블록체인, 과연 안전한가?

•  
•  
•  
•  

최근 암호화폐와 함께 블록체인 열풍이 뜨겁다.

암호화된 데이터 블록을 서로 연결해 위변조를 불가능하게 하는 방법은 1991년에 하버와 스트로네트에 의해 제안됐다. 한 묶음의 데이터를 해시(Hash) 함수를 이용해 축약된 암호로 만들어 블록으로 만들고, 이전 블록 데이터도 암호화해 포함하도록 만들었다. 해시함수는 특성상 입력 데이터가 조금만 바뀌어도 전혀 엉뚱한 출력치를 만드는 특성 때문에 한 블록의 데이터를 변조하면 이후 블록에 저장된 해시 값이 모두 변경돼 변조를 쉽게 탐지할 수 있다.  

2008년 사토시 나카모토는 암호화된 데이터 블록 고리를 금전 거래 원장에 참여한 모든 컴퓨터에 분산 저장하도록 활용하는 블록체인을 제안했다. 이를 바탕으로 비트코인을 창안했다. 

비트코인의 블록체인은 2017년 말 시간당 1만2000개, 15억달러(1조6162억원)에 달하는 거래를 처리했다. 비자카드 등 초당 2만4000개 이상 거래를 처리하는 기존 신용카드나 금융망의 처리량과 속도를 아직 따라가지 못하지만, 중앙 통제 기관이 없이 익명의 다수 개인의 분산 컴퓨터 네트워크로 실제 사용 가능하고 안전한 금융 거래 시스템을 구축했다는 것은 획기적이다. 석기시대 물물교환과 돌 화폐로 시작된 인류의 오랜 거래 역사에 큰 전환점을 만들었다고 평가할 만하다.

블록체인은 거래 데이터를 암호화된 일련의 블록으로 만들어 모든 사용자의 컴퓨터에 동일하게 저장해 위변조를 방지하고 새로운 거래 데이터를 안전하게 추가할 수 있도록 한다. 블록체인은 또 비트코인 등 암호 화폐뿐 아니라 의료 정보, 전력망 및 스마트 그리드에서 에너지 거래 정보, 인터넷 광고 및 소셜 미디어, 식품 및 농업의 원산지 정보, 음악 등 저작권 거래 정보, 물류 배송 정보 등 분야에 적용될 것으로 기대된다.  

IBM 등은 금융, 의료 등 주요 서비스 산업에 적용될 산업용 블록체인 플랫폼을 개발해 서비스를 시작했다. 한 웹사이트에는 2300개가 넘는 블록체인 벤처기업이 등재돼 있다. 신용카드 산업이 비자카드, 마스터카드 등에 크게 의존하고 있듯이 미래 금융 및 서비스 산업도 글로벌 기업에 의존하게 될지도 모른다.

블록체인은 과연 안전할까? 블록체인 열풍과 함께 잠재 위험도 이슈로 떠오른다. 근래 암호 화폐 거래소가 해킹당해 보관 중이던 개인 암호와 암호화폐가 대량 탈취당한 사건이 간간히 보도된다. 새로운 거래가 발생했을 때 모든 컴퓨터에 저장된 블록을 대조해 무결성을 증명해주는 콘센서스 프로토콜, 각 컴퓨터가 많은 시간과 계산능력으로 이러한 검증작업과 함께 해시함수로 암호화한 거래 데이터 블록을 생성해 추가했다는 '채굴' 작업의 증명, 각 블록에 이전 블록의 해시를 포함하게 해 위변조를 어렵게 하는 기술 등에 기반한 블록체인은 핵심 기술요소 자체가 완벽하지 않아 많은 위험을 지닌다.  

최근 MIT 테크놀로지 리뷰의 블록체인 특집에서 마이크 오컷은 블록체인의 위험을 세가지로 정리했다.  

첫째, 코넬대학 연구팀이 발표했듯 50% 이하의 마이닝 계산능력을 가지고도 다른 블록체인 컴퓨터 노드를 속여 이미 완료한 채굴작업을 다시 하도록 속이고, 자기만 유효한 채굴작업을 독점하는 것이 가능하다.  

