두나무가 점찍은 보안업체 "코인 노리는 '해커' 걸러낼 수있다"[웹3가 온다]

임유경 2022. 9. 27. 16:52
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

"블록체인 서비스 공격에 쓰인 계정 대부분은 만든 지 얼마 안 된 것이에요. 신생 계정을 찾아내서 서비스 이용에 제한을 두면 해킹 위험을 낮출 수 있겠죠? 그런데 지금까지는 블록체인 기술 특성상 서비스에 데이터 검색 기능을 추가하지 못했어요. 저희가 렐릭(Relic)을 출시하기 전까지는요."

지난 23일 부산항국제전시컨벤션센터(BPEX)에서 열린 업비트개발자컨퍼런스(UDC) 행사장에서 만난 사이버보안 업체 티오리의 박세준 대표는 회사가 이날 출시한 '블록체인 데이터 증명 프로토콜 렐릭'을 이렇게 소개했다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

사이버보안 업체 티오리 박세준 대표 인터뷰
블록체인 데이터 검증 프로토콜 렐릭 출시
서비스 안에서 블록체인 데이터 검색 가능
"블록체인 서비스와 이용자 간 신뢰 높일 것"
박세준 티오리 대표가 23일 부산항국제전시컨벤션센터(BPEX)에서 열린 업비트개발자컨퍼런스(UDC)에서 렐릭을 소개하고 있다.(사진=이데일리 임유경 기자)

[이데일리 임유경 기자] “블록체인 서비스 공격에 쓰인 계정 대부분은 만든 지 얼마 안 된 것이에요. 신생 계정을 찾아내서 서비스 이용에 제한을 두면 해킹 위험을 낮출 수 있겠죠? 그런데 지금까지는 블록체인 기술 특성상 서비스에 데이터 검색 기능을 추가하지 못했어요. 저희가 렐릭(Relic)을 출시하기 전까지는요.”

지난 23일 부산항국제전시컨벤션센터(BPEX)에서 열린 업비트개발자컨퍼런스(UDC) 행사장에서 만난 사이버보안 업체 티오리의 박세준 대표는 회사가 이날 출시한 ‘블록체인 데이터 증명 프로토콜 렐릭’을 이렇게 소개했다.

티오리는 글로벌 최대 해킹방어대회 ‘데프콘’에서 최다 우승을 차지할 만큼, 실력자들이 모인 회사다. 보안 업체로는 유일하게 올해 UDC에서 세션 발표를 맡았다. 두나무와는 여러 인연이 닿아 있다. 두나무가 업비트를 출시하기 전 보안 감수를 티오리에 받았고, 티오리가 최근 200억원 규모의 기관투자를 받을 때 두나무도 참여했다.

티오리는 블록체인·웹3 영역에서 활발하게 사업을 펼치고 있다. 렐릭도 이런 관심 아래 개발됐다. 렐릭은 블록체인 서비스에서 직접 블록 내부(온체인) 데이터에 접근해 필요한 정보를 검색할 수 있게 해준다. 그동안 이런 기술을 제공하는 곳은 없었다. “1~2년 전에 생성된 블록까지 검색하는 건 시간과 비용 문제 때문에 불가능한 일로 여겨졌다”는 게 박 대표의 설명이다.

렐릭, 블록 데이터 압축해 검증하는 기법 써

렐릭은 어떻게 이런 일을 가능하게 했을까. 박 대표는 “영지식증명이라는 기법을 썼다”며 “간단하게 설명하면 과거 블록에 기록된 데이터를 수학적으로 압축(해시화)하고, 그 안에 찾고자 하는 데이터의 해시가 있는지 없는지 답을 받는 방식”이라고 소개했다.

블록체인 데이터 검증이 가능해지면, 블록체인 서비스에서 운영자와 이용자 간 신뢰가 높아질 수 있다. 예컨대 암호화폐 예치·대출이 이뤄지는 탈중앙화금융(DeFi)서비스는 돈을 빌리는 사람이 믿을 만한지 아닌지 알 수가 없다. 익명의 계정을 얼마든지 새로 만들 수 있기 때문이다. 박 대표는 “은행에서 신원검증을 하는 것처럼 디파이앱도 이용자를 검증할 수 있어야 하는데 이때 렐릭이 쓰일 수 있다”며 “해킹 공격에 쓰인 계정은 생성된 지 얼마 안 된 것이 많기 때문에 서비스가 6개월 이내 신생 계정을 찾아내고, 이들에 대해선 대출 한도를 제안하는 등 다양한 정책을 수립할 수 있다”고 설명했다.

박 대표는 “이렇게 하면 서비스는 악의적인 계정을 막고, 이용자도 더 안전한 환경을 누릴 수 있게 된다”며 “렐릭이 다양한 블록체인 서비스에서 서비스와 이용자 간 신뢰를 높이는 역할을 할 것으로 기대한다”고 강조했다.

