ICT신기술

정보통신기술진흥센터 15

박준한 김유성* 공수재**

비즈니스온커뮤니케이션 차장

케이티 과장*

이랜드시스템즈 대리**

I. 서론

최근 암호화폐(Cryptocurrency)에 대한 사회적 관심이 폭발적으로 증대하며 각종 규제 안이

발표되고 있으나 암호화폐의 배경인 블록체인(Blockchain)은 향후 기존 비즈니스의 패러다임

변혁을 주도할 중요한 기술로 주목 받고 있다. 우리나라 역시 2017년 하반기부터 2018년 초

비트코인에 대한 규제 이슈로 뜨거웠다. 또한, 블록체인의 보안성, 확장성, 투명성을 기반으로

금융업, 제조업, 유통업에 적용하려는 움직임이 커지고 있다. 제품 및 서비스의 생산, 소비,

유통, 관리 등의 모든 측면에서 기존 산업의 모습을 변화시키고, 활용될 수 있는 분야도 제한

없이 사회 전 영역에 걸쳐 확대될 것으로 예상된다.

하지만 보안성이 높다고 알려진 블록체인도 해킹공격에 100% 안전하지 않다. 국내 최대

블록체인 구현측면 정보보안 동향 및 시사점

* 본 내용은 박준한 차장(☎ 02-559-0822, pakyhan@gmail.com)에게 문의하시기 바랍니다.

** 본 내용은 필자의 주관적인 의견이며 IITP의 공식적인 입장이 아님을 밝힙니다.

<자료> “자율에 맡긴 보안…‘해커들 채굴기’된 암호화폐거래소”, 세계일보, 2018. 6. 21.

[그림 1] 주요 가상화폐 거래소 해킹 일지

16 www.iitp.kr

주간기술동향 2018. 8. 8.

가상화폐(암호화폐) 거래소인 빗썸마저 기술적 측면의 키관리, 망분리, 외주업체 PC관리 등과

ISMS와 같은 정보보호관리체계 정비 등을 소홀히 함으로써 해킹에 뚫리면서 가상화폐 시장

전반에 불신감이 커지고 있다.

오픈소스인 블록체인 소프트웨어에 취약점이 발견되고 있고, 플랫폼은 디도스 공격에 무력

화될 수 있다. 특히, 블록체인은 사회 전반에 영향을 미칠 수 있는 핵심기술이지만 블록체인

기반 인프라를 대상으로 한 악의적인 목적을 가진 해커의 공격은 치명적인 피해를 발생시킬

수 있다. 본 고에서는 블록체인의 기존 보안 위협 및 대응방안과 특히 구현 측면의 대응방안에

대해 살펴보고자 한다.

II. 블록체인의 보안위협

1. 기존의 보안위협

분산 원장(Distributed Ledger)을 사용한다는 것은 네트워크의 모든 거래 참여자들이 서로

데이터를 공유한다는 것을 의미한다. 이러한 분산저장 기술은 잠재적으로 기밀성 측면에서

부정적인 영향을 미칠 수 있다.

[표 1] 블록체인과 관련한 기존 보안위협

가. 키 관리(Key management)

개인키는 사용자를 인증하는 직접적인 수단으로, 공격자가 개인키를 탈취하는 경우에는

개인키로 보호되는 자산을 손상시키게 된다. 탈취된 개인키는 암호화된 데이터에 대한 무단

구분 세부위협 상세설명

키 관리(Key management)

- 키 분실- 키 도난

- 공격자가 개인키를 탈취하는 경우에 암호화된 데이터의 무단 복호화

암호학(Cryptography)

- 제한된 난수 생성- 무차별 공격

- 의도적으로 제한된 범위의 난수 생성- 암호화 강도가 낮은 키에 의한 공격

프라이버시(Privacy)

- 허가받지 않은 접근- “잊혀질 권리”의 구현이 어려움- 데이터 삭제에 대한 보장 불가

코드 리뷰(Code Review)

- 버그/에러- 제로데이 어택

- 알려지지 않은 취약점 존재- 의도적인 악성코드 가능성 고려

<자료> Distributed Ledger Technology & Cybersecurity, enisa, 2016. 12, pp.14-15.

ICT신기술

정보통신기술진흥센터 17

복호화에 사용되지만 시스템에서 이를 탐지하기는 현실적으로 어렵다.

