CISO들이 ‘분산형 기술’에 관한 우려로 밤잠을 설칠지도 모른다. 여기서는 이에 따른 보안 위험을 방지할 수 있는 방법들을 살펴본다.
암호화폐로 결제를 받는 기업들이 많아지고 있다. 고객들은 이를테면 전자제품부터 학사 학위, 카푸치노까지 원하는 거의 모든 것을 구매할 수 있다. 이와 동시에 NFT(Non Fungible Token) 시장이 급성장하고 있다. 새로운 예술가들이 하루아침에 백만장자로 등극하고, 스눕독, 마사 스튜어트, 그림스 등의 유명인사들도 이 트렌드를 활용하고 있다.
‘암호화폐’와 ‘NFT’는 많은 기업이 ‘웹3’의 파급 효과와 (이로 인한) 기회를 논의하면서 주요한 의제로 떠올랐다. 인터넷의 진화를 이끄는 이 새롭고 중요한 변화는 디지털 세계를 분권화하여 사용자에게 더 큰 통제권과 더 투명한 정보 흐름을 제공한다고 말한다.
그리고 기업들은 이 새로운 패러다임에 적응하기 위해 최선을 다하고 있다. 하지만 CISO들은 이를 바라보는 관점이 살짝 다르다. 사이버 보안, 신원 사기, 시장 보안 위험, 키 및 데이터 관리, 프라이버시 등을 우려하고 있기 때문이다. NFT를 포함한 모든 형태의 암호화폐에는 대부분의 기업들이 익숙하지 않을 수 있는 일련의 위협 및 보안 문제가 있다. 디지털 애셋 리서치(Digital Asset Research)의 CEO 더그 슈웽크는 “일련의 새로운 시스템(공개 블록체인)에 노출된다. 많은 기업이 익숙하지 않은 위험에 직면할 것이다. 여러 새로운 운영 절차가 필요하다”라고 말했다.
CISO가 이러한 문제를 다루는 방식은 사용자와 비즈니스 파트너에게 영향을 미칠 수 있다. 컨피언트(Confiant)의 수석 보안 엔지니어 엘리야 스테인운 “침해는 기업 또는 사용자 또는 NFT 수집가에게 즉각적인 재정적 영향을 미친다”라고 강조했다. 여기서는 CISO들이 살펴봐야 할 ‘암호화폐와 NFT의 보안 위험 10가지’를 소개한다.
1. 블록체인 프로토콜 통합이 복잡할 수 있다
블록체인은 비교적 새로운 기술이다. 따라서 블록체인 프로토콜을 프로젝트에 통합하는 일은 다소 어렵다. 딜로이트 보고서에 의하면 블록체인과 관련된 주된 문제점은 특히 은행을 제외한 다른 부문에서 이 기술에 관한 인식 그리고 이 기술의 메커니즘에 관한 이해가 부족한 것이다. 이것이 투자와 아이디어 탐색을 방해하고 있다.
기업들은 각 체인의 성숙도와 적합성을 신중하게 평가해야 한다. 슈웽크는 “초기 단계에 있는 [블록체인] 프로토콜을 도입하면 다운타임과 보안 위험이 발생할 수 있다. 후기 단계의 프로토콜은 거래 수수료가 더 높다. 원하는 용도(예: 결제)를 지원하는 프로토콜을 선택했지만 이후 후원자가 더 이상 지원하지 않을 수도 있다. 오픈소스를 도입했는데 가치를 완전히 실현하려면 특정 서비스 업체가 필요한 상황과 비슷하다”라고 설명했다.
2. 자산 소유권 기준이 바뀐다
누군가 NFT를 구매했다고 할 때 실제로 이미지를 사는 건 아니다. 이미지를 블록체인에 저장하는 것은 크기(size) 때문에 실용적이지 않다. 대신에 사용자가 얻는 건 해당 이미지를 가리키는 일종의 영수증이다. 블록체인은 이미지 ID(해시 또는 URL)만 저장한다. HTTP 프로토콜의 분산형 대안은 IPFS(Interplanetary File System)다. IPFS를 선택하는 기업은 IPFS 노드가 NFT를 판매하는 기업에서 운영되며, 해당 기업이 이를 폐쇄하기로 결정하면 사용자는 NFT가 가리키는 이미지에 액세스하지 못할 수 있다는 점을 알아야 한다.
보안 연구원 아나톨 프리사카루는 “기술적으로 IPFS에 파일을 재업로드하는 건 가능하지만 프로세스가 복잡하기 때문에 일반 사용자가 그렇게 할 수 있을 것 같진 않다. 하지만 분산돼 있고 권한이 없다는 특징 때문에 프로젝트 개발자뿐만 아니라 누구나 그렇게 할 순 있다”라고 언급했다.
