페이지상단으로이동

[현장] “블록체인? 완벽한 보안 없다…원인은 코드”

    • 이한수 기자
    • |
    • 입력 2019-07-10 18:25
▲왼쪽부터 이희조 고려대 교수와 박지수 수호 대표. (사진=이한수 기자)

【한국블록체인뉴스】 “블록체인 기술이 보안성을 담보한다고 알려졌지만, 하나의 소프트웨어 구현체이므로 취약점이 발견될 여지가 매우 크다.”

박지수 수호 대표와 이희조 고려대 컴퓨터학과 교수는 10일 서울 잠실 롯데월드호텔에서 열린 ‘제13회 블록체인 테크비즈 콘퍼런스’에서 블록체인에도 보안의 취약점이 있다며 이같이 지적했다.

이날 박 대표는 ‘스마트 콘트랙트 취약점 분석’, 이 교수는 ‘블록체인 플랫폼 보안 기술’에 관해 발표했다.

취약점이란 프로그램에서의 약점을 말한다. 개발자가 의도하지 않은 모든 것을 포함한다. 취약점을 이용해 허락받지 않은 기능을 사용하거나 공격하는 것을 익스플로잇(EXPLOIT)이라고 한다.

박 대표는 “네트워크·분산 시스템 보안 학회(NDSS)에서 개발한 제우스 검증기로 이더리움의 취약한 콘트랙트 비율을 분석한 결과 95%가 하나 이상의 취약점을 가진 것으로 드러났다”며 “이 정도 높은 확률의 취약점은 우리가 경각심을 가져야 할 수치”라고 지적했다.

그는 “기존 소프트웨어와 비교하면 블록체인 사고는 기업의 존폐를 결정할 만큼 심각하다”고 했다.

이 교수는 “최근 발생한 사건을 보면 사실상 어디에 문제가 있어서 발현됐는지 찾기가 매우 어렵다”며 “가장 큰 문제는 코드로 인한 취약점”이라고 했다.

이더리움에서 벌어진 사건 중 대표적인 사례는 ▲The DAO 해킹 ▲두 번의 패리티 멀티 시그 월렛(Parity Multi-sig Wallet) 해킹 등이다.

이들에 따르면 블록체인에서 코드는 재사용할 수 있다. 특히 오픈 소스는 코드를 그대로 복사해 붙여넣을 때가 많다.

문제는 사용된 코드 중 한 개만 취약점이 발견돼도 이를 사용한 프로젝트가 모두 해킹 대상이 된다는 점이다.

이 교수는 “블록체인 기술에서는 소프트웨어가 그룹으로 운영되는 형식이어서 전통적 소프트웨어처럼 한 곳만 신경을 쓰는 게 아니라 여러 방면에서 체크해야 한다”며 “애플리케이션부터 네트워크까지 각 분야가 서로 관리하고 협력할 수 있는 시스템과 체계가 필요하다”고 조언했다.

박 대표는 “프로그램과 증명할 성질을 1차 논리식으로 표현한 뒤 코드를 넣어 문제 여부를 알 수 있는 ‘형식 검증기’가 있는데 현재 가진 곳이 거의 없다”며 “수호는 취약점 코드와 패치 등 정보제공을 위한 DB를 쌓고 있고 이와 함께 검증기를 개발하기 위해 노력하고 있다”고 말했다.

이한수 기자 onepoint@hkbnews.com

이한수 기자 | onepoint@hkbnews.com

닫기