금융권이 앞 다퉈 도입을 서두르는 '블록체인'도 보안 위협에 대응해야 한다.

EU 산하 정보보호기구인 ENISA(European Union Agency For Network and Information Security)는 금융권에서 블록체인 도입 시 △키 관리 △거래검증과 합의 △참여자 권한 관리 △블록체인 SW보안 △서비스 보안 등 5가지를 고려하라고 조언했다.

블록체인은 지속해 생성되는 정보를 블록(Block) 단위로 만들어 기존 데이터베이스(DB)에 순서대로 연결(Chain)하는 일종의 분산형 DB기술이다. 운영자가 데이터를 조작하지 못하게 정보를 중앙 서버가 아닌 네트워크 내 여러 PC에 분산해 저장한다. 기존 은행은 거래 정보를 기록한 장부를 특정 기관 내 단일 시스템에 기록했다. 블록체인은 네트워크에 분산 저장해 참가자가 공동으로 기록하고 관리한다. 최근 금융권은 낮은 비용으로 보안성, 안전성, 거래투명성이 보장되는 블록체인 도입에 나섰다. 

블록체인은 키 도난과 분실 위협이 있다. 블록체인에서 참여자의 개인키는 정당한 참여자로 활동을 승인하고 증명하는 수단이다. 공격자에게 도난당하면 정상 참여자로 위장한 공격에 노출된다. 키가 암호화 등 보호기술이 적용되지 않은 원문 상태로 저장됐거나 서명 등에 사용된 후 메모리에 남아 있으면 공격자 접근이 가능하다. 블록체인에서 암호 키 생성방법이 안전해야 한다. 공격자가 키를 추측해 무작위 대입하는 공격으로 참여자 키를 획득할 수 있다.

거래 검증과 합의에서도 문제가 발생한다. 퍼블릭 블록체인은 참여자 중 과반수 동의로 합의를 도출한다. 공격자가 과반수를 장악하면 거래 유효성 검증 프로세스를 조작할 수 있다. 프라이빗 블록체인은 규제기관이나 운영주체를 장악하거나 권한을 도용할 수 있다.

개인정보 침해 위협도 있다. 프라이빗 블록체인은 거래 정보 기밀성을 보장하지만 참여자 권한관리가 미흡하면 침해가 발생한다. 일반 블록체인은 이미 등록된 거래 정보를 삭제하는 기능이 없어 '잊혀질 권리' 보장이 불가하다. 블록체인은 분산구조로 참여자 권한 관리 등 모든 참여자에게 일관성 있는...생략(기사더보기)