[ET단상]블록체인의 명과 암

박경양 하렉스인포텍 대표.
박경양 하렉스인포텍 대표.

금융권은 비트코인과 같은 디지털 화폐의 핵심 기술로 잘 알려진 블록체인을 적극 도입하려 하고 있다. 블록체인 기술에는 많은 전문가가 인정하듯 뚜렷한 장점이 있지만 블록체인 관련 서비스가 안전한지는 다시 한 번 생각해 볼 필요가 있다.

최근 홍콩 비트코인 거래소 게이트코인(GateCoin) 해킹 사건과 블록체인 기반의 벤처캐피털 DAO의 해킹 사건이 발생했다. 게이트코인 해킹은 해커가 디지털 화폐 지갑을 여닫는 프로세스에 악성코드를 삽입해 화폐를 훔쳤으며, DAO 해킹은 한 번 암호화된 디지털 화폐로 전환되면 사라져야 할 토큰이 실제로는 사라지지 않는다는 취약점을 이용해 디지털 화폐를 유출시켰다.

이들 사례에서 알 수 있듯 블록체인 기반의 금융 서비스가 안전하다고 주장하지만 인간이 만든 암호체계는 인간 능력으로 무너진다는 사실을 잊지 말아야 한다.

최신 논문들에 따르면 블록체인 기술에 사용된 일방향 암호 함수 본질의 취약점인 해시 함수 충돌성을 이용하면 블록체인 역시 보안 취약점이 발생한다. 또 블록체인 자체 기술이 안전하다 하더라도 사용자 시스템 단에서 우회 공격이 가능하다는 것을 이들 사례에서 보여 준다.

블록체인 기반 금융 서비스의 맹목 도입에 앞서 어떤 금융 서비스 프로세스가 금융 안전성 측면에서 최적인지 면밀히 검토할 필요가 있다. 현재 대부분 핀테크 회사들은 관행으로 간편성을 내세워 각종 금융 정보를 저장하고 있다. 그러나 핀테크 보안성은 서비스 신뢰와 직결되기 때문에 금융 서비스 보안에 조금이라도 허점이 생기면 심각한 문제가 발생한다.

전 세계 수많은 해커가 금융 보안 시스템을 뚫기 위해 온갖 신기술을 앞 다퉈 끊임없이 개발하고 있기 때문에 핀테크 회사에서 금융 정보를 해킹 당하지 않기 위해 온갖 노력을 기울이더라도 기술상의 보안 한계를 완벽하게 극복하기는 어렵다.

좀 더 완벽한 핀테크 보안을 위해서는 발상의 전환이 필요하다. 최근 전 세계 해커들의 최대 콘퍼런스 블랙해트에서 IC 카드와 플라스틱 카드에서 보안장치를 우회해 금융 정보를 획득하는 방법이 발표됐고, 애플페이 등 카드 가상화를 통한 결제 방식도 끊임없이 해킹 사건에 연루되고 있다.

결국 우리가 무심코 사용해 오고 있는 결제 방식인 사용자 금융 정보를 타인이 처리하게끔 하는 방식은 한계가 있음을 의미한다. 그러므로 금융 정보를 소유하고 있는 사용자가 상점 등 제3자를 거치지 않고 직접 금융기관과 E2E 보안이 보장되는 다중보안 복합 인증으로 금융 거래를 할 수 있는 `사용자중심 결제`로의 발상 전환이 필요하다.

그동안 우리는 금융 거래 안전성 측면에서 많은 투자와 기술을 도입해 왔다. 더 새로운 보안체계 도입은 우리에게 심리 안정을 준다. 그러나 새로운 해킹 공격이 나올 때마다 다시 불안해 진다. 결국 해킹이 있는 한 불안감은 반복되는 것이다.

해킹을 막는 최적의 방법 가운데 하나는 해커가 해킹을 하더라도 탈취해 갈 정보가 없고, 탈취해 가더라도 그 정보가 소용이 없도록 하는 것이다. 해커들이 금융 정보를 탈취하고자 하는 작은 동기조차 갖지 못하게 하는 사용자중심 금융 거래 환경을 만드는 것이 금융 안정성 확보 측면에서 가장 중요한 요소다.

시장이 성장하려면 무엇보다 소비자 신뢰 확보가 중요하다. 관련 법제 정비는 물론 사업화 과정에서 발생할 수 있는 보안 강화가 선결 과제다. 신기술 관련 소비자 이슈에 정부, 기업, 소비자가 서로 협력해서 선제 대응하는 생태계 조성에 힘써야 한다.

박경양 하렉스인포텍 대표 park@ubpay.com