로 제휴된 다양하고 많은 온라인 사이트, 서비스에 사용 가능하게 해주는 기술

블록체인 간 자산 연계 및 교환 서비스 기술

블록체인 간의 신뢰 가능한 자산 이전 기술 및 표준규격을 개발하여 안전한 서비스 연계로 상호 운용성을 제공하는 기술

블록체인/블록체인 기반 보안기술은 IT 융합과 4차산업혁명 시대의 핵심 기반 기술로 인식하고, 정부⋅공공, 금융, 자동차, 의료, 디지털 저작권, IoT 산업, 물류⋅유통, 에너지 등 다양한 응용 산업에 블록체인 기술을 활용하면 처리 절차 간소화, 비용 절감 등의 이점이 있어 전 산업의 경쟁력 제고와 해당 산업 분야의 혁신을 가능하게 할 것이다.

2.2. 기술개발 동향

블록체인 기술은 2009년 이후 크게 암호화폐, 자산발행기술, 자산중심기술, 확장응용플랫폼, 허가형 분산원장의 5가지로 발전하고 있다[6].

(출처: 연구성과실용화진흥원, ‘17)

그림 2. 블록체인 발전 단계

? 암호화폐: 암호화 기술(Cryptography)을 접목한 가상화폐. 초기 블록체인 기술은 비트코인, 라이트코인, 피어코인 등 암호화 통화의 가치 보존과 유통을 위해 설계되었다.

―비트코인: 2009년 ‘사토시 나카모토’(예명)로 알려진 개인 또는 다수의 개발자들이 P2P 네트워크, 해시, 암호화, 작업 증명 등의 기술을 종합하여 개발하였으며, 중앙화된 주체가 아닌 사용자들이 주체적으로 운영되기 때문에 계좌 동결, 강제 인도 및 서비스 정지 등이 불가능함.

―라이트코인: 대체 암호화폐 중 하나로서, 구글 출신 개발자 찰스 리가 비트코인의 구조를 바꾸는 수준으로 개발하여 2011년 공개. 코인 생성 주기를 비트코인의 10분에서 2.5분으로 단축.

? 자산발행기술: 자산을 등록하기 위해 분산장부를 사용하는 기술. 분산장부상의 작은 거래 기록을 통해서 자산(주식, 자동차, 건물, 도메인 이름 등)에 대한 소유권 증명이 가능하다.

―컬러드코인: 비트코인 블록체인을 통해 현물 자산을 디지털 형태로 표현하는 일종의 자산 발행 레이어 기술.

―메타코인: 비트코인 네트워크 위에 새로운 층을 얹거나 완전히 새로운 사이드체인을 이용하는 방식으로 설계된 자산 발행 레이어 기술.

? 자산중심기술: 자산 존재의 디지털 표현과 관리에 초점을 맞춘 기술로서, 자산발행기술처럼 퍼블릭 원장에 데이터를 추가하는 방식이 아닌 고유한 기술과 프라이빗네트워크를 구현하여 자산의 거래를 용이하게 하는 기술이다.

―리플: 분산장부를 기반으로 작동하는 총액결제시스템. 전 세계에서 다수의 사용자가 발생시키는 대량의 결제를 빠르게 처리하는 역할 수행.

―스텔라: 블록체인 기반의 금융 프로토콜로서, 리플로부터 분기해 나온 독립 체인.

? 응용플랫폼: 블록체인의 암호화폐 기술을 플랫폼화하여 타 분야에 적용하는 기술. 분산 네트워크상에서의 완벽한 어플리케이션 개발과 실행을 위한 플랫폼 개발이 주된 목표이다.

―이더리움: 비트코인의 블록체인에서 파생되어 ‘블록체인 2.0’을 표방하고 나온 3가지 대표적인 블록체인(리플, 비트쉐어, 이더리움) 중 하나로서, 플랫폼 형태의 블록체인에 상상 가능한 모든 응용프로그램의 개발을 지원함.

? 허가형 분산원장: 허가형 분산원장인 프라이빗블록체인은 청산기관, 중앙은행, 수탁기관 등 수많은 매개 기관을 통해야만 거래가 가능한 기존의 금융 시스템의 비용·속도 등을 해결하기 위해 영국 스타트업인 클리어매틱스의 대표이사 로버트 샘스가 고안해낸 개념이다.

비용·속도 이외에 효율적인 결제 완결성 확보가 가능하며, 기존 금융기관들이 가지고 있는 신용·유동성· 운영·법률·시스템 리스크를 해결할 수 있을 것으로 보인다.

마크애니는 최근 관세청이 주관하는 블록체인 기반 e-C/O(원산지 증명서) 발급·교환서비스 시범사업에 선정됐다. 이 회사는 지난 2013년 블록체인 기반 전자서명 기술 개발, 과학기술정보통신부 등 다수의 블록체인 플랫폼 과제 수주 및 국내외 블록체인 특허 보유로 정보 보안에서 블록체인 분야까지 시장을 확대하고 있다. 이번 사업으로 각 수출입국 간 원산지 증명서 및 관련 통관 정보가 블록체인 기반 전자문서 서비스로 제공되며, 마크애니는 관련 사업의 블록체인 개발과 블록체인 서비스 구축 가이드라인 수립을 담당한다.

파수닷컴은 지난 7월 블록체인 기반 진본 증명 플랫폼인 ‘파수블록’을 출시하며 전자문서 시장에 진출했다. 파수블록은 전자문서의 인증이 필요한 시스템에서 시점 확인과 진본 증명을 지원하는 제품이다. 파수닷컴의 문서 보안 솔루션인 파수 엔터프라이즈 디알엠과 엔터프라이즈 다큐먼트 플랫폼인 랩소디에 블록체인 기술을 접목했다.

펜타시큐리티는 지난 6월 정부 지원 산학협력 컨소시엄인 ‘인터블록체인 연구센터 IBRC’ 설립에 참여했다. 이 센터는 차세대 블록체인 국제적 선도 기관을 목표로 국내 지자체, 대학교, 기업이 연합해 설립한 컨소시엄이다. 펜타시큐리티는 이 센터에서 ‘상호 운용 가능한 자동차 데이터 블록체인 연구’ 프로젝트를 담당하고 있다.

한글과컴퓨터그룹 정보보안 자회사인 한컴시큐어는 올 초 블록체인 기반 인증관리 솔루션 ‘블록체인 시큐리티 스위트’를 출시했다. 한컴시큐어는 또 일정 조건을 충족하면 자동으로 거래가 체결되는 ‘스마트컨트랙트’ 기술을 적용해 사용자 인증 정보에 대해 사전에 합의된 검증이 이뤄지도록 구성했다. 이를 통해 강력한 신뢰성을 보장할 수 있다는 설명이다. 한컴시큐어는 이를 기반으로 사물인터넷, 가상화폐 거래, 헬스케어 분야 등에서 응용할 수 있는 블록체인 플랫폼도 선보일 계획이다.

2.2.1. 금융권 동향

표 2 . 블록체인 관련 국내외 금융권 사업 추진 사례[6]

기관/기업

주요 내용

R3 CEV

? 초기 9개 금융회사들로 설립된 이후, 현재(2016년 6월) 컨소시엄 참여 업체 수는 48개이며, 미국 핀테크 기업 R3와의 제휴를 통해 블록체인 표준 플랫폼 공동개발(국내 5개 대표 은행 포함)

? 블록체인 적용을 통한 고객 이탈 및 거래수수료 감소 등에 대비하기 위해 금융권의 선제적인 운영 플랫폼 개발을 근본적인 목표로 삼고 있음

? 신형 금융 서비스 분산장부 기술 플랫폼 ‘Corda’를 발표

블록체인 CG

? 월드와이드웹 컨소시엄(W3C, Worldwide Web Consortium) 내 개설된 커뮤니티로, 세계 최초의 오픈형 블록체인 표준화 그룹

? R3 CEV에 대해 차별성을 보이는 비대면 인증 정보를 블록체인에 담는 방안 및 기술 등이 포함되고, 은행 간 통신을 비롯해 ISO20022와 호환성도 검토될 것임

? ISO20022를 기반으로 블록체인 API와 라이브러리 등을 공개할 계획 있음

VISA

? 디지털화폐 결제 업체인 시프트 페이먼츠(Shift Payments)와 협업을 통해 비트코인 결제 가능한 비자 직불카드를 출시

? American Express, Union Pay 등도 글로벌 IT 기업과 협업하여 거래 자율화, 포인트 시스템 개선을 위한 노력 및 관련 기업 투자 진행

? 2016년 10월 Chain.com에 투자했으며, 2017년 5월에 Chain Open Standard(ChainOS 1)라는 새로운 오픈소스 프로토콜을 발표

Hyperledger

? 리눅스재단 산하의 오픈소스 프로젝트로, 모든 거래 내역이 암호화를 통해 보호되고 네트워크의 모든 참여자에게 공개되는 방식으로 다양한 오픈소스 소프트웨어를 연구

? Ripple, JP모건체이스, 시스코 등 다양한 회사들이 참여를 하고, 특히 IBM이 본 프로젝트에 참여해 오픈소스 기반의 블록체인 소프트웨어 개발을 주도해 블록체인 기술이 전 세계에 확장될 수 있도록 많은 연구 및 투자 진행 중

하나금융그룹

? 하나금융그룹은 R3CEV와 협력하여 국내 은행 중 가장 먼저 원화 차액 결제 프로세스 및 고객 인증 절차 간소화 부문에 블록체인 기술 적용 완료

국내 카드사

? 국민카드, 롯데카드, 삼성카드 등도 블록체인 기반 간편 인증(지문 인증, 생체 인증 등) 상용화 및 회원 가입 시 문서 위변조 방지에 적용하여 편의성 향상

2.2.2. 비금융권 동향

표 3. 블록체인 관련 국내외 비금융권 사업 추진 사례[6]

분야

주요 내용

자율주행자동차

? 도요타자동차는 자율주행자동차 개발에 도움이 될 데이터를 수집하기 위해 블록체인을 사용할 계획을 발표(2017. 5.)

―블록체인 기술을 자율주행자동차와 전기자동차에 응용할 수 방안을 모색하기 위해 미국 매사추세츠 공대(MIT)의 미디어랩 등과 제휴를 맺음

―또한 도요타는 주행 데이터를 기록/공유하거나 차량 공유에 대한 요금 결제, 운전 방식에 따른 보험료 책정이나 주행 환경 변화에 맞춘 새로운 보험 서비스 개발 등에 블록체인 기술을 적용할 수 있을 것으로 전망

교육

? MIT는 대학 최초로 111명의 졸업생들에게 전통적인 졸업장 이외에도 앱을 통해 스마트폰으로 학위를 수여받을 수 있는 시범 프로그램 진행(2017. 10.)

