▲ 금융보안원 김신영 팀장

대한금융신문은 오는 9월 19일 서울 을지로 페럼타워에서 ‘[핀테크2017] 가상화폐, 휴먼페이먼트의 혁명' 포럼을 개최한다.

이번 포럼의 '가상화폐 해킹, 근본적 문제점과 보안 대책’ 세션에서는 금융보안원의 김신영 팀장이 보안기술적 관점에서 가상화폐 시장의 다양한 위험 가능성을 예측하고 거래소, 투자자, 정부가 어떤 대책을 강구해야 하는지 구체적인 대응책을 제안하는 자리를 마련한다.

김 팀장은 가상화폐 거래는 전적으로 거래를 대행하는 거래소의 도덕성과 거래소 시스템의 무결성에 보안이 좌우된다며 거래소의 책임과 의무를 강조했다.

Q. 국내 가상화폐 시장이 급성장하고 있는 가운데 보안기술적으로 가장 큰 문제점은 무엇인가.

가상화폐에 대한 투자자의 관심이 높아지면서 많은 자금이 가상화폐 거래소로 몰리고 있다. 가상화폐 생태계 내에서 거래소는 기존 TTP(신뢰할 수 있는 제3자)와 유사한 역할을 수행하고 있다. 하지만 전통적인 TTP에 비해 국내 거래소의 경우 신뢰성 확보를 위한 외부의 감시∙관리 체계가 갖춰지지 않아 기술적 취약점이나 내부 직원의 도덕적 해이 등에 따라 대규모 사고가 발생할 우려가 크다.

Q. 최근 빗썸에서 해킹 사고가 발생해 큰 이슈가 되었는데 보안전문가로서 이러한 사고가 발생하는 근본적인 원인은 어디에 있다고 생각하는가.

가상화폐 거래의 근간이 되는 블록체인은 프로그램 소스를 오픈해 불특정 다수의 감시자가 존재한다. 문제는 가상화폐 거래를 대행하는 거래소에 있다.

거래소의 보안은 전적으로 운영주체의 도덕성과 거래소 시스템의 무결성에 의존한다. 거래소의 보안수준이 해킹사고의 발생 여부와 직결되며, 거래소 공격을 통해 획득할 수 있는 자산상 이득이 크고 가상화폐의 특성상 추적이 어려운 점에서 거래소는 해커의 주 공격대상이 될 가능성이 높다.

Q. 국내 가상화폐 거래소와 해외 거래소를 비교해보았는데 국내 거래소의 보안 수준과 개선해야 할부분이 있다면.

전 세계적으로 가상화폐 거래소가 난립하고 있는 상황에서 국내 거래소와 해외 거래소의 보안수준을 단순 비교하기는 어렵다. 보안수준에 대해 언급하려면 관리체계나 취약점에 대한 평가가 필요하기 때문이다.

단 원론적 측면에서 봤을 때 국내 거래소의 보안수준에 대한 외부 감시체계가 없다는 점에서 전반적으로 낮은 상태일 것으로 생각된다. 이러한 문제를 해결하기 위해서는 거래소 운영주체는 가상화폐 거래시스템의 취약점을 제거하고 이용자의 중요 정보를 체계적으로 관리하는 등 자체적으로 해킹사고를 막기 위한 노력을 게을리 하지 말아야 하며, 기업이 회계법인으로부터 회계감사를 받는 것처럼 거래소 또한 보안수준에 대해 외부 정보보호전문가의 컨설팅이나 취약점 진단이 필요하다.

Q. 해킹기술이 하루가 다르게 발전하며 그에 따른 보안사고 유형도 빠르게 변화하고 있다. 전세계적으로 가상화폐 보안사고는 어떤 방향으로 변화하고 있는 추세인가.

가상화폐 등장 초기에는 블록체인 기술 자체의 취약점으로 사고가 발생하곤 했다. 그러나 최근에는 블록체인 기술보다는 그 기술을 활용하는 측면에서 사고가 많이 발생하고 있다.

거래소의 개인키 탈취나 스마트 컨트랙트 취약점 공격이 대표적인 예로 앞으로도 블록체인 기술 자체보다는 거래소, 마이닝풀, 지갑 프로그램, 암호키 관리 등 활용 측면에서 보안사고가 많이 발생할 것으로 예측된다.

Q. 그렇다면 이용자의 소중한 자산이 탈취되는 보안사고를 방지하기 위해 필수로 구축돼야 할 보안시스템은 무엇인가.

블록체인 기술 활용 시 보안의 가장 기본이 되는 부분은 ‘암호키’ 관리다. 가상화폐를 다른 말로 암호화폐(Crypto Currency)라고 부르는 데서 알 수 있듯 가상화폐 보안의 가장 중요한 기본은 “자신의 암호키를 분실하지 않는 것”이다.

