[유성민의 블록비즈] 보안에서의 활용 범위와 한계점을 분명히 하라
[유성민의 블록비즈] 보안에서의 활용 범위와 한계점을 분명히 하라
  • 유성민 동국대 국제정보보호대학원 외래교수
  • 승인 2019.04.17 08:54
  • 댓글 0
이 기사를 공유합니다

[⑪ 블록체인과 보안] 보안 산업에서 블록체인 적용 범위는?

 

초기에는 무결성이 블록체인 핵심 가치로 인지됐다 (그림출처: Pixabay).
초기에는 무결성이 블록체인 핵심 가치로 인지됐다 (그림출처: Pixabay).

 

몇 년 전만 해도 국내에서는 무결성이 블록체인의 핵심 가치로 많이 언급되곤 했다. 그리고 이를 기반으로 한 사업 아이디어가 많이 제안됐다. 문서 위변조 방지, 전자 투표, 다이아몬드 진위성 인증 등이 이에 해당한다.

당시 필자도 블록체인의 핵심 가치는 무결성으로 생각했다. 그리고 이러한 기반으로 사업 아이디어를 구상하곤 했다. 대표적인 예로, 명품 가방 사실여부 인증 서비스, 식품 사기 방지 서비스 등을 구상했다.

그런데 이러한 아이디어는 해당 서비스의 무결성이 완전치 않은 한계점이 있다. 다시 말해, 블록체인의 무결성 범위가 디지털 세계에 국한되기 때문에, 명품 가방 진위 판별과 식품 사기 방지를 블록체인이 완벽히 보증할 수 없다.

예를 들어, 블록체인 기반으로 진짜임을 인증할 수 있는 태그를 발행한다고 하자. 태그 안에 담긴 정보는 진짜이기 때문에 위변조가 거의 불가능하다. 그런데 해당 태그는 복제될 수 있고, 다른 것으로 교체가 가능하다.

필자는 이를 계기로 블록체인에 관해서 다시 생각하게 됐고, 블록체인을 참여자 간에 데이터 공유가 가능한 플랫폼으로 재정의했다. 물론 해외에서는 블록체인을 데이터 공유 플랫폼으로 정의하고 있다.

국내에서는 블록체인을 보안성에 초점을 둬 ‘분산형 원장’으로 많이 정의하곤 했다. 따라서 많은 사람이 필자의 블록체인 정의를 이상케 여기곤 했다. 하지만 블록체인의 개념이 널리 알려지면서 국내에서도 블록체인을 데이터 공유 플랫폼(혹은 탈중앙화 플랫폼)으로 인지하기 시작했다.

그러나 블록체인의 무결성 가치가 사라진 것은 아니다. 블록체인의 중심 가치가 바뀌었을 뿐. 합의 알고리즘에 기반을 둔 무결성 가치는 그대로 남아 있다. 이에 따라, 블록체인을 보안 산업에 활용하고자 하는 움직임도 활발해지고 있다.

이러한 사실은 세계 최대 보안 전시회 ‘RSA’를 통해 확인할 수 있다. RSA 2018에서의 블록체인 관련 전시 부스는 13개였는데, RSA 2019에서는 16개로 전년 대비 23%가량 증가했다. 그 외 시장 조사 기관에서도 확인할 수 있다.

가트너는 매년 유망 기술의 성숙도 지표를 나타내는 ‘하이프 사이클’을 발표하는데, ‘데이터 보안을 위한 블록체인 (Blockchain for Data Security)’이라는 항목이 작년에 새롭게 추가됐다. 또 가트너는 블록체인을 주목받기 시작한 도입단계의 기술로 평가했다. 이는 블록체인의 무결성 가치가 재조명받기 시작했음을 보여준다.

그럼 보안 산업에서 블록체인은 어떤 비즈니스 용도로 활용할 수 있는 것일까? 이에 관해 살펴보자.

 

블록체인의 무결성 가치가 재조명 받기 시작했다 (그림출처: Pixabay).
블록체인의 무결성 가치가 재조명 받기 시작했다 (그림출처: Pixabay).

 

보안 요구사항 관점에서 본 블록체인

 

보안 산업에서 블록체인의 비즈니스 용도를 알기 위해서는 보안 요구사항과 블록체인에서 제공하는 보안 가치를 비교할 필요가 있다. 블록체인이 보안의 모든 기능을 제공하는 것은 아니기 때문이다.

보안 요구사항으로는 어떤 것이 있을까? 기밀성, 무결성, 가용성, 익명성, 부인 방지, 접근제어 등으로 6가지가 있다.

기밀성은 정보가 외부로 유출되는 것을 방지하는 보안 요구사항이다. 다시 말해, 권한 없는 사용자가 해당 정보를 탈취해도 읽을 수 없도록 하는 요구사항이다.

무결성은 데이터가 위변조 되지 않도록 하는 보안 요구사항이다. 가용성은 사용자가 서비스에 접근을 보장하는 요구사항이다. 이를 위협하는 해킹 수법으로 ‘서비스 분산 공격 (DDoS)’가 있다.