―Blockcerts Wallet으로 학생들이 검증 가능한 변조 방지 버전을 고용주, 학교, 가족 및 친구들과 공유할 수 있도록 자신의 기록에 대한 자율권을 부여

기부

? UN은 2017년 5월 1일부터 세계식량계획의 자금을 요르단에서 1만 명 이상에게 분배하기 위해 이더리움을 사용할 예정

―2017년 초 시범사업을 통해 성공으로 파키스탄의 100명에게 도움을 주었으며, UN은 블록체인을 통해 2018년까지 50만 명의 수혜자를 도울 예정

의료

? 건강 정보 기록 및 공유 관련 블록체인 기술 사례 증가

―Alibaba는 중국 창저우 시 정부와 협력하여 의료 분야에서 블록체인 기술을 적용하고(2017. 9.), 치료 시나리오를 기반으로 한 중국의 첫 번째 블록체인 적용을 통해 의사는 환자의 병력 및 건강검진에 대한 수반되는 정보를 즉시 알 수 있음

FDA

? IBM Watson과 2년간 계약을 체결하여 의료기록, 임상시험, 게놈 테스트 및 모바일 기기로부터 환자 데이터를 안전하게 공유하기 위해 블록체인 기술의 사용을 모색(2017. 1.)

부동산

? Propy는 국경을 넘어 온라인으로 부동산을 구매할 수 있도록 이더리움을 기반으로 프로젝트 진행(2016. 9.)

―스마트거래를 활용하여 브로커, 구매자, 판매자 및 대리인/공증인이 지역 규정에 따라 기존 법적 프레임워크 내에서 거래를 추적하고 승인함에 따라 국경을 넘어 개인 간 부동산 거래 가능

―ICO를 통해 1,500만 달러(약 170억 원) 자금 유치(2017. 9.)

유통

? IBM은 약 400개의 블록체인 기술 활용 사례를 보유하고 있으며, 중국 돼지고기 유통 시스템에 블록체인을 접목

―사육 농장부터 가공업체, 판매업체 등 모든 거래 내역을 블록체인에 저장하여 유통 과정에서 문제 발생 시 추적이 가능하며, 어떤 농장에서 어떻게 사육, 가공됐는지 판매자가 투명하게 볼 수 있도록 함

물류

? SK C&C는 물류 관련 정보를 실시간 공유할 수 있는 블록체인 기반 물류 서비스 개발 및 시범 적용 테스트 실시

―이 블록체인 기반 시스템은 SKT의 IoT 전용망을 활용하여 해상에서 상태 정보를 수집하고 항구 도착 시 관련 정보를 P2P 네트워크에 공유하는 방식. 물류 흐름의 실시간 가시성 확보 및 수집/저장/배포되는 정보의 신뢰도 제고, 이해관계자 간 책임 소재 명확화 등 다양한 기대효과 예상

2.2.3. 최근 연구 동향

? “On blockchain and its integration with IoT. Challenges and opportunities” 논문에서는 IoT는 큰 데이터 및 클라우드컴퓨팅과 같은 파괴적인 기술을 활용하여 한계를 극복했으며 블록체인은 차세대 기술 중 하나가 될 것이라고 하며, 이러한 관계에 중점을 두고 블록체인 IoT 애플리케이션의 문제점을 조사하고 블록체인이 IoT를 잠재적으로 향상시킬 수 있는 방법을 분석하기 위해 가장 관련 있는 작업을 조사 연구[7].

? “Towards decentralized IoT security enhancement: A blockchain approach” 논문에서는 인식 레이어, 네트워크 레이어 및 응용프로그램 레이어 등 3가지 레이어 해당 보안 문제를 소개하고, 전체 라이프사이클에서 다양한 IoT 디바이스에 대한 블록체인을 기반으로 한 높은 수준의 보안 관리 체계를 연구[8].

? “Blockchain technology for enhancing supply chain resilience” 논문에서는 블록체인 기술을 활용하여 위험과 불확실성이 증가할 경우 공급망 복원력을 향상시키는 방법 연구[9].

? “Branch based blockchain technology in intelligent vehicle, Computer Networks” 논문에서는 지능형 차량(IV) 통신과 유사한 토폴로지를 사용하여 피어-투-피어 네트워크에서 신뢰와 안정성을 구축하는 블록체인 기술을 소개하며 블록체인 기술을 지원하는 IV 통신 사용 사례를 제안하고, 로컬 동적 블록체인(LDB)과 주요 블록체인으로 구성되며 지능형 차량 트러스트 포인트(Intelligent Vehicle Trust Point, IVTP)라고 하는 안전하고 독창적인 암호화 ID를 사용 IVTP는 차량 간의 신뢰성을 보장 연구 [10].

? “A Blockchain-Based Notarization Service for Biomedical Knowledge Retrieval” 논문에서는 스마트 디지털 계약을 사용하여 생물의학 데이터베이스 쿼리와 각 결과를 봉인하는 블록체인 기반 공증 서비스를 제공함. 목표는 검색 후 검색된 데이터를 수정할 수 없도록 하고 특정 쿼리의 결과로 특정 데이터가 제공되었다는 것을 데이터베이스가 부인할 수 없도록 하는 것. 생물의학적 증거 데이터 버전 관리도 지원하도록 연구[11].

2.3. 표준화 동향

2.3.1. 국내표준화 동향[12]

? 표준번호 – TTAK.KO-12.0312: 블록체인 기반 사물인터넷 디바이스 및 자원 검색 프레임워크(A Blockchain based IoT Device/Resource Retrieval Framework), 2017-12-13, 정보통신단체표준(TTAS).

2.3.2. 국제표준화 동향[5]

? 분산원장 및 블록체인 국제표준화 활동은 양대 국제표준기구인 ITU-T와 ISO에서 모두 다루고 있다. 블록체인 및 분산원장 국제표준은 ISO TC307에서 추진하고 있으며, 블록체인 정보보호 분야의 ITU-T SG17에서 다루고 있다(위원장: 순천향대 염흥렬 교수), 또한 ISO TC307 국내표준위원회 전문위원인 오경희 위원(TCA 서비스 대표)과 나재훈 위원(ETRI) 등이 ITU-T와의 표준 협력을 위해 ITU-T SG17에서도 활동하고 있다. 블록체인 및 분산원장 기술 분야의 국제표준을 주도하기 위해 ISO TC307 국내 전문위원회와 ITU-T SG17과 긴밀한 협력체계를 구축하고 있다.

? ITU-T SG17 회의는 블록체인 분산원장 기술 관련한 보안 위협에 대응하기 위한 보안기술 표준화를 위해 다음의 내용들에 대해 연구를 실시하고 있다.

―분산원장 기술 기반 응용 및 서비스를 위한 보안 솔루션 정의

―분산원장 기술 기반 응용 및 서비스를 위한 보안 메커니즘 및 프로토콜, 보안기술 정의

―분산원장기술 기반 응용 및 서비스를 위한 보안 위협 및 보안 이슈 연구

―분산원장기술 기반 응용 및 서비스를 위한 개인정보보호 기술 연구

3. 보안 분야 블록체인 적용 사례

3.1. 블록체인 프라이버시 이슈

개인정보보호법과 블록체인의 특성과 연관된 이슈는 다음과 같다[4].

? 블록체인에 저장된 데이터는 변조될 수 없기 때문에 저장된 개인정보는 삭제될 수 없다. 블록체인 데이터는 나중에 삭제되거나 수정될 수 없기 때문에 정보 주체가 자신의 개인정보 삭제를 요청할 수 있는 ‘개인정보 삭제 또는 잊힐 권리(right to erasure or to be forgotten)’를 행사할 수 없다.

? 블록체인은 분산시스템이므로 데이터에 대한 통제권을 상실할 수 있다. 다시 말해 제3의 노드에게 개인정보의 제공을 의미한다..

? 스마트계약은 자동화된 의사결정(automated decision making)으로 간주될 수 있다, 따라서 자동화된 의사결정을 금지하는 규제에 대응해야 한다.

표 4. 블록체인 프라이버시 이슈 대응 방안[4]

이슈

대응 방안

블록체인에 개인정보 저장 금지

개인정보보호법에서 요구하는 잊힐 권리를 보장하기 위한 가장 확실한 방법은 정보 주체의 개인정보를 블록체인에 입력하지 않는 것이다. 이 대책은 건강 기록 추적, 소셜미디어, 온라인 판매와 관련된 평판 보고 시스템 및 국제 여권 등 신원확인 시스템과 같은 응용에 대한 블록체인의 활용성을 떨어뜨릴 수 있다.

비식별화 개인정보 보관

블록체인은 개인정보를 비식별화해 기록한다. 비트코인의 경우, 어떤 비트코인 주소는 잔금을 갖고 있는지, 비트코인에 어떤 다른 주소로 전송되었는지는 알 수 있다. 그러나 포렌식 조사 없이는 비트코인 주소를 제어하는 이용자 신원을 확인할 수 없다. 마찬가지로, 블록체인에 기록된 데이터가 개인을 식별하지 못하면, 음식 선호도, 취미, 구매 등에 대한 데이터는 가상 익명 주소를 통해 기록될 수 있다.

데이터 암호화

블록체인에 저장된 모든 개인정보를 암호화하는 것이다. 개인정보 관리를 담당하는 개인정보 처리자는 암호 키가 파괴되었는지 확인함으로써 데이터 삭제의 증거를 제공할 수 있다.

참조 방법으로 외부 데이터베이스에 암호화된 개인정보 저장

개인정보를 암호화된 오프라인 데이터베이스에 저장하고 블록체인에는 데이터의 해시값을 보관한다. 해시값은 데이터베이스의 데이터가 변경되지 않았음을 확인하는 데 사용할 수 있지만 실제 개인정보는 블록체인 자체에 존재하지 않는다.

