[블록체인 이슈문답] 이더리움 클래식이 공격당하고 있다고? – 수다피플

안녕하세요! 지난 주, 1월7일부터 13일까지 블록체인 시장에서 주요 이슈들을 놓치지 않게, 정리하는 시간을 가질까 합니다. 지난주 1월 8-11일(현지시간) 동안 미국 라스베이거스에서 지상 최대의 가전제품 박람회로 불리는 ‘CES’가 개최되었는데, 블록체인이 하나의 테마로 소개되기도 했습니다. 시장의 침체에도 불구하고 블록체인 기술은 꾸준히 주목을 받고 있습니다. 이번 이슈 문답을 통해 이더리움클래식 사태, 과기정통부의 암호화폐 거래소 점검 결과, 나사(NASA)의 블록체인 연구 3가지 주제에 대해 살펴보도록 하겠습니다.


이더리움 클래식이 공격당하다

Q 이더리움 클래식은 무슨 일이에요? 몇몇 대형 거래소에서 출금이 중단됐는데.

A 미국의 암호화폐 거래소 코인베이스가 1월5일(현지 시간, 이하 모두 현지 시간) 이더리움 클래식(ETC)의 체인이 재구성(reorganization)되는 것을 확인했어요. 문제인 것은 이중 다수가 이중지불(Dobule Spending)이 발생했다는 것이죠. 사태를 확인한 후 코인베이스는 1월7일, 코인베이스의 블로그에 이러한 내용을  올리고, 고객들의 자산을 안전하게 보호하기 위해 ETC의 입·출금을 일시적으로 중지시킨다고 발표했지요.

Q ‘이중지불’이 무엇인데, 문제가 되나요?

A 이중지불을 알기 위해서는 블록체인의 생성원리, 채굴로써 보상받는 법을 먼저 이해해야 합니다. 우선 짧고 간단하게 설명을 할게요. 우리는 이미 ‘비트코인’이 비트코인의 블록 생성에 기여해서 주는 보상이라는 것을 알고 있을 거예요. 그런데 블록을 열심히 만든 모든 사람에게 보상을 주지는 않아요. 퀴즈를 풀 듯이 ‘난스’를 찾아 블록의 해시값을 계산해야 하는데요, 이러한 블록 생성 과정을 우리는 작업증명(PoW)이라고 불러요. 난스를 찾는 것만 해도 수십억번을 계산해야 하죠. 게다가 먼저 해시값을 계산하는 사람이 보상으로 ‘비트코인’을 받을 수 있기 때문에 빠르기까지 해야 해야 해요. 그렇기에 이러한 엄청나게 무시무시한 컴퓨터 능력이 필요한데, 이러한 능력을 ‘해시 파워(Hash Power)’라고 하지요. 그런데 특정 블록체인상에 다른 사람보다 압도적으로 높은 해시 파워를 가진 사람이 등장하면 어떻게 될까요? 악의적으로 이런 권력을 이용하려는 사람이 해시 파워를 전체의 절반보다 더 많은 51% 이상 가지고 있다면 체인은 사실상 그 사람이 장악하게 됐다고 볼 수 있지요.

Q 탈중앙화를 주장하는 블록체인에 독재자가 나타난 셈이네요. 오싹한데요.

A 그렇죠. 해시 파워를 독점한 사람이 악의적인 마음을 품은 나쁜 사람이라면 큰일 나겠죠. 자기들의 마음에 드는 트랜잭션만 승인시키고, 소프트포크로 원래 모습과 다르게 블록체인을 바꿔버린다면 블록체인은 아수라장이 될 거예요. 게다가 블록체인은 ‘신뢰’를 기반으로 하는데…. 이런 상황이 일어나면 블록체인의 의의가 상실되는 거예요. 사실 이러한 아수라장이 일어날 확률은 극히 낮았어요. 51%가 넘는 해시 파워를 가지려면 무시무시한 비용이 드는데, 정작 비용과 대비해 블록체인을 독재해서 얻는 혜택이 없다면 이런 짓을 할 이유가 없죠.

Q 그렇다면 이번 사건은 뭔가 얻는 게 있어서 공격했다는 거네요?