나. 암호학(Cryptography)

대부분의 블록체인 플랫폼들은 공개키/개인키 방식을 사용하여 구현되어 있다. 키를 생성

하는 과정에서 사용하는 소프트웨어의 일부에는 의도적으로 제한된 범위의 값을 생성하는

난수 생성기를 사용하는 것으로 밝혀졌다. 이러한 난수 생성기를 통해 생성된 키는 무차별

공격에 쉽게 무너지게 된다.

다. 프라이버시(Privacy)

블록체인과 같은 분산원장 기술에서는 정보를 삭제해야 하는 “잊혀질 권리”를 구현하기가

어렵다. 네트워크에 참여하는 다수가 원장의 데이터를 가지고 있으므로, 모든 데이터가 삭제

되었음을 보장할 수 없다. 데이터를 삭제하게 되면 해시 값이 변경되므로 블록체인 네트워크

에서는 삭제 연산을 수행할 수 없다. 하이퍼레저의 경우에는 다양한 사업용 개인정보보호 서

비스를 제공함으로써 이러한 문제를 해결하고 있다.

라. 코드 리뷰(Code Review)

많은 전문가들이 분산원장 구현 프로토콜 및 방법, 코드베이스를 검토했지만, 아직 알려지

지 않은 취약점이 존재할 가능성을 배제할 수 없다.

2. 블록체인 기술의 세부적인 위협

기존의 보안위협 외에도 블록체인은 추가적인 보안문제와 다양한 공격 패턴에 노출되어

있다.

<자료> How random is pseudo-random? Testing pseudo-random number generators and measuring randomness, Clement Pit–Claudel, 2012. 7. 23.

[그림 2] 의사 난수 생성기의 개념도

18 www.iitp.kr

주간기술동향 2018. 8. 8.

[표 2] 블록체인에 대한 세부 위협

가. 합의 하이재킹

다수의 합의를 통해 블록이 생성되는 분산원장에서는 네트워크에 참여하는 클라이언트의

상당 부분을 제어하면 공격자가 유효성 검사 프로세스를 조작할 수 있다. 이를 “51% 공격”이

라고 하며, 공격자는 네트워크 참여자 중에서 가장 빠른 속도로 블록을 생성하여 해당 체인을

유효한 것으로 간주하도록 만들 수 있다.

51% 공격의 범위는 공격자가 이미 거래가 완료된 자산을 재사용하는 것뿐만 아니라, 특정

거래를 거부하는 것도 가능하다

나. 사이드체인

사이드체인의 취약점은 체인 간에 자산과 메시지를 전송하는데 사용되는 게이트웨이에 있

다. 비트코인의 사이드체인의 경우 사용자는 비트코인 블록체인 주소에 비트코인을 동결

(Freeze)한 다음에 이 비트코인에 해당하는 대체물(Counterpart)을 만들어 교환하게 된다. 이렇

게 만들어진 대체물은 사이드체인 위에서 사용이 가능하며, 나중에 비트코인으로 교환이 가

능하다.

구분 세부위협 상세설명

합의 하이재킹- 51% 공격- 유효성 검사조작

- 거래 완료된 자산의 재사용- 특정 거래 거부 가능

사이드 체인 - G/W 취약점에 대한 공격- 자산의 동결 및 대체물을 통한 거래- 양방향 패깅 지점 공격

Private 블록체인의 악용 - 컨트롤 타워의 고의적 행위- public 블록체인에 비해 악의적인 행동을 하는 것이 용이

DDoS 공격- 스팸거래 생성- 네트워크 부하

- 거짓 거래의 유효성 검사로 처리시간이 늘어나고 이로 인한 부하가 발생

지갑 관리- 키 도용- 취약한 권한관리

- 액세스 권한 상실 시, 거래 승인과 자산의 이동이 불가능함

스마트 계약관리- 코드 결함- 거래 오류

- 스마트 계약이 복잡할수록 소프트웨어 오류의 발생 가능성 높음

거버넌스 통제- 정책의 미구현- 검증 수단 부족

- 거버넌스 정책이 구현체에 얼마나 정확하게 적용되었는지 불분명

부정거래 및 자금세탁- 자금 세탁- 거래 추적

- 불법활동 대응도구 부족- 사전 차단이 불가능

<자료> Distributed Ledger Technology & Cybersecurity, enisa, 2016. 12, pp.15-20.