자동화된 의사결정에 대한 이의 제기

개인정보보호법에서는 정보 주체에 대한 자동화된 의사결정을 금지하고 있다. 또한 블록체인에서 실행되는 스마트계약을 효과적으로 자동화된 의사결정 수행으로 간주해야 한다. 의사결정 프로세스에서 개인정보를 이용하는 스마트계약을 개발 및 배포할 때 이러한 개인정보 규정을 면밀히 고려해야 한다. 첫 번째 대응 방법은 계약 소유자가 수행된 모든 트랜잭션을 되돌릴 수 있도록 계약 내에 코드를 포함시키는 것이다. 두 번째 방법은 스마트계약을 활성화하는 사용자가 그러한 계약을 맺고 있으며 명시적 동의를 제공했음을 확인하는 것이다.

3.2. 보안 분야 블록체인 적용 사례

3.2.1. 블록체인, 사이버보안에 어떻게 적용되는가?[1]

유명한 컴퓨터과학자이자 에든버러 네이피어 대학 컴퓨터학과 교수인 부캐넌은 “블록체인은 취약한 보안 구현과 신뢰의 부재가 넘겨놓은 간극을 메운다”면서 “2018년에는 암호화가 기본이 되어야 한다. 지금은 자신에게 전송된 이메일을 다른 사람이 읽지 않았는지, 메일이 수정되지 않았는지 확인할 방법이 없다. 심지어 보낸 사람을 확인할 수 없는 경우가 많다”고 말했다.

부캐넌은 “블록체인을 통해 트랜잭션을 적절히 확인하고 서명할 수 있다. 암호화화폐의 경우 다소 과장된 면이 있지만 블록체인 구현은 디지털 서비스를 위한 더 신뢰할 수 있는 인프라를 구축하게 될 것이다. 가장 큰 애플리케이션은 공공 분야의 변혁이며 이를 통해 더 시민 중심의 인프라가 만들어지게 된다. 시민들이 스스로 ID를 소유하고 모든 거래를 확인한다. 사람들은 스마트거래를 사용하고 서명된 어서션(assertion)을 기반으로, 예를 들어 수당 지급과 같은 공공서비스 요소를 제정할 수 있다”고 말했다.

3.2.2. 인증을 사용해 에지 기기 보호

IT의 초점이 데이터와 연결성을 가진 “스마트” 에지 기기로 옮겨가면 보안도 따라가게 된다. 결국 네트워크의 확장은 IT 효율성, 생산성, 전력 사용 측면에서는 좋은 일이겠지만(즉, 클라우드 및 데이터센터 리소스에는 좋은 일) CISO, CIO, 더 넓게는 비즈니스 측면에서는 풀어야 할 보안 과제를 의미한다.

블록체인 기술은 인증을 강화하고 데이터 귀속과 흐름을 개선하고 기록 관리에 도움이 되므로 많은 이들은 블록체인을 사용해 IoT와 산업용 IoT(IIoT) 기기를 보호할 방법을 찾고 있다.

? 2017년 하반기 창업한 신생 업체인 제이지 시큐리티(Xage Security)는 자사의 “위조 방지” 블록체인 기술 플랫폼이 대규모 기기 네트워크에서 개인 데이터와 인증을 분산하는 기능을 한다고 주장했다. 또한 이 플랫폼은 모든 통신을 지원하며 연결이 불규칙적인 에지에서 작동할 수 있고 다양한 산업용 시스템을 보호한다. 이 업체는 이미 ABB 와이어리스(ABB Wireless)와 함께 분산 보안이 필요한 전력 및 자동화 프로젝트를 추진 중이며, 델과 함께 에너지산업을 위한 델 IoT 게이트웨이 및 에지X(EdgeX) 플랫폼에 보안 서비스를 제공하고 있다고 밝혔다.

? 영국의 맨 섬 정부는 다른 노선을 택했다. 맨 섬은 IoT 기기의 침해를 방지할 수 있는지 여부를 확인하기 위해 블록체인 기술을 테스트 중이다(물리적인 대상에 고유한 ID를 서명해 신빙성 확인). 이런 개선은 칩셋 수준에도 내장되어 있다. 신생 업체인 필라멘트(Filament)는 최근 산업용 IoT 기기가 여러 블록체인 기술과 호환되도록 해주는 새로운 칩을 발표했다. 블로클릿(Blocklet) 칩의 개념은 “분산 상호작용 및 교환을 위한 안전한 토대를 제공하기 위해” IoT 센서 데이터를 블록체인에 직접 코드화해서 넣을 수 있도록 한다는 것이다.

3.2.3. 기밀성 및 데이터 무결성 개선

블록체인은 원래 구체적인 접속 제어 없이 탄생했지만 일부 블록체인 구현은 데이터 기밀성 및 접속 제어에 대응한다. 데이터를 손쉽게 조작하거나 위조할 수 있는 시대임을 감안하면 이는 중요한 과제다. 블록체인 데이터를 전체 암호화하면 이 데이터가 전송 중일 때 권한이 없는 사람이 데이터에 접속할 수 없음이 보장된다[중간자(MiTM) 공격이 성공할 가능성이 거의 없다]. 이 데이터 무결성은 IoT와 IIoT 기기로까지 확장된다.

? IBM은 왓슨(Watson) IoT 플랫폼에 IBM의 클라우드 서비스 내에 통합된 프라이빗블록체인 원장에서 IoT 데이터를 관리하는 옵션을 제공한다.

? 에릭슨의 블록체인 데이터 인테그리티(Blockchain Data Integrity) 서비스는 GE의 프레딕스(Predix Paas) 플랫폼 내에서 작업하는 앱 개발자에게 완전히 감시 가능하고 규정을 준수하며 신뢰할 수 있는 데이터를 제공한다.

3.2.4. 개인 메시징 보호

? 옵시디언(Obsidian)과 같은 신생 기업은 블록체인을 사용해 채팅, 메시징 앱, 소셜미디어를 통해 교환되는 개인정보를 보호한다. 옵시디언 메신저는 왓츠앱, 아이메시지와 같은 앱이 사용하는 엔드-투-엔드 암호화 대신 블록체인을 사용해 사용자 메타데이터를 보호한다. 사용자는 메신저를 사용하기 위해 이메일이나 기타 인증 방법을 사용할 필요가 없다. 메타데이터는 원장 전역에 걸쳐 무작위로 분산되므로 한 지점에서 이 데이터를 수집해 침해하기가 불가능하다.

? 미 국방첨단과학기술연구소(DARPA)는 안전하고 외부 공격을 통한 침투가 불가능한 메시징 서비스를 만들기 위해 블록체인으로 테스트 중인 것으로 알려졌다. 블록체인이 안전하고 인증된 통신에 기반을 두는 만큼 앞으로 이 분야가 더 발전할 가능성이 높다.

3.2.5. PKI 강화 또는 대체

공개 키 인프라(Public Key Infrastructure, PKI)는 이메일, 메시징 애플리케이션, 웹사이트를 비롯한 다양한 형태의 통신을 보호하는 공개 키 암호화다. 그러나 대부분의 구현은 키 쌍(key pairs)을 발행, 회수, 저장하는 중앙화된 타사 인증기관(CA)에 의존한다.

범죄자들은 인증기관을 목표로 공격해 암호화된 통신을 침해하거나 신원을 조작할 수 있다. 대신 블록체인에 키를 게시하면 이론적으로는 가짜 키 전파 위험을 없애고, 애플리케이션에서 통신 상대방의 신원을 확인할 수 있게 된다.

? 서트코인(CertCoin)은 블록체인 기반 PKI의 첫 구현 가운데 하나다. 이 프로젝트는 중앙 기관을 완전히 없애고, 블록체인을 도메인 및 공개 키의 분산원장으로 사용한다. 또한 서트코인은 마찬가지로 단일 실패 지점이 없는 감사 가능한 공개 PKI를 제공한다.

? 신생 기업 레미(REMME)는 블록체인을 기반으로 각 장치에 고유한 SSL 인증서를 부여해 인증서 위조를 차단한다.

? 기술 연구 업체 폼코어(Pomcor)는 블록체인을 사용해 발급 및 해지된 인증서의 해시를 저장하는 블록체인 기반 PKI를 위한 청사진을 게시했다(다만 이 경우 CA는 여전히 필요하다).

? 에스토니아의 데이터보안 신생 업체 가드타임(Guardtime)의 말대로 된다면, 블록체인은 PKI를 완전히 대체할 수도 있다. 이 업체는 블록체인을 사용해 PKI를 대신하는 키리스 시그니처 인프라(Keyless Signature Infrastructure, KSI)를 만들었다. 가드타임은 매출, 직원 수, 실제 고객 구축 면에서 세계 최대의 블록체인 업체로 성장했으며, 2016년부터 블록체인 기술로 에스토니아의 의료 기록 100만 개 전체를 보호하고 있다.

3.2.6. 더 안전한 DNS

? 미라이(Mirai) 봇넷은 범죄자가 핵심 인터넷 인프라를 얼마나 쉽게 망가뜨릴 수 있는지를 잘 보여준 사례다. 공격자들은 대부분의 주요 웹사이트가 사용하는 도메인 이름 시스템(DNS) 서비스 공급업체를 다운시켜 결과적으로 트위터, 넷플릭스, 페이팔 등의 서비스에 대한 접근을 차단했다. 이론적으로 블록체인을 사용해 DNS 항목을 저장하면 공격 가능한 단일 목표를 제거함으로써 보안을 개선할 수 있다.

? 네불리스(Nebulis)는 접속 요청이 물밀 듯 쇄도하는 경우에도 장애를 일으키지 않는 분산 DNS 개념을 연구하기 위한 새로운 프로젝트다. 네불리스는 이더리움 블록체인, 그리고 HTTPS의 분산 대안인 인터플라네터리 파일시스템(IPFS)을 사용해 도메인 이름을 등록하고 확인한다.

3.2.7. DDoS 공격 감소

? 블록체인 신생 업체 글라디우스(Gladius)는 자사의 분산원장 시스템이 분산 서비스 거부(DDoS) 공격을 차단하는 데 도움이 된다고 주장한다. 현재 DDoS 공격이 100Gbps를 넘어서고 있는 상황에서 상당히 주목을 끄는 주장이다. 글라디우스 측은 “자사 분산 솔루션으로 가까운 보호 풀에 연결해 더 나은 보호 기능을 제공하고 콘텐츠를 가속화함으로써 이런 공격으로부터 시스템을 보호할 수 있다”고 말한다.

