블록체인 둘러싼 리스크, 뭐부터 풀어야하나

손경호 기자2017.11.23

  • 글자 작게
  • 글자 크게

키 관리-개인정보보호 충돌 이슈 해결해야…입법 노력도 필요

암호화폐 비트코인에서 태어난 블록체인은 믿을만한 중앙관리기관 없이도 가치를 담은 정보가 네트워크 상에서 위변조되지 않고 안전하게 기록될 수 있다는 특징 때문에 금융은 물론 헬스케어, 온라인 부동산 거래 및 중고차 매매, 남는 전력을 사고 파는 스마트그리드 등 분야에서 활발하게 논의되고 있다.

문제는 여전히 현실에서 블록체인을 제대로 활용한 서비스를 이용할 수 있게 되기까지 넘어야할 산들이 많다는 점이다.

23일 서울 역삼동 한국과학기술회관에서 열린 개인정보보호표준포럼 워크숍 2017에서는 보안, 의료, 법조계 전문가들이 참여해 블록체인 기반 시대를 만들기 위해 해결하고 넘어가야할 리스크에 대해 논의하는 자리를 가졌다.

■ 대부분 해킹 이슈는 개인키 관리 소홀 탓

먼저 보안 문제다.

충남대 류재철 교수는 "블록체인을 노린 해킹의 대부분은 개인이나 암호화폐 거래소가 관리하는 개인키를 노리는 방식으로 이뤄진다"고 설명했다.

비트코인과 같은 암호화폐는 거래를 위해 가상지갑이 필요하다. 문제는 이 지갑을 열어서 비트코인을 전달하기 위해 쓰이는 숫자, 영어대소문자 등으로 이뤄진 개인키가 제대로 관리되지 않는 경우가 많다는 사실이다. 공격자들은 해킹을 통해 개인이 관리하는 지갑앱을 열 수 있는 개인키를 훔쳐가거나 거래소가 관리하는 전용 지갑을 노려 대규모로 개인키를 훔쳐가는 경우도 생긴다.

실제로 2014년 2월 일본 최대 거래소 마운트곡스 해킹 사건, 2015년 1월 비트스탬프, 블록체인인포 등이 이 같은 방식으로 문제가 됐으며, 일반 사용자의 개인키 유출로 인한 암호화폐 도난 사건도 끊이지 않고 있는 실정이다.

때문에 개인키를 PC나 스마트폰이 아니라 IC카드나 별도의 안전한 하드웨어 기반 보안토큰 등에 저장해 유출되지 않도록 관리해야한다. 거래소들은 바로 거래를 주고받을 수 있는 소량의 개인키만 인터넷과 연결된 핫월렛에 올려 쓰고 나머지는 오프라인 형태의 콜드월렛을 통해 관리한다. 그럼에도 불구하고 국내외에서 해킹 사고는 심심찮게 벌어지고 있어 더 긴밀한 보안대책이 필요하다.

암호화폐를 거래하거나 블록체인 기술을 활용하는 과정에서 또 다른 문제가 될 수 있는 것은 서비스 거부 공격이다. 공격자가 대량으로 가짜 거래 내역을 블록체인 상에 기록하도록 해서 전체 거래가 승인되는 시간을 지연시키고 이에 따라 지불해야할 수수료를 높이는 식이다.

이밖에도 류 교수는 블록체인에 거래기록을 올리고 그 대가로 수수료를 받는 채굴기업 혹은 채굴연합이 자신들이 가진 컴퓨팅 파워(해싱 파워)를 악용해 다른 채굴자들의 수수료를 가로채는 셀피쉬(selfish) 채굴 공격, 채굴풀에 참여한 채굴자의 컴퓨팅 파워를 몰래가져가는 방법으로 이익을 보는 블록위드홀딩(Block With Holding, BWH) 등 공격이 발생한다.

암호화폐를 보낸 뒤 블록체인에 해당 거래기록이 올라가 승인 되기 전에 상품이나 서비스를 받고, 그 사이 다른 계좌로 암호화폐를 전송하는 이중지불도 블록체인 진영이 계속해서 풀어나가야할 숙제로 꼽힌다.