A 이론상 공격이 어렵다고 했지만, 이더리움 클래식의 해시레이트가 낮아지면서 공격하기가 더 쉬워진 게 문제였어요. 요즘 코인의 가격이 내려가면서 채산성이 악화된 많은 채굴자가 사업을 접었다는 기사를 봤을 거예요. 그렇게 하나둘 떠나고 경쟁이 줄어들면 예전보다 힘 덜 들이고도 블록을 만들고 보상을 받을 수 있겠죠?

라이트코인의 창시자인 찰리 리가 자신의 트위터에 이더리움 클래식의 해시레이트는 이더리움의 해시레이트의 5%가량이라며 네트워크의 규모가 작다는 것을 강조했고 ‘이더리움 클래식을 (51%) 공격하는데 한 시간에 5천달러밖에 들지 않는데다가, 이중 지불 문제에 휩싸인 토큰의 가치는 50만달러 상당이다’라고 덧붙이기도 했어요.

Q 누가 공격한 거예요?

A 처음 코인베이스가 이중지불 문제를 제기했을 때, 이더리움 클래식 측은 심각한 문제는 아니라고 말했어요. 하지만 여러 거래소도 비슷한 공격을 받았다고 알려지며 문제가 커지자, 현재는 중국의 보안 기업인 슬로우미스트와 커뮤니티와 함께 무엇이 문제인지 적극적으로 확인을 시작했어요. 슬로우미스트는 바이낸스, 비트루, 게이트아이오 암호화폐 거래소에 협조를 요청했고, 공격한 주소를 찾아내고 있어요. 그러나 슬로우 미스트가 아직은 알아낸 것들에 대해 공개하지는 않고 있어요. 그리고 공격에 대한 문제는 아직 완전히 해결되지 않았지요.

Q 중국 채굴기 업체라고 지목했던 것 같은데요?

A 맞아요. 이더리움 클래식 측은 사건이 발생한 초기에 트위터를 통해 이렇게 높은 해시레이트가 발생한 이유를 암호화폐 채굴업체인 린즈 때문이 아닐까 하고 추측했어요. 린즈가 새롭게 출시한 ASIC 채굴기를 실험하느라 잠깐 어수선해졌다고 생각을 했나봐요.

반면 린즈의 입장은 좀 다릅니다. 린즈의 중국 선전 지역 담당자가 암호화폐 미디어 코인데스크에 이메일을 보내 이더리움 클래식 측의 의견이 사실이 아니라고 주장한 것입니다. ‘아니…. 우리 채굴기 출시도 안 했는데?? 우리라니 무슨 소리야;; 게다가 채굴기 시험하려고 했으면 감사 업체 불러서 아무도 없는 프라이빗 채널에서 했겠지;; 누가 메인넷에서 해?? 막 지목하면 어쩌자는 거야?’라는 식의 반응을 보였지요.

아직 누구의 말이 옳은지는 알 수 없으나, 최근 이더리움 개발자들이 ASIC로 채굴을 하기 어렵게 차단 코드를 도입할 것이라 밝혀 ASIC 채굴기를 만드는 린즈는 발등에 불이 떨어졌을 것입니다. 그런데 엎친 데 덮친 격으로 ETC의 문제의 원인으로 지목받았으니 만약 정말 아니라면 완전 어이없는 상황인 거죠. 하지만 아직 누구 말이 옳은지는 밝혀지지 않았습니다.

Q 공격하면 뭘 얻길래 그래요?

이제 ‘이중지불’ 질문으로 돌아가 볼까요? 블록체인 만들기 경쟁에서는 길이가 긴 체인이 이기게 돼 있습니다. 길이가 긴 체인을 만들려면 그만한 해시 파워도 있어야겠죠? 그런데 해시 파워를 과점해서 항상 경쟁에서 이기게 되면 어떻게 될까요?