이렇게 설명을 듣다 보면 “블록체인은 누구나 접근 가능한 공개된 원장인데, 블록검색기로 데이터를 검색하면 되는 것 아니냐”는 궁금증이 생길 수 있다.

물론 블록체인 밖(오프체인)에서 블록 데이터를 확인할 수 있다. 문제는 검색 결과가 블록체인 밖에서 검색·취합·분석되기 때문에 오염될 가능성이 존재한다는 점이다.

박 대표는 에어드랍 이벤트 진행과정을 예로 들었다. 에어드랍은 특정 시점에 어떤 토큰을 들고 있는 사람에게 새로운 토큰을 무상 지급하는 이벤트다. 지금은 블록을 검색해 에어드랍 대상자가 누구인지 확인하고 체인 밖에서 리스트로 만든 후, 해당 계정에 토큰을 넣어주는 식으로 진행한다. 박 대표는 “이렇게 하면 리스트를 정리하는 사람이 임의로 데이터를 조작해 대상자가 아닌 사람을 끼워 넣을 수도 있는 것이다”고 짚었다.

(사진=이미지투데이)
보안성 담보 없이 웹3 확산 어렵다

박 대표는 보안성 확보가 블록체인·웹3 서비스 확산을 결정짓는 요인이 될 것이라고도 전망했다. 탈중앙화된 금융 서비스인 디파이는 물론 디지털 콘텐츠가 유통되는 대체불가토큰(NFT) 플랫폼까지 블록체인 기반 모든 웹3 서비스가 토큰을 취급하고 있어, 안전이 담보되지 않으면 이용자가 늘기 어려울 것이란 얘기다.

웹3는 이용자가 인터넷상에서 존재하는 자기 데이터에 대한 소유권을 가지고 경제 활동에 참여하는 새로운 인터넷 환경이다. 디지털 콘텐츠에 소유권을 부여하는 NFT 등 블록체인 기술은 웹3 기반 구현 기술이다.

그는 “이용자들이 기존 서비스가 해킹 당했다고 하면 개인정보가 털리는 정도라고 생각하고 큰 위협으로 느끼지 못하는 경우가 많은데, 블록체인 서비스는 바로 금전 탈취로 이어지기 때문에 심각하게 받아들인다”며 “이용자들의 신뢰를 얻기 위해서 보안성을 높여야 한다”고 강조했다.

신경 쓸 부분 더 많은 블록체인 서비스 보안

블록체인 서비스가 챙겨야 하는 보안 요소는 더 까다롭다. 기존 인터넷 서비스에서 발생할 수 있는 보안 위협과 블록체인에서 새로운 등장한 보안 위협을 모두 고려해야 하기 때문이다. 박 대표는 “공격자들은 새로운 부분과 기존 부분을 오가면서 취약점을 열심히 활용하고 있다”며 “서비스 운영사들도 공격자들이 어떻게 움직이고 있는지 계속 살펴보고 방어해야 한다”고 힘줘 말했다.

또, 기존 인터넷 서비스와 달리 국가 배후 해커 조직의 위협까지 방어해야 한다는 과제도 안고 있다. 특히 국제사회 제재로 자금조달이 쉽지 않기 때문에 북한 배우 해커들이 블록체인 서비스를 노리고 있다.

박 대표는 “해커 입장에서 보면 블록체인 서비스 해킹은 투자대비수익(RoI)가 크다”고 짚었다. 랜섬웨어도 성행하고 있지만, 시스템에 침투하고 협상하는 과정이 길고 협박으로 뜯어낼 수 있는 돈도 몇 억 수준이다. 하지만, 웹3 서비스에서는 한 번에 수십~수백억을 탈취해 갈 수 있다는 설명이다. 북한 소행으로 밝혀진 로닌네트워크 해킹도 피해금액이 8500억원에 이른다.

박 대표는 “어느 시스템이든 보안 위협은 항상 존재한다”며 “다만 블록체인 분야는 엄청난 속도로 바뀌고 있기 때문에 보안 이슈 변화에도 꾸준히 관심을 쏟고 대응해야 한다”고 강조했다.

[웹3가 온다] ‘내 데이터로 왜 플랫폼만 돈을 벌까’ 한 번쯤 이런 생각해보셨나요? 이런 플랫폼 중심의 인터넷에 대한 반란이 일어나고 있습니다. 이용자 개개인에 권한이 분산되는 인터넷 환경 ‘웹3’를 만들자는 움직임입니다. 웹3는 아직 흐릿한 형체만 있습니다. 만들어가는 과정에 있죠. 그래서 더 궁금합니다. 블록체인 기술은 어떻게 웹3를 구현할지, 어떤 서비스들이 나올지 말이죠. 이런 궁금증을 풀어 줄 전문가 인터뷰를 연재합니다.

임유경 (yklim01@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?