블록체인은 최근 IT 분야에서 가장 뜨거운 감자다. 결제 시스템, 인증 시스템 등 다양한 분야에서 블록체인의 효용성이 검증되고 있으며, 금융은 물론 물류·유통, 스마트컨트랙트, 의료, 전자투표 등 전 사회적으로 블록체인을 활용한 새로운 서비스가 등장하고 있다.
특히 금융업계에서 블록체인에 많은 관심을 쏟고 있는데, 보험금 자동청구, 펀드 거래 등 개별 금융서비스에 블록체인을 적용하거나 금융 업권별 컨소시엄을 구성하여 공동 인프라로 블록체인을 활용하기 위한 시도가 나타나고 있다.
이에 발맞춰 금융보안원은 금융사의 블록체인 활용을 지원하기 위한 테스트베드를 구축해 운영하고 있으며, 금융보안 표준화 과제로 블록체인을 선정하고 관련 산업의 육성을 지원하고 있다.
전융 금융보안원 보안전략본부장은 “금융권에서 현재 가장 많이 사용하는 블록체인 기반 서비스는 고객인증으로, 공개키 기반 인프라(PKI)와 결합돼 시장에 공급된 측면과 전자금융 업무에서 고객인증의 중요성이 복합적으로 작용했다”며 “최근 금융회사들은 보다 넓은 범위의 금융서비스에 블록체인 적용을 시도하고 있다”고 말했다.
이어 그는 “금융보안원은 테스트베드를 통해 금융사의 블록체인 기반 서비스 개발을 지원하는 한편, 안전한 비즈니스 생태계 조성을 위해 노력하고 있다”고 덧붙였다.
금융보안원의 블록체인 테스트베드는 프라이빗 블록체인 방식으로 용인 본원과 원격지에 각각 2개 씩, 전체 4개의 노드로 구성돼 있으며, 고객인증과 금융서비스에 대한 개념검증을 진행해 테스트베드의 유효성을 검증했다. 테스트베드는 시스템을 제공하는 인프라 지원, SDK를 제공하는 서비스 개발지원, 개념검증 개발 지원 등 금융사의 요구에 적합한 방식으로 지원한다.
블록체인을 이용한 금융 서비스는 다양한 분야에서 상용화 가능성이 입증됐다. 국내에서는 전북은행, KB국민카드, 롯데카드 등 여러 금융회사가 이미 블록체인을 적용한 인증기술 이용해 대고객 서비스를 제공하고 있다. 신한은행은 골드바 매입고객에게 블록체인 기반의 보증서를 발행하고 있으며, 실물자산과 블록체인 무결성의 조합이라는 측면에서 기술이 업무에 적절하게 적용된 사례로 평가된다. 교보생명 보험금 자동청구, 코스콤 펀드 거래 등도 대표적인 사례로 꼽힌다.
해외에서는 더 다양한 서비스 사례가 소개되고 있다. 기프트(GYFT) 사에서는 블록체인을 통해 기프트카드를 발행하고 있으며, 태국 카시콘은행은 블록체인 기반 기업보증서를 발행해 투명성과 무결성을 검증한다. 마스터카드도 블록체인 네트워크를 공개했는데, 협력은행과 가맹점이 전 세계에서 빠르고 안전하게 결제할 수 있다.
“블록체인, 해킹 가능성 간과해선 안돼”
전융 본부장은 “블록체인은 이미 많은 분야에서 안전하고 편리하게 사용할 수 있는 기술이라는 사실을 검증받았다. 특히 인증과 관련한 분야에서는 매우 많은 활용사례가 나올 것으로 기대하고 있다”고 밝혔다.
그러나 그는 “블록체인이라고 해도 100% 안전성을 장담하지는 못한다. 퍼블릭 블록체인은 참여하는 사람이 많기 때문에 조작이 쉽지 않지만, 거래 당사자가 한정된 프라이빗 블록체인은 환경에 따라 해킹이나 조작될 가능성도 배제할 수 없다. 이상 트래픽이 발생하거나 거래 참여자의 인증 정보를 탈취해 블록체인 거래 정보를 오염시킬 수 있으며, 소프트웨어 보안 취약점을 이용해 해킹이나 서비스 장애를 일으킬 수 있다는 점도 간과해서는 안 된다”고 조언했다.
최근 잇달아 발생하고 있는 가상화폐거래소 해킹사고는 거래소 임직원을 해킹해 회원정보를 대량으로 탈취하거나 개인이 관리하는 계정을 탈취해 발생하는 사고로, 관리 소홀로 인한 보안 침해 문제도 깊게 고민해야 한다.
한편 금융보안원은 블록체인은 데이터의 무결성을 제공하지만 모든 보안문제가 해결되는 것은 아니기 때문에 금융거래에 필요한 보안사항은 별도로 고려해야 한다고 강조하며, 다음과 같은 보안 고려사항을 조언했다.
◆ 이용자 계정 관리: 블록체인에서 사용되는 이용자의 암호키 등이 소홀히 관리돼 공격자에게 유출된다면 이용자의 자산이 탈취될 가능성 있다. 필요시 추가적인 인증수단을 적용하는 등 안전한 사용을 염두에 두고 설계해야 한다.
◆ 거래내역 조작: 일반적으로 퍼블릭 블록체인은 거래내역에 대한 무결성을 보장해주는 기본개념이 포함돼 있으나, 프라이빗 블록체인은 참여자가 제한돼 있어 공격자가 전체 과반수이상의 지분을 확보하는 방법의 공격으로 거래내역을 조작할 수 있다. 신뢰할 수 있는 참여자만 참가하고 그들의 시스템이 공격자에 장악되지 않도록 보안을 강화해야 한다.
◆ 개인정보 유출: 블록체인은 일반적으로 거래정보 등 등록된 정보가 모두에게 공개되므로 개인정보가 등록될 경우 유출될 수 있다. 개인정보를 블록체인에 등록하지 않고 별도 DB에 관리하거나, 개인정보를 암호화해 허가된 주체만 접근 가능하도록 권한관리 등의 방법을 통해 개인정보를 보호해야 한다.
◆ 블록체인 소프트웨어 취약점 점검: 블록체인 소프트웨어에 취약점이 존재하는 경우 언제든지 보안사고가 발생할 수 있으므로 충분한 보안테스트를 통해 안전한 블록체인 소프트웨어를 개발할 필요가 있다.
◆ 비정상거래 모니터링: 대량의 스팸거래 등 비정상거래를 발생할 경우 거래의 유효성 검사로 인한 시간 지연으로 블록체인 전체 서비스가 중단될 수 있으므로 블록체인에 대해 지속적으로 모니터링해야 한다.
