암호화 통화 이더리움 해킹 피해

상단여백

암호화 통화 이더리움 해킹 피해

이장혁 IT칼럼니스트
승인 2016.06.22 09:00
댓글 0

암호화 통화 플랫폼인 이더리움(Ethereum)을 기반으로 한 자립 분산 투자 펀드인 다오(The DAO)가 지난 6월 17일(현지시간) 해킹 공격으로 자금 중 3분의 1에 해당하는 5,300만 달러(한화 612억원대) 유출 위기에 휩싸였다.

이더리움은 가상 통화인 비트코인의 기술적 결함을 보완한 암호화 통화다. 2016년 가상 화폐 시장 규모에서도 1위인 비트코인에 이어 2위를 차지할 만큼 성장했다. 올해 2월경부터 거래 규모도 확대되는 분위기다.

이더리움을 이해하려면 비트코인과 이더리움의 근간을 이루는 블록체인이라는 구조를 알아야 한다. 기존에는 거래 은행이나 증권 회사 등 중앙 관리자가 거래 대장을 관리하고 이용자는 거래 상대방이 아닌 은행이나 증권 회사를 신뢰해 안심하고 거래를 하게 된다.

하지만 블록체인을 이용한 거래는 중앙 관리자 없이 전 세계에 흩어져 있는 컴퓨터에 데이터를 배치해 서로를 감시하고 신뢰성 있는 합의에 도달하려는 형태다. 중앙집권적 시스템에선 정보가 집중되는 한 곳만 공격 받으면 시스템이 작동하지 않을 위험이 높다. 반면 블록체인은 중앙 집권적이지 않은 만큼 외부 공격에 강하고 시스템을 정지시키는 것도 상당히 어려운 구조라는 특징이 있다. 또 중앙 관리자가 존재하지 않기 때문에 거래마다 비용이 이용자에게 전가될 수 없는 것도 장점이다.

암호학과 블록체인을 이용한 구조인 가상 통화인 비트코인에도 사용되고 있었지만 비트코인은 비교적 간단한 송금 밖에 할 수 없다. 이에 비해 이더리움은 튜링 컴플리트(Turing-complete) 프로그래밍 언어를 이용해 조건 설정과 실행을 차단하는 체인에서 자율적이라고 할 수 있다. 이더리움의 구조는 과거에는 없는 아직은 실험 단계라고도 할 수 있다. 하지만 마이크로소프트가 이더리움 블록체인용 BaaS(Ethereum Blockchain as a Service)를 발표하는 등 수많은 기업과 투자자로부터 주목받고 있다.

다오는 이더리움을 이용한 투자 시스템의 하나로 벤처캐피탈과 비슷한 자립형 분산 투자 펀드다. 다오 프로젝트에 참여하려면 먼저 이더리움 이용자는 다오 내부 통화인 다오 토큰이라고 하는 이더(Ether)를 구입해야 한다. 다오 토큰은 주식과 투표권이라는 측면을 갖고 있다. 투자한 프로젝트가 성공했을 때 이익이 분배될 뿐 아니라 프로젝트와 투자에 투표도 할 수 있는 것.

다오는 DAO(Distributed Autonomous Organization), 분산 자동화 조직이라는 개념을 설명하기 위해 자연어 계약이 아니라 이더리움을 통한 스마트 계약으로 분산 자동화 조직을 구축하려고 시도했다. 그런데 이 스마트 계약 프로그램에 취약점이 생겼고 이번에 해커의 표적이 된 것이다. 이 버그에 대해선 예전부터 비트코인 전문가를 비롯한 연구진이 지적한 것이다. 하지만 다오 개발자들은 버그를 인식했음에도 치명적인 건 없다고 생각한 것이다.

https://www.youtube.com/watch?v=TDGq4aeevgY

물론 전문가들은 이 대목에서 개발자를 비난하는 건 간단한 일이지만 사실 웹 데이터 베이스를 구축하는 코딩은 과거 수십 년간 이뤄진 반면 블록체인에서 코딩을 하는 건 전례가 없던 일이라는 점을 기억할 필요가 있다고 말한다. 어떤 게 문제를 일으키고 어떤 보안상 문제가 발생할지 개발자가 모두 예측하기는 어렵다는 것이다.

다오가 수천만 달러에 이르는 자금을 모아 화제가 되면서 악의적 해커는 개발자가 간과하고 있던 점을 찾아내는 것도 어찌 보면 당연한 수순일 수 있다.

다오는 구조상 27일 동안 예탁 기간이 있어 유출된 자금은 아직 공격자의 손에 넘어가지 않은 상태다. 이더리움재단에 따르면 이미 자금 유출이 있었던 게정과 유출액은 특정되어 있다. 이더리움 제창자인 비탈릭 부테린(Vitalik Buterin)은 이번 1건으로 이더리움의 안전이 손상되지는 않았다고 말하고 있다. 유출 자금 동결과 피해 계정에 대한 환불을 위해 해킹이 발생한 이후 대상 블록을 소프트웨어 패치로 무효화하고 공격자로 이동한 자금을 동결시키는 소프트 포크(Soft Fork)라는 방법도 제안되고 있다.

이 방법을 이용하면 27일 예탁 기간이 지난 뒤에도 공격자 손에 자금이 가지 않는다. 하지만 소프트 포크의 경우 2008년 서브프라임 모기지 사태 당시 미국 정부가 금융기관에 공적 자금을 투입하려고 할 때 도덕적 해이가 발생한다는 의견이 나왔던 것과 같은 이유로 반대를 하는 목소리도 있다.

이번 사태가 금융업계에 혁명을 가져올 것으로 간주되는 블록체인 기술에 대한 신뢰를 크게 흔들리지 않는 건 분명하다. 지금까지도 비트코인 거래소로 한때 70% 이상을 취급하던 마운트곡스가 고객 예금을 사이버 공격으로 잃어버리는 사건이 발생한 적도 있다. 암호화 통화 입장에선 해커의 공격은 피할 수 없는 일이다. 관련 내용은 이곳에서 확인할 수 있다.

이장혁 IT칼럼니스트 hymagic@naver.com

트윗하기

이장혁 IT칼럼니스트의 다른기사 보기