전체메뉴

[애플경제 이보영 기자] 미 국방부(펜타곤)가 “블록체인이 분산되지 않고 공격에 취약하며 구식 소프트웨어를 실행하고 있다”고 결론지은 보고서를 공개해 비상한 관심을 끌고 있다. ‘블록체인이 분산된, 의도하지 않은 중앙집중성이 분산된 것인가’라는 제목이 이 보고서는 참여자(노드)의 하위 집합이 “블록체인 시스템 전체에 대해 과도하고 중앙집중화된 통제력을 발휘할 수 있다”고 밝혔다. 디파이(분산)를 전제로 한 신뢰와 투명성이 최고의 무기인 블록체인에 대한 근본적인 의문을 표시했다는 점에서 미 국방부의 이번 보고서는 상당한 파장을 불러일으킬 것이란 전망이다.

사이버 보안 전문 매체인 ‘사이버 시큐리티’는 “이번 보고서의 조사 결과는 광범위한 산업 분야에 충격을 주고 있는 가운데, 특히 (블록체인에 기반한) 성장을 지속하고 있는 사이버 보안 분야나, 핀테크, 빅테크, 암호화폐 산업에선 이를 매우 심각하게 받아들이고 있다”면서 이같이 전했다.

이에 따르면 펜타곤의 연구기관인 국방고등연구프로젝트청(DARPA)은 앞서 블록체인을 조사하기 위해 보안연구기관인 ‘비트트레일(Trail of Bits)’에 조사․연구를 의뢰했다. 비트트레일은 블록체인의 메카니즘을 조사하기 위해 글로벌 가산 시장에서 대표적인 암호화폐인 비트코인과 이더리움에 초점을 맞췄다.

비트트레일에 의하면 비트코인을 교란하는 데는 시스템 내에서 4개의 엔티티, 이더리움을 교란하는 데는 2개의 엔티티만 있으면 충분하다는 결과가 나왔다. 또한, 전체 비트코인 트래픽의 60%가 단지 3개의 ISP를 통해 이동한다. 오래되고 암호화되지 않은 소프트웨어 및 블록체인 프로토콜도 식별되었다.

펜타곤의 이번 보고서는 루나․테라 사태가 일어난 지 몇 주 후에 공개되었다. 앞서 지난 5월 미국 달러에 1:1로 고정돼 있던 탈중앙화 스테이블코인 테라USD는 블록체인에서 실행하던 알고리즘이 무너지면서 30센트까지 떨어졌다. 금융 전문가들은 테라․루나 폭락이 블록체인의 위험성에 대한 중요한 교훈이 될 것이라고 경고하고 있다.

루나 폭락 이후 암호화폐는 수십억 달러가 유실되고, 투자자들이 암호화폐 자산을 앞다퉈 현금화하는 바람에 거의 붕괴상태로 가고 있다. 암호화폐는 또한 세계 경제와 공급망 문제, 연방 금리 인상, 인플레이션, 다가오는 불황의 영향도 계속 받고 있다. 더욱이 펜타곤이 이번과 같은 보고서를 내놓으면서 블록체인에 대한 우려는 더욱 커지고, 투자자들의 인식과 신뢰도는 바닥까지 추락할 수도 있다는 전망이다.

암호화폐나 가상자산 세계와 블록체인은 이제 전 세계 금융 서비스에 더 쉽게 접근하는 유용한 수단으로 널리 확산되고 있다. 블록체인 특유의 민첩성을 바탕으로 리스크와 고수익률을 동시에 갖춘 암호 화폐가 급속히 보급되고, 이를 사용하는 많은 산업들이 번창하고 있다. 그런 가운데 특히 사이버 보안은 새로운 디지털 금융 시대의 최우선 과제로 대두되고 있다.

그런 가운데 나온 펜터곤의 이번 보고서는 가상기술과 암호화폐, 가상자산의 기반이 되는 블록체인의 근본에 대한 회의적 시각을 공식화한 것이어서 엄청난 충격으로 다가오고 있다. 일단 조사를 맡은 비트트레일은 “블록체인의 안전성은 오프체인 거버넌스나 합의 메커니즘의 소프트웨어, 프로토콜의 보안에 달려 있다”고 자신들의 별도 보고서 ‘트레일 오브 비트(Trail of Bits)’를 통해 밝혔다. 그러나 이 회사의 조사에 참여한 연구원들이 블록체인 채굴을 위한 풀 사이트에 여러 계정을 등록하여 코드를 연구한 결과는 충격적이었다.

