“블록체인에는 보안의 모든 기술이 집약돼 있다. 보안 생태계를 기반으로 해야 블록체인을 안전하게 구성·운영할 수 있으며, 보안 수준이 높은 블록체인을 기반으로 다양한 서비스를 안전하게 제공할 수 있다.”
염흥열 순천향대 교수는 이렇게 말하며 ▲데이터 무결성 검증 ▲사용자 인증과 접근통제 ▲블록체인 노드에 대한 침해 방지 등이 가장 중요하게 고려돼야 할 블록체인 보안 기술이라고 설명했다.
염흥열 교수는 국제전기통신연합 전기통신표준화부문(ITU-T SG17) 의장으로, 지난 8월 스위스 제네바에서 열린 회의에서 우리나라가 제안한 블록체인 보안 국제 표준 안건을 채택하는데 중요한 역할을 했다.
당시 회의에서 가장 뜨거웠던 쟁점이 블록체인 보안 표준을 만드는 것이었는데, 회원국들은 큰 틀에서는 동의하면서도 구체적인 방법에 대해 이견을 보였다. 오랜 기간 논의 끝에 우리나라가 제안한 블록체인 보안 신규 연구그룹을 신설하기로 했으며, 블록체인 보안 신규 표준 7개 아이템을 채택했고, 이 중 2건은 우리나라에서 제안한 것이었다. 순천향대 염흥열 교수 연구실이 제안한 ‘분산원장기술을 활용한 온라인투표에 관한 보안 위협’ ‘분산원장기술의 보안 보증’ 등이 국제 표준과제로 채택됐다. 이 신규표준 아이템은 향후 2년간의 ITU-T 표준화 과정을 거쳐 국제표준으로 채택될 예정이다.
염 교수는 “ITU 회의를 통해 우리나라가 블록체인 보안 국제표준을 주도하게 됐다는 것은 매우 의미 있는 일이다. 더욱 뜻깊은 것은 우리나라 금융보안표준 도출에 블록체인이 과제로 선정됐는데, ITU 회의에서 결정한 것과 동일한 방향성을 갖고 있다는 것이다. 우리나라는 국제 무대에서 표준을 만드는데 주도적인 역할을 할 뿐 아니라, 국내 금융서비스에도 국제표준에 맞춘 보안표준을 만들어 서비스함으로써 글로벌 금융서비스 시장 진출에도 유리한 지위를 차지할 수 있을 것으로 기대된다”고 말했다.
블록체인 신뢰수준 평가 기준 만들어야
블록체인은 데이터의 무결성을 보장할 수 있으며, 해킹으로부터 안전하다고 알려져 있지만, 이론상으로 블록체인 해킹이 불가능한 것은 아니다. 따라서 블록체인 보안을 위해서는 사용자 인증을 강화하고, 접근통제를 적용하며, 블록체인 자체에 대한 취약점을 제거하고 보안을 강화하며, 데이터 무결성 검증 과정을 거치는 것이 필요하다.
이를 위해 필요한 기술의 예로 인증을 들어본다면, 블록체인 인증은 PKI를 사용하는데, 접근하는 사용자의 개인키가 사용자 본인의 것이 맞는지 확인할 수 있는 강력한 인증이 필요하다. ID/PW 뿐 아니라 OTP, FIDO 등을 이용한 멀티팩터 인증 활용하는 방법이 채택될 수 있다.
인증 과정이 강력하고 안전할수록 블록체인의 신뢰수준이 높아진다. 노드에 기록되는 해시값의 난수 수준이 높아지면 블록의 변조 가능성이 낮아지고 신뢰성을 높일 수 있다.
블록체인에는 개인정보를 기록할 수 없도록 정책을 설정하고, 개인정보 위치 참조 값만 기록하며, 개인정보가 저장되는 시스템은 반드시 암호화하고 접근통제를 적용해야 한다. 암호 시스템은 기밀성을 보장할 수 있는 안전한 암호화 알고리즘을 채택해야 하며, 키관리 역시 철저하게 이뤄져야 한다 .
염 교수는 “여러 가지 보안 요건을 감안해 블록체인 신뢰 수준을 평가하는 기준을 만들고 보안 가이드를 작성하는 등의 작업이 표준화 도출 과정에서 이뤄질 것”이라고 설명했다.
한편 8월 ITU 회의에서는 지능형 차량 보안 분야에서도 한국이 제안한 세 가지 신규아이템 제안이 채택돼 주목을 끌었다. 차량 외부 디바이스를 위한 보안 요구사항, 차량 내부 시스템의 침입탐지, 차량 에지 컴퓨팅 보안 가이드라인 등의 신규 워크아이템이 합의됐다.
염 교수는 “3개의 신규 워크아이템은 현대자동차, 쿠팡, 한국전자통신연구원 등에서 에디터십을 확보했다. 현대자동차의 신규 워크아이템 제안과 전문가의 참여는 글로벌 완성차 업체 최초의 사례”라고 소개했다.