4. 결언

4차산업혁명의 시대에 요구되는 산업 전 분야에서 자연스럽게 블록체인 보급은 빠르게 확산될 것으로 예측된다. 기술분석, 시장분석을 통하여 블록체인 연구개발 기술로 블록체인 거래 검증 및 합의 기술, 블록체인 자산 보호를 위한 키 관리 기술, 블록체인 참여자 식별 및 접근통제 기술, 블록체인 참여자 검증 및 모니터링 기술, 블록체인 비정상 거래 탐지 및 차단 기술, 블록체인 분산 서비스 거부(DDoS) 공격 대응 기술, 블록체인 스마트컨트랙트 악성코드 탐지 기술, 블록체인 S/W 보안 취약점 점검 및 패치 관리 기술, 블록체인 기반 신원인증서비스 기술, 블록체인 간 자산 연계 및 교환 서비스 기술에 국제표준화를 연계한 R&BD에 집중해야 할 것으로 보이며, 블록체인 적용 분야로는 금융, 스마트시티, 스마트그리드, 자율주행 자동차, 스마트공장, 의료, 공공서비스 등으로 전망된다.

제8회 블록체인 테크비즈 컨퍼런스에서 고려대 김승주 교수[13]는 “블록체인이 만능 기술은 아니다”라고 강조하며, 블록체인의 가장 큰 특징은 위변조가 불가능하고 영구히 저장되는 점이라고 소개했다. 이어 그는 블록체인은 합의 기술이 중요하다고 했다. 결국 대다수의 합의가 모인 가장 긴 블록을 유효한 장부로 인정해주게 된다. 즉, 51%만 동의를 하게 되면 그 블록체인은 옳은 장부로 인정받는다. 김 교수는 여기서 주의해야 할 점이 있다고 설명했다. 바로 평판도가 조작될 수 있다는 점을 이야기하며, 블록체인을 해킹을 막아주고 무엇이든지 가능하게 하는 만능 기술이라고 생각해서는 안 된다고 강조했다. 그중에서도 블록체인의 가장 어려운 난제는 “탈중앙화, 확장성, 보안”을 꼽았다. “블록체인은 유망한 기술이지만 기술적 난제와 프라이버시 보호와 같은 윤리적 문제가 남아 있어 그걸 다 풀기까지는 시간이 꽤 걸리고 쉽지 않을 것”이라며 “정부가 단기간이 아닌 긴 호흡으로 사업을 지원해준다면 우리나라가 어느 정도 블록체인에 주도권을 가질 수 있다고 본다”는 김 교수 말에 전적으로 공감하며 블록체인의 기반기술 R&BD에 장기적인 관점에서 산?학?연?관이 지혜를 모아야 할 것으로 본다.

References

1. ITworld, 보안분야에서의 블록체인 사용사례 6가지, 2018.02.09, http://www.itworld.co.kr/news/ 108182

2. 디지털타임스, 블록체인 승부거는 보안업체, 2018.08.27, http://www.dt.co.kr/contents.html? article_no=2018082802101631041002

3. 박성준, 블록체인 및 분산원장 국제표준화 동향, vol .177, TTA Journal, 30-35, 05/06. 2018.

4. 염흥렬, 블록체인 보안과 프라이버시, vol .177, TTA Journal, 55-64, 05/06. 2018.

5. 중소기업청, 중소기업 기술로드맵 2018~2020 -정보보호-, 401-433, 2017.

6. 강효진, 블록체인 산업과 디지털콘텐츠 활용 방압, NIPA, 이슈리포트 2018-제19호.

7. Ana R, Cristian M, Jaime C, Enrique S, Manuel D, On blockchain and its integration with IoT. Challenges and opportunities, Future Generation Computer Systems, Volume 88, Pages 173-190, November 2018. https://doi.org/10.1016/j.future.2018.05.046

8. Yongfeng Q , Yingying J , Jing C , Yu Z , Jeungeun S, Ming Z , Matev?P, Towards decentralized IoT security enhancement: A blockchain approach, Computers & Electrical Engineering, Volume 72, Pages 266-273, November 2018. https://doi.org/10.1016/j.compeleceng.2018.08.021

9. Hokey M, Blockchain technology for enhancing supply chain resilience, Business Horizons, Available online 25 October 2018. https://doi.org/10.1016/j.bushor.2018.08.012

10. Madhusudan S, Shiho K, Branch based blockchain technology in intelligent vehicle, Computer Networks, Volume 145, Pages 219-231 , 9 November 2018. https://doi.org/10.1016/j.comnet. 2018.08.016

11. Athina-Styliani K, P Mytis-Gkometh, George D, Pavlos S.E, Eleni K, A Blockchain-Based Notarization Service for Biomedical Knowledge Retrieval, Computational and Structural Biotechnology Journal, Volume 16, Pages 288-297, 2018. https://doi.org/10.1016/j.csbj.2018.08.002

12. TTA, http://www.tta.or.kr/data/ttas_view.jsp?rn=1&pk_num=TTAK.KO-12.0312

13. ZDNet Korea, 블록체인 만능기술은 아니다. 2018.07.12.

블록체인 보안

Muhammad Saad, Jeffrey Spaulding, Laurent Njilla, Charles Kamhoua, Sachin Shetty, DaeHun Nyang, Aziz Mohaisen, 〈 Exploring the Attack Surface of Blockchain: A Systematic Overview 〉, 《Cornell University》, 2019-04-06

Hai WangYong WangZigang CaoZhen LiGang Xiong, 〈 An Overview of Blockchain Security Analysis 〉, 《Springer Link》, 2019-02-20

Sarwar Sayeed, Hector Marco-Gisbert, 〈”Assessing Blockchain Consensus and Security Mechanisms against the 51% attack”〉, 《Applied Sciences》, 2019-04-29

블록체인에 푹 빠진 보안업계…주도권 경쟁 시작

[아이뉴스24 김혜경 기자] 국내 보안기업들이 블록체인을 미래 성장 동력으로 점찍고 사업 확장에 나서고 있다. 자회사 설립·합병을 통해 경영 효율화를 극대화하고 보안 분야의 강점을 살려 블록체인 시장에서 주도권을 잡겠다는 목표다.

국내 보안기업들이 블록체인을 미래 성장 동력으로 점찍고 사업 확장에 나서고 있다. [사진=픽사베이]

25일 보안업계에 따르면 안랩은 이달 초 자회사 ‘안랩블록체인컴퍼니’를 설립하고 본격적으로 블록체인 시장에 진출했다. 자회사 대표는 강석균 안랩 대표가 겸임한다.

블록체인컴퍼니는 암호화폐, 대체불가능토큰(NFT) 등 디지털 자산의 보관·관리·거래를 지원하는 ‘웹(Web) 3.0 지갑’ 서비스 개발에 집중할 예정이다. 웹 3.0 지갑이란 사용자가 디지털 자산을 보관하고 거래할 수 있도록 돕는 애플리케이션이다. 이더리움의 ‘메타마스크’가 대표적이다.

안랩은 2019년쯤 내부적으로 블록체인 사업 투자를 위한 준비를 시작했다. 앞서 시무식에서 강 대표는 올해 5대 경영 과제로 블록체인 사업 추진을 꼽기도 했다. 연내 가상자산 지갑 서비스 출시를 목표로 하고 있다.

향후 안랩은 보안 역량과 블록체인 기술을 결합할 수 있는 사업을 발굴할 계획이다. 이번 자회사 설립을 계기로 현재 참여하고 있는 ‘클레이튼 거버넌스 카운슬(Klaytn Governance Council)’ 파트너십도 강화한다.

라온시큐어는 디지털 인증 시장을 주도하기 위해 자회사인 라온화이트햇의 라온에스엔씨 합병안을 이달 초 결의했다. 합병 기일은 오는 6월 1일이다. 존속 회사는 라온화이트햇이며 라온에스엔씨의 조직과 사업 분야는 라온화이트햇에 승계된다. 신규 합병 법인의 사명은 사내 공모를 통해 선정할 예정이다.

라온화이트햇은 블록체인 기반 분산신원인증(DID) 플랫폼 ‘옴니원(OmniOne)’을 통해 디지털 신원인증 시장에서 두각을 드러내고 있다. DID는 중앙서버에 정보를 저장하는 기존 방식에서 벗어나 개인 기기에 신원 정보를 분산·관리하는 기술이다. 데이터의 위·변조가 불가능하고, 개인이 직접 본인의 신원 정보를 관리할 수 있다는 점이 특징이다.

지난해 라온시큐어는 모바일 운전면허증 서비스, 병무청 블록체인 기반 전자지갑 민원서비스 등 정부 주도의 DID 사업을 연이어 수주한 바 있다.

회사는 이번 합병을 통해 ▲기존 컨설팅 서비스 ▲클라우드 기반 계정·접근 관리를 제공하는 서비스형 ID(Identity as a Service·IDaaS) 인증 ▲서비스형 블록체인( Blockchain as a Service·BaaS) 등을 중심으로 사업을 전개할 계획이다. 또 올해 상반기 블록체인 소프트웨어(SW) 개발자, 엔지니어 등 전문인력 채용을 통해 경쟁력을 강화할 방침이다.

한글과컴퓨터그룹 계열사인 한컴위드도 블록체인 사업 투자를 확대하고 있다. 2018년 3월 블록체인 기반 보안솔루션 ‘블록체인 시큐리티 스위트’ 출시에 이어 2019년 1월에는 모바일 간편결제 기업과 파트너십을 체결하고 블록체인 기반 결제 플랫폼 개발에 나섰다. 한컴위드의 블록체인 플랫폼은 근로계약서 작성과 근무 내역 관리에도 활용된 바 있다.

같은해 7월 한컴위드는 기존 한컴시큐어에서 현 사명으로 이름을 바꾸고, 신사업 총괄에 블록체인 전문가를 선임했다. 새 사명에는 기존 정보보안기업 이미지를 넘어 블록체인과 스마트시티 중심의 플랫폼 사업으로 영역을 확대하겠다는 비전을 담았다.

신사업은 ▲블록체인 플랫폼 ‘한컴 에스렛저’ ▲블록체인과 사물인터넷(IoT) 연동플랫폼 ▲지능형 스마트시티 플랫폼(ICP) 등이다. 사명 변경과 함께 최고운영책임자(COO)에 선임된 홍승필 부사장은 22년간 블록체인과 핀테크, 개인정보보호 분야 전문가로 활동하며 정부와 관련 자문·평가위원을 지냈다.

2020년 1월에는 세계 최대 전자·IT 전시회인 CES에 참가해 블록체인 서비스를 선보였고, 지난해에는 5개 기업과 글로벌 디지털 금융 플랫폼을 공동 구축하기로 협의했다.

