[한경닷컴]암호화폐 거래소 해킹 더 이상의 후퇴는 없다.

 

비트코인 혁명, 완벽한 보안을 꿈꾸다.]
비트코인 백서의 제목은 Bitcoin: A Peer-to-Peer Electronic Cash System이다. 비트코인 : 개인 대 개인 전자화폐 시스템이라고 정의하고 있다. 총 9장으로 구성된 비트코인 백서의 초록 시작은 이렇게 시작된다.

 

Abstract.  A purely peer-to-peer version of electronic cash would allow online payments to be sent directly from one party to another without going through a financial institution.

초록.P2P 전자화폐 시스템은 금융기관 없이 사용자 간 직접적인 온라인 결재 및 전송을 가능하게 한다.

비트코인을 한마디로 규정하면, 탈중앙화 시스템이다. 중앙화 시스템의 장단점을 완전히 바꾼 새로운 개념의 시스템이다. 기존 중앙화 시스템 중 가장 심각한 단점은 보안이었다. 모든 데이터와 금융자산이 중앙의 시스템에 집중되어 있으므로 만에 하나 이 중앙의 시스템이 보안에 취약하면 큰 자산의 손실로 이어졌다. 그래서 대부분의 금융기관은 보안에 상당한 비용을 지불하고 있다.

비트코인은 이 중앙화 방식을 완전히 탈피하여 개인 대 개인, 회사 대 회사, 기관 대 기관이 직접적으로 거래를 할 수 있도록 만들었기 때문에 중앙의 시스템에 집중된 자산의 보안 위협에 대해서는 완전히 해결하였다.

 

[왜 비트코인 해킹 사건들이 일어나는가?]

 2019년 1월 뉴질랜드 암호화폐 거래소 크립토피아는 1,600만 달러(약 188억 원) 규모의 해킹 사건이 일어났다. 2019년 4월 국내 암호화폐 거래소 빗썸은 1,300만 달러(약 153억 원) 규모의 암호화폐가 외부로 유출됐다. 2019년 5월 중국의 암호화폐 거래소 바이낸스는 4,700만 달러(약 555억 원) 규모의 암호화폐를 분실했다. 2019년 7월 일본 암호화폐 거래소 비트포인트는 2,800만 달러(약 330억 원) 규모의 해킹 사건이 일어났다. 2019년 11월 국내 암호화폐 거래소 업비트에서는 4,900만 달러(약 578억 원)의 암호화폐 해킹 사건이 일어났다.

 비트코인을 포함한 암호화폐는 해킹이 불가능하다고 하였는데, 이렇게 큰 금액의 해킹 사건이 지속해서 발생하는 이유는 무엇인가? 

 결론적으로 사토시나카모토의 의도대로, 개인 간 거래를 하게 되면 해킹의 위협은 상당 부분 줄어든다. 암호화폐 거래를 위한 승인과정에서 개인이 보유 및 관리하는 개인키(Private Key)를 통해서 거래의 승인이 이루어진다. 개인키(Private Key)를 잘 관리한다면 해킹의 위험으로부터 100% 안전하다. 비트코인을 포함한 암호화폐 시스템은 기존 중앙화 시스템보다 상당한 무결성을 보유하고 있다. 다만 승인과정에서 필수적인 요소인 개인키(Private Key)의 해킹이슈가 마지막으로 존재한다.

 결국 핵심은 블록체인 시스템은 무결성을 가지고 있으나, 개인키(Private Key)에 대한 보안이슈를 반드시 해결해야 한다. 개인 간 거래에서의 해킹위험은 적으나 거래소와 같은 대규모의 자산을 보유하고 있고 거래가 이루어지는 곳은 상시로 해킹의 위험에 노출될 수밖에 없다. 개인이 보유하고 관리해야 할 개인키(Private Key)를 거래소에서 대량으로 대신 관리하기 때문이다. 

 

[암호화폐 거래소 해킹 문제 해결 가능한가?]

암호화폐 거래소 해킹 문제에 대한 해결방안은 2가지가 존재한다. 