우선 블록체인을 만들고 보상으로 ETC를 받게 됩니다. ETC를 거래소에 팔아 현금으로 만들 수도 있겠죠? 근데 거래소에 ETC를 팔았다고 해요. 그런데 그 와중에 뒤에서 몰래 다른 체인을 만드는데 그게 아까 판 ETC 보상을 준 체인보다 길게 만들어 버리는 거예요. 그러면 그 체인이 경쟁에서 이기게 되겠죠. 이런 경우에 경쟁에서 진 체인은 폐기되고 그 체인에서 받은 ETC들도 날아가 버리게 되는 거죠. ETC라고 받았는데, 나중에 전송하려고 하니 ‘그거 보상으로 준 체인이 경쟁에서 졌는데? 그래서 이제 그거 쓸모없어’라는 말을 듣게 됩니다. 그렇다면 나는 이미 ETC를 받은 대가로 현금을 주거나 다른 코인이나 상품으로 교환을 해줬는데 그 대가로 받은 ETC가 가치가 없다니, 손해를 보게 되는 거죠.

Q 분명 규칙은 지킨 거 같은데, 근데 이거 사기 같은데요?

메이저 코인들에 비해 작은 규모의 채굴형 코인들은 시장이 침체되며 블록체인 네트워크의 규모가 축소되기도 해요. 그런 상황이라면 ETC처럼 해시 파워를 독과점하기 쉬워지겠죠. 게다가 제재하는 사람도 없고, 해시 파워에 드는 비용보다 이중 지불로 탈취할 수 있는 코인의 값어치가 높다면….? 큰일 나겠죠 사태를 보고 비탈릭은 트위터를 올립니다. 비탈릭은 트위터를 통해 ‘ETH가 51% 공격받을 확률이 ETC보다 낮은 건 공학적인 차이가 있기 때문은 아니라 생각해. 다만 ETH가 ETC보다 해시 파워가 20배 정도 더 높다는 게 차이점이겠지. 그래서 이런 일을 보면 이더리움을 PoW에서 PoS로 바꾸려는 시도가 더 나은 거라는 확신이 생기네’라고 말하기도 했습니다.


암호화폐 거래소 얼마나 안전할까

Q 거래소 점검 관련 소식을 예전에도 들었던 것 같은데, 왜 다시 이슈가 됐나요?

맞아요. 이번에 나온 발표는 이전에 개선을 권고한 곳들이 지금은 잘 운영하고 있는지 확인차 재점검한 사실을 발표한 거예요.

과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(이하 KISA)은 2018년 1-3월에 21개 암호화폐 취급 업체에 신청을 받아 보안과 관련된 85개 항목을 점검했어요. 이때 암호화폐 업체들은 보안을 개선하라고 권고를 받았었는데, 잘 지키고 있는지 다시 점검한 것을 발표한 거예요. 신청을 받았던 21개 업체 중 두나무(업비트), 비티씨코리아(빗썸), 스트리미(고팍스), 코빗, 코인원, 플루토스디에스, 후오비 등 7개 업체는 85개 보안 점검 항목을 모두 충족했다고 하네요. 참고로 1-3월 점검 당시에는 평균적으로 39개 취약 항목이 발견됐다고 해요. 그 때에 비하면 많이 개선이 됐네요. 하지만 나머지 업체는 평균적으로 51개 항목이 미흡하다고 해요.

Q 신생 거래소들이 많이 생겨났는데, 그 거래소들은요?

맞아요. 새로운 거래소들도 많이 생겨났죠. 1-3월 당시 포함되지 않은 업체 중 17개 업체도 점검을 받았는데요. 평균적으로 61개 항목이 미흡했다고 하네요.

Q 어떤 부분들을 점검했나요?

85개 점검 항목은 관리적 보안 10개, 망분리 및 계정관리 등 운영환경 보안 21개, 시스템,네트워크,데이터베이스(DB) 접근통제 등 시스템 보안 33개, 백업 및 사고대응 10개, 가상통화 지갑관리 11개 항목으로 이루어졌다고 해요.

Q 그런데 대형 거래소들은 기준이 더 높다고 들었는데요?

