여러 사람이 접근하고 사용하는 공개 장부 시스템
각 블록은 암호화 적용...하나만 공격하려고 해도 비용 크게 발생해
아직은 더 검증 필요해...사용 사례 충분히 수집해 검토해도 늦지 않아

[보안뉴스 문가용 기자] 비트코인이나 이더리움 등 암호화 화폐의 근간이 되는 기술인 블록체인(blockchain)은 데이터베이스를 공유한다는 개념의 기술로 금융 산업의 ‘차세대 먹거리’로 각광받고 있다. 그에 따라 기업들과 전문가들도 블록체인의 잠재력을 이해하기 시작했으며, 잘만 활용한다면 다양한 자신을 안전하게 관리하고 추적할 수 있다는 매력을 탐구해가고 있다. 이제 더 이상 블록체인이 곧 비트코인이라는 등식이 성립하지 않는다.


IBM의 블록체인 프로그램 책임자인 스티브 서베니(Steve Cerveny)는 “현대 사회가 극도로 연결되어 있다는 현실과, 우리의 상호작용이란 것이 서로 간의 신뢰를 증진시키는 도구를 사용할 때 높은 이득을 얻어가는 서비스나 당사자 사이에서 점점 더 빈번하게 벌어지고 있다는 현실에 정확히 어울리는 기술이 바로 블록체인”이라고 설명한다. “그런데다가 이제 거래라는 것도 점점 더 디지털 환경에서 발생하죠. 블록체인에게 있어 레드카펫이 깔린 것과 같은 상황인 겁니다.”

새 지평이 열리다
블록체인이란 쉽게 말해서 여러 사람에게 배포된 장부다. 물론 여기서 여러 사람이란 일반 대중은 아니다. 이 장부를 볼 수 있도록 허가를 받은 사람들이, 서로 약속된 방법으로 이 장부를 열람하고, 약속된 방법으로 장부에 거래 내용을 기록하는 것이다. 오라클의 소프트웨어 아키텍트인 토드 리틀(Todd Little)은 “지금은 잘 가지고 다니지 않지만 수표책도 장부고, 그 수표책을 발행한 은행 역시 그 수표와 연결된 장부를 따로 가지고 있다”고 비유한다. “블록체인이란 수표책과 은행의 관계를 전자 버전으로 바꾼 것입니다. 둘 다 예금에 접근할 수 있고 돈을 인출할 수 있죠. 그리고 그렇게 할 때마다 해당 기록을 상대가 볼 수 있도록 남겨야 하고요.”

하지만 수표책과 다르게 블록체인은 거의 모든 종류의 거래를 추적할 수 있게 해준다. “토큰화되고 개별적으로 기록되는 게 가능한 모든 자산이나 데이터는 블록체인 시스템으로 관리할 수 있습니다.” 액센추어 모빌리티(Accenture Mobility)의 커넥티드 사업 책임자인 리치 메스자로스(Rich Meszaros)의 설명이다. “예를 들어 금융 자산 중에는 주식, 채권 등의 투자금들이 있겠고, 사업상 자산 중에는 건물, 장비, 재고, 외상매출금, 천연자원 등이 있습니다. 부동산이라면 부동산 권리, 채굴권, 토지 이자 등이 있으며, 개인 자산이라면 자동차, 예술 작품, 보석, 퇴직금 계좌 등이 있습니다.” 그밖에는 IP, 브랜드명, 저작권 등의 무형 자산과 음악, 동영상, 광고, 출판물에 대한 디지털 저작권도 블록체인으로 관리할 수 있다고 메스라조스는 목록을 계속해서 이어간다.

블록체인은 시간순서대로나 거래 행위별로 연결시킨 사슬(chain)을 구성하는 모든 문서 덩어리(block)를 보호할 수 있는 기술이다. 물론 여기서 문서 덩어리는 전부 암호화 처리가 되어 있는 것을 말한다. 이 문서 덩어리는 기업 내 저장자료나 법문서와 같은 ‘스마트 기록물’일 수도 있고, 거래 계약 조건 등과 같은 ‘스마트 계약서’일 수도 있다. “상호 물물 교환에 대한 내용이 담긴 계약서일 수도 있고, 신뢰를 전제로 하지 않는 당사자들 간 교환하는 법 문서일 수도 있습니다.”

