[IT애정남] 블록체인은 안전하다는데 왜 해킹 사고는 끊이지 않나요?

[IT동아 한만혁 기자] 블록체인 기술의 장점으로 꼽히는 것이 보안과 신뢰성입니다. 한 번 기록한 데이터는 바꾸기 어렵기 때문에 안전하게 저장할 수 있습니다. 믿을 수도 있고요.

그런데 블록체인 업계에서는 해킹으로 인한 보안 사고가 끊이지 않습니다. 최근 국내 블록체인 기업 플레이댑은 자체 가상자산이 대량으로 추가 발행되는 해킹 피해를 입었습니다. 앞서 지난 1월에는 오지스, 썸씽 등이 각각 1040억 원, 180억 원 상당의 자산을 탈취당했습니다.

안전하다는 블록체인 기술인데 왜 해킹 사고는 끊이지 않을까요? 우리가 알고 있는 것과 달리 블록체인 기술이 보안에 취약한 것은 아닐까요? hooXXXX 님의 질문입니다.

“얼마 전 친구들과 함께 있는 단체대화방에서, 가상자산 투자자인 친구가 블록체인 기업의 해킹 기사를 공유했습니다. 그러자 다른 친구가 블록체인은 안전하다면서 왜 이렇게 해킹 사고가 자주 일어나는지 물었어요. 아무도 시원하게 대답을 못하더라고요. 블록체인은 정말 해킹에 취약한 기술인가요?” (일부 내용 편집)

우선 블록체인 기술에 대해 설명드리겠습니다. 블록체인은 쉽게 말해 데이터가 저장된 블록을 서로 연결한 것입니다. 이 데이터는 하나의 저장소가 아닌, 블록체인 네트워크에 연결된 다수의 저장공간에 저장합니다. 그래서 블록체인을 분산원장기술이라고 합니다.

이후 새로운 블록이 생성되면 기존 데이터의 유효성, 즉 진위를 확인하고 참으로 판단된 데이터 뒤에 새로운 블록을 연결합니다. 유효성을 검증할 때는 각 저장공간에 있는 데이터를 비교해 다수의 데이터가 일치한 것을 참으로 인지합니다. 블록체인 네트워크마다 블록 생성 주기나 블록이 담을 수 있는 데이터 크기, 기존 블록의 검증 방법 등은 조금씩 다르지만 큰 줄기는 비슷합니다.

만약 누군가 데이터를 의도적으로 수정하려면 최소한 과반수의 저장장소에 있는 데이터를 동시에 바꿔야 합니다. 저장장치가 전 세계에 흩어져 있다는 점을 고려하면 현실적으로 불가능한 일입니다. 블록체인을 안전한 기술이라고 하는 것이 이런 이유입니다.

그런데 왜 자꾸 해킹 사고가 일어날까요? 이는 블록체인 기술 자체의 문제가 아닌 전자지갑 개인키 관리 소홀 탓입니다.

대부분의 블록체인 기업은 블록체인 네트워크 참여자에 대한 보상이나 블록체인 서비스 활성화를 위해 가상자산을 발행합니다. 가상자산은 전자지갑에 담는데, 이들 전자지갑에 접근하기 위해서는 암호화된 ‘개인키(private key)’가 필요합니다.

문제는 가상자산 거래소나 블록체인 기업이 개인키를 철저하게 관리하지 못하는 경우입니다. 해커들은 그들의 취약점이나 부실한 틈을 파고들어 개인키 정보를 빼내고 이를 이용해 가상자산을 탈취합니다. 개인키를 사용자가 직접 관리하는 경우도 마찬가지입니다. 악성 코드 감염이나 피싱, 가짜 사이트나 앱으로 유도해 개인키 정보를 빼내기도 합니다. 이는 기업이나 개인의 막대한 재정적 피해로 연결되죠.

그러니까 해킹 피해를 예방하기 위해서는 개인키를 철저하게 관리해야 합니다. 가상자산 거래소나 블록체인 기업의 경우 더욱 강화된 보안 시스템을 적용하는 것이 좋습니다. 강력한 암호화 알고리즘을 사용하고 접근 권한을 최소화해야 합니다. 정기적인 보안 점검 및 시스템 업데이트, 두 개 이상의 서명을 요구하는 멀티시그를 도입하는 것도 좋은 방법입니다.

개인도 주의를 기울여야 합니다. 이용하려는 블록체인 기업에 대해 개인키 관리 방법이나 시스템 보안, 운영 정책을 미리 살펴 보고 신뢰할 수 있는 곳인지 확인한 후 이용하는 것이 좋습니다.

개인이 개인키를 직접 관리할 때는 비밀번호 설정 시 대문자, 소문자, 숫자, 특수문자 등을 섞어 복잡하게 만들고, 주기적으로 변경해야 합니다. 비밀번호 외에 추가 인증 단계를 설정하고, 개인키를 USB메모리 등 별도 저장장치에 보관하는 것이 좋습니다. 보안 프로그램의 경우 항상 최신 버전으로 유지하고, 의심스러운 링크나 첨부파일은 클릭하지 말아야 합니다.

물론 해킹 시도를 완벽히 차단하는 방법은 없습니다. 해커의 기술력은 날이 갈수록 정교해지고 있으며, 끊임없이 새로운 방법을 개발합니다. 하지만 앞서 설명한 방법을 철저히 지키면서 관리하면 해킹으로 인한 피해를 최소화할 수 있습니다.

'IT애정남'은 IT제품이나 서비스의 선택, 혹은 이용 과정에서 고민을 하고 있는 독자님들에게 직접적인 도움이 되고자 합니다. PC, 스마트폰, 카메라, AV기기, 액세서리, 애플리케이션 등 어떤 분야라도 '애정'을 가지고 맞춤형 상담을 제공함과 동시에 이를 기사화하여 모든 독자들과 노하우를 공유할 예정입니다. 도움을 원하시는 분은 pengo@itdonga.com으로 메일을 보내 주시기 바랍니다. 사연이 채택되면 답장을 드리도록 하겠습니다.

글 / IT동아 한만혁 기자 (mh@itdonga.com)