[보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 1편

‘블록체인(혹은 분산원장기술)’이라는 용어는 이제 ICT(Information and Communication Technology, 정보통신기술) 분야에서 일상적인 단어가 됐습니다. 많은 전문가가 블록체인 기술을 더욱 발전시키며, 다양한 사업 분야에서 블록체인 기술을 적용하기 위해 다각적인 방법을 모색하고 있죠. 미래의 산업 분야에서 블록체인 기술이 발전하기 위해서는 안전성과 신뢰성을 보장하는 것이 매우 중요하다고 생각되는데요. 적절한 보안 방안이 이러한 안전성과 신뢰성을 보장한다고 판단됩니다.

하지만, 블록체인 기술의 보안성에 대한 과도한 기대치가 안전성 및 신뢰성에 대한 부정적인 영향으로 이어졌습니다. 사람들은 블록체인 기술이 암호화 기반의 기술이므로 자체적으로 보안을 해결한다고 믿었죠. 그 결과, 블록체인의 안전성과 신뢰성 보장에 필요한 보안 조치(Security Control)를 구현하지 못했습니다. 또한, 암호자산 시장에서의 보안 위반 및 변동성(암호자산 지갑 해킹 사건, 암호화폐 가격 변동성)이 블록체인 기업의 브랜드에 부정적인 영향을 미쳤습니다.

이를 통해 현실적으로 블록체인 기술이 보안의 새로운 패러다임을 가져왔지만, 여전히 전통적 정보 보안 방안을 기반으로 구축해야 할 필요는 있다는 것을 알 수 있습니다.

이번 글에서는

첫째, 블록체인 기술의 보안 이슈, 그리고 블록체인과 보안이 왜 그렇게 밀접하게 연관되어 있는지 알아보겠습니다.

둘째, 블록체인 기술 도입에서 사이버 보안의 역할에 대해 알아보겠습니다. 사이버 보안의 주요 개념이 블록체인 기술 사용에서 안전성과 신뢰성을 어떻게 보장할 수 있는지에 대해 살펴보겠습니다.

셋째, 새로운 보안 패러다임에서 필요한 새로운 구성요소를 조명하기 위해 블록체인 기술 스택을 살펴보겠습니다.

블록체인에 사이버 보안이 필요한가에 대한 논쟁은 양극화돼 있습니다. 한쪽 끝에서는 블록체인 기술은 본질적으로 안전하지 않고 개인정보보호가 필요한 대부분 사례에 적합하지 않은 것으로 인식되는데요. 다른 쪽에서는 암호화 기반이므로 해킹할 수 없는 기술로 간주합니다. 하지만, 진실은 그 중간 어디쯤 있습니다.

블록체인 보안 논쟁이 양극화되는 데에는 근거가 있습니다. 암호화폐 및 비트코인을 거래할 수 있는 디지털 거래소 같은 다양한 블록체인 사용 사례에서 보안 이슈가 정리됐죠. 보안 침해사고는 암호화폐나 기업의 사용 사례와는 상관없이 일반적으로 블록체인 기술에 부정적인 영향을 미쳤습니다.

그러나 이러한 공격 중 블록체인 기술의 기본원리를 대상으로 한 것은 없었는데요. 오히려 그들은 블록체인 기술의 주변 환경에 집중했습니다. 예를 들면, 소프트웨어 지갑, 스마트 계약 코드, 디지털 거래소, 암호화폐 기업 웹사이트와 같은 것이죠.

블록체인 기술에는 적절한 보안 방안이 필요합니다

블록체인 기술과 블록체인 기반의 솔루션은 오류가 없는 안전한 기술입니다. 하지만 다른 기술과 마찬가지로 보안과 관련된 장단점이 존재하며, 적절한 보안 조치가 취해지지 않으면 해킹될 수 있습니다. 따라서 조직이 적절한 보안 조치(Security Control) 없이 민감한 정보를 블록체인에 저장하지 않는 것이 중요합니다.

블록체인 기술에 영향을 미치는 보안 이슈는 대부분 기존의 보안 이슈이며, 매일 발생하는 전 세계 수천 건의 사이버 공격 중 소수에 해당합니다. 블록체인 기술과 관련된 보안 관련 사고 뉴스의 대부분은 위험 자산의 가치 하락과 분실 시 상환 제한에 관한 것이죠. 현재 블록체인 기술은 상당히 안전한 것으로 간주됩니다. 아직 검증이 완전히 끝난 것은 아니지만, 많은 알고리즘과 기술은 취약점이 발견될 때까지 여러 해 동안 안전한 것으로 간주합니다.

전통적인 정보 기술 원칙 적용 – TradeLens 사례

블록체인 기술은 전통적인 정보 기술을 기반으로 한다는 논리에 따라 Maersk와 IBM이 개발한 플랫폼인 TradeLens는 ISO/IEC 27000 시리즈의 정보 보안 인증을 획득했습니다.

* TradeLens – 블록체인 기술 기반의 컨테이너 물류 솔루션

이처럼, 현재까지 보고된 블록체인 보안 이슈의 대부분은 블록체인 고유의 기술적 결함보다는 기존 정보 보안 이슈와 더 깊은 관련이 있는데요. 따라서 블록체인 기술이 본질적으로 안전하지 않다는 의견은 받아들이기 어렵습니다.

한편, 다른 한쪽에서 기업의 대다수 이상은 블록체인 기술이 자체적인 보안성을 보장한다고 믿습니다. 하지만, 이러한 믿음은 정확한 실사(Due Diligence)의 부족으로 이어질 수 있기 때문에 똑같이 문제가 되죠. 블록체인의 보안 위험을 보면 사이버 보안 실사의 중요성을 알 수 있습니다.

다른 사례에서 한 디지털 자산 거래소는 수천억 원의 암호화 자산을 관리했지만, 비즈니스 연속성 원칙(business continuity principles)을 구현하지 못했는데요. 그래서 CEO가 갑자기 세상을 떠났을 때 아무도 이 자금을 회수할 수 없었습니다. 블록체인 기술 보안에 대한 과도한 믿음이 중요 군사 시스템 및 물류 시스템 등에 영향을 미치고 이것이 잘못된 비즈니스 관행으로 이어진다면 어떻게 될지 생각해 볼 필요가 있습니다.

그렇다고 블록체인이 보안상의 이점을 제공하지 않는다는 것은 아닙니다. 그러나 암호화 기반이 보안의 만병통치약은 아닙니다. 장점이 있지만, 보안은 항상 절충(trade-off)의 문제이며 블록체인 기술은 광범위한 디지털화 툴킷 내에서 하나의 도구로 평가되어야 합니다.

블록체인은 디지털 혁신을 지원합니다

블록체인 기술은 정보 보안에 대한 영향이 커지고, 정보 보안 프레임워크가 더 넓은 영역으로 확장되도록 돕는데요. 이는 변경된 청구서나 잘못 기록한 물류 도착 시각과 같은 정보 변조로부터 보호하는 데 도움이 될 수 있습니다. 국제적 공급망 분쟁이 발생하면 회사는 큰 벌금을 지불해야 할 수 있습니다. 예를 들어, 국제 공급망의 물류 행위자가 컨테이너의 늦은 배송에 책임이 있고 터미널 입고 마감 시간을 놓치면 화물 도착 날짜가 몇 주 뒤로 밀리게 되는데요. 당사자는 항공 운임 또는 기타 벌금에 대한 책임을 질 수 있습니다. 이때, 블록체인을 검증할 수 있고 안전한 정보의 단일 소스로 사용하면 실제 터미널 입고 시간과 지연에 대한 책임이 있는 당사자를 알아야 하는 경우 분쟁 해결에 도움이 될 수 있습니다.

[그림 1] 다양한 블록체인 유형 간의 절충점 (Trade-offs)

사이버 보안은 사이버 공격으로부터 사이버 공간 사용을 보호하거나 방어하는 능력으로 정의됩니다. 블록체인 도입 시 관련성이 높은 사이버 보안 개념은 다음의 6개입니다.

개념 1: 기밀성(Confidentiality)

기밀성은 정보에 접근할 수 있는 권한이 있는 사용자만 접근할 수 있도록 보장하는 것입니다. 다양한 방식의 블록체인 구현은 다양한 수준의 기밀성을 제공하지만, 일반적으로 블록체인은 기존 데이터베이스와 동일한 수준의 기밀성을 제공할 수 있습니다. 퍼블릭 블록체인은 일반적으로 상대적으로 낮은 기밀성을 제공합니다.

개념 2: 무결성(Integrity)

무결성은 정보를 신뢰할 수 있고 정확성을 보장하는 것입니다. 분장원장 기술(Distributed Ledger Technology, DLT)은 무결성을 보장하도록 설계됐지만, 입력 데이터의 품질에 따라 결과가 달라집니다. 예를 들어, 화물이 운송되는 동안 원양 운송업체가 수입업자에게 제공하는 이정표 업데이트를 가져옵니다. 블록체인 안에 있다고 해도 예상 도착 시간(ETA)의 정확성을 블록체인이 보장하지 않습니다. 무결성은 여전히 입력 소스에 달린 것이죠. IoT 디바이스 위치 추적 데이터의 정확성이 또 다른 사례가 될 수 있습니다.

개념 3: 가용성(Availability)

가용성은 필요할 때 데이터를 사용할 수 있도록 보장하는 것입니다. 블록체인의 분산 구조로 인해 블록체인은 결함 내성(fault-tolerance)의 특성을 가지는데요. 이러한 특성을 통해 가용성의 이점을 얻을 수 있습니다. 하지만, 실시간 관리를 요구하는 서비스는 블록체인 구성으로 가용성을 달성하기 어려울 수 있습니다.

개념 4: CIA Triad

CIA Triad는 기밀성, 무결성, 가용성의 조합입니다. 세 가지 보안 목표를 모두 달성하는 것은 매우 어렵습니다. 이것은 정보 보안이 세 가지 목표를 해결할 수 없다는 것을 말하는 것은 아닙니다. 다만, 세 가지 보안 목표가 적절한 보안 통제를 통해 개선되어야 한다는 것을 의미합니다.

앞의 사례에서 예상도착시간(ETA) 이벤트의 데이터 무결성과 가용성을 높이기 위해 항구, 터미널 및 트럭 운전사와 같은 더 많은 당사자가 데이터에 액세스하고 확인할 수 있도록 하는 것이 도움이 된다고 말씀드렸습니다. 그러나 이 접근 방식은 더 많은 당사자가 데이터에 액세스할 수 있으므로 데이터 기밀성에 부정적인 영향을 미칠 수 있습니다(그림 1 참조).

