CISO들이 ‘분산형 기술’에 관한 우려로 밤잠을 설칠지도 모른다. 여기서는 이에 따른 보안 위험을 방지할 수 있는 방법들을 살펴본다.
암호화폐로 결제를 받는 기업들이 많아지고 있다. 고객들은 이를테면 전자제품부터 학사 학위, 카푸치노까지 원하는 거의 모든 것을 구매할 수 있다. 이와 동시에 NFT(Non Fungible Token) 시장이 급성장하고 있다. 새로운 예술가들이 하루아침에 백만장자로 등극하고, 스눕독, 마사 스튜어트, 그림스 등의 유명인사들도 이 트렌드를 활용하고 있다.
‘암호화폐’와 ‘NFT’는 많은 기업이 ‘웹3’의 파급 효과와 (이로 인한) 기회를 논의하면서 주요한 의제로 떠올랐다. 인터넷의 진화를 이끄는 이 새롭고 중요한 변화는 디지털 세계를 분권화하여 사용자에게 더 큰 통제권과 더 투명한 정보 흐름을 제공한다고 말한다.
그리고 기업들은 이 새로운 패러다임에 적응하기 위해 최선을 다하고 있다. 하지만 CISO들은 이를 바라보는 관점이 살짝 다르다. 사이버 보안, 신원 사기, 시장 보안 위험, 키 및 데이터 관리, 프라이버시 등을 우려하고 있기 때문이다. NFT를 포함한 모든 형태의 암호화폐에는 대부분의 기업들이 익숙하지 않을 수 있는 일련의 위협 및 보안 문제가 있다. 디지털 애셋 리서치(Digital Asset Research)의 CEO 더그 슈웽크는 “일련의 새로운 시스템(공개 블록체인)에 노출된다. 많은 기업이 익숙하지 않은 위험에 직면할 것이다. 여러 새로운 운영 절차가 필요하다”라고 말했다.
CISO가 이러한 문제를 다루는 방식은 사용자와 비즈니스 파트너에게 영향을 미칠 수 있다. 컨피언트(Confiant)의 수석 보안 엔지니어 엘리야 스테인운 “침해는 기업 또는 사용자 또는 NFT 수집가에게 즉각적인 재정적 영향을 미친다”라고 강조했다. 여기서는 CISO들이 살펴봐야 할 ‘암호화폐와 NFT의 보안 위험 10가지’를 소개한다.
1. 블록체인 프로토콜 통합이 복잡할 수 있다
블록체인은 비교적 새로운 기술이다. 따라서 블록체인 프로토콜을 프로젝트에 통합하는 일은 다소 어렵다. 딜로이트 보고서에 의하면 블록체인과 관련된 주된 문제점은 특히 은행을 제외한 다른 부문에서 이 기술에 관한 인식 그리고 이 기술의 메커니즘에 관한 이해가 부족한 것이다. 이것이 투자와 아이디어 탐색을 방해하고 있다.
기업들은 각 체인의 성숙도와 적합성을 신중하게 평가해야 한다. 슈웽크는 “초기 단계에 있는 [블록체인] 프로토콜을 도입하면 다운타임과 보안 위험이 발생할 수 있다. 후기 단계의 프로토콜은 거래 수수료가 더 높다. 원하는 용도(예: 결제)를 지원하는 프로토콜을 선택했지만 이후 후원자가 더 이상 지원하지 않을 수도 있다. 오픈소스를 도입했는데 가치를 완전히 실현하려면 특정 서비스 업체가 필요한 상황과 비슷하다”라고 설명했다.
2. 자산 소유권 기준이 바뀐다
누군가 NFT를 구매했다고 할 때 실제로 이미지를 사는 건 아니다. 이미지를 블록체인에 저장하는 것은 크기(size) 때문에 실용적이지 않다. 대신에 사용자가 얻는 건 해당 이미지를 가리키는 일종의 영수증이다. 블록체인은 이미지 ID(해시 또는 URL)만 저장한다. HTTP 프로토콜의 분산형 대안은 IPFS(Interplanetary File System)다. IPFS를 선택하는 기업은 IPFS 노드가 NFT를 판매하는 기업에서 운영되며, 해당 기업이 이를 폐쇄하기로 결정하면 사용자는 NFT가 가리키는 이미지에 액세스하지 못할 수 있다는 점을 알아야 한다.
보안 연구원 아나톨 프리사카루는 “기술적으로 IPFS에 파일을 재업로드하는 건 가능하지만 프로세스가 복잡하기 때문에 일반 사용자가 그렇게 할 수 있을 것 같진 않다. 하지만 분산돼 있고 권한이 없다는 특징 때문에 프로젝트 개발자뿐만 아니라 누구나 그렇게 할 순 있다”라고 언급했다.