ICT신기술

정보통신기술진흥센터 19

다. Private 블록체인의 악용

Public 블록체인에서는 51% 이상의 노드를 점유해야 하는 것에 비해 private 블록체인에서

는 컨트롤 타워의 영향력을 통해 악의적인 행위가 가능하다. 이를 방지하기 위해서는 컨트롤

타워에서 발행한 주요 프로토콜 업데이트가 효력을 발생하기 전에 일정기간의 유예기간을

적용함으로써 대응이 가능하다.

<자료> David Cao 외 5인, OneLedger Public Blockchain White Paper, OneLedger, 2017.

[그림 3] Sidechain의 합의 및 동작구성

<자료> Blockchain for the Enterprise, Karthik Ramamoorthy, linkedin, 2017. 4. 14.

[그림 4] private 블록체인 구조

20 www.iitp.kr

주간기술동향 2018. 8. 8.

라. DDoS 공격

분산 원장의 특성에서 나오는 DDoS 공격은 여전히 강력한 위협이다. 예를 들어, 유효하지

않은 대량의 스팸거래를 네트워크에 생성하는 방식으로 공격을 수행하면, 각 노드는 거짓

거래의 유효성을 검사하기 때문에 처리시간이 늘어나고 이로 인한 부하가 발생하게 된다. 또

한, 블록체인의 분산 아키텍처의 특성으로 인해 이러한 악성 프로그램들을 전부 방어한다는

것은 어려울 것이다.

마. 지갑 관리

Wallet 소프트웨어는 권한이 부여되지 않은 상태에서 키가 액세스되는 것을 방어해야 한다.

지갑에 대한 액세스 권한을 상실하면, 금융기관이 거래를 승인하거나 자산을 이동하는 것이

불가능해질 수 있다. 공격자가 키를 도용한다고 해도, 시스템에서 이를 추적하는 것이 힘들며

키가 손상되었다는 것을 인지하는 데까지 상당한 시간이 소요된다.

바. 스마트 계약 관리

스마트 계약은 분산원장에서 실행되는 소프트웨어이기 때문에 코드와 관련된 결함이 발생

하기 쉬우며, 다른 소프트웨어와 마찬가지로 스마트 계약이 복잡할수록 소프트웨어 오류가

발생하기 쉽다. 실제로, 2016년 6월 이더리움 네트워크에서 운영되는 DAO에 대한 공격이 발생

하여 360만 이더(ETH)를 탈취당하는 사건이 발생했다.

사. 거버넌스 통제

금융기관이 거래에 참여했다는 것은 분산원장에서 표시가 가능하지만, 금융기관은 요청과

거래에 대한 직원의 서명이 필요하다. 문제는 거버넌스 구조가 분산원장에 얼마나 정확하게

구현될 수 있는 가이다.

아. 부정거래 및 자금세탁

다른 주요 문제는, 불법활동에 대처할 수 있는 도구가 부족하다는 것이다. 자금 세탁에 사용

된 주소의 소유주를 식별하는 것은 가능하지만, 사전에 이러한 거래를 차단하는 것은 불가능

하다. 이에 대한 대응으로 EU 집행위원회는 이미 게이트웨이 역할을 하는 모든 기관에 AML

(Anti-Money Laundering) 준수를 부과하는 공개키 인프라의 연구를 시작했다. 위의 보안위협

중에서 구현 시에 고려해야할 대응방안에 대해 알아보고자 한다.

ICT신기술

정보통신기술진흥센터 21

III. 구현 측면에서의 블록체인의 대응방안

1. 개인키 보안을 위한 구현 측면의 대응방안

블록체인 네트워크를 구현하기 위해서는 PKI(Public Key Infrastructure) 구조를 이용한 개인

키와 공개키를 생성함으로써 사용자에게 인증키를 부여한다. 개인키는 식별을 위한 필수 키로

보안위협이 가장 많이 발생하는 지점이다. 블록체인 네트워크가 발전한 이래 피해가 크게 발

생한 부분 역시 개인키에 대한 유출이므로 구현 시 주의가 필요하다. 본 고에서는 보안 기술을

이용하여 디지털 키에 대한 안전한 보호 및 무결성 보장에 대한 방법을 제시하고자 한다.