개념 5: 계층화된 접근 방식 (심층 방어)

17세기 프랑스의 군사 건축가는 요새화된 진지의 방어를 개선하기 위한 방어 시스템을 개발했는데요. 이러한 방어 시스템으로부터 영감을 받은 보안 방안으로 계층화된 접근 방식을 적용하고 있죠. 계층화된 접근 방식을 통해 시스템의 코어가 손상되기 훨씬 전에 비인가 접근을 감지할 수 있는데요. 그 결과는 보안 통제입니다. 긴밀한 보안망을 만들기 위해 각각의 요소를 결합한 조치입니다.

블록체인 관점에서 계층화된 접근 방식은 여러 단계의 통제로 해석됩니다. 개발에서 도입 및 단계적 폐지에 이르기까지의 단계인데요. 블록체인 노드에서 스마트 계약 및 액세스 포인트까지의 여러 계층을 의미합니다.

개념 6: 전체론적 보안(Holistic Security)

보안 통제는 전체 시스템의 관점에서 바라볼 필요가 있습니다. 기술적 융합이나 표준이 부재할 경우, 블록체인 시스템 설계를 어렵게 만들고 보안 기능이 서로 상쇄될 위험이 있는 요소를 결합할 가능성이 큽니다. 이는 보안 거버넌스가 더욱 중요해지는 이유입니다.

개념 7: 설계에 의한 보안, 디폴트에 의한 보안(Security-by-design and by default)

전체론적 보안(Holistic Security)의 자연스러운 확장. 설계에 의한 보안은 보안이 시스템 토대에 들어 있고 최종 사용자가 선택하는 것이 아닌, 기본적으로 활성화됨을 의미합니다.

업데이트 기능이나 킬 스위치를 스마트 계약에 포함하는 것부터, 솔루션의 라이프 사이클 시작에 보안을 고려하도록 하는 것까지 블록체인에는 수많은 의미가 있습니다. 예를 들어, 개념 증명(proof-of-concept)과 같이 도입 초기 단계에서 주요 위험에 대한 사고 대응의 일부를 테스트할 수 있죠. 이를 통해 필요한 보안 메커니즘과 필수적인 비즈니스 운영을 요구합니다.

개념 8: 프로세스로서의 보안(Security as a process)

보안은 최종 목적지가 아니라 프로세스입니다. 공격자는 지속적해서 기술을 향상하고, 보안연구원은 새로운 취약점을 발견하죠. 최종 사용자의 일상이 바뀌고 기술 스펙트럼이 증가함에 따라 지속적인 관심이 필요합니다.

블록체인과 같은 초기 기술의 대부분의 취약성은 아직 발견되지 않았는데요. DLT의 인기가 증가함에 따라 해커의 관심도 커질 것으로 예상됩니다. 꾸준한 시스템 모니터링 및 보안 위험 관리는 블록체인 보안에 필수적인 요소입니다.

개념 9: 투명성을 통한 보안(Security through transparency)

수 세기 동안 비밀은 은폐(Obscurity)를 통한 보안이라는 개념으로 보호됐습니다. 이러한 아이디어는 보안 시스템의 로직을 숨기면 공격자의 해킹을 막을 수 있다는 것이었는데요. 이러한 사례는 산업 통신 또는 저작권 보호 미디어와 같은 정보 보호를 위한 암호화 메커니즘에 해당합니다. 하지만, 전문가와 사용자는 투명성과 오픈 소스 기술의 이점에 대해 더 많이 이해하고 있습니다.

현대 보안은 시스템이 투명할수록(정보보호 방식에 대한 내부 로직이 공개적일수록) 더 좋다고 생각합니다. 블록체인에 사용되는 암호화 알고리즘은 오픈 소스인데요. 이 알고리즘은 많은 산업 분야에서 광범위하게 테스트되고 사용됩니다.

개념 10: 단순 보안(Simple security)

복잡함은 보안의 적입니다. 복잡한 환경에서 운영되고, 복잡한 구성요소로 구성된 시스템을 보호하는 것이 더 어렵기 때문입니다.

한 암호화폐 블록체인은 복수의 마이닝 알고리즘을 혼합해 구현했습니다. 이러한 추가적인 복잡성으로 인해 효과적인 보안 조치를 취하기가 더 어려워졌는데요. 이로 인해 공격자가 51%의 공격을 수행하게 됐습니다. 즉, 다른 알고리즘 대비 한 알고리즘을 사용해 전체 네트워크의 과반수를 점유하게 된 것이죠.

상호 작용하는 여러 구성요소가 있는 복잡한 블록체인 솔루션을 관리하는 것은 보안 책임자(CISO)에게 어려운 일입니다. 결과적으로 어떤 솔루션을 도입하든 복잡성을 추가하기보다는 운영을 단순화해야 합니다. 레거시 시스템과의 통합은 특별한 주의가 필요한 복잡성 요인입니다.

이번에는 보안 관점에서 블록체인의 중요 개념을 알아보겠습니다.

개념 1: 탈중앙화(Decentralization)

탈중앙화는 권한이 중앙집중화를 벗어나 소규모 단위로 분산화하고 이전하는 것입니다. 보안 거버넌스는 전통적으로 중앙집중식 프로세스였으므로 중요한 상황에서 의사 결정을 신속하게 실행할 수 있었습니다. 하지만 분산형 거버넌스는 블록체인으로 전환하는 조직이 다루어야 하는 패러다임의 전환입니다.

탈중앙화의 결과로 시스템의 통제와 관리 감소뿐 아니라 물리적 보안을 보장하고 시스템을 종료하는 데 어려움이 발생할 수 있습니다. 예를 들어, 조직에서 어느 노드가 분산 인프라의 일부인지조차 모른다면 블록체인 노드의 보안을 보장하는 것이 어려울 수 있기 때문이죠.

조직의 통제력을 줄이는 것 외에도 탈중앙화는 원장의 공격 표면을 증가시킵니다. 대부분의 블록체인 유형에서 모든 노드가 동일한 버전의 원장을 보유한다는 가정에서 그렇습니다. 따라서, 분산 보안은 사소한 일이 아니며 이러한 공동 책임(shared responsibility)은 때로 실사(due diligence) 부재로 이어질 수 있습니다.

Oracles, 신뢰할 수 있는 데이터 소스

오라클은 시스템에 데이터를 공급하는 블록체인 외부의 주체(entity)입니다. 오라클은 블록체인 기반 프로토콜의 무신뢰(trustless)와 탈중앙화 특성과 모순되는 신뢰 수준을 요구합니다. 예를 들어, 컨테이너에 사용되는 추적 장치나 추적 정보를 제공하는 GPS를 보호하는 것은 누구의 책임일까요?

개념 2: 합의(Consensus)

합의 알고리즘을 통해 최종적으로 데이터 기록을 원장에 추가할 수 있는데요. 확장성, 담합방지(Collusion resistance), 계산 비용 및 실시간성 등에 걸쳐 복잡한 절충안(trade-offs)을 해결하려는 여러 가지 합의 메커니즘이 있습니다. (그림 2 참조)

합의 알고리즘의 취약점은 원장의 무결성을 손상하고 결과적으로 시스템에 대한 신뢰를 손상할 수 있다는 것입니다. 합의 알고리즘의 복잡성은 관심 있게 봐야 하는데요. 서로 다른 합의 알고리즘은 서로 다른 요구 사항과 보안 수준으로 이어지기 때문입니다. 일부 블록체인은 합의에 도달하기 위해 여러 알고리즘을 사용합니다. 이 경우 취약점이 증폭될 수 있으므로 보안 요구사항 역시 이러한 요소를 함께 고려해야 합니다.

취약한 합의 시스템 설계

어느 암호화폐 블록체인 해킹은 해당 암호화폐가 사용하고 있던 합의 알고리즘 중 어느 하나의 취약점을 이용하지 않고 오히려 시스템 자체의 취약점을 악용했습니다. 합의 알고리즘을 차례로 하나씩 추가해 여러 합의 알고리즘을 구성했기 때문입니다. 올바른 시스템 설계의 부재가 이 사례의 원인이었습니다.

[그림 2] 합의 알고리즘의 여러 유형

개념 3: 스마트 계약(Smart contracts)

스마트 계약은 사전 정의된 조건이 충족되면 블록체인에서 계약 조건을 자동으로 실행하는 컴퓨터화된 프로토콜입니다.

스마트 계약은 양날의 검이라 할 수 있습니다. 콘텐츠는 블록체인의 모든 구성원이 볼 수 있으므로 해커가 자유롭게 취약점을 검색할 수 있죠. 또한, 관련 주체(entity)가 변경할 수 없고 공개적으로 읽을 수 있는 스마트 계약에 동의하는 블록체인의 경우에는 스마트 계약의 취약점 악용이 정상 행위로 간주할 수 있습니다. 스마트 계약 패치는 기존 소프트웨어 패치만큼 간단하지 않기 때문에 시큐어 코딩 및 감사가 필요합니다.

개념 4: 엔드포인트 및 키 관리

엔드포인트는 블록체인에 액세스하는 데 사용되는 하드웨어 및 소프트웨어 요소입니다. 엔드포인트가 블록체인에 국한된 것은 아니지만, 해당 소프트웨어 기술은 블록체인을 안전하게 사용할 수 있게 하는 중요한 기술입니다.

블록체인 기술은 암호화 알고리즘을 사용하기 때문에 블록체인 사용자는 일반적으로 암호화 키를 생성하고 관리해야 합니다. 암호화 키는 트랜잭션을 인증하고 레코드가 합법적인 데이터 입력 단말장치와 연결되도록 하는 데 사용되는데요. 암호화 키가 손상되면 사용자는 조작된 레코드를 사용할 수 있습니다. 또는 도난당한 비밀 키를 사용하여 데이터를 조작할 수도 있죠. 결론적으로 사용자 모두는 암호화 키를 사용하므로 암호화 키에 대한 보안화는 블록체인 전반에 걸쳐 가장 중요하다 할 수 있습니다.

지금까지 설명한 내용을 요약하겠습니다.