둘째, 블록체인 노드는 서로 통신을 할 수밖에 없다. 컴퓨터의 통신 부분을 해킹해 다른 노드에서 오는 정보를 왜곡하거나 거짓정보를 보내 무효한 채굴작업을 반복하게 만들어 거짓 거래 정보를 승인하도록 만들 수 있다.  

셋째, 블록체인은 필연적으로 인터넷에 의존하고 많은 응용프로그램 및 시스템과 연동돼야 한다. 이런 응용 시스템의 취약점을 통해 해킹이 가능하다. 기존 온라인 시스템이 피할 수 없는 사용자의 암호를 탈취당하는 문제가 블록체인도 예외는 아니다.  

암호화폐 거래소는 고객의 암호화폐 거래를 위한 암호키를 인터넷과 분리된 별도 장치에 안전하게 보관한다고 공언했다. 하지만 2018년 초 일본 한 거래소에서 5억달러(5390억원)를 해킹당한 사례를 보면 이 방법이 실제 완벽하게 실행되지 않음을 알 수 있다. 컨설팅 업체 '어니스트 앤 영'에 따르면 암호화폐 상장 시 금액의 10% 정도는 해킹으로 잃어버린다.

특정 시점이나 조건 충족 시 일련의 금융거래, 결제 및 정산, 원산지 증명, 신분 확인, 해외지불 등 거래를 자동 실행시키는 이더리움 등 스마트계약 시스템도 해킹에 취약하다. 2016년 이더리움도 8000만달러(862억원)을 해킹당했다.  

실수 또는 고의로 계약 소유권을 탈취하거나 계약 내 일부 기능을 삭제하는 등 위험도 있다. 스마트 계약은 계약 당사자에게 사본이 저장돼 일단 실행이 시작되면 문제가 발견돼도 중지하거나 교정할 수 없다.  

최근 후지쯔는 스마트 계약의 위험과 취약성을 분석해주는 기술을 개발했다. 이는 역설적으로 스마트 계약이 많은 위험을 갖고 있고, 불완전하다는 것을 시사한다. 스마트 거래는 법률적으로 완전하지 않고 불평등할 수 있지만 거래의 적합성, 적법성을 감시하고 중재해줄 법적 장치는 없다. 로펌이 스마트 거래를 이해하고 검토, 자문은 물론 문제 발생 시 소송 또는 변론을 해줄 역량을 갖추기는 쉽지 않을 것이다.  

가상화폐나 블록체인은 주창한 것처럼 다수에게 거래 승인 등 마이닝 권한이 골고루 분산돼 있지 않다. 비트코인은 4개의 노드가 53%, 이더리움은 3개의 노드가 61%를 채굴을 독점하고 있다. 결국 엄청난 채굴 컴퓨터 시스템을 갖춘 대규모 자본이나 조직화된 집단에 의해 조작될 위험이 있다. 거래의 평등을 추구했지만 파레토의 저주를 피할 수 없다. 이들이 연합하면 채굴의 불평등을 넘어 블록체인 시스템 전체를 좌지우지할 수도 있다. 블록체인이 선거나 인터넷 광고나 댓글 등에 이용되면 최근 조직적 자동 클릭으로 인터넷 여론을 조작한 사례를 재현할 수 있다.

최근 인가자에게만 참여를 허용하는 암호화폐나 블록체인 또는 보유한 암호화폐 비율에 비례한 확률로 무작위로 인센티브를 부여하는 지분 증명 등 채굴 작업 증명이 없는 블록체인이 논의되고 있다. 하지만 누가 이들에게 권한을 줄 것인지, 이들은 믿을만한지, 중앙 집중화한 통제는 블록체인이나 암호화폐가 추구한 본질인 평등과 자유에 배치되는 것이 아닌지에 대한 의문을 안고 있다. 

