[코인터뷰] "블록체인 보안성, SW적 해결만 정답 아냐…'방어보상모델'로 해킹방지"
입력
수정
2018 코리아 블록체인 엑스포“블록체인 보안성 문제를 지나치게 소프트웨어(SW)적으로 접근하는 경향이 있어요. 현실은 다릅니다. 블록체인이라는 신뢰모델에는 SW 못지않게 하드웨어 환경도 중요하거든요.”
김성기 모파스 CTO 인터뷰
해커스랩이 개발한 블록체인 보안플랫폼 모파스 김성기 최고기술책임자(CTO·사진)는 한경닷컴과의 인터뷰에서 이같이 짚었다. 블록체인 보안이 완벽에 가깝다는 ‘통념’은 현실의 물리적 조건(하드웨어)과 결합했을 때 완전히 달라진다는 지적이다. 때문에 모파스는 하드웨어적 접근방식을 병행한다고 했다.모파스 플랫폼의 기본개념은 ‘방어보상 모델’이다. 모든 해킹 시도에 대한 완전무결 방어체계는 없다는 문제의식에서 비롯됐다. 화이트해커에 더 많은 보상을 제공해 방어장벽을 높이는 쪽으로 관점을 바꿨다. 여기에 블록체인 기술을 적용해 보안성을 높이고, 찾아낸 보안 취약점을 신고하면 가상화폐(암호화폐)를 지급하는 새로운 형태의 생태계 구축에 나섰다.
지난달 23~24일 열린 ‘2018 코리아 블록체인 엑스포’에 참석, 모파스의 고민과 비전을 15분짜리 강연으로 풀어낸 김 CTO에게 자세한 얘기를 듣기 위해 서울 서초구 모파스 본사에서 다시 만났다.
- 블록체인 자체가 보안성이 높은 것 아닌가.“이론적으로는 그렇지만 블록체인 모델을 다시 들여다봤다. 대부분 블록체인의 보안성 이슈를 알고리즘적으로만 접근하더라. 그건 현실적이지 않다. 물리적 기반, 즉 하드웨어 환경도 중요한 요소다. 보안의 신뢰모델을 SW 관점으로만 풀어낼 필요가 없는 거다.”
- 어떤 점에서 하드웨어가 중요한지.
“인터넷을 예로 들어보자. 예전보다 속도가 빨라졌고 기능도 다양해졌다. 물론 SW적으로 발전했다. 하지만 광(光)네트워크나 저장장치 SSD(솔리드 스테이트 드라이브) 등의 영향도 크다. 프로그래밍언어 자바스크립트 역시 무겁고 느렸다. 그런데 네트워크 환경이 좋아지니 빨라졌다. 속도나 가용성 면에서 이런 하드웨어 요소의 중요성을 무시해선 안 된다는 얘기다.”- 물적 인프라와 현실의 환경도 감안하자는 거구나.
“비즈니스 모델은 결국 경험과 노하우, 배경지식, 시장 상황 등이 어우러져 나오는 것이다. 가장 밑단부터 실제 유저 인터페이스(UI)까지 고려해야 한다. 단순한 이론적 접근을 넘어 일상에서의 실사용도 염두에 두고 모파스 모델을 만들었다.”
- 모파스 플랫폼의 핵심은 뭔가.
“그간 보안프로그램 제품들은 완벽성을 표방하며 출시됐다. 거의 모든 랜섬웨어나 악성코드를 찾아냈다고 홍보했다. 막상 출시 후엔 어땠나. 뚫렸다. 변종에 대응을 못한 거지. 관점 자체를 바꿨다. 보안이 강화되려면 해커가 부담하는 비용이 올라가야 한다. 허들(장벽)을 높이는 방식이다.”
- 색다른 접근법이다.
“지금은 해커가 드는 비용이 없다. 이메일로 랜섬웨어를 살포하면 된다. 사실 해킹을 못하는 게 아니라 안 하는 거다. 보안은 어디서 뚫릴지 알기 어렵다. 따라서 취약점을 발견하면 알려주는 일종의 집단지성이 요구되는데, 그러려면 인센티브(유인)가 필요하다. 암호화폐가 한 방편이 될 수 있지 않을까.”
- 참여자가 많아질수록 보안성이 강화되는 방어보상 모델.
“해커와 방어자 간 비대칭 문제를 해결할 수 있는 모델이다. 단순한 보안시스템을 넘어 보안활동 참여에 대한 인센티브 제공으로 보안의 질적 수준을 높이는 생태계를 구축하려 한다.”
- 만약 보안 취약점을 알리지 않고 해킹해 얻는 보상이 더 크다면 어떡하나. 제공하는 인센티브가 충분한가의 문제가 남는데.
“버그바운티(보안 취약점 신고포상제) 같은 선례가 있으니까. 해킹해 취약점을 찾아내면 나름의 인센티브가 주어지니 신고하는 거지. 인센티브로 제공하는 암호화폐는 이같은 기대심리를 반영한 동기부여 수단이 된다. 희소가치와 결합해 잘 녹아들면 새로운 생태계가 만들어질 것이다. 상호보완적이고 자발적인 참여로 구조적 문제를 개선할 수 있는 모델이다.”
- 인센티브가 암호화폐여야 할 이유가 있나.
“버그바운티를 할 수 있는 회사는 대부분 대기업이다. 못하는 기업이 더 많다. 보안 예산을 편성하기도 어려운 기업, 관련 취약점을 파악한 개인, 이들의 교환수단이 필요하지 않겠나. 암호화폐가 그 대안이 될 수 있다고 본다.”
- 적절한 비용과 보상 구조를 통한 참여 유도 시스템으로 요약된다.
“그렇다. 각 보안 취약 사례가 플랫폼에 공유된다면 2~3차 피해를 예방할 수 있다. 이처럼 결국 보안은 사회현상 개선과 같이 간다. 마찬가지로 사회적 신뢰 수준이 올라가면 보안 수요가 낮아지는 측면도 있다. 보안은 기술적 문제면서 동시에 사회적 문제다.”
모파스는 이 보안플랫폼 모델을 ‘킬체인 에코시스템’(KCE)으로 명명했다. 화이트해커가 더 많은 보상을 받는 능동 방어체계를 표방한다. 아울러 일반 사용자의 보안활동 참여에 대한 인센티브도 준다. 백신 프로그램 사용자가 악성코드 정보를 수집하면 암호화폐를 지급하는 식. 이렇게 수집된 정보가 플랫폼의 보안성을 지속적으로 강화시킬 수 있다.
기술적으로는 KCE를 토대로 한 보안솔루션 ‘VPOS’를 블록체인에 탑재했다. 악성코드에 대한 선제방어 체계 및 보안성 코드화 목적의 서비스다. 또한 블록체인 합의 속도를 높이는 초위임지분증명(Hyper DPoS) 방식 알고리즘, 보안 수준을 한층 끌어올린 분산처리 방식 이중화 체인(Double Linked Blockchain)을 구현해 블록체인 자체 성능을 높였다.김 CTO는 “모파스는 보안 분야의 다양한 철학적 모델을 초기부터 고민하면서 기술적으로 블록체인과 결합해 구현하는 데 힘써왔다”면서 “특히 공공기관들이 왜(Why), 어떻게(How) 블록체인을 적용하는지에 초점을 맞춰 실증적인 민관협력을 진행하고 있다”고 덧붙였다.
김봉구 한경닷컴 기자 kbk9@hankyung.com
사진=최혁 한경닷컴 기자 chokob@hankyung.com