– 블록체인은 해킹이 불가능하지도 않고 본질적으로 보안이 안전하지도 않습니다. 과거에 나타난 위험에 대응하는 우수한 보안 구현을 위해 노력하고 있습니다. (섹션 1 참조)

– 특별히 블록체인과 관련된 보안 개념 및 설계 접근 방식이 있습니다. 예를 들면, 심층 방어, 전체론적 보안 및 프로세스로서의 보안입니다. (섹션 2 참조)

– 보안 설계에서 설명해야 하는 고유한 블록체인 개념도 있습니다. 예를 들면, 탈중앙화, 합의, 스마트 계약 및 엔드포인트가 있습니다. (섹션 3 참조)

다음 글에서는 안전한 블록체인 도입을 위한 10단계 프로세스에 대해 알아보겠습니다.

[ 출처 ]

1. Inclusive Deployment of Blockchain for Supply Chains: Part 1 – Introduction, www.weforum.org

2. Inclusive Deployment of Blockchain for Supply Chains Part 5 – A Framework for Blockchain Cybersecurity, www.weforum.org

3. 나재훈 , 블록체인 ID, 보안 및 개인정보보호 , 2018. 5

글 ㅣ 사이버시큐리티팀 이상천 책임

*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

네트워크 보안 기술인 블록체인

엘리트 주의적 의미가 아닌 보안 측면에서 폐쇄된 공동체 내에서 금전 거래를 하기 위한 비트코인의 출현으로 블록체인이 탄생하게 되었다. 블록체인 기술은 침입할 수 없는 해커 방지 시스템을 보장하며, 이러한 기능은 사용자들 사이의 높은 신뢰도에 기반을 두고 있다. 오늘날, P2P 네트워크를 기반으로 한 이 기술은 금융 애플리케이션 이상으로 발전하였으며 이제는 정보를 투명하고 안전하게 공유하기 위해 B2B 생태계에 통합된 모든 분야를 망라하는 네트워크의 세계에 완전히 연결되어 있다.

저자: Asier Ortiz, CTO(최고기술책임자)

아울러 이 기술의 잠재력은 여전히 충분히 활용할 여지가 있다. IDC 자료에 따르면, 2021년까지 블록체인 솔루션에 대한 투자가 전년 대비 약 10 배에 달하는 92억 달러까지 증가할 것으로 예상된다.

여기서 논하고자 하는 바는 이 기술을 협업 환경에 적용하는 것이다. 즉, 일례로 부품 또는 원자재에 대한 추적, 품질관리 등을 위해 공급업체 또는 파트너와 함께 블록체인 네트워크를 구축하는 것이다. 지식을 공유할 수 있는 부문별 네트워크에서도 마찬가지이다. 이는 네트워크를 통해 흐르는 모든 기계, 프로세스 및 물품의 데이터를 사용하여 회사 인트라넷을 협력업체로 확장하는 것과 같다. 블록별로 저장되는 데이터는 이어서 암호화된다. 따라서, 네트워크의 일부이자 절대적인 프라이버시 및 통제 권한을 가진 사람들만 정보를 볼 수 있다. 더욱이, 모델의 탈중앙화로 인해 모든 당사자들이 동일한 수준이 된다. 어느 누구도 네트워크에 대하여 다른 사람보다 더 많은 통제 권한을 가질 수 없으므로 신뢰도가 향상된다. 교환된 데이터는 언제나 모두의 합의 하에 새로운 노트로 업데이트될 수 있지만 결코 삭제할 수 없으므로, 시스템의 투명성과 불변성이 한층 제고된다.

보안 측면에서, 블록체인 네트워크를 손상시키기 위해 공격자는 대부분의 네트워크를 동시에 제어해야 하므로, 이는 현재 보유하고 있는 보안 수준보다 높은 수준이다. 더구나, 정보를 삭제하려면 공격자가 해당 정보를 동기화된 방식으로 완전히 없애야 한다.

보안 개념을 뛰어넘는 이 기술의 또 다른 고유한 장점은 데이터의 출처를 항상 파악할 수 있으며 추적할 수 있다는 점이다. 다시 말해, 제품의 원천과 그 라이프사이클을 추적할 수 있다.

하지만 보안 측면에서 획기적이며 협업 관점에서 새로운 패러다임을 제시하는 외에도, 이 기술은 오늘날 우리가 알고 있는 비즈니스 프로세스에 변화를 가져올 것이다. 여타 기존 시스템 대비 블록체인 시스템의 신뢰를 바탕으로, 가용 정보에 입각하여 프로세스를 자동화하고, 주문을 사용자 정의하며, 생산 체인을 조정하는 등이 가능하기 때문이다. 각 프로세스를 사전 승인하지 않고도, 특정 작업을 수행하도록 각 정보 블록을 프로그래밍할 수도 있다. 요컨대, 정보 공유에 민첩성이 더해지며 그로 인해 생산 체인의 효율성이 제고된다.

보다시피, 블록체인 기술은 가상 화폐 이상의 가치를 지니고 있으며, 비즈니스를 이해하고 협력업체와 거래하는 방식에 변혁을 일으킬 것이다. 이 시스템의 투명성 때문에, 시스템이 프로세스에 부여하는 민첩성과 탈중앙화는 생산 공장의 효율성과 경쟁력에 직접적인 영향을 미칠 것이다.

[구멍난 블록체인 보안] ③ “블록체인 서비스 보안 구멍 많다…법제도·오펜시브 시큐리티로 빈틈 채워야”

블록체인 업계 전반에 해킹 주의보가 내려졌다. 연일 블록체인 관련 해킹 사태가 벌어지고 있지만 뚜렷한 보안 대책이 마련되지 않고 있다. 특히 BGP하이재킹 공격에 속수무책으로 당하고 있다는 지적이 나온다. 테크M은 구멍난 블록체인 보안 시리즈 기사를 통해 블록체인 보안 대책을 어떻게 마련해야 할지 고민해본다. <편집자 주>

■글 싣는 순서

①돈은 몰리는데 보안은 영…블록체인 업계 올해 해킹 피해액 14억달러

②블록체인 해킹은 먼나라 이야기?…국내 프로젝트들도 털렸다

③”블록체인 서비스 보안 구멍 많다…법제도·오펜시브 시큐리티로 빈틈 채워야”

(끝)

곽경주 S2W CTI 부문장 이사/사진=S2W 제공

“탈중앙화금융(디파이) 서비스, 대체불가능한토큰(NFT) 플랫폼 등 블록체인 서비스에는 아직 알려지지 않은 취약점이 많다. 전통적 금융 인프라에 비해 보안 대책이 미흡한데다, 제도적 기반이 없어 피해 규모는 더욱 커질 전망이다”

보안 인텔리전스 기업 에스투더블유(S2W) 사이버 위협 인텔리전스(CTI) 그룹 탈론은 최근 블록체인 업계를 뒤흔들고 있는 해킹사건에 대해 이같이 지적했다. S2W는 다크웹, 딥웹, 텔레그램 등 다양한 채널에서 범죄·위협 정보를 수집·분석하고 국제형사경찰기구(인터폴) 등에 이를 제공하고 있다.

실제로 지난해 이 회사는 인터폴 국제공조 수사에 다크웹 랜섬웨어 운영자 ‘프로파일링’, 비트코인 자금 흐름 등 인텔리전스 정보를 제공해 래빌, 클롭 등 악명 높은 랜섬웨어 조직 검거를 도왔다. 또 지난 2월 발생한 클레이스왑 ‘BGP 하이재킹’ 사건과 엔비디아·삼성전자·LG전자 등을 공격한 국제 해킹조직 ‘랩서스’를 분석하기도 했다.

최근 판교 본사에서 만난 곽경주 S2W CTI 부문장 이사는 “블록체인 해킹이 돈이 된다는 걸 깨달은 이후 디파이, NFT 플랫폼 등을 노리는 공격 비율이 증가하고 있다”며 “전통적 금융권 인프라는 망분리 등으로 레이어를 나누는 등 보안 대책이 잘 마련돼있는 반면, 블록체인 서비스 인프라는 상대적으로 취약한 부분이 많다”고 강조했다.

돈 몰리는 블록체인 서비스 업계, 보안은 ‘낙제’

S2W CTI그룹 탈론은 이날 전반적인 블록체인 서비스 업계 보안에 구멍이 많다고 꼬집었다. 오는 2028년 블록체인 산업 규모가 약 125조원을 넘어설 것으로 예상되는 등 폭발적 성장에 비해 보안은 ‘낙제점’이라는 것이다.

권혁주 S2W CTI그룹 탈론 책임연구원은 “디파이를 비롯한 블록체인 서비스 업계 전반적으로 보안구멍이 많은 상황”이라며 “알려지지 않은 취약점도 많고 보안 대책도 상대적으로 잘 구축돼있지 않은 상황”이라고 설명했다. 실제로 올해 딥·다크웹에는 가상자산거래소 사용자 정보, 거래소에 대한 데이터베이스 등 유출정보가 올라오는 일이 증가하고 있는 것으로 나타났다.

현재 디파이 서비스 업계에서는 보안성을 확보하기 위한 조치로 ‘코드 보안 감사(오디팅)’을 시행하고 있다. 코드 오디팅은 블록체인 서비스에서 사용되는 스마트컨트랙트 및 인프라 전반의 코드를 외부 업체에 의뢰해 보안성을 검증을 받는 과정이다.

권혁주 S2W CTI그룹 탈론 책임연구원(왼쪽), 임정연 S2W CTI그룹 탈론 책임연구원/사진=김가은 기자

그러나 임정연 S2W CTI그룹 탈론 책임연구원은 이같은 과정을 거쳤다는게 안전하다는 의미는 아니라고 강조했다. 그는 “코드 오디팅을 서비스 출시 전에 받고 난 후, 출시 후에는 받지 않는 등 정기적으로 이뤄지지 않을 뿐더러, 서비스 중 업데이트 진행 과정에서 새로운 취약점이 코드단에서 발생하기도 한다”며 “스마트컨트랙트 자체가 아직은 알려지지 않은 취약점이 많은 단계다보니 공격자가 악성코드를 심어 인터넷브라우저에 저장된 계정정보나 키값을 탈취해 가상자산을 자기 지갑으로 옮기는 등 다양한 방식으로 공격을 이어가고 있다”고 말했다.

현재 진행되는 코드 오디팅 수준 자체가 엄격하지 않다는 지적도 이어졌다. 곽 이사는 “많은 기업들이 개발과정에서 코드 오디팅을 시행하고 있지만, 실질적으로는 굉장히 러프한 수준”이라고 지적했다.