3. 시장 보안 위험
NFT는 블록체인 기술을 기반으로 하지만 이와 관련된 이미지 또는 비디오를 중앙집중식 또는 분산형 플랫폼에 저장할 수도 있다. (하지만) 사용자가 디지털 자산과 더 쉽게 상호작용할 수 있도록 편의상 중앙집중식 모델을 선택하는 경우가 많다. 물론 (이로 인해) NFT 시장이 웹2의 취약점을 계승할 수 있다는 단점이 있다. 또 전통적인 은행 거래는 가역적이지만 블록체인의 거래는 그렇지 않다.
프리사카루는 “해킹된 서버가 사용자에게 잘못된 정보를 제공하여 지갑을 터는 거래를 실행하도록 속일 수 있다”라고 지적했다. 그러나 구축 작업에 충분한 시간과 리소스를 투자하면 공격을 방어할 수 있으며, 분산형 플랫폼을 사용할 때는 더욱더 그렇다. 이어서 그는 “분산형 방식으로 적절하게 구축되면 해킹된 시장은 사용자의 자산을 훔치거나 변경할 수 없다. 하지만 일부 시장은 절차를 무시하고 더 큰 통제력을 위해 보안과 분산을 희생한다”라고 덧붙였다.
4. 신원 및 암호화폐 사기
암호화폐 사기는 흔하며, 수많은 피해자를 낳을 수 있다. 스테인에 따르면 “사기꾼들은 기대를 한 몸에 받고 있는 NFT 릴리즈를 잘 파악하고 있으며, 일반적으로 공식 출시와 함께 홍보할 준비가 된 수십 개의 사기 사이트를 갖고 있다.” 이러한 사기의 희생자는 충성도 높은 고객인 경우가 많다. 나쁜 경험은 브랜드 인식에 영향을 미칠 수 있기 때문에 이를 보호하는 것이 중요하다.
사용자는 계정에서 의심스러운 활동이 감지됐다는 내용의 악성 이메일을 받을 수 있다. 이를 해결하려면 계정 확인을 위한 자격 증명을 제공해야 한다. 사용자가 이에 속으면 자격 증명이 유출된다. 스테인은 “NFT 시장에 진입하려는 모든 브랜드는 이러한 유형의 피싱 공격을 모니터링하고 완화하기 위해 리소스를 할당해야 한다”라고 권고했다.
5. 블록체인 브릿지는 증가하는 위협이다
블록체인마다 코인이 다르고 규칙도 다르다. 예를 들어 비트코인을 가지고 있지만 이더리움을 사용하고 싶다면 자산 이전을 허용하는 두 블록체인 간의 연결이 필요하다. 크로스체인 브릿지라고도 하는 블록체인 브릿지가 바로 이 역할을 한다. 피사카루는 “특성상 일반적으로 스마트 계약을 엄격하게 사용하지 않고 사용자가 원래 체인에 자산을 예치할 때 다른 체인에서 거래를 개시하는 오프체인 구성 요소를 활용한다”라고 설명했다.
최근 대규모 암호화폐 해킹 사건이 로닌(Roni), 폴리 네트워크(Poly Network), 웜홀(Wormhole) 등 크로스체인 브릿지 서비스에서 발생했다. 2022년 3월 말, 로닌 네트워크는 해킹으로 미화 6억 2,500만 달러어치의 이더리움 및 USDC를 잃었다. 폴리 네트워크는 2021년 8월 약 6억 달러가량의 해킹 피해를 입었다(이례적으로 폴리는 2주 후에 도난당한 6억 달러를 돌려받았다).
6. 코드를 철저하게 테스트하고 감사해야 한다
좋은 코드는 모든 프로젝트의 우선순위여야 한다. 피사카루는 개발자가 세부사항에 주의를 기울여야 한다고 강조했다. 그렇지 않으면 보안 사고의 피해자가 될 위험이 높아진다는 게 그의 설명이다. 예를 들면 폴리 네트워크 사건에서 공격자는 계약 호출 간의 취약점을 악용했다. 사고를 예방하려면 팀은 철저한 테스트를 수행해야 한다. 기업들은 비용과 시간이 많이 소요될 순 있지만 서드파티와도 계약해 보안 감사를 실시하는 게 좋다. 감사는 잘 알려진 취약점을 식별하는 데 도움을 주는 체계적인 코드 검토를 제공한다.
물론 코드 확인만으론 충분하지 않으며, 기업들이 감사를 했다고 해서 문제가 없다고 보장할 수도 없다. 프리사카루는 “블록체인에서 스마트 계약은 일반적으로 구성 가능하며, 계약은 다른 프로토콜과 상호작용하는 경우가 많다. 하지만 기업들은 자체 코드만 통제할 수 있다. 외부 프로토콜과 상호작용하면 위험이 증가한다”라고 전했다. 이 밖에 개인과 기업 모두 위험 관리를 위해 다른 방법을 모색할 수 있다. 이를테면 보험은 기업들이 스마트 계약 또는 관리인 해킹으로 인한 비용을 줄이는 데 도움이 된다.
