블록체인이 뜨거운 감자가 됐다. 블록체인에 대한 긍정적인 입장과 부정적인 입장을 밝히는 양 진영의 주장이 모두 틀린 것은 아니다. 블록체인을 어떻게 활용하고 보안을 강화할 것이냐에 따라 결과는 달라질 것이다. 블록체인과 관련된 논쟁을 짚어보고, 유용하게 활용할 수 있는 차세대 인증 서비스를 살펴본 후, 블록체인 보안 강화 방법을 제안한다.<편집자>
블록체인 보안관리 종합적으로 마련돼야
염흥열 순천향대 교수는 10월 본지와의 인터뷰에서 “블록체인에는 보안의 모든 기술이 집약돼 있다”고 주장한 바 있다. 블록체인을 안전하게 제공하기 위해 필요한 보안 기술을 나열해 보면 현재 공급되고 있는 모든 보안 기술이 포함된다는 뜻이다.
가장 먼저 사용자 인증과 접근통제가 있어야 하며 악의를 갖고 거래에 참가하는지 살펴보는 사기거래 탐지 기술도 필요하다. 블록체인에 기록된 데이터의 무결성을 검증하는 방안과 블
록체인 서비스 전체의 보안 취약점을 제거하는 보안관리가 종합적으로 마련돼야 한다.
블록체인과 관련해서 매우 뜨거운 논쟁 중 하나가 공인인증서를 대체할 수 있느냐의 문제다. 이 때문에 공인인증서 찬성 진영에서는 ‘블록체인은 공인인증서를 없애려는 진영의 논리’라고 강력 반발하면서 블록체인은 아직 미완성의 기술로 실제 서비스에 사용할 수 없다고 강조한다.
정확하게 말하면, 블록체인이 인증기능을 수행하는 것은 맞지만, ‘공인인증서’를 대체하지는 못한다. 공인인증서를 대체하기 위해서는 공인인증기관과 같은 제3의 신뢰기관을 둬야 한다. 블록체인은 거래에 참여하는 사람들이 함께 거래사실을 증명하는 구조로, 다른 신뢰기관을 별도로 두지 않기 때문에 공인인증서를 대체할 수 없다. 그러나 블록체인은 PKI를 이용해 사용자와 거래사실 인증을 하고 있기 때문에 사설 인증서를 대체할 수는 있다.
박성준 동국대 교수는 “블록체인과 공인인증서가 대척점에 있는 것으로 여기고 어느 한 쪽을 택하면 다른 한 쪽이 소멸되는 것처럼 생각하는 것은 위험하다. 블록체인은 신뢰를 증명하는 모든 분야에 사용될 수 있는 인프라로, 수십년 전 부터 연구되어 온 기술이다. 공인인증서는 국가가 주도한 웹 서비스를 위한 인증 제도이다. IT 기술과 국가 제도를 상반되는 개념이라고 주장하면서 블록체인에 대한 부정적인 주장을 전개하는 것은 옳은 태도가 아니다”라고 강조했다.
‘공인인증서=PKI’ 잘못된 인식 해결해야
블록체인으로 공인인증서를 대체한다는 잘못된 주장이 나온 것은 공인인증서에 대한 심각한 오해 때문이다. 공인인증서를 PKI와 동일한 것으로 여기고, PKI를 사용하면 모두다 공인인증서라고 인식하고 있기 때문에 불거진 일이다. 공인인증서는 정부기관이 중앙인증기관 역할을 하는 인증제도이며, PKI는 공인인증서를 이루는 핵심 기술 중 하나이다.
권용석 써트온 상무는 “블록체인은 데이터의 무결성을 보장하기 때문에 블록체인에 인증서를 저장하면 위변조되지 않았다는 사실을 입증할 수 있다. 제 3의 인증기관(CA)이 없어도 인증이 가능하다는 것”이라며 “그러나 법적으로 블록체인을 이용한 인증을 공인인증서와 같은 수준의 인증으로 인정할 것인지에 대해서는 구체적인 논의가 이뤄져야 할 것”이라고 말했다.
금융권에서는 블록체인을 고객인증을 위한 용도로 가장 많이 사용하고 있다. 전융 금융보안원 보안전략본부장은 “금융권에서 현재 가장 많이 사용하는 블록체인 기반 서비스는 고객인증으로, PKI와 결합돼 시장에 공급된 측면과 전자금융 업무에서 고객인증의 중요성이 복합적으로 작용했다”며 “블록체인은 이미 많은 분야에서 안전하고 편리하게 사용할 수 있는 기술이라는 사실을 검증받았다. 특히 인증과 관련한 분야에서는 매우 많은 활용사례가 나올 것으로 기대하고 있다”고 밝혔다.