세상 모든 물건들이 디지털 버전의 분신을 가질 수 있는 시대이므로 블록체인의 문서 덩어리로서 커다란 체인에 참여할 수 있게 되고, 그러므로 블록체인 기술 아래서 거래를 하거나 거래 내역을 추적할 수 있다는 것이다. “가게에서 파는 물건들이나 음식, 약품에는 전부 고유 번호가 붙죠. 상품은 물리적인 것이어도 이 번호는 얼마든지 디지털적인 존재가 될 수 있습니다. 계약서에도 고유번호가 붙고, 해외에 소포를 보내도 송장이 등록됩니다. 이제 세상의 거의 모든 물리적인 존재들이 디지털 아바타를 하나쯤은 보유하고 있는 상태입니다.” 심지어 요즘엔 다이아몬드들도 블록체인으로 거래, 관리한다고 서베니는 설명한다.

SAP 솔루션 아키텍트이자 미래학자인 레이먼드 그로스(Raimund Gross)는 “공급 사슬 업계에서 블록체인이 가장 밝은 빛을 발하고 있다”고 말한다. “데이터나 정보를 기본바탕으로 해서 물건을 유통시키는 산업은 공급자, 시장, 물류 체계 관리, 서비스 업데이트 등 상당히 복잡한 환경에서 여러 가지 요소들을 돌봐야 합니다. 여기다가 각종 이벤트나 세일이 변수처럼 생겨나고 주문을 취소하고 반품된 물건을 배달해야 하는 등 여러 가지 상황이 발생할 때도 무리 없이 실행하고 추적해야 합니다. 블록체인 기술을 적용할 때 복잡한 시스템도 부드럽고 안전하게 관리될 수 있습니다.”

HPE의 블록체인 글로벌 사업부 책임자인 라파엘 데이비슨(Raphael Davison)은 안전하게 분산된 장부로 기업들 및 개인들의 금융 관련 아이덴티티를 추적하는 미래가 곧 오리라고 예상한다. “졸업한 대학, 직무 현황, 수입 수준, 의료 기록, 나이 등 제 아이덴티티를 구성하는 다양한 특성과 데이터를 안전하게 보안 조치를 취한 장부에 저장해두고 싶어요. 그렇다면 이 장부를 가지고 개인의 아이덴티티와 금융 정보를, 자동차 판매상이나 신용카드 회사, 대출 창구에서 보다 빠르게 제시하고 확인 받을 수 있을 테니까요.”

안정성과 안전성
블록체인 기술이란 크립토그래피 기술과 공공/개인 암호화 기술을 활용해 거래의 진위성을 확인할 수 있게 해준다. 그래서 ‘블록체인은 안전하다’는 말이 많이 나오고 있고, 실제 많은 사람들이 이 사실을 믿고 있다. 메스자로스는 “공공키 암호화는 데이터 보안의 수준을 역사상 가장 높은 수준으로 끌어올리고 있으며, 각 노드마다 공격에 대한 내성이 생기고 있어 침투가 거의 불가능하다는 것도 맞다”고 설명을 보충한다.

기존 데이터베이스의 경우 데이터 보호란 데이터베이스실을 지키는 것을 말했다. “데이터베이스가 침투당하면 모든 데이터에 접근할 수 있었죠. 그러나 블록체인을 적용하면 데이터가 기록 단계에서부터 이미 암호화가 되기 때문에 데이터베이스가 침해당해도 안전합니다. 키가 망가진다면, 바로 그 부분의 데이터만 침해될 뿐입니다. 나머지 데이터베이스는 보존되죠. 즉 데이터베이스 전체에 접근하려면, 블록체인을 구성하는 각각의 블록들의 암호화 키를 알아내야 합니다.”

그로스는 “블록체인은 정보 중앙화의 정확히 반대되는 개념”이라고 메스자로스의 설명을 보충한다. “특정한 곳에 몰아넣고 데이터를 통째로 보호하는 게 아니라 데이터의 단위 하나하나를 전부 암호화해서 각각 보호하는 개념이기 때문이죠. 거기다가 블록체인 장부들의 원래 설계 개념을 더해보세요. 수분에 한 번씩 기록 전체를 처음부터 끝까지 검사하도록 되어 있습니다. 즉, 유출을 위해 접근할 지점이 한 군데도 존재하지 않는다는 겁니다. 그것이 블록체인 기술의 강점이라고 볼 수 있습니다.”

