스마트컨트랙트 취약점, 블록체인 검증기술으로 신뢰성문제 극복한다
스마트컨트랙트 취약점, 블록체인 검증기술으로 신뢰성문제 극복한다
  • 김하늬 기자
  • 승인 2021.06.16 11:50
  • 댓글 0
이 기사를 공유합니다

[공학저널 김하늬 기자] 스마트컨트랙트는 기존의 전통적 계약에 비해 많은 이점이 있지만, 취약점 문제로 인한 피해 와 위험성에 대한 대비가 필요하다. 이에 최근 이를 해결하기 위해 블록체인을 기반해 스마트컨트랙트의 신뢰성을 강화하는 기술 개발이 본격 착수됐다.

최근 이더리움 네트워크에서만 3만 4천개 이상의 취약한 스마트컨트랙트가 발견됐다. 약 95%에 달하는 스마트컨트랙트에서 하나 이상의 취약점이 발견된 것이다.

스마트컨트랙트는 일반적으로 패치가 불가능 하고, 모두 같은 실행 환경을 가지고 있다. 패치가 불가능하기 때문에 취약점이 남아있다면 계속해서 해킹할 수 있는 단서를 제공한다는 문제점이 발생한다. 또한 모두가 같은 실행 환경을 갖고 있기 때문에 해커의 접근성이 높아질 수밖에 없다.

이에 따라 SW 취약점 검증체계 기반 스마트컨트랙트의 특성이 추가된 요소기술 개발의 필요성이 제기됐다.

이와 관련 최근 과학기술정보통신부가 국내 블록체인 기술역량을 강화하기 위한 ‘데이터 경제를 위한 블록체인 기술개발사업’의 수행기관 선정을 완료해 기술개발에 착수했다.

원천기술 확보(2021~2022년) → 응용연구 및 실증(2023~2025년) 2단계로 구분해 추진함에 따라 개발된 기술들이 국내 산업계에서 사용돼 기술경쟁력을 향상시킬 수 있을 것으로 기대를 모으고 있다.

이 사업에서는 블록체인 합의기술과 스마트컨트랙트 보안, 신원관리, 데이터 관리 등 4개 분야 관련 기술을 개발한다.

여기서 고려대학교 컨소시엄이 ‘스마트 컨트랙트의 개발-배포-실행의 전주기적 취약점 및 신뢰성 오류 개선 기술개발’ 과제를 수행함에 따라 전주기에 걸쳐 신뢰성이 강화된 지능형 스마트컨트랙트 제작을 위한 자동화된 취약점 탐지, 시큐어 코딩 기술을 개발할 계획이다.

스마트컨트랙트는 미리 작성된 내용에 따라 계약이 실행되므로 사전에 취약점을 발견하지 못하면 이용자들에게 큰 피해로 이어질 수 있다. 이러한 보안 취약점을 개선하기 위해 고려대 컨소시움은 사전에 자동으로 보안 취약점을 탐지·방어하고 가상 환경에서 모의실험(시뮬레이션)이 가능한 기술 개발에 한창이다.

특히 지능형 스마트컨트랙트 제작을 위한 자동화된 취약점 탐지‧시큐어 코딩 기술이 중점적으로 개발되고 있다. 시큐어 코딩은 소프트웨어를 개발함에 있어 개발자의 실수, 논리적 오류 등으로 인해 소프트웨어에 내포될 수 있는 취약점을 배제하기 위한 코딩 기법이다.

이러한 시큐어 코딩을 통해 스마트컨트랙트의 오류와 취약점을 사전에 예방해 복잡하고 고차원적인 스마트컨트랙트를 일반인도 안전하고 쉽게 이용 가능할 수 있도록 할 방침이다.

이를 위해 SW 주기 보안, Secure SDLC(Secure Software Develope LifeCycle) 전체 영역을 보장 하기 위한 요구분석 설계 단계와 운영단계를 추가로 포함해 연구과제의 범위를 설정했다. 개발 전주기를 커버하는 S-SDLC 통합 관리 시스템 구축과 실증이 필요한 것이다.

시큐어 코딩 기반 스마트컨트랙트 코드 자동생성 기술 개발을 수행 중인 고려대학교 인호 교수(고려대 블록체인연구소장‧사진)는 보유기술 확장을 통한 스마트컨트랙트 Secure SDLC 응용기술 개발을 지원하고 있다.

정형명세를 활용한 스마트컨트랙트 신뢰성 보장 기술 개발을 통해 정적 취약점 분석과 동적 취약점 분석이 동시에 이뤄질 수 있도록 할 예정이다.

정적 취약점 분석 기술의 확장을 통한 다양한 스마트컨트랙트 언어 및 취약점을 지원하고, 취약점 탐지뿐만 아니라 취약점 자동 수정까지 가능하도록 확장할 계획이다.

또한 KAIST의 차상길 교수팀과 함께 바이너리 퍼징 기술을 기반으로 스마트컨트랙트 동적 취약점 분석과 실행결과 검증 기술을 개발에도 힘쓰고 있다. 동적 분석을 위한 세계 최초 스마트컨트랙트 테스트 케이스 생성 기술과 퍼징 피드백 메커니즘 기술도 눈여겨볼만하다.

이를 바탕으로 서울시와 부산시 등 지자체 실증사업 뿐 아니라 CasperLab 해외 블록체인 메인넷 스마트컨트랙트 취약점 분석의 실증에도 참여할 예정이다.

한편, 이와 별도로 한국연구재단 지원 사업에서 인호 교수는 데이터 주권 보장을 위한 데이터 관리 블록체인 기술 개발에 주목하고 있다.

인 교수는 “투명한 데이터 관리로 신뢰성 있는 데이터를 확보하는 것은 매우 중요하다. AI 학습 등 4차 산업혁명을 리드하기 위해서는 데이터 주체가 안심하고 데이터를 제공할 수 있는 데이터 주권이 보장돼야 한다”며 “데이터를 효율적으로 관리할 수 있는 블록체인 기술이 개발되면 블록체인 핵심 연구는 물론 다양한 실용적 도구 개발이 가능해진다”고 설명했다.

그는 이어 “기술적 측면에서는 데이터 거래에 필요한 블록체인 핵심기술 확보와 GDPR Compliance를 블록체인으로 검증할 수 있는 기반 기술 확보가 가능하며, 사회적 측면에서는 데이터 주권 보장의 신뢰성과 데이터 가치에 대한 인식제고가 이뤄질 수 있다는 점에서 의미를 갖는다”며 “블록체인 기반의 데이터 거래시장 창출은 경제적 측면에 기여한다. 안전한 데이터 거래 생태계 확보를 통해 새로운 비즈니스 창출 또한 가능하다는 점에서 이번 연구는 원천 기술 확보뿐 아니라 실생활에 활용이 가능해 누구나 사용할 수 있는 스마트컨트랙트 기술 개발이 목표”라고 덧붙였다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.