가. 하드웨어 장치를 이용한 대응방법

(1) HSM

보안 토큰(Hardware Security Module: HSM)은 암호 프로세서를 하드웨어 내부에 탑재하여

개인키나 전사서명 등 기밀성을 요하는 정보를 생성 관리하도록 구현한 하드웨어 장치이다.

암/복호화에 필요한 키와 알고리즘을 저장하고 모든 연산은 HSM 내부에서만 수행하여 연산

과정의 보안성을 극대화하였다. PKCS #11, RSA, ECC, DES, AES 등 다양한 알고리즘으로 사용

이 가능하다. 블록체인 네트워크에서 개인키를 생성한 후 해당 개인키를 HSM에 저장하여 본

인이 관리함으로써 개인키에 대한 유출을 방지할 수 있다.

(2) TPM

TCG(Trusted Computing Group)에서 키, 패스워드 등의 비밀정보를 안전하게 저장하기 위해

구현한 하드웨어 보안 디바이스이다. TPM(Trusted Platform Module)은 개인키나 비밀키 등과

같은 키 저장과 관리 부분에 중점을 둔 장치로서, 인증서나 키 등을 안전하게 저장, 보관,

활용할 수 있도록 설계되어 있다. 부팅 시 불법적인 변경 확인, 무결성 인증 등을 수행하여

개인키에 대한 안전한 보관이 가능하다. 개인 키를 유출하지 않고 암/복호화 서명 검증 기능을

수행할 수 있고 비밀정보에 대한 봉인이 가능하도록 구성되어 있다. 주요 알고리즘으로는 비

대칭암호(RSA), 키 생성, 해시(SHA 알고리즘), AES-256, ECC-384 등을 사용할 수 있다.

나. SW기술을 이용한 대응방법

(1) 멀티인증

HSM, TPM과 같은 보안장비는 추가 디바이스를 사용하기 때문에 보안성은 향상되나 비용

22 www.iitp.kr

주간기술동향 2018. 8. 8.

[표 3] 멀티인증 사례

이 상승하고, 벤더 종속성이 발생할 여지가 있다. 이에 따라 개인키와 별도의 보안기술을 동시

에 활용하는 방법에 대한 고려가 필요하다.

(2) 다중서명(multi-signature)

기존 비트코인 시스템은 하나의 주소에 하나의 개인키가 연결된 단일 서명 거래 방식을

사용하여 개인키에 대한 해킹이 SPOF(Single Point of Failure)로 인지되었다. 다중 서명을 사용

하는 경우에는 n개의 개인키 중에서 m개의 서명이 있어야 인증이 가능하므로 네트워크 사용

자를 보호하는 방법으로 다양하게 활용이 가능하다.

2. 가용성을 위한 구현 측면의 대응방안

블록체인 네트워크에서 합의 알고리즘은 거래에 대한 무결성을 검증하고 해당 네트워크의

속도를 결정하는 아주 중요한 부분이다. 비트코인의 경우 기술적으로 51%의 합의를 조작할

방식 설명 특징

개인키+OTP OTP 카드 발급 또는 기존 OTP 카드 등록OTP 인증과 관련한 추가 설계 및 비용 증가

개인키+생체인증 지문, 홍채, 서명 등의 인증 방식생체정보 보관 방식과 미지원 단말 처리방안

개인키+SMS(알림 톡 등)SMS, MMS 등의 문자 메시지 추가 인증 방식

개인정보보호 및 연계 서비스 처리

<자료> 비즈니스온커뮤니케이션 자체 작성

<자료> 어준선, 블록체인(blockchain)을 이용한 멀티 시그니처(multi-signature) 전자지갑 기술 및 금융 보안, 코인플러그, 2016.

[그림 5] 2-of-3 Offline cold wallet architecture

ICT신기술

정보통신기술진흥센터 23

수만 있다면 해당 네트워크를 지배할 수 있다. 이에 따라 블록체인 구현 시 합의 메커니즘에

대한 부분을 고려하여야 한다.

가. 참여자 검증을 통한 거래 검증 및 합의 보안

네트워크에 참여하는 노드에 대해 멀티인증 또는 기기 정보를 등록(MAC, IP Address 등)하

여 노드를 인증 및 식별한 후 로그 기록을 통해 책임추적성을 제공함으로써 합의 가로채기에

대한 방어가 가능하다. RBAC(Role Based Access-Control)와 같은 접근통제를 활용하여 역할을

할당하고 권한을 제어한다면 DDoS, 권한 오남용에 대한 대응이 가능할 것이다.