맞아요. 2017년 12월20일, 과기정통부는 매출액 100억원 이상, 일일 평균 방문자 수가 100만명 이상인 거래소를 대상으로 18년부터 정보보호 관리체계(ISMS, Information Security Management System)를 받게 했어요. 이것은 기업의 정보보호 체계의 적절성을 평가하고 인증하는 제도지요. 이에 해당하는 규모의 거래소는 두나무, 비티씨코리아, 코빗, 코인원, 4곳이었어요. 이들은 2018년도에 모두 ISMS 인증을 마쳤다고 해요. 다만 암호화폐 거래소 고팍스를 운영하는 스트리미는 이에 해당되지는 않았지만, 자율적으로 신청해서 ISMS 인증을 완료했다고 하네요.

Q 그렇다면, 안심하고 암호화폐 거래소를 이용할 수 있는건가요?

A  과기정통부 오용수 정보보호 정책관은 85개 기준을 모두 만족시킨 7개 업체를 제외하고, 아직도 보안이 취약한 수준이라고 밝히며 이용시 각별한 주의를 요구했어요.

해외의 마운트곡스가 해킹으로 파산한 사태뿐만 아니라, 국내만 해도 작년에 여러 가지 일들이 있었죠. 2018년 6월10일에는 코인레일이 해킹당했으며, 같은 달 20일에는 빗썸이 해킹을 당하는 일이 벌어졌어요.해킹을 당한다고 해도 법적으로 배상 받기는 어렵기에 각별히 주의를 기울여야 하죠.

‘거래소 메타’라는 트렌드를 빌미로 신생 거래소가 계속 생겨나 자체적으로 토큰을 발행하거나, 입출금을 막아 인공적으로 시세를 움직여 높은 차익을 만들어 내고, 이것을 이용자들에게 홍보하고 있어요. 하지만 최악의 상황이 일어났을 경우 사용자 혼자 위험을 떠안아야 하는 상황들이 일어날 수 있으니 사용 전에 거래소의 보안 수준에 대해 늘 확인을 해봐야 하는게 좋지 않을까요.


투더문이 현실이 될까? 나사의 블록체인 연구

Q 나사가 블록체인을 도입한다고 하는데 사실인가요?

A <코인텔레그래프>의 보도에 따르면 나사 에임스 연구센터 (NASA Ames Research Center)의 연구원인 로널드 레이즈먼이 항공 보안을 위한 블록체인 도입에 대한 논문을 지난 1월10일 발표했어요. 이 논문의 제목은 ‘보안, 검증, 프라이버시를 위한 항공 교통 관리 블록체인 구조(Air Traffic Management Blockchain Infrastructure for Security, Authentication, and Privacy)’예요.

Q 어떤 부분에 블록체인을 적용하겠다는 건가요?

A 미국은 2020년까지 항공감시체계인 ADS-B(Automatic Dependent Surveillance-Broadcast) 시스템을 의무적으로 도입하게 돼요. 이는 항공기의 편명, 위치, 고도, 속도 등을 공유하게 되는데 민감한 사항들이 많이 담겨 있고 이를 담을 만한 안전한 장치가 많지 않아서 보안 공격에 대한 우려가 나오고 있어요.

로널드 레이즈먼은 이러한 문제를 범용 블록체인인 ‘하이퍼렛저’를 통해 해결하면 어떨까 아이디어를 낸 것이죠. 즉, 민감한 정보들은 블록체인의 프라이빗 채널에 담고, 공유해야 하는 정보들은 퍼블릭 채널에 담아 승인된 이들이 접근할 수 있게 하는 것이에요.

Q 이 뉴스를 어떻게 해석해야 할까요?

A 미국 나사가 블록체인을 도입한다는 확정적인 기사는 아니지만, 나사 역시 블록체인 기술을 도입하기 위해 꾸준히 주시해 왔다는 것에 의의가 있어요. 나사는 2018년 4월18일 이더리움 스마트 콘트랙트를 이용해서 우주 잔해물들을 피해 자동으로 비행할 수 있게끔 하는 연구에 33만달러를 지원하기도 했어요. 이번에 발표된 레이즈먼의 논문에서 역시 ‘현재 가능한 기술을 기반으로 하며 아직은 완벽하지 않다’라고 쓰여있는 것처럼 현재 블록체인은 미완의 상태지만 기술의 발전에 따른 추후 도입 가능성을 열어 놓고 있다고 볼 수 있겠지요.

from Bloter.net http://www.bloter.net/archives/328489