지분 증명도 복수의 블록 기록에 대해 투표하도록 허용하므로 콘센서스가 이뤄지지 않아 거래가 완료되지 못할 수 있다. 채굴 작업 증명에 대해 암호화폐 등을 부여하는 등의 인센티브가 없는데 많은 전력과 연산능력을 소모하면서 채굴에 참여할 수 있는지에 대한 근본 문제는 아직 완전히 해결되지 않았고, 검증되지 않았다. 제한된 참여자로 이뤄진 산업용 블록체인도 같은 문제를 안고 있다.

톰 쿨릭은 최근 블록체인의 세 가지 법적 문제점을 제시했다. 

첫째, 데이터 블록이 개인정보를 다수 포함하는 경우 개인정보보호법 등을 적용받는다. EU와 미국 간 개인정보 협약은 개인정보가 국가 경계를 넘을 수 없도록 규제한다. 즉, 블록체인 네트워크가 EU와 미국 간에 걸쳐 만들어질 수 없다는 뜻이다.  

5월 발효될 EU 개인정보보호규정(GDPR)은 포괄적이어서 익명화된 개인정보를 규제하며, 개인정보를 제거해달라는 요구도 할 수 있도록 했다. 이는 이미 저장된 데이터를 수정할 수 없게 한 블록체인의 근본을 뒤흔들 것이라고 한다.  

둘째, 이더리움 등 스마트 계약에서 적용되거나 연동된 기술 사용에 대한 법적 조항이 문제 될 것이라고 한다. 이를 모르거나 아예 없는 경우 법적 위험이 따를 수 있으며, 특히 국내에 적용된 조항이 해외에서 적용할 때 문제 될 수 있다고 한다.  

마지막으로 가장 큰 위험은 정부나 금융기관의 규제와 간섭이다. 최근 각국 정부가 암호화폐 등 기술 발전을 따라잡지 못하고 갈팡질팡하고 있는 것을 보면 블록체인에 대해 또 무슨 헛발질을 할지 모른다. 

금융 거래에 블록체인을 이용할 때 거래 당사자의 일시적 자금 부족이 발생하는 유동성 리스크를 해결하기 어려울 수 있다는 경고도 있다. 기존 금융시스템에서는 은행 등 중재자가 이런 일시적 유동성 문제를 해결하는 역할을 하지만, 모든 권한이 분산돼 중재자가 없는 블록체인 기반 거래 시스템에서는 이를 중재하거나 조정할 주체가 없다. 일시적 유동성 부족은 대부분 사업자에게 자주 발생한다는 것이 문제다. 

블록체인은 많은 장점과 가능성을 보여주지만 넘어야 할 장벽도 높다. 오늘날 기술혁신은 해결 불가능해 보였던 문제와 어려움을 극복하고 발전시켰다. 인류는 결국 블록체인 기술 한계를 극복해 신뢰성은 물론 자유롭고 평등한 거래 시스템을 만들 것이다.

하지만 인류에게 블록체인은 경험해보지 않은 가장 복잡하고 통제가 어려운 시스템이다. 그만큼 많은 시간과 노력, 시행착오가 있을 것이다. 블록체인으로 연결된 사람의 행태와 판단을 이해하는 것이 관건이 될 것 같다. 

※ 외부필자의 원고는 IT조선의 편집 방향과 일치하지 않을 수 있습니다. 

이태억 교수는 KAIST 산업 및 시스템 공학과 교수, 교육원장이며 대한산업공학회 회장입니다. 대통령 직속 규제개혁위원회 위원, 교육부 대학구조개혁위원회 위원, 신성장동력기획단 위원, KAIST 정보시스템연구소장 등을 역임했습니다. 자동화, 정보기술 응용, 산업지능 분야 전문가이며, 일방전달방식강의에서 탈피하는 수업방식 혁신을 통한 교육혁신, 교육의 기회 균등 실현을 위한 온라인대중공개강좌(MOOC) 확산에 노력하고 있습니다. 서울대, KAIST, 오하이오 주립 대학에서 학·석·박사 학위를 받았으며 과학기술정보통신부(옛 미래창조과학부) 및 한국연구재단의 '이달의 과학기술자상'을 수상했습니다. 

이태억 KAIST 산업 및 시스템 공학과 교수    조선일보   입력 : 2018.05.25