블록체인을 일종의 온라인 계약서로 활용하려는 스마트컨트랙트의 경우에도 공격을 받을 수 있다. 2016년 이더리움 프로젝트에서 나온 분산자율조직(DAO)은 일종의 프로그램이나 다름없는 스마트계약서에서 발견된 취약점으로 인해 이더가 도난되는 문제를 겪기도 했다.

류 교수에 따르면 기존 IT시스템에 대한 평가모델은 블록체인 기반 시스템에 그대로 적용할 수 없는 만큼 보다 면밀한 검토가 필요하다.

블록체인은 특성상 한번 거래 내역을 기록하면 그 자체를 위변조하기가 어렵다. 문제는 이런 특성이 개인정보보호와 충돌할 가능성이 크다는 점이다.

■ 거래기록 지울 수 없는 블록체인, 개인정보보호와 충돌

순천향대 염흥열 교수는 "블록체인 프로젝트를 여러 산업에 적용하는데 가장 큰 어려움은 개인정보보호법과 충돌하는 부분들이 해결되지 않았다는 점"이라며 "예를들어 기업 내부에서는 문제가 없지만 제3자 제공동의를 한 정보를 블록체인에 기록해 관리할 경우 기간이 지나도 이를 삭제하기 어려운 문제가 생긴다"고 말했다.

삼성의료원 이병기 교수는 "블록체인을 헬스케어 분야에서 쓰려면 이에 대한 의견일치가 필요하다"며 "헬스케어의 경우 정부, 건강보험공단, 헬스케어 서비스 사업자, 의료기기 업체, 사용자 등 사이에 긴장감이 높은 만큼 이들 간 분쟁이 생길 우려가 적은 분야에서부터 블록체인을 적용해나갈 필요가 있다"고 강조했다.

일부 블록체인 프로젝트는 개인건강기록을 블록체인 상에 올려서 환자가 여러 의료기관들에 갈 때마다 꺼내서 쓸 수 있도록 하는 방안을 공유하려는 시도를 하고 있다. 그러나 개인정보의 보호와 이를 활용하기 위한 방법에 대한 합의를 이루기 쉽지 않은 실정이다.

■ 블록체인 다룰 법적 근거 미흡

국내에서 블록체인 프로젝트를 다루기 위한 명확한 법적인 근거가 없는 것 또한 리스크로 작용한다.

법무법인 민후 김경환 대표 변호사는 "큰 틀에서는 기존 법 체계 내에서 적용할 수 있는 부분은 적용하고 안 되는 부분에 대해서는 새로운 입법안이 나오지 않을까 생각한다"며 "국내서는 관련 법이 없는 것도 문제이지만 정작 법이 새로 생기면 또 다른 규제로 작용하지 않을까하는 우려의 시선도 크다"고 말했다.

미국의 경우 델라웨어 주에서는 올해 7월부터 주주명부나 회사기록을 블록체인에 올리더라도 법적인 효력을 인정하는 법안을 통과시켰다.

국내서는 아직 블록체인 관련된 법을 찾기 힘들다.

다만 전자문서법을 통해 전자문서가 오프라인 문서와 동일한 효력을 갖는다고 규정하고 있다. 다만 블록체인에 기록되는 분산원장이 글로벌 네트워크를 통해 활용될 경우 문제가 생겼을 때 어느 나라 관할에서 어떤 법을 따라야하는지 등에 대한 준거법, 재판 관할권 이슈도 보다 면밀한 검토가 필요할 것으로 전망된다.

스마트계약서가 법적인 계약의 요건을 갖추기 위해서는 청약, 승낙의 구조를 갖춰야 한다. 그러나 김 변호사는 "스마트계약서의 경우 프로그래밍된 코드가 이런 조건을 맞추기 힘들다는 점에서 '계약' 보다는 일종의 '약관'과 같은 형태로 봐야한다고 본다"고 말했다.

이에 더해 김 변호사는 블록체인에 기록된 지적재산권이 창작자의 소유인지, 관련 데이터베이스를 만든 제작자가 권리를 갖는 것인지 등에 대해서도 명확한 규정이 필요하다고 설명했다.

손경호 기자 / sontech@zdnet.co.kr

X