(IT이슈) 블록체인 기술과 보안 고려사항

블록체인 기술과 보안 고려사항

1. 금융권 블록체인 도입 시 보안위협
: 키 관리, 거래 검증 및 합의, 참여자 권한관리, 블록체인 S/W 보안, 서비스 보안
(1) 키 관리 : 키 도난 및 분실, 취약한 키 생성
(2) 거래 검증 및 합의 : 합의 가로채기, 사이드 체인 내 비정상 거래 발생
(3) 참여자 권한관리 : 개인정보 침해, 권한 오남용
(4) 블록체인 S/W 보안 : 블록체인 S/W 취약점, 스마트 컨트랙트 취약점
(5) 서비스 보안 : 분산 서비스 거부 공격, 가용성 저하, 비정상거래 탐지 불가, 상호운용성 미제공

2. 5가지 보안위협 별 대응 방안

(1) 키 관리
-키 도난 및 분실 : 정당한 참여자임을 증명하는 개인키 도난, 분실 시 개인의 거래 유출 및 공격자가 정상 참여자로 위장하여 다양한 공격에 노출
=> 대응 방안 : 관련 가이드 준수 및 키 복구
-취약한 키 생성 : 키 재생성 공격 가능
=> 신뢰 가능한 기관의 가이드를 준수하는 안전한 키 생성

(2) 거래 검증 및 합의
-합의 가로채기 : 공격자가 과반수를 장악할 경우 거래 유효성 검증 프로세스를 조작 가능
=> 대응 방안 : 비정상 참여자 모니터링, 거래량 제한
-사이드 체인 내 비정상 거래 발생 : 메인 체인에서 유효하지 않은 자산이 사이드 체인에서 거래 가능
=> 대응 방안 : 거래 검증 및 블록 생성 등 합의 통합

(3) 참여자 권한관리
- 개인정보 침해 : 참여자의 접근권한 관리 부족시 개인정보 침해 가능
=> 대응 방안 : 채널 구성, 거래정보 삭제, 거래 암호화, 참여자 식별 및 접근 통제
- 권한 오남용 : 금융회사 및 내부직원에 의한 보안사고 등 발생 가능
=> 대응 방안 : 스마트 컨트랙트 기반 통제, 내부직원 통제

(4) 블록체인 S/W 보안
- 블록체인 S/W 취약점 : 키 도난, 합의 조작, DDoS 공격 등에 악용
=> 대응 방안 : 코드 검토, 보안테스트, 시큐어 코딩
- 스마트 컨트랙트 취약점 : 자산 유출, 개인정보 침해, DDoS 공격 등에 악용가능
=> 대응 방안 : 코드 검토, 악성코드 탐지, 검증된 코드 사용

(5) 서비스 보안
- 분산 서비스 거부 공격 : 대량의 스팸 거래로 블록체인 서비스 중단
=> 대응 방안 : 스팸 거래 차단, 거래 요청 건수 제한, 거래허용 참여자 관리
- 가용성 저하 : 블록체인의 처리속도 한계, 거래정보 급증 시의 가용성 저하
=> 대응 방안 : 유효성 검증 참여자 제한, 선택적인 거래정보 저장
- 비정상거래 탐지 불가 : 사기거래, 자금세탁 발생 가능
=> 대응 방안 : 신뢰 가능한 기관에서 제공하는 참여자 목록을 활용하여 참여자 관리
- 상호운용성 미제공 : 블록체인간 자산 교환 시 책임 주체가 명확하지 않아 추가적인 보안 위협 발생 가능
=> 대응 방안 : Pegged 사이드 체인 활용

3. 향후 과제
(1) 추가 보안 고려사항 검토 : 자금세탁 방지로 거래정보의 추가적인 저장 시, 새로운 보안위협 발생 가능
(2) 최신 연구동향 검토 : 양자컴퓨팅, 거래정보 삭제 기술, 블록체인 서비스 보안 표준
(3) 평가기준 마련 : 블록체인 시스템에 대한 평가 항목 도출