첫째는 중앙화 방식의 거래소를 탈중앙화 방식의 거래소로 운영하는 방안이다. 실제로 바이낸스 거래소 등에서 탈중앙화 방식의 거래소를 운영하고 있다. 암호화폐 거래 시 핵심적인 승인에 대한 권한을 개인이 하도록 하는 것이다. 블록체인 시스템이 추구하는 방향과 동일한 방식을 적용하여 보안을 블록체인 시스템 수준으로 끌어올린 것이다. 이 방법이 가장 좋은데, 문제는 거래소에서 호가를 결정하는 가장 주요한 요인이 거래량인데, 탈중앙화 거래소는 이 거래량 문제를 해결하지 못하고 있다. 구조적으로 탈중앙화 방식의 한계를 극복하기에는 쉽지 않다.

두 번째는 중앙화 방식의 거래소 방식을 유지하면서 가장 취약한 개인키에 대한 보안을 강화하고 큰 금액의 거래에 대한 권한 부여를 차등화하는 방식을 적용할 수 있다. 결국 해킹의 대상이 되는 부분은 개인키이므로, 이 개인키에 대한 보안을 구체적이고 실제로 어떻게 적용하는지가 암호화폐 거래소 해킹문제에 가장 근본적이고 실제적인 대안이 될 수 있다.
개인키 보안을 위한 실제적인 대안으로는 하드웨어 장치를 이용한 보안과 SW 기술을 이용한 대응 방안이 있다. SW 기술을 이용한 대응 방안으로는 멀티인증, 다중서명 등의 기술이 존재하나 이러한 방식을 적용하고 있음에도 여전히 해킹사건이 발생하고 있으므로 100% 완벽한 보안으로는 부족하다. 하드웨어장치를 이용한 대응 방안으로는 HSM(Hardware Security Module)과 TPM(Trusted Platform Module)이 방안이 있다. 

[개인키의 완벽한 보안으로 블록체인 시장이 활성화될까?]

 개인키(Private Key) 보안을 위한 하드웨어 장치를 이용한 대안이 암호화폐 자산에 대한 보안 위협을 제거하고 블록체인 시장이 활성화되기 위한 촉매제 역할을 하고 있다.

 하드웨어 보안 모듈(Hardware Security Module : HSM)은 암호 프로세서를 하드웨어 내부에 탑재하여 개인키나 전자서명 등 기밀성을 필요로 하는 정보를 생성 및 관리하도록 구현한 하드웨어 장치다. 암/복호화에 필요한 키와 알고리즘을 저장하고 모든 연산은 HSM 내부에서만 수행하도록 하여 연산 과정의 보안성이 극대화하였다.

 최근에 국내 메이저 암호화폐거래소 및 블록체인 플랫폼 기업에서 HSM 분야의 글로벌 선두기업인 엔사이퍼 시큐리티(nCipher Security)의 nShield HSM이 도입되었다. 행안부 및 한국조폐공사에서 진행한 블록체인 사업에도 도입하여 지금까지 발생했던 블록체인 보안이슈가 상당 부분 해결될 것으로 기대된다. 

 미국 연방정부 보안표준인 FIPS 140-2 Level 3 인증을 보유하고 있는 엔사이퍼 시큐리티(nCipher Security)는 글로벌 주요 기업을 대상으로 20년 이상의 신뢰할 만한 보안 및 규제 준수 서비스를 제공해왔고 응용 암호학에 대한 높은 전문성 및 경험을 가진 것으로 잘 알려져 있다. 

 

[엔사이퍼 시큐리티 전략적 기술 파트너 프로그램 NFINITY 생태계]

 

2020년은 정부에서도 블록체인 사업을 본격화한다. 닷컴버블이 사라졌던 시기처럼 블록체인 업계도 거품이 사라지고 실제 기술력과 비즈니스 모델이 분명한 업계들이 활성화되고 있다. 암호화폐 자산과 블록체인이 적용된 비즈니스에서의 자산의 보호는 더욱 증대될 것이다. 이러한 시기에 블록체인 자산을 지킬 수 있는 핵심 키인 개인키(Private Key)에 대한 보안의 실제적인 대안과 적용이 이루어지고 있어서 블록체인 사업의 향후 발전이 기대된다.

 

[한경닷컴 기고문, 2020년 2월 18일]