나. 거래 수수료를 활용한 가용성 보존

특정 블록체인 네트워크에서는 DDoS 등과 같이 네트워크의 가용성을 무력화시키는 공격에

대응하여 프로그램 코드를 실행 시 실행 코드 볼륨에 비례하여 제한을 두고 있다. 해커가

무한대의 거래를 실행할 수 있는 특정 자산이 존재하지 않는다면 특정 네트워크에서 합의

검증 및 가용성 공격에 대해 방어가 가능하다. 실례로 이더리움에서는 코드 실행 시 GAS를

소비하도록 설계하여 해커의 무한정 코드 실행을 방지함으로써 DDoS 공격을 방어할 수 있는

수단으로 사용하고 있다.

3. 개인정보 보호를 위한 구현 측면의 대응방안

블록체인은 투명성에 기반하고 있는 분산원장의 개념이다. 이런 투명성으로 인해 블록체인

은 개인정보보호 측면에서 문제가 제기되고 있으며, 특정 분야의 산업에서는 개인정보보호

법, 전자금융거래법 등과 충돌하는 부분이 존재한다. 이에 따라 다양한 산업에서 블록체인을

구현하기 위해 개인정보보호에 대한 고민이 필요하다.

가. 일부 중앙화를 통한 개인정보보호의 구현

현재의 기술 개념으로는 퍼블릭 네트워크를 통해서는 개인정보보호가 어렵다. 프라이빗

채널에서는 참여하는 구성원들에 대해 접근 통제 방안을 마련하고 이해관계가 있는 노드만

합의하는 방식으로 채널을 구성함으로써 개인정보보호의 문제를 해결하고자 한다(예; 코다,

패브릭). 특히, 패브릭의 경우 COP라 불리는 권한 모듈을 통해 노드 별로 검증, 생성, 내용검사

등의 권한을 부여한다. 이 때 개인정보보호에 반하는 정보들에 대해서는 별도의 방안 수립이

필요하다.

24 www.iitp.kr

주간기술동향 2018. 8. 8.

나. 거래 암호화와 거래 정보 삭제를 통한 개인정보보호의 구현

개인을 식별할 수 있는 개인정보의 보관의 경우 암호화를 적용하여 구현해야 한다. 이 때

AES 256 이상의 알고리즘을 사용하고 개인정보를 암호화하고 접근 통제를 활용하여 인가 받

은 사용자만 개인정보에 접근이 가능하도록 구현할 필요가 있고, 비밀키에 대한 보관 및 접근

에 대해서도 분산저장 또는 다중 인증 등을 통해서 복호화가 가능하도록 설계가 필요하다.

다른 방법은 거래정보와 개인정보를 분리한 별도의 채널을 구성하여 거래의 유효성은 유지하

면서 개인정보를 삭제함으로써 개인정보보호를 구현할 수 있다.

다. 관리적 보안 정책을 활용한 개인정보보호의 구현

블록체인 네트워크 운용주체는 거래정보, 특히 개인정보가 포함된 거래에 대해서는 보관기

간에 대해 관리적 정책을 마련하고 기간 소멸 시에는 무결성을 확인할 수 있는 정보를 제외하

고는 개인정보 유출 위험이 있는 정보에 대해서는 삭제를 함으로써 개인정보보호의 구현이

가능하다. 세부적인 수집, 동의, 삭제 등에 대해서는 산업 분야별로 법제화 및 논의가 더 필요

할 것이다.

4. 상호운용성을 고려한 구현 측면의 대응방안

블록체인 기술은 확장성 문제를 수반할 수밖에 없다. 비트코인은 10분의 블록 생성 주기를

가지고 있고, 이더리움은 1초에 15건의 거래로 제한되어 있다. 확장성과 다른 체인과의 상호

운용성을 위해서 Pegged 사이드체인 기술 적용과 표준화 연구에 노력을 기울여야 한다.

가. Pegged 사이드체인 기술

사이드체인 기술은 메인 체인에서 사이드 체인으로 이전하는 경우 메인 체인의 자산을 특

정 계좌로 이체하여 동결하고 이에 해당하는 대체 토큰을 사이드체인에서 발급하는 방식이다.