NFT플랫폼도 운영사의 민팅 공식 사이트나 공식 트위터 계정을 사칭해 투자자를 현혹하는 피싱수법이 횡행하고 있으나 현재로서는 마땅한 보안 대책이 없는 상황이다.

곽 이사는 “NFT나 디파이 코인 대량 보유자를 대상으로 교묘한 피싱시도가 많다”며 “민팅 공식 사이트가 생기면 이를 사칭한 사이트가 만들어지기 시작하고, 공지를 위해 사용하는 공식 트위터 계정의 프로필 사진과 디스크립션을 똑같이 구현한 사칭 트위터가 폭발적으로 증가하고 있다”고 설명했다. 이어 “투자자들이 이러한 피싱 사이트나 계정을 확인없이 접속해 피해를 입는 것”이라고 덧붙였다.

법적·기술적 보완 ‘시급’

이날 탈론은 블록체인 서비스 인프라 안정성과 해킹피해를 방지하기 위한 대책으로 법적 뒷받침이 필요하다고 강조했다. 탈중앙화가 핵심인 블록체인 생태계와는 다소 맞지 않는 측면이 있지만 보안 조치 강제, 피해자 보호 등이 있어야만 피해를 줄일 수 있다는 것이다.

권 연구원은 “현재 디파이 서비스들이 코드 오디팅을 보편적으로 시행하고 있지만 이같은 보안 감사를 정기적으로 받도록 하거나, 연간 모의해킹 횟수를 규정하는 등 제도적인 보완이 필요하다”며 “블록체인 서비스 기업 또한 고객을 지키기 위한 가이드, 교육 등을 강화해야 한다”고 설명했다.

곽 이사는 “기존 금융권은 피해를 입으면 배상 책임이 있는데 NFT나 디파이는 법적 기준이 없다”며 “피해보상 기준을 명확히 하는 등 법제도를 보완하는 부분이 필요하다”고 말했다.

오펜시브 시큐리티 확대도 강조했다. 오펜시브 시큐리티는 해커 관점으로 공격 기법을 연구하는 분야다. 실제 공격으로 피해가 발생하기 전 모의해킹 등을 통해 알려지지 않은 보안 허점을 찾아 이를 보완하는 방식이다. 버그바운티, 오디팅 등도 이 분야에 포함된다.

권 연구원은 “오펜시브 시큐리티는 공격하는 방법을 알아야 막는 법도 알 수 있다는 것이 철학인 분야”라며 “해커들의 공격수법이 더 정밀해지고 다변화되고 있는 상황 속에서 방어자도 그런 기법을 다 알아야 커버리지를 넓힐 수 있다”고 설명했다.

이어 그는 “스마트컨트랙트, 웹3.0 등 오펜시브 시큐리티 적용 범위에 대한 논의도 이뤄져야 한다”며 “또 서비스 출시 전에 시행할지, 혹은 출시 후 실제화된 환경에서 검증할지 등 구체화시켜야할 내용이 많지만 오펜시브 문화가 정착되면 안정성은 상향할 것”이라고 부연했다.

김가은 기자 [email protected]

블록체인 보안 강화 방안은? – Sciencetimes

4차 산업혁명을 주도할 핵심기술이라 불리는 블록체인(Blockchain) 기술의 가장 큰 장점은 신용이 필요한 온라인 금융 거래상에서 해킹을 막을 수 있는 분산 컴퓨팅 기술을 가졌다는 점이다.

블록체인 기술은 거래 정보를 하나의 암호화된 블록으로 묶어 거래 참여자들에게 공유한다. 데이터는 체인 형태의 연결고리 기반 분산 데이터 저장 환경에 저장되며 누구도 임의로 변경할 수 없다는 특성 때문에 디지털 인증, 위조화폐 방지 및 암호화폐의 보안 기술로 사용되고 있다.

하지만 블록체인 기술에도 허점이 존재한다. 지난 10일 한국인터넷진흥원이 서울 송파구 롯데호텔월드에서 개최한 ‘블록체인 테크비즈(Techbiz) 컨퍼런스’에서 보안전문가들은 현재 블록체인 플랫폼의 한계점을 지적하고 이에 따른 보안 대책을 제안했다.

블록체인도 결국 소프트웨어, 허점 보완해야

블록체인은 기밀성, 무결성, 가용성이 적용되어 이론적으로는 해킹이 불가능하다. 하지만 현재 기술 상황으로는 아직 완벽한 보안체계를 갖추지 못한 것으로 나타나고 있다.

이날 포럼에서 박지수 수호 대표는 “블록체인이라고 하면 보안이 완벽할 것이라고 여기는 사람들이 많지만 결국 블록체인 플랫폼도 하나의 소프트웨어 프로그램일 뿐 완벽할 수 없다”고 말했다.

박 대표는 “블록체인 플랫폼 이더리움의 소스 코드 분석 결과 95%가 하나 이상의 취약점을 가진 것으로 나타났다”며 “노드가 블록을 생성 못하도록 방해하거나 아예 도메인을 가로채 외부에서 해킹하는 사례도 빈번하다”고 지적했다.

대표적인 사례가 이더리움 최대 해킹 사건으로 불리는 ‘다오(The DAO)’ 사건이다.

‘다오(The DAO, Distributed Autonomous Organization)’는 이더리움 상의 스마트 콘트랙트(두 명 이상의 사람들 사이에서 어떤 계약이나 약속을 프로그래밍하여 자동으로 처리하도록 만든 자동 이행계약)를 바탕으로 운영되던 탈중앙화 된 자율조직을 의미한다.

지난 2016년 당시 전 세계의 많은 개발자와 전문가들이 ‘다오’ 프로젝트에 참여했고 배포된 스마트 콘트랙트에는 단기간 거대한 이더(ETH)가 모였다.

하지만 해커는 핵심 코드에 구멍이 있다는 점을 발견, 취약점을 이용해 해킹을 시도했다. 그 결과 당시 유통량의 15%인 약 350만 이더(ETH)가 도난당했다.

최근 들어서도 블록체인 관련 해킹은 끊이지 않고 있다.

지난 2017년 7월 이더리움 블록체인 플랫폼 기반의 암호화폐 예측 시장 어거(Augur)는 80만 5000달러에 달하는 레퓨테이션 토큰(Reputation Token)을 도난당했다.

지난해 7월에는 블록체인 기반 베팅 게임 포모3D(FoMo3D)를 카피한 게임에서 6만 EOS가 해킹되는 사건이 발생하기도 했다.

자동화된 탐지 툴 사용·영지식 증명, 블록체인 한계점 극복

전문가들은 블록체인 기술이 이론과는 달리 현실에 적용했을 때 문제점을 보이고 있다며 더 향상된 보안 기술이 필요하다고 입을 모았다.

김호원 부산대 교수는 기존의 퍼블릭 블록체인 상에서는 물론 프라이빗 블록체인 상에서도 서로 협력하고 있는 상대 기업의 주요 정보를 추적해서 찾아낼 수 있다는 점을 지적하며 이를 보완하는 방법으로 ‘익명 크리덴셜(Credentials)’ 기법을 제안했다.

크리덴셜(Credentials)은 정보 시스템 상에서 암호화된 개인 정보를 말한다. 일반적으로 사용되고 있는 크리덴셜 인증은 비밀번호를 입력해 자신이 적합한 인증자임을 증명하는 방식이다. 하지만 이러한 과정에서 비밀번호나 개인 정보가 노출될 수도 있다.

‘익명 크리덴셜 기술’은 개인 정보 중에 신원을 노출하지 않고 자신의 자격 요건을 입증할 수 있다. 상대방은 인증을 위해서 가져야 하는 최소한의 정보 외에는 가질 수 없다는 것이 기술의 핵심이다.

김호원 교수는 여러 익명 크리덴셜 기술 중 특히 ‘영지식 증명(Zero-knowledge proof)’ 방식에 초점을 맞췄다. 영지식 증명은 패스워드 정보를 전혀 주지 않으면서 자기가 비밀번호를 알고 있다는 것을 검증자로 하여금 믿게 하는 증명 방식이다.

가령 예를 들면 동굴 안에는 인증자가, 동굴 밖에 검증자가 있다고 가정해보자. 인증자가 동굴 밖으로 나오려면 검증자에게 비밀번호를 알려주면 된다. 일반적인 크리덴셜 방법이다.

영지식 증명은 인증자가 비밀번호를 직접 말하지 않으면서도 인증자가 비밀번호를 알고 있다는 사실을 검증자로 하여금 믿게 만들어 인증하는 방식이다.

검증자는 지속적으로 어느 길로 나올 것인지를 인증자에게 물어볼 수 있다. 첫 질문에서 인증자가 참을 말할 확률은 50%이지만 이것을 지속적으로 반복하면 결국에는 참인지 거짓인지를 추정할 수 있게 된다.

스마트 콘트랙트의 취약점 개선을 위해서는 버그를 모두 잡아낼 수 있는 컴퓨터 자동화 탐지 기술과 사람의 손으로 검증하는 방법을 동시에 활용해야 한다는 의견이 나왔다.

박지수 수호 대표는 “최근 스마트 콘트랙트의 취약점을 검증하는 툴이 많이 개발되고 있다”라고 말한 후 “모든 버그를 탐지하는 컴퓨터 자동화 기술 베리피케이션 툴(Verification Tool)과 사람의 손으로 버그를 찾아내 검증하는 버그 파인더(bug-finders) 방식을 활용해 교차 검증하는 것이 효율적인 취약점 관리법”이라고 조언했다.

(4396)

키워드에 대한 정보 블록 체인 보안

다음은 Bing에서 블록 체인 보안 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.

이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!

사람들이 주제에 대해 자주 검색하는 키워드 블록체인의 모든 것 [세상의모든지식 X 챔프],

  • #세모지
  • 세상의모든지식
  • 지식
  • 정보
  • 유익
  • 유튜버
  • 브랜드
  • 백과
  • 사전
  • 백과사전
  • 꿀잼
  • 기술
  • 제작
  • 비트코인
  • 블록체인
  • 가상화폐
  • 블록
  • 체인
  • 보안
  • 지식한잔
  • 지식창고
  • 과학
  • 화폐
  • 가상

블록체인의 #모든 #것 #[세상의모든지식 #X #챔프],


YouTube에서 블록 체인 보안 주제의 다른 동영상 보기

주제에 대한 기사를 시청해 주셔서 감사합니다 블록체인의 모든 것 [세상의모든지식 X 챔프], | 블록 체인 보안, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.

Leave a Comment