어떤 구성품을 묶어놨든, 결국 세상 모든 블록체인 기술의 공통점은 모든 거래가 하나의 장부에 기록되고, 이 장부는 참여자 전부가 접근하고 열람하는 게 가능하다는 것이다. “참여자들은 거래 기록들을 블록 단위로 뭉쳐놓고, 이 블록들을 커다란 사슬(chain)로 연결하죠. 여기에 사용되는 건 오래된 컴퓨터 과학 기술인 해시(hash)입니다. 여기서 한 블록의 데이터만 바뀌어도 체인 전체가 망가지게 됩니다.”

블록체인 시스템에서는 누군가 정보를 중간에서 전달, 유통해줄 필요도 없게 된다. 그로스에 의하면 “금융 서비스와 데이터 송수신 등에는 거의 반드시 중재자가 존재한다.” 이들의 기능과 목적은 오로지 “송수신 되는 정보를 검사하는 것”이다. “온라인 뱅킹을 할 때 사용자가 올바른 은행 고객인지 아닌지, 계좌 주인인지 아닌지 확인하는 것 등을 말합니다.” 하지만 모두가 장부를 공유하고, 장부는 처음부터 끝까지 수분에 한 번씩 검사되니 정보를 전달하거나 거래를 하는 데 있어서 누군가 확인할 필요가 없게 된다는 것이다.

ISACA의 리더십 사고 부문 책임자인 에드 모일(Ed Moyle)은 “정보를 중앙에서 통제하던 시스템 내에서의 장부들은 ‘장부 시스템 보호 장치’가 따로 필요했다”고 말한다. “하지만 블록체인은 장부가 스스로를 보호하도록 되어 있습니다. 보호 장치를 따로 구축하느라 환경설정 문제나 정책 적용 시 생기는 취약점이 발생하는 등의 리스크를 가져갈 필요가 없게 된다는 겁니다.”

또한 블록체인에서 사용되는 암호화 기술도 보안에 워낙 좋은 기술이긴 하지만, 사실 블록체인의 진짜 안전성은 네트워크 구조 자체에 있다고 시스코의 블록체인 인큐베이션 책임자인 아눕 난라(Anoop Nannra)는 설명한다. “거래가 발생하면 곧바로 네트워크 전체에 알려지고, 다 같이 해시되고, 블록으로 편입되고, 또 다시 확인을 받는 시스템입니다. 이 시스템은 네트워크 구석구석까지 적용되고 또 반복되죠. 이것이 블록체인의 진정한 안전성입니다.”

그렇기에 누군가 해킹 기술을 활용해 특정 거래 내용을 조작하려고 한다면, 그 거래 내용이 포함되어 있는 블록을 짚어내고 복호화시켜야 한다. 그런데 해당 블록의 암호만 푼다고 되는 게 아니다. 그 블록으로부터 만들어진 모든 암호화 처리된 블록들도 복호화를 해야 하며, 이 행위를 네트워크 내 모든 노드에 동시에 적용할 수 있어야 한다. “아무리 작은 구조의 블록체인이라고 해도 블록 하나 공격하는 데 드는 비용은 어마어마하게 올라갑니다.”

시작하기
그렇다면 블록체인에 대하여 기업들은 어떻게 접근해야 할까? “블록체인이 가진 가능성을 탐구하는 건 그리 어려운 일이 아닙니다. 실험과 연습을 위한 오픈소스들이 이미 존재하거든요.” 모일의 설명이다. “진짜 어려운 건 블록체인을 실제로 도입하기 위해 기획하는 건데, 모든 예상 가능한 공격 및 사고 시나리오를 꼼꼼히 짜고 해결한 후에 블록체인에 손을 대는 게 좋습니다. 많은 사람의 참여가 필요한 시스템이라는 걸 반드시 기억하고, 참여자의 교육에도 심혈을 기울여야 합니다. 섣불리 했다간 전혀 예상 밖의 일이 터질 겁니다.”