이에 따르면, 대표적인 글로벌 마이닝 풀인 ‘ViaBTC’는 계정에 너무나 뻔하고 유치한 암호 ‘123’을 할당하고 있다. 또 다른 채굴 기관인 ‘풀링’은 자격 증명 검증조차 전혀 하지 않고 있다. 2010년 이후 120만 개 이상의 비트코인을 채굴한 ‘슬러시풀’은 사용자에게 암호 필드를 아예 무시하도록 하고 있다. 이 세 개의 마이닝 풀을 합치면 비트코인 해시(채굴) 비율은 총 컴퓨터 전력의 약 25%를 차지할 정도로 압도적이다.

보고서 ‘Trail of Bits’는 또 “암호화폐 채굴자가 사용하는 노드가 저렴한 클라우드 서버를 사용하여 쉽게 배치될 수 있다”고 경고했다. 이들은 이른바 Sybil 공격에서 네트워크를 장악하기 위한 ‘플러딩’에 악용될 수 있다. 전문가들은 “Sybil 공격은 한 개인이 여러 개의 계정(블록체인에선 ‘노드’)를 만들어 네트워크를 장악하려는 시도”라며 이를 극도로 경계하고 있다.

시빌공격은 이론적으론 최대 네트워크의 51%까지 장악할 수 있다. 그럴 경우 다른 신뢰할 수 있는 노드의 블록 생성이나 네트워크 액세스를 거부하여 사용자들을 차단시킬 수 있다. 블록의 수신이나 전송을 거부하고, 트랜잭션을 일시 정지시키거나, 거래나 지불을 이중으로 할 수 있게 하는 등 악의적인 행위를 할 수도 있다. 이를 막기위해 블록체인은 작업증명이나 지분증명, 혹은 위임지분증명과 같은 컨센서스(동의) 알고리즘을 구사한다. 또는 작업증명 방식 메커니즘의 프로세스 파워와 비례할 만큼의 블록 생성 능력을 갖추도록 규칙을 정하고 있다. 즉, 그 만큼의 컴퓨터 파워를 요구함으로써 시빌공격을 할 수 없도록 하는 것이다.

그러나 이번 펜타곤이 의뢰한 ‘Trail of Bits’ 그런 블록체인의 신원 증명 등의 기능이 무척 허술함을 보여주었다. 보고서는 또 “퍼블릭 노드의 조밀한 하위 네트워크가 합의에 도달하고 광부(채굴자)와 통신하는 데 큰 책임이 있다”며 그 증거를 제시했다. 즉 시빌 공격의 한 예를 들면, 러시아 출신으로 추정되는 악의적인 공격자가 익명통신 ‘tor’를 공격하는 수법인을 동원하기도 했다. tor의 출구 엑세스 릴레이인 ‘Tor exit 노드’의 최대 40%를 제어하여 비트코인 트래픽을 장악한 것이다.

또한 소프트웨어 오류와 버그도 블록체인의 주요 보안 문제로 지적되었다. 이상적으로는 모든 노드가 동일한 최신 버전의 소프트웨어에서 작동해야 하지만 실제로는 그렇지 않다. ‘Trail of Bits’는 특히 “소프트웨어 버그로 인해 이미 이더리움에서 블록체인 오류가 발생했으며, 비트코인 노드의 21%가 취약한 이전 버전의 비트코인 코어 클라이언트를 실행하고 있다”고 밝혔다. 블록체인을 새로운 수입원으로 활용하기 시작한 주류 기술 사이트를 포함해, 블록체인 소프트웨어 개발자와 유지 보수자, 전 세계 수백만 명의 암호화폐 사용자들도 그런 공격의 표적이 되고 있다.

이번 보고서는 또 “많은 글로벌 기업들이 이미 블록체인 기술에 많은 투자를 하고 있다”면서 “그런 가운데 빅테크에게 특히 심각한 문제가 될 것”이라고 했다. 지난 수 십 년 동안 빅테크의 주요 수익원은 온라인 광고였다. 그러나 사용자의 개인 정보 보호 문제에 의해 구동되는 세계적인 추세에 따라, 이제 ‘제3자 시대’가 저물어가면서 온라인 광고 수익에 상당한 부정적 영향을 미치고 있다.