3. 시장 보안 위험
NFT는 블록체인 기술을 기반으로 하지만 이와 관련된 이미지 또는 비디오를 중앙집중식 또는 분산형 플랫폼에 저장할 수도 있다. (하지만) 사용자가 디지털 자산과 더 쉽게 상호작용할 수 있도록 편의상 중앙집중식 모델을 선택하는 경우가 많다. 물론 (이로 인해) NFT 시장이 웹2의 취약점을 계승할 수 있다는 단점이 있다. 또 전통적인 은행 거래는 가역적이지만 블록체인의 거래는 그렇지 않다.
프리사카루는 “해킹된 서버가 사용자에게 잘못된 정보를 제공하여 지갑을 터는 거래를 실행하도록 속일 수 있다”라고 지적했다. 그러나 구축 작업에 충분한 시간과 리소스를 투자하면 공격을 방어할 수 있으며, 분산형 플랫폼을 사용할 때는 더욱더 그렇다. 이어서 그는 “분산형 방식으로 적절하게 구축되면 해킹된 시장은 사용자의 자산을 훔치거나 변경할 수 없다. 하지만 일부 시장은 절차를 무시하고 더 큰 통제력을 위해 보안과 분산을 희생한다”라고 덧붙였다.
4. 신원 및 암호화폐 사기
암호화폐 사기는 흔하며, 수많은 피해자를 낳을 수 있다. 스테인에 따르면 “사기꾼들은 기대를 한 몸에 받고 있는 NFT 릴리즈를 잘 파악하고 있으며, 일반적으로 공식 출시와 함께 홍보할 준비가 된 수십 개의 사기 사이트를 갖고 있다.” 이러한 사기의 희생자는 충성도 높은 고객인 경우가 많다. 나쁜 경험은 브랜드 인식에 영향을 미칠 수 있기 때문에 이를 보호하는 것이 중요하다.
사용자는 계정에서 의심스러운 활동이 감지됐다는 내용의 악성 이메일을 받을 수 있다. 이를 해결하려면 계정 확인을 위한 자격 증명을 제공해야 한다. 사용자가 이에 속으면 자격 증명이 유출된다. 스테인은 “NFT 시장에 진입하려는 모든 브랜드는 이러한 유형의 피싱 공격을 모니터링하고 완화하기 위해 리소스를 할당해야 한다”라고 권고했다.
5. 블록체인 브릿지는 증가하는 위협이다
블록체인마다 코인이 다르고 규칙도 다르다. 예를 들어 비트코인을 가지고 있지만 이더리움을 사용하고 싶다면 자산 이전을 허용하는 두 블록체인 간의 연결이 필요하다. 크로스체인 브릿지라고도 하는 블록체인 브릿지가 바로 이 역할을 한다. 피사카루는 “특성상 일반적으로 스마트 계약을 엄격하게 사용하지 않고 사용자가 원래 체인에 자산을 예치할 때 다른 체인에서 거래를 개시하는 오프체인 구성 요소를 활용한다”라고 설명했다.
최근 대규모 암호화폐 해킹 사건이 로닌(Roni), 폴리 네트워크(Poly Network), 웜홀(Wormhole) 등 크로스체인 브릿지 서비스에서 발생했다. 2022년 3월 말, 로닌 네트워크는 해킹으로 미화 6억 2,500만 달러어치의 이더리움 및 USDC를 잃었다. 폴리 네트워크는 2021년 8월 약 6억 달러가량의 해킹 피해를 입었다(이례적으로 폴리는 2주 후에 도난당한 6억 달러를 돌려받았다).
6. 코드를 철저하게 테스트하고 감사해야 한다
좋은 코드는 모든 프로젝트의 우선순위여야 한다. 피사카루는 개발자가 세부사항에 주의를 기울여야 한다고 강조했다. 그렇지 않으면 보안 사고의 피해자가 될 위험이 높아진다는 게 그의 설명이다. 예를 들면 폴리 네트워크 사건에서 공격자는 계약 호출 간의 취약점을 악용했다. 사고를 예방하려면 팀은 철저한 테스트를 수행해야 한다. 기업들은 비용과 시간이 많이 소요될 순 있지만 서드파티와도 계약해 보안 감사를 실시하는 게 좋다. 감사는 잘 알려진 취약점을 식별하는 데 도움을 주는 체계적인 코드 검토를 제공한다.
물론 코드 확인만으론 충분하지 않으며, 기업들이 감사를 했다고 해서 문제가 없다고 보장할 수도 없다. 프리사카루는 “블록체인에서 스마트 계약은 일반적으로 구성 가능하며, 계약은 다른 프로토콜과 상호작용하는 경우가 많다. 하지만 기업들은 자체 코드만 통제할 수 있다. 외부 프로토콜과 상호작용하면 위험이 증가한다”라고 전했다. 이 밖에 개인과 기업 모두 위험 관리를 위해 다른 방법을 모색할 수 있다. 이를테면 보험은 기업들이 스마트 계약 또는 관리인 해킹으로 인한 비용을 줄이는 데 도움이 된다.