익명성은 사용자의 행위 등의 정보가 외부로 유출되는 것을 방지하는 것이다. 가용성과 익명성은 정보 유출을 방지하는 측면에서 비슷하나 보호 대상이 다르다. 기밀성은 사용자가 보유하고 있는 중요 정보를 보호하는 것이다. 예를 들어, 기밀성은 기업의 기술 문서, 영업 기밀 자료 등에 요구되는 보안 사항이다. 반면 익명성은 사용자의 개인을 알 수 있게 하는 정보에 요구되는 보안 사항이다.

부인방지는 송수신을 부인할 수 없도록 하는 보안 요구사항이다. 예를 들어, 서비스 수신자가 송신자로부터 서비스를 제공 받았음에도 받은 사실을 부인할 수 없게 한다. 접근 제어는 사용자에 따라 서비스 접근 권한을 달리하게 하는 보안 요구사항이다.

블록체인은 6가지 보안 요구사항에서 어떤 항목에 해당할까? 한 가지 밖에 해당하지 않는다. 무결성뿐이다. 합의 알고리즘 사용으로 데이터의 무결성만을 보장할 수밖에 없다.

간혹, 일부 사람은 블록체인이 익명성에도 활용될 수 있다고 주장한다. 그런데 이는 엄밀히 말하면 사실이 아니다. 블록체인에는 익명성과 관련한 어떤 기능을 제공하지 않기 때문이다.

비트코인이 익명성을 제공하는 이유는 개인정보를 받지 않기 때문이다. 개인 식별 정보로 개인키를 제공한다. 참고로 개인 키는 사용자 계정에 해당한다. 그리고 개인키를 기반으로 공개키를 생성하여 가상화폐 거래를 할 수 있게 한다. 참고로 공개 키는 계좌번호로 비유할 수 있다.

비트코인이 익명성을 제공할 수 있었던 이유는 블록체인을 적용했기 때문이 아니다. 비대칭 암호화 알고리즘을 사용했기 때문이다. 예전에 지인이 블록체인으로 인해 자금세탁이 더욱 활성화될 것을 우려했는데, 미안한 얘기지만 블록체인은 자금세탁 이용에 전혀 관련이 없다. 오히려 투명하게 정보를 공개할 뿐이다. 참고로 IP주소를 이용해 가상화폐 거래자를 추적할 수 있는데, 이를 회피하기 위한 여러 툴도 있다. 이러한 툴또한 블록체인과 관련이 없다.

참고로 비대칭 암호화 알고리즘은 네트워크의 기밀성도 제공한다. 다시 말해, 개인키로 인증한 사용자가 아니면 전송된 내용을 볼 수 없다.

정리하면, 블록체인은 무결성만을 제공한다. 반면 비트코인 등 가상화폐는 무결성, 기밀성, 익명성 등의 보안 요구사항을 만족한다.

 

기밀성과 익명성을 제공하는 비대칭 암호화 알고리즘 (그림출처: 위키미디어).
기밀성과 익명성을 제공하는 비대칭 암호화 알고리즘 (그림출처: 위키미디어).

 

블록체인의 보안 확장 가능성과 한계점

 

그런데 다행인 것은 블록체인의 보안 기능을 넓힐 수 있다는 점이다. 블록체인이 1차적으로 무결성에만 활용이 가능하다, 이를 활용해 다른 보안 기능을 제공할 수 있다.

예를 들어, 블록체인의 무결성을 계정 정보 관리에 적용해서 접근 제어를 더욱더 강화할 수 있다. 포르쉐가 개발한 차량 소유자 인증 시스템을 예로 들겠다. 해당 시스템은 소유자 데이터를 블록체인에 저장했는데, 블록체인 덕분에 소유주 데이터의 높은 무결성을 보장할 수 있다. 이는 접근 제어를 높이는 역할을 한다.

이처럼 블록체인의 무결성을 잘 활용하면 앞의 사례처럼 보안의 기능 범위를 넓힐 수 있다. 블록체인만큼 높은 무결성을 제공하는 데이터 보안 기술이 없기 때문이다. 그러나 한계점은 있다. 앞서 말했듯이, 데이터 환경에만 국한돼 적용될 수 있다. 블록체인을 데이터 보안에 적용 시에 이를 반드시 유념할 필요가 있다.

보쉬는 주행거리 조작을 방지하기 위해 주행거리를 GPS로 측정하고 이러한 정보를 블록체인으로 저장케 했다. 블록체인 적용으로 주행 거리 조작을 완벽히 막을 수 있을까? 절대 그렇지 않다.

주행거리 측정기기를 조작할 수 있기 때문이다. 이 부분은 블록체인이 책임지지 못한다. 참고로 미국표준기술연구소 (NIST)는 ‘사물인터넷에서의 신뢰 (Trust in IoT)’라는 보고서를 통해 사물인터넷에서 오는 정보의 신뢰성을 우려하기도 했다.

정리하면, 블록체인 보안 산업에 충분히 적용될 수 있다. 다만, 염두 해둬야 할 사항은 블록체인의 제공 보안 기능은 확장될 수 있으며, 물리적 보안에 적용하기에는 한계가 있다는 점이다.

 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.