7. 키 관리
슈웽크는 “암호화폐의 핵심은 프라이빗 키 관리다. 많은 기업이 이를 간단하다고 생각할 수 있다. 하지만 CISO들은 이 문제와 베스트 프랙티스에 관해 잘 알고 있을 것이다”라고 언급했다. 사용할 수 있는 키 관리 옵션은 다양하다. 그중 하나가 트레저(Trezor), 렛저(Ledger), 래티스 1(Lattice1) 등의 하드웨어 지갑이다. 이러한 USB 기기는 보안 요소에 암호화 자료를 생성하고 저장하여 공격자가 바이러스 및 백도어를 통해 컴퓨터에 액세스하더라도 프리이빗 키에 접근하지 못하도록 한다.
하드웨어 지갑과 함께 사용할 수 있는 다중 서명(Multi-sig)도 또 다른 옵션이다. 프리사카루는 “기본적으로 다중 서명은 여러 소유자가 거래를 확인해야 하는 스마트 계약 지갑이다. 예를 들어 5명의 소유자가 있다고 한다면 거래를 하기 전에 최소 3명의 사용자가 서명해야 한다. 이렇게 되면 공격자는 지갑을 털기 위해 2명 이상의 사용자를 해킹해야 한다”라고 설명했다.
8. 직원 및 사용자 교육
웹3 기술을 통합하고 싶은 기업은 직원들을 교육해야 한다. 다른 블록체인에서 거래하려면 새로운 도구가 필요하기 때문이다. 코펜스(Cofense)의 공동설립자 겸 CTO 아론 힉비는 “디지털 자산 상거래는 기존 전자상거래와 비슷해 보일 수 있지만 이 새로운 세계에 능숙해지기 위해 필요한 도구와 브라우저 플러그인은 재무팀이 익숙한 것과는 사뭇 다르다”라고 말했다.
모든 기업이 이메일 기반 피싱 공격을 주의해야 하지만 특히 디지털 자산을 취급하는 직원들은 더욱더 자주 표적이 될 수 있다. 교육 목적은 팀의 모든 구성원이 최신 베스트 프랙티스를 따르고, 보안을 제대로 이해하도록 하는 것이다. 체크 포인트(Check Point)의 제품 취약점 리서치 책임자 오디드 바누누는 암호화폐 관련 지식에 큰 격차가 있다는 사실을 발견했다고 언급했다. 그는 “웹3 기술을 통합하려는 기업들은 이러한 프로젝트의 보안을 심층적으로 이해하고 검토해야 한다. 즉, 이로 인해 발생할 수 있는 숫자와 영향을 파악해야 한다”라고 설명했다.
한편 프라이빗 키 관리를 원치 않는 몇몇 기업들은 중앙집중식 시스템을 사용하며, 이로 인해 웹2 보안 문제에 취약해진다. 바누누는 “웹3 기술을 웹2로 통합하고 있다면 보안 검토를 수행하고 보안 베스트 프랙티스를 갖춰야 한다”라고 덧붙였다.
9. NFT 및 웹3 분산형 앱의 영속성
많은 기업이 더 이상 필요하지 않다면 제품 생산을 중단한다. 하지만 일반적으로 (제대로 한다면) 블록체인 기반 자산에서는 이게 불가능하다. “NFT를 일회성 마케팅 활동으로 취급해서는 안 된다. NFT 자체가 체인에 있지 않다면 기업이 이를 영구적으로 유지하기 위한 부담을 지게 된다. 프로젝트가 크게 성공하면 기업은 작은 사건 사고(예: 사기 등)와 관련하여 NFT의 수집가들을 지원하는 업무를 담당하게 된다”라고 말했다.
바이럴 프로젝트의 예를 들자면 우크라이나 정부가 전쟁의 타임라인에 따라 NFT를 판매한 사례를 이야기할 수 있겠다. 우크라이나의 부총리 미하일로 페도로프는 트윗을 통해 “전쟁의 기억을 보존하는 곳이자 우크라이나의 정체성과 자유를 기념하는 곳”이라고 밝혔다. NFT 마니아들은 역사의 한 조각을 사서 우크라이나를 지원하고 싶다면서 긍정적인 반응을 보였다. 하지만 현재는 이 프로젝트가 계속 유지되길 바라고 있다.
10. 블록체인이 항상 적절한 도구는 아니다
신기술은 항상 흥미롭지만 (이에) 뛰어들기 전에 기업들은 이것이 실제로 문제를 해결하는지, 도입하기에 적절한 시기인지 자문해야 한다. 블록체인 기반 프로젝트는 기업을 개선할 수 있는 잠재력이 있지만 적어도 초기 단계에서는 자원을 고갈시킬 수도 있다. 슈웽크는 “위험과 보상을 저울질하는 것은 의사결정의 중요한 부분이다. 아울러 이를 채택하고 이를 적용해 나가는 과정에서 보안에 적절한 자원을 투입하는 것도 중요하다. 이런 새로운 기술의 위험과 보상을 판단하지 않고 암호화폐와 관련된 과대광고에 휩쓸리기 쉽다”라고 말했다. ciokr@idg.co.kr