메인 체인에서 SPV(Simplified Payment Verification) 증명을 이용하고 사이드체인에서 SPV 소유

권 증명을 통해서 잠금 해제를 할 수 있다. 이와 같은 방식으로 예를 들어, 비트코인 지갑에

저장을 하면서 동시에 이더리움으로 구매가 가능하도록 구현할 수 있다. 물론 구현 시에는

double240 지출 방지, sidechain 매개 보안 변수, 인센티브의 구성 등 고려해야 할 부분이 많지

만 병렬컴퓨팅과 같이 성능에 대한 향상을 추구하며 상호 호환이 가능한 새로운 상호운용성

을 확보할 수 있다.

ICT신기술

정보통신기술진흥센터 25

나. 표준화

국제전기통신연합(International Telecommunication Union: ITU)은 유엔 산하의 국제기구로 글

로벌 전기통신 네트워크와 서비스를 다루고 있다. 현재 SG17은 정보보호에 대한 국제표준을

개발하는 연구반이고 우리나라 염흥열 교수가 의장을 맡아 표준화를 주도하고 있다. SG17에

서는 2017년 분산원장 기술에 대한 연구과제를 추가하여 표준화에 노력하고 있다. SG17에서

표준화하는 항목은 아래와 같다.

[표 4] ITU-T SG17 Q14 신규 표준화 항목

<자료> Adam Back 외 8인, Enabling Blockchain Innovations with Pegged Sidechains, 2014.

[그림 6] 2-way peg protocol의 예

약어 제목 약어 제목

X.stadlt DLT 보안 아키텍처 X.sct-dlt DLT 보안 능력 및 위협

X.strdltDLT 기반의 전자지불 서비스에 대한 보안 위협 및 요구사항

X.dltsecDLT 데이터를 이용한 ID 관리에서의 개인정보보호 및 보안 고려사항

X.sadlt DLT 보안 검증X. stov

DLT를 이용한 온라인 투표의 보안 위협X.ss-dlt DLT 기반 보안 서비스

<자료> 오경희, 블록체인 국제 표준화 현황, 한국정보보호학회지 제27권 제5호, 2017. 10.

26 www.iitp.kr

주간기술동향 2018. 8. 8.

IV. 결론

본 고에서는 블록체인의 위협과 대응방안을 도출하고 구현측면의 대응방안을 모색하였다.

블록체인의 특징을 악용한 강력한 보안위협이 등장하면서 더욱 광범위한 피해 사례가 발생할

가능성이 높아졌다. 새로운 보안위협으로부터 블록체인 보호하기 위해서 정부, 민간 모두 대

응방안의 적용을 점검하고, 위협을 예방하기 위한 준비가 필요하다.

가. 보안 산업표준과 인증제도 수립

블록체인 기술의 건전성이나 기술성을 가늠할 수 있는 기준을 제공하는 블록체인 분석,

평가에 대한 가이드라인이 발표되었다(한국블록체인학회 학술대회, 2018. 6. 7.). 동 가이드라

인에서는 ① 시장성과 경쟁우위를 중심으로 한 비즈니스 모델 평가, ② 수행조직의 역량, 준비

상태, 사업적 도덕성을 중심으로 한 조직평가, ③ 보안성, 확장성, 안정성을 중심으로 한 기술

평가 등을 구성요소로 하여 9개 영역 총 32개의 항목에 대해 기준을 제시하고 있다. 이와

같은 가이드라인 기반의 블록체인의 특수성을 고려한 보안인증제도를 수립하고 이에 대한

인증 절차의 의무화에 대한 방안 마련이 필요하다.

나. 서비스 제공자의 인식 전환

끊임없는 해킹 위협으로 거래규모가 급격히 늘어난 가상화폐거래소에서의 피해 사례가 지

속적으로 발생하고 있다. 현재 대부분의 거래소는 최소한의 안전장치인 ISMS(Information

Security Management System) 인증조차 완료를 못한 상태이다. 2017년 과학기술정보통신부와

한국인터넷진흥원은 국내 주요 가상화폐거래소 10개사를 대상으로 보안 취약점 점검을 하였

으며, 그 결과 보안 점검 기준을 만족한 거래소는 단 한곳도 없었다. 이에 한국블록체인협회도

자율규제안을 제시하고 자율규제심사 등을 통해 보안 강화를 위한 노력을 기울이고 있다. 하

지만 협회와 대형 거래소 중심으로 보안을 강화하는 것만으로는 한계가 있다. 나머지 중소형

거래소와 같은 서비스 제공자들은 여전히 보안 사각지대에 놓여 있기 때문이다. 따라서 서비

스 제공자는 서비스 구현뿐만 아니라 보안성을 확보하기 위한 노력을 선제적으로 수행함으로

써 건전성을 관리하고 도덕적 해이를 방지할 필요가 있다.