현재 가장 인기가 좋은 오픈소스 툴은 “초보자도 로컬 블록체인 네트워크를 만들 수 있도록 해줄 만큼” 발전했다고 모일은 설명한다. “몇 분만 투자하면 누구라도 기존 블록체인 네트워크에 연결할 수 있게 하거나 스스로 만들 수 있도록 하는 툴들을 무료로 쓸 수 있다”고 난라 역시 동의한다. “하지만 그 초보용 툴을 잘 다룰 수 있게 되었다고 해서 블록체인을 마스터한 건 절대 아니라는 걸 기억해야 합니다. 블록체인을 한 번에 이해하고, 또 직접 적용시키는 건 대단히 어려운 일입니다. 급히 생각해선 안 됩니다.”

메스자로스는 “블록체인 도입에 관심이 있다면 다른 조직에서의 용례를 충분히 수집하고 연구해야 한다”고 권장한다. “어떤 사고가 일어났는지, 어떤 실수가 있었는지, 어떤 가치를 만들어냈으며, 어떤 변화가 있었는지를 면밀히 따져보아야 합니다. 그런 후에 프로토타입 작업을 하세요. 아주 작은 범위에서 파일럿 프로젝트를 돌려봐야 합니다. 공부했던 용례를 실제로 체험해보고 이해하는 것이죠. 그러면서 ‘우리 회사의 환경에서는 이게 어떤 식으로 실현될지’ 예상해가면서 실험을 진행해야 합니다.”

블록체인과 현실 세계
메스자로스는 “신기술이 등장할 때마다 늘 강조하는 바인데, 개인은 몰라도 회사가 굳이 ‘얼리 어답터’가 될 필요는 없다”고 목소리에 힘을 준다. “분명 디지털 변혁의 흐름과 클라우드 컴퓨팅 등의 대세 흐름과 맞물렸을 때 블록체인 기술은 뭔가 강력한 드라이브를 추가로 제공할 것으로 보이긴 합니다. 그렇지만 아직 충분한 검증이 되지 않았다는 단점이 있죠. 그러니 실제 사용 사례를 최대한 조사해서 그 검증을 스스로 해나가야 합니다. 블록체인에 대한 이론 공부도 당연히 겸해서 진행해야 하고요.”

서베니는 “블록체인을 적용해보고 싶어하는 기업들은 ‘여러 사람이 상호작용하는 에코시스템’이란 개념을 충분히 이해하지 못한다”고 말한다. “기술을 누군가 발명하고, 다른 사람들이 그 기술을 공부해서 이해하는 것하고, 그 기술을 바탕으로 실제적인 사업 체질을 바꾼다는 건 완전히 다른 일입니다. 연애책 아무리 읽어봐야 실제 연애에서는 전혀 다른 어려움에 봉착하게 되는 것과 마찬가지죠. 블록체인이 제시하는 약속들만 보지 말아야 합니다. 데브옵스도 그렇지만 블록체인을 도입한다는 건 회사 구조와 사업 방식의 완전한 변경을 수반하는 겁니다. 불편하고 돈도 많이 드는 과정일 겁니다.”

조사를 하는 과정 역시 꼼꼼하고 빈틈없어야 한다고 토드 리틀은 덧붙인다. “블록체인은 최근 들어 가장 많은 사람들의 관심을 받고 있는 기술입니다. 어설픈 전문가들의 이상한 정보들이 인터넷 상에 많이 떠돌고 있습니다. 그 소문들이 여기 저기 돌고 돌아 오해를 낳고, 편견을 낳고, 잘못된 희망과 비틀어진 공포를 낳습니다. 심지어 전문 업체들도 이상한 광고를 하곤 하지요. 그러니 아직은 서둘러서 좋을 게 없습니다.”

그렇지만 데이비슨은 “블록체인이 가지고 있는 잠재력만큼은 진짜”라며 “블록체인이 어떤 식으로 활용될지가 상당히 기대된다”고 말한다. “마치 90년대 인터넷이 대중화될 때와 비슷한 느낌입니다. 그때 우리 사회가 이렇게 변할 줄 어떻게 알았겠습니까. 돌아다니면서 페이스북을 하고, 페이스북이나 구글 등의 실리콘벨리 기업들이 자동차까지 소프트웨어 사업으로 만들어버릴 줄 어떻게 알았겠습니까.” 조심하는 건 좋지만, 너무 산업을 경직시켜도 안 되겠다고 데이비슨은 주장한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>