7. 키 관리
슈웽크는 “암호화폐의 핵심은 프라이빗 키 관리다. 많은 기업이 이를 간단하다고 생각할 수 있다. 하지만 CISO들은 이 문제와 베스트 프랙티스에 관해 잘 알고 있을 것이다”라고 언급했다. 사용할 수 있는 키 관리 옵션은 다양하다. 그중 하나가 트레저(Trezor), 렛저(Ledger), 래티스 1(Lattice1) 등의 하드웨어 지갑이다. 이러한 USB 기기는 보안 요소에 암호화 자료를 생성하고 저장하여 공격자가 바이러스 및 백도어를 통해 컴퓨터에 액세스하더라도 프리이빗 키에 접근하지 못하도록 한다.
하드웨어 지갑과 함께 사용할 수 있는 다중 서명(Multi-sig)도 또 다른 옵션이다. 프리사카루는 “기본적으로 다중 서명은 여러 소유자가 거래를 확인해야 하는 스마트 계약 지갑이다. 예를 들어 5명의 소유자가 있다고 한다면 거래를 하기 전에 최소 3명의 사용자가 서명해야 한다. 이렇게 되면 공격자는 지갑을 털기 위해 2명 이상의 사용자를 해킹해야 한다”라고 설명했다.
8. 직원 및 사용자 교육
웹3 기술을 통합하고 싶은 기업은 직원들을 교육해야 한다. 다른 블록체인에서 거래하려면 새로운 도구가 필요하기 때문이다. 코펜스(Cofense)의 공동설립자 겸 CTO 아론 힉비는 “디지털 자산 상거래는 기존 전자상거래와 비슷해 보일 수 있지만 이 새로운 세계에 능숙해지기 위해 필요한 도구와 브라우저 플러그인은 재무팀이 익숙한 것과는 사뭇 다르다”라고 말했다.
모든 기업이 이메일 기반 피싱 공격을 주의해야 하지만 특히 디지털 자산을 취급하는 직원들은 더욱더 자주 표적이 될 수 있다. 교육 목적은 팀의 모든 구성원이 최신 베스트 프랙티스를 따르고, 보안을 제대로 이해하도록 하는 것이다. 체크 포인트(Check Point)의 제품 취약점 리서치 책임자 오디드 바누누는 암호화폐 관련 지식에 큰 격차가 있다는 사실을 발견했다고 언급했다. 그는 “웹3 기술을 통합하려는 기업들은 이러한 프로젝트의 보안을 심층적으로 이해하고 검토해야 한다. 즉, 이로 인해 발생할 수 있는 숫자와 영향을 파악해야 한다”라고 설명했다.
한편 프라이빗 키 관리를 원치 않는 몇몇 기업들은 중앙집중식 시스템을 사용하며, 이로 인해 웹2 보안 문제에 취약해진다. 바누누는 “웹3 기술을 웹2로 통합하고 있다면 보안 검토를 수행하고 보안 베스트 프랙티스를 갖춰야 한다”라고 덧붙였다.
9. NFT 및 웹3 분산형 앱의 영속성
많은 기업이 더 이상 필요하지 않다면 제품 생산을 중단한다. 하지만 일반적으로 (제대로 한다면) 블록체인 기반 자산에서는 이게 불가능하다. “NFT를 일회성 마케팅 활동으로 취급해서는 안 된다. NFT 자체가 체인에 있지 않다면 기업이 이를 영구적으로 유지하기 위한 부담을 지게 된다. 프로젝트가 크게 성공하면 기업은 작은 사건 사고(예: 사기 등)와 관련하여 NFT의 수집가들을 지원하는 업무를 담당하게 된다”라고 말했다.
바이럴 프로젝트의 예를 들자면 우크라이나 정부가 전쟁의 타임라인에 따라 NFT를 판매한 사례를 이야기할 수 있겠다. 우크라이나의 부총리 미하일로 페도로프는 트윗을 통해 “전쟁의 기억을 보존하는 곳이자 우크라이나의 정체성과 자유를 기념하는 곳”이라고 밝혔다. NFT 마니아들은 역사의 한 조각을 사서 우크라이나를 지원하고 싶다면서 긍정적인 반응을 보였다. 하지만 현재는 이 프로젝트가 계속 유지되길 바라고 있다.
10. 블록체인이 항상 적절한 도구는 아니다
신기술은 항상 흥미롭지만 (이에) 뛰어들기 전에 기업들은 이것이 실제로 문제를 해결하는지, 도입하기에 적절한 시기인지 자문해야 한다. 블록체인 기반 프로젝트는 기업을 개선할 수 있는 잠재력이 있지만 적어도 초기 단계에서는 자원을 고갈시킬 수도 있다. 슈웽크는 “위험과 보상을 저울질하는 것은 의사결정의 중요한 부분이다. 아울러 이를 채택하고 이를 적용해 나가는 과정에서 보안에 적절한 자원을 투입하는 것도 중요하다. 이런 새로운 기술의 위험과 보상을 판단하지 않고 암호화폐와 관련된 과대광고에 휩쓸리기 쉽다”라고 말했다. ciokr@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.