다. 법 제정 이슈의 지속적인 논의

법무부는 암호화폐 거래소를 통한 암호화폐 거래금지에 대한 특별법을 제정하겠다고 밝혔

다(2018. 1.). 청와대 국민 청원에는 규제 반대에 관한 청원이 올라와 30만 명의 국민들이 참여

ICT신기술

정보통신기술진흥센터 27

했다. 결국 정부는 거래 과정의 불법행위는 막고 블록체인의 기술은 적극 육성할 계획이라는

입장을 내놨다. 이후로도 가상화폐의 안전한 취급을 위한 특별 법안들이 발의되고 있다. 블록

체인 각각의 활용성과 생태계에 대한 진단을 바탕으로 블록체인의 비즈니스 적용 과정에서

충돌이 발생하는 법/제도에 대한 연구 및 개선이 추진되어야 한다. 여러 신기술과 마찬가지로

금융뿐만 아니라 개인 정보, 상법 등 다양한 분야에서 기존 법률과의 충돌이 예상되므로, 블록

체인의 경제/사회적 파급효과와 제도 개선에 대한 연구와 논의를 지속적으로 추진할 필요가

있다.

여전히 부족한 부분이 많지만 우리나라가 블록체인을 이끌어 갈 주역이 되기 위해서는 보

다 구체적인 보안 대응방안의 적용에 대한 표준화와 국가 차원의 블록체인 보안인증제도의

수립이 필요하고, 블록체인 서비스 제공자는 설계 단계부터 보안의 내재화를 비롯한 보안의

필요성에 대한 인식의 강화가 필요하다. 이를 통해 블록체인의 보안상 역기능을 최소화하고

블록체인 활성화를 위해 공공과 민간이 함께 혁신 생태계를 만들어 나가는 것이 중요하다.

[ 참고문헌 ]

[1] “자율에 맡긴 보안…‘해커들 채굴기’된 암호화폐거래소”, 세계일보, 2018. 6. 21.

[2] 유순덕, 김기흥, “블록체인 기반 서비스 확산을 위한 개선 방안 연구”, The Journal of The Institute of Internet, Broadcasting and Communication, Vol.18, No.1, 2018. 1. 28.

[3] 유거송, 김경훈, “KISTEP 기술동향브리프 2018-01호 블록체인”, 한국과학기술기획평가원, 2018.

1, pp.31-33.

[4] 오경희, “블록체인 국제 표준화 현황", 한국정보보호학회 제27권 제5호, 2017. 10, pp.5-7.

[5] 어준선, “블록체인(blockchain)을 이용한 멀티시그니처(multi-signature) 전자지갑 기술 및 금융

보안 다중인증 기술 개발”, 코인플러그, 2016. 7, pp.16-17.

[6] “블록체인 기술과 보안 고려사항”, 금융보안원 보안기술연구팀, 2017. 8. 17.

[7] 박정숙, 조태남, 한진희, 전성익, “Trusted Computing 기술 및 TCG 표준화 동향”, 전자통신동향

분석 제 23권 제4호, 2008. 8, pp.2-4.

[8] 민경식, “융합연구리뷰 Part.1 블록체인 기술의 이해와 국내외 활용 현황”, 융합연구정책센터,

2018. 6, pp.1-36.

[9] 강진규, “블록체인법 제정 추진 암호화폐를 어찌하오리까?”, TECH M, 2018. 4. 12.[10] “OneLedger Public Blockchain,” White Paper, 2017, p.15.

[11] “Distributed Ledger Technology & Cybersecurity,” enisa, 2016. 12, pp,14-20.[12] Adam Back, Matt Corallo, Luke Dashjr, Mark Friedenbach, Gregory Maxwell, Andrew Miller,

Andrew Poelstra, Jorge Tim?n, Pieter Wuille, “Enabling Blockchain Innovations with Pegged

Sidechains,” Blacksteam, 2014. 10, pp.8-11.