서울=뉴스1 김지현 기자 = 최근 갤럭시아, 오지스, 썸씽 등 국내 유명 블록체인 프로젝트들의 가상자산 탈취 피해 소식이 잇따르면서 블록체인의 보안성에 대한 우려의 목소리가 커지고 있다.
다만 국내 프로젝트들의 자산 탈취 피해 원인은 블록체인 자체 보안 문제가 아닌 자산이 들어가 있는 지갑의 프라이빗키 관리 등 소홀한 자산 보관이 주원인으로 꼽힌다.
이에 계정에 접근하기 위해서는 복수의 서명을 필요한 멀티시그 방식이나 스마트 컨트랙트를 활용해 일정 시간이 지나야만 자산의 이동이 가능하도록 설정하는 타임 락업 등의 보안 설정들이 필수적이라는 지적이다.
11일 업계에 따르면 지난해 11월 갤럭시아메타버스 해킹 사건을 시작으로 지난 1월1일 오지스, 1월27일 썸씽 등 국내 블록체인 운영사들의 가상자산 탈취 사건이 이어지고 있다.
일각에서 보안에 강점이 있다고 알려진 블록체인의 보안성에 대한 의구심을 제기하는데, 전문가들은 블록체인상의 보안 문제로 인해 가상자산 탈취 사건이 일어나는 것이 아니라는 시각이다.
◇ 가상자산 탈취 사건, 블록체인 보안 문제 아닌 자산 관리 문제
우선 블록체인 자체적인 보안성과 플랫폼의 자산 관리를 구분하기 위해서는 블록체인의 기본 보안이 어떤 식으로 구동되는 지를 이해할 필요가 있다.
블록체인은 기본적으로 분산원장 기술을 기반으로 한다. 이에 분산원장을 구성하는 네트워크 참여자들은 개별 블록에 대해 동일한 정보를 확인할 수 있다.
이 같은 특성을 기반으로, 어떤 하나의 컴퓨터가 단독으로 데이터를 제어하기 위해 블록 안에 적혀 있는 데이터를 변경한다면 이는 전체 체인에 동일하게 적용이 된다.
즉, 탈중앙적 특성을 기반으로 블록 안에 든 정보의 정확성을 감시하는 이들이 많기 때문에 블록체인의 보안은 일반적인 정보 나열에 비해 크게 뛰어나다는 평가를 받는다.
대표적으로 보안성이 뛰어나다고 평가받는 비트코인 블록체인의 경우, 검증자간의 교차 검증을 기반으로 하는 작업증명POW 방식이기 때문에 전체 검증자 중 과반수 이상이 검증해야 해당 작업이 인정된다.
예를 들어 10명 중 4명이 잘못 검증을 한다고 하더라도 나머지 6명이 올바른 검증을 진행한다면 블록체인 데이터는 위변조되지 않는다.
물론 초기에는 이 같은 블록체인의 특성을 이용한 51% 공격이 주요 해킹 방식 중 하나로 꼽혔다. 51% 공격이란 블록체인의 전체 검증자 중 51% 이상이 위변조에 동참한다면 블록 내용이 변경될 수 있다는 점을 악용한 공격 방식이다.
다만 이 같은 공격 방식을 통해 데이터를 위조하고, 그로부터 자산을 탈취하기 위해서는 과반수 이상의 검증자가 동시에 해킹 작업에 동조해야 하기 때문에 현실적으로 힘든 부분이 존재한다.
◇ "가상자산 발행하는 프로젝트들, 발행 후 리스크 관리 미흡한 게 사실"
반면 전 임원의 보안 정책 변경 가능성 등 내부 보안 문제가 불거진 오지스를 제외하고도 갤럭시아와 썸씽의 경우, 프라이빗키 탈취 등 자산 관리의 소홀함으로부터 탈취 사건이 발생한 것으로 알려졌기 때문에 블록체인의 기본적인 보안 문제와는 거리가 멀다.
국내 시장에는 중앙화거래소CEX뿐만 아니라 가상자산의 발행으로부터 수십억원 이상의 자산을 보유한 블록체인 프로젝트들이 다수 존재하는데, 전문가들에 따르면 이들 중 자산 관리가 다소 미흡한 부분이 있다.
이와 관련해 가상자산 데이터 인텔리전스 플랫폼 쟁글은 국내 블록체인 프로젝트들과 관련해 "일부 자산 발행 과정 이후 리스크 관리가 다소 부실하다"고 평가했다.
쟁글은 "은행이나 증권사 같이 기존 금융자산을 다루는 전통 금융권 수준에 맞는 컴플라이언스 관리와 리스크 매니지먼트 시스템이 블록체인 업계에도 필요하다"며 "블록체인 업계의 특성을 고려하고, 이에 맞는 관리 체계를 지원해 줄 수 있는 서비스가 필요하다"고 덧붙였다.
쟁글은 탈중앙화를 지향하는 감시 지원 체계를 이용하는 것과 더불어 멀티시그 방식과 같이 보안을 극대화하는 방식을 프로젝트들이 적용할 필요가 있다고 강조했다.
멀티시그 방식이란 하나의 주체에 자산 접근 권한을 집중시키지 않고 분산화시키는 특징을 지닌 보안 방식이다. 즉 단일 주체가 아닌 다중 서명을 통해서만 자산의 출금이 가능하도록 설계돼 통상 휴먼 리스크를 줄이고자 하는 프로젝트들이 흔히 적용하는 탈중앙화 방식 중 하나로도 불린다.
◇ "발행사, 이상거래탐지시스템·지속적인 기술감사 등 최소한의 보안은 갖춰놔야"
쟁글에 따르면 프로젝트들은 이같이 탈중앙화된 방식을 자산 플랫폼에 적용하고, 이를 통해 최소한의 리스크 매니지먼트와 지속적인 모니터링을 이어갈 필요가 있다. 쟁글은 최소한 △중요 정보에 대한 접근 권한 관리 △이상거래탐지시스템FDS △기본적인 보안 서비스가 포함된 관리 프로그램 활용 등이 리스크를 최소화하기 위해 필요한 요소들이라고 언급했다.
쟁글은 나아가 "블록체인의 스마트컨트랙트 기반으로 프로덕트가 운영되는 만큼, 지속적인 기술감사를 받고 컨트랙트의 퀄리티를 개선해나가는 것도 필요하다"고 조언했다.
국내 블록체인 전문가인 조재우 한성대학교 교수도 최근 블록체인 플랫폼들의 가상자산 탈취 사건의 배경이 블록체인의 자체 보안과는 거리가 멀다는 분석을 내놨다.
조 교수는 "가상자산 탈취 사건의 대부분이 개인키 탈취로 인해 일어난다"며 "클라우트나 USB 같은 곳에 파일 형태로 키를 대충 관리하는 케이스들이 여럿 존재한다"고 지적했다.
조 교수는 나아가 "안전한 자산 관리를 위해 재단 자금만이라도 커스터디에 분리해서 넣어두거나 스마트 컨트랙트를 통해 확실하게 타임 락업을 걸어서 일정 시간이 지나지 않으면 자산이 이동할 수 없게끔 하는 설정 등을 적용할 필요가 있다"고 강조했다.
그는 "특히 거래소에 상장된 가상자산을 발행하는 프로젝트들의 경우, 기본적으로 네트워크와 분리된 지갑을 사용하는지 확인하는 작업도 필요할 거 같다"고 덧붙였다.
mine124@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.
