[공학저널 김하늬 기자] 코로나19로 인한 비대면 생활은 더욱 밀접하게 우리 생활에 정착되고 있다. 각종 비대면 기술들이 속속 등장하는 가운데 블록체인을 활용한 금융, 계약, 업무 등 각종 서비스가 활발해질 것으로 전망되고 있다.
블록체인의 탈중앙화된 구조는 중앙 서버 없이 블록체인 원장에 기록되는 정보들이 참여 노드들의 합의를 통해서만 추가될 수 있기 때문에 원장 기록에 대한 높은 신뢰성을 확보할 수 있다는 장점이 있다. 하지만 아직까지 블록체인에 존재하는 취약점으로 되돌리기 어려운 큰 경제적 피해를 유발할 수 있다는 점이 존재한다. 한 번 정보가 입력되면 수정이 어렵다는 점과 단순한 스마트컨트랙트 정수 오버플로우 취약점 하나에도 손실을 야기할 수 있어 블록체인 기술의 고도화가 필요한 상황이다.
한국과학기술원(KAIST) 공과대학 전산학부 차상길 교수(사진)는 그럼에도 블록체인과 보안은 떼려야 뗄 수 없는 관계라고 설명한다. 그는 “블록체인이라는 기술 자체가 암호학에서 비롯된 것에서부터 블록체인 기술은 보안 기술과 함께 발전해야 한다고 생각한다”며 “포스트 코로나 시대에는 블록체인의 보안이 더욱 중요한 문제로 떠오를 것이고, 이에 대비해 블록체인 기술의 취약점을 분석·보완해 기술을 고도화해야 한다”고 말했다.
INTERVIEW. 한국과학기술원(KAIST) 공과대학 전산학부 차상길 교수
블록체인 기반 스마트컨트랙트 관련 연구를 진행 중이라고
현재 스마트컨트랙트에서 발생 가능한 취약점을 자동으로 찾아내는 연구를 진행하고 있습니다. 특히 그중에서도 스마트컨트랙트를 동적으로 테스팅할 수 있는 기술에 관심이 있는데, 정적분석은 버그를 유발하는 입력값을 찾아내는 데에 한계점을 가지고 있지만, 동적분석은 버그나 취약점을 유발하는 입력값을 손쉽게 얻어낼 수 있다는 데에서 장점이 있습니다. 취약점을 유발하는 입력이 있으면, 디버깅이 쉬울 뿐 아니라 버그가 실질적으로 어떤 영향을 끼칠 수 있는지 쉽게 가늠할 수 있기 때문입니다.
연구를 통해 얻은 결론 또는 성과는 무엇인지
동적 분석을 위해서는 취약점의 발생 여부를 판가름할 수 있는 버그오라클(bug oracle)이 중요한데, 스마트컨트랙트에서 발생하는 버그는 사람들이 판별하기에도 애매한 경우가 많이 있습니다.
예를 들어 스마트컨트랙트의 취약점을 정리해놓은 SWC Registry라는 사이트에서는 timestamp와 blockstamp 값은 완벽히 동기화될 수 없으며, 완전히 신뢰할 수 없기 때문에 그것이 조건문에 사용되는 것을 취약한 코드로 간주합니다.
하지만 실제 스마트컨트랙트에서는 그것을 개발자가 의도한 것인지를 가늠하는 것은 매우 어려운 연구 문제입니다. 일반적인 소프트웨어에서는 프로그램이 크래쉬를 유발하면 비정상 행위라고 명확하게 알 수 있지만, 스마트컨트랙트에서는 정상과 비정상을 구분하는 것이 어렵기 때문입니다.
블록체인 보안 분야 기술과 연구 현황이 궁금하다
블록체인에서 취약점을 찾는 연구는 정적분석이 주를 이루고 있고, 동적분석은 비교적 단순한 형태의 퍼징(fuzzing) 기술이 사용되고 있습니다. 스마트컨트랙트에서 발생하는 취약점은 일반 소프트웨어에서의 취약점과는 달리 실행할 때마다 프로그램의 상태가 변화되는 경우가 많아 기존의 소프트웨어에서 사용되던 테스팅 방법론을 사용하는 데에 어려움이 있습니다. 저희는 그러한 어려움을 극복하기 위해 다양한 동적 실행 모니터링 기술을 개발 중에 있으며, 최신 동적 테스팅 기술과 접목해 테스팅의 효율을 높이는 데에 주력하고 있습니다.
블록체인 기술이 보안 분야에 미칠 영향은
보안이라는 학문 자체가 새로운 환경과 새로운 기술이 나타날 때마다 새롭게 적용되고 새롭게 연구돼야 하는 학문입니다. 따라서 블록체인 기술은 보안 분야에 있어 새로운 연구 과제와 연구 재료를 제공해줄 것으로 생각합니다.
블록체인 관련 연구를 진행하며 아쉬운 부분과 사회적·정책적으로 바라는 점이 있다면
아쉬운 점이라면 블록체인의 활용에만 너무 초점이 맞추어지다보니 블록체인을 검증하고 테스팅할 수 있는 근본적인 기술에 대해서는 관심이 미약한 것이 아닌가 생각합니다. 블록체인의 보안에 대해서도 더 많은 관심과 지원이 필요하다고 생각합니다.
향후 계획은
블록체인과 보안은 떼려야 뗄 수 없는 관계입니다. KAIST 사이버보안연구센터에서는 이에 발맞춰 작년부터 블록체인 보안팀을 신설하고 다양한 블록체인 보안 관련 연구를 진행, 선도하고 있습니다. KAIST 사이버보안연구센터와 고려대 블록체인연구소가 좋은 협력 관계를 유지하며 국내 블록체인의 기술을 선도해 나갔으면 좋겠습니다.
