"금융활동 흐름 블록체인 자산으로···""강력한 암호의 '블록체인 지갑' 필요"
이같은 공격을 '중간자 공격'이라고 한다. 시스템 자체가 아닌 중간 과정의 공격으로 암호화폐를 탈취하는 해킹 수법이다.
22일 서울 여의도 한국거래소에서 열린 '제4회 블록체인 비즈니스 포럼'에서 유민호 아이오트러스트(IoTrust) 공동창업자(이사) 겸 최고전략책임자(CSO)는 보안을 강화한 지문인증형 하드웨어 지갑을 통해 이같은 수법을 방지할 수 있다고 설명했다. 이번 포럼은 경제미디어 뉴스웨이가 주최하고 블록체인 전문 미디어 블록스트리트, 암호화폐 커뮤니티 앤츠코인넷이 주관했다.
유민호 이사는 '디센트, 해킹과의 전쟁에서 새 지평 연다'를 주제로 암호화폐의 보관과 보안이 주요 이슈로 떠오른 현재, 가상자산 보관·관리 트렌드를 소개했다.
아이오트러스트는 내장형(임베디드) 보안 분야에서 10년 이상 경험을 쌓아온 보안 전문가들이 설립한 회사다. 유심(USIM)카드, 스마트카드 등 하드웨어 기반의 보안칩 '시큐어 엘리멘트(Secure Element)'와 모바일 신뢰실행환경(TEE) 기술을 개발한다. 특히 2018년 출시한 암호화폐 하드웨어 지갑(콜드월렛)은 해킹으로부터 안심하고 신뢰할 수 있는 암호화폐시장을 만드는 데 중요한 산업이다.
◇콜드월렛, 해킹의 대응책=콜드월렛은 암호화폐의 소유권 증명이 가능한 개인 키(private key)를 보관할 수 있는 디지털화된 기기다. 자산을 보관한다는 점이 지갑과 같아 하드웨어 지갑이라고 부른다. 암호화폐 지갑은 트랜잭션 서명 권한이 있는 개인키(주소의 소유권 증명)를 보관해야 안전하게 자산을 보관할 수 있는데, 기술의 발전과 더불어 해킹이 가속화되며 보관된 자산이 해킹당하는 사태가 일어났다.
거래소나 암호화폐 관련 플랫폼이 해킹당하는 사태가 나타나며 시장의 불신을 초래했다. 아이오트러스트는 보안전문기업으로 해킹에서 안전할 수 있는 콜드월렛 '디센트(D'CENT)'를 개발했다. 디센트는 '편하게 쓸 수 있는 지갑'을 목표로 만들어진 모바일 중심 하드웨어 지갑이다.
디센트는 다른 암호화폐 하드웨어 지갑과 달리 세계 최초 지문 인증 기능과 지갑을 복구하기 위한 여러 개의 단어인 '니모닉'을 하나 더 설정할 수 있다는 특징이 있다. 니모닉은 종이에 키를 적어 보관하는 방식으로, 현재 하드월렛 지갑의 산업 표준처럼 사용되고 있다.
온라인으로 두면 해킹의 여지가 있을 수 밖에 없기 때문에 오프라인으로 보안 키를 사용한다는 것이다. 다만 종이를 잃어버린다든지, 누군가 훔쳐 사용하는 경우가 있어 아이오트러스트는 24개의 기본 니모닉 단어에 하나의 단어를 내가 더 추가할 수 있는 기능을 활용했다. 25번째 단어를 직접 설정할 수 있기 때문에 24개의 단어가 혹여나 노출된다 해도 안전하게 디센트를 이용할 수 있다는 것이다.
◇하드웨어 지갑 보안위협=그러면 하드웨어 지갑은 어떤 공격에 노출돼 있을까? 하드웨어 지갑 공격은 대표적으로 ▲공급망 공격 ▲물리적 공격 ▲중간자 공격 등이 있다. 먼저 공급망 공격(Supply Chain Attack)은 소프트웨어(SW)나 하드웨어(HW) 제조 단계, 전달 과정에서 악성코드를 유입해 이용자를 공격하는 방식이다.
또, 하드웨어 지갑을 도난당했다가 찾았을 시 물리적 공격을 의심할 수 있다. 기술적으로 칩을 해킹을 할 수 있기 때문이다. 예를 들어 칩을 엑스레이로 찍어 키가 있을 것으로 예상되는 부분을 탐침(probe)할 수 있다. 가짜로 명령어를 날려 연산하는 시간 차이 등을 분석하거나 주기적인 전기 자극으로 인증된 것처럼 기기를 속여 해킹을 시도하는 것도 가능하다.
중간자 공격은 위에 예시를 들은 바와 같이 송금 등의 과정을 공격해 암호화폐를 탈취하는 방식이다.
유 이사는 "공급망 공격을 예방하기 위해 포장시 보안 스티커 등을 사용할 수 있으며 만약 지갑을 배송받았을 시 보안씰이나 훼손 흔적이 보인다면 공급망 공격을 의심해야 한다"고 당부했다.
특히 치밀한 공격은 소프트웨어로는 막을 수 없기 때문에 하드웨어 자체 보안이 가능한 보안칩이 필요하다. 유 이사는 "디센트에서 해킹 공격을 방어할 수 있는 ▲지문인증 ▲보안칩 ▲MCU 펌웨어 보호 ▲시큐어 코딩 등을 제공하고 있다"고 설명했다.
또한 정보로 처리되기 전 미가공 상태의 자료인 '트랜잭션 로우 데이터(Raw Data)' 처리로 중간자 공격을 방지할 수 있다는 설명이다. 유 이사는 "중간자 공격을 막기 위해 주소를 제대로 확인할 수 있는 디스플레이가 지갑에 있는지가 중요하다"라며 "서명하려는 전체 트랜잭션 데이터를 하드웨어 지갑에서 처리해 하드웨어 지갑 디스플레이에 실제 서명하려는 정보를 표시할 수 있는 기능을 구현했다"고 전했다.
유 이사는 "인터넷 시대가 오고 이메일을 쓰고 싶으면 사람들이 이메일 주소를 어디선가는 하나씩 가지고 있어야 되는 것처럼, 블록체인 기반 자산을 보유하려면 블록체인 주소가 필요하고 관리해야 한다"고 말했다. 그 역할을 하는 것이 블록체인 지갑이라는 것이다. 그는 "금융활동의 흐름이 비트코인 중심의 블록체인 자산으로 움직이고 있어 결국 '블록체인 지갑'이 필수적으로 필요해 지게 될 것"이라고 설명했다.
뉴스웨이 김건주 기자
kkj@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글