분산환경에서 운영되는 블록체인 기술 특성상 ‘대규모 네트워크 단절’도 주의해야 할 점 중 하나다. 대규모 네트워크 단절 시 지급받았던 가상화폐가 단절이 해소된 후 사라질 수 있기 때문이다.

블록체인 코드의 자체 취약점도 간과할 수 없다. 오픈소스로 운영되는 가상화폐의 경우 다수에 의해 취약점 발생이 감시되고 발생한 취약점에 대한 조치가 이뤄지고 있지만 최초 발견자가 취약점을 악의적으로 이용할 경우 사고로 이어질 가능성은 여전히 존재한다.

Q. 오랜 시간 보안을 연구해온 전문가로서 가상화폐 및 블록체인 기술 보안에 대한 개인적인 견해는.

가상화폐 거래소나 지갑 프로그램 등은 지난 10여년간 등장해온 신기술의 보안연구 방향과 크게 다르지 않다. 일례로 스마트폰 단말 내 보안영역을 제공하는 ‘트러스트존’ 같은 기술은 블록체인 기술과 궁합이 매우 잘 맞는 보안기술이라 할 수 있다.

하지만 블록체인 기술 자체에 대한 보안연구는 기존의 보안기술로는 커버되지 않는 부분들이 일부 있다. 합의 알고리즘이나 P2P 네트워크 등은 완전히 새로운 기술은 아니지만 기존 TTP 구성이 주류이던 환경에서 많은 보안연구가 이뤄졌던 분야가 아니다. 향후 블록체인 상에서 새롭게 등장할 금융서비스와 연계해 블록체인 기술 자체에 대한 보안연구가 꾸준히 추진될 필요가 있다.

------------------------------------------------------------------------------

※[핀테크2017] 가상화폐, 휴먼 페이먼트의 혁명

대한금융신문은 오는 9월 19일 서울 을지로 페럼타워에서 [핀테크2017] 가상화폐, 휴먼페이먼트의 혁명(www.koreafintechtimes.com) 포럼을 개최한다. 이번 가상화폐 포럼에서는 국내 대표 가상화폐 전문가들을 초청해 한국만의 독특한 가상화폐 시장을 실무적/법적 관점에서 분석하고 전망해보는 시간이 마련된다.

‘한국 가상화폐 시장분석 및 전망’ 세션은 1부(기술)와 2부(금융)로 나뉘어 진행된다.

1부에서는 국내 대표 가상화폐 거래소인 ‘코인원’ 차명훈 대표가 비트코인 세그윗 등 가상화폐 시장에서 발견되는 큰 흐름과 그 속에서 발견되는 규칙을 기술적 관점에서 분석하고, 앞으로 발행될 가상화폐의 알고리즘 흐름 및 특화 기능을 예측 발표한다.

2부에서는 한국 최초의 가상화폐 거래소인 ‘코빗’의 공동창업자인 김진화 이사가 국내에서만 발견되는 독특한 가상화폐 시장 특징을 글로벌 시장과 비교 분석할 예정이다. 또 국내 금융시스템에 특화된 가상화폐 활용방안 및 글로벌 금융회사의 실제 가상화폐 활용사례를 실무적 관점에서 발표하는 자리가 마련된다.

‘가상화폐 해킹, 근본적 문제점과 보안 대책’ 세션에서는 금융보안원의 김신영 팀장이 보안기술적 관점에서 가상화폐 시장의 다양한 위험 가능성을 예측하고 분석하고, 현대페이 김병철 대표는 ‘가상화폐가 바꿀 미래’ 세션에서 IoT와 가상화폐의 가장 효율적인 결합을 제시하고 이를 통해 미래 금융서비스가 어떤 방향으로 나아가게 될지 전망하는 시간을 가진다.

‘가상화폐 관련 법적 이슈’ 세션에서는 한국법제연구원 김명아 법학박사가 최근 금융당국에서 발표한 가상통화 규제안에 대한 설명과 견해를 밝히고, 지난 7월 31일 박용진의원이 발표한 가상화폐 법안의 조항들을 세밀하게 해석한다. 또 정부의 규제와 개정안 시행에 앞서 가상화폐 거래소, 투자자, 관련 금융업계가 어떤 준비를 해야 하는지 구체적으로 설명하는 자리가 마련될 예정이다.

대한금융신문의 ‘[핀테크 2017] 가상화폐, 휴먼페이먼트의 혁명’의 참여를 원하는 사람은 공식 홈페이지(koreafintechtimes.com)에서 사전등록 신청이 가능하다.

 

저작권자 © 대한금융신문 무단전재 및 재배포 금지