이에 거대 기술기업들, 즉 메타 플랫폼, 스포티파이, 페이팔, 트위터, 구글, 애플, 알리바바, 마이크로소프트 등은 새로운 수입원을 찾아 웹3와 블록체인으로 이동하고 있는 판국이다. 예를 들어, 마이크로소프트는 2016년에 서비스형 블록체인(BaaS) 프로젝트인 프로젝트 ‘블레츨리’를 개발했다. 그 후로도 이 회사는 계속해서 암호화폐 기회를 탐구하고 있다. 2021년 마이크로소프트는 암호화폐 토큰을 만들 수 있는 블록체인 소프트웨어에 대한 미국 특허를 받았다. 지난 5월 31일, 마이크로소프트는 “미국 내에서 마이크로소프트 광고 검색 네트워크로 제한되는 암호화폐 거래소의 광고를 허용할 것”이라고 발표하며 이 사업에 가속도를 내고 있다.

마이크로소프트가 기술적 솔루션에 집중하는 반면, 메타 플랫폼이나 트위터와 같은 다른 회사들은 블록체인의 전통적 기능에에 투자하고 있다. 지난 11월 10일, 트위터는 블록체인 및 웹3 서비스를 구축하기 위해 전문 암호화 팀인 트위터 크립토(Twitter Crypto)를 공식적으로 출범시켰다. 2015년부터 암호화폐와 함께 일하고 있는 암호화폐 전문가 테스 리니어슨이 팀을 이끌도록 소집됐다. 트위터는 암호화폐 결제, 암호화폐 팁, 크리에이터 수익화, NFT, 분산형 소셜 미디어를 탐색하고 개발해왔다.

비슷한 방식으로 다른 빅테크 기업들도 블록체인의 미래를 내다보고 있다. 지난해 11월, 팀 쿡 애플 최고경영자(CEO)는 ‘NYT 딜북 컨퍼런스’ 도중 회사가 암호화폐시장의 시장성을 조사하고 있다고 밝혔다. 쿡 CEO는 애플이 구체적으로 어떤 작업을 진행 중인지 밝히지 않은 가운데 NFT와 애플페이 암호화폐를 받아들일 것임을 시사했다.

지난 수 년 간 가상 화폐는 세계적인 디지털 전환과 팬데믹 덕분에 엄청난 성장을 거듭해왔다. 그 기반이 된 블록체인의 가장 큰 과제 중 하나는 글로벌 확장 차원과 풍부한 다양성이다. 앞서 ‘스카이퀘스트’가 펴낸 '글로벌 암호화폐 시장' 보고서에 따르면, 2021년 암호화폐 시장을 18억5000만달러로 평가했으며 2028년까지 325억달러에 이를 것으로 예상했다. 수백만 명의 사용자들이 암호화폐에 눈을 돌리고 있을 뿐만 아니라 수천 개의 새롭고 오래된 관련 기업들이 현재 이같은 블록체인 기반의 산업에 종사하고 있다. 또 2022년 1월 현재 약 1만2000개의 암호화폐 프로젝트와 기업이 운영되고 있는 것으로 알려졌다. 10억 달러 이상의 가치를 지닌 크립토 유니콘 기업도 지난 한 해 동안 무려 5배나 증가했다.

그런 와중에 나온 이번 ‘Trail of Bits’ 보고서는 이들 빅테크의 미래에 대한 경고를 담고 있다. 조슈아 바론 국방고등연구프로젝트청(DARPA) 프로그램 매니저는 “이번 보고서는 블록체인과 같은 신기술이 우리 사회와 경제에 확산됨에 따라 이를 평가할 때 신중한 검토가 계속 필요하다는 것을 보여준다”고 경계했다. 또 이처럼 취약함이 밝혀진 블록체인 환경은 관련 기업들이나 투자자들에게 큰 피해를 줄 수도 있고, 수 년 간 지속되어 온 프로젝트나 수십만 개의 일자리를 위험에 처하게 할 수도 있다는 지적이다.

그럼에도 여전히 블록체인 기술에 기반한 금융 서비스, 자산 토큰화, 메타버스, NFT, 공급망 관리 솔루션, 자본 시장과 보험 상품, 암호화폐 채굴 및 스테이킹 등이 활발하게 이어지고 있다. 앞서 펜타곤 산하 국방고등연구프로젝트청의 바론 매니저는 “블록체인의 취약성은 모든 산업에 지장을 주고 피해를 끼칠 수도 있다. 그렇다면 세계는 블록체인 전환을 위한 준비가 되어 있는가?”라고 반문하면서 “블록체인에 대한 액면 그대로의 ‘보안 약속’을 믿어선 안 되며, 특히 중요한 사업이나 문제 해결을 위해 블록체인을 사용하는 기업이나 개인은 관련 취약점을 충분히 고려해야 한다”고 결론지었다.