[북앤톡]트루스머신을 읽고
월스트리트저널 기자 출신들이 쓴 책 트루스머신에 따르면 암호화폐의 뒤를 이어 블록체인과 가장 궁합이 좋은 분야로 보안이 꼽혔다. 블록체인을 활용하면 돈은 돈대로 쓰는데, 사고는 사고대로 늘어나는 지금의 보안 패러다임을 근본적으로 바꿀 수 있는 발판을 만들 수 있다는 것이었다.
모든 사물이 네트워크에 연결되는 IoT의 시대, 중앙집중식 패러다임으로는 보안 문제를 해결하는 것이 어렵다는 것이 저자들의 주장이다.
안전한 상거래를 보호하려는 전세계의 노력이 총체적 실패로 돌아간 것은 정보를 처리하고 저장하는 기존의 중앙집권화 방식이 개인 간 직접 거래인 P2P 거래 및 디바이스 대 디바이스 간의 직접 거래를 장려하는 글로벌 공유 경제의 분권화 추세와 엇박자를 이뤄기 때문이다.
더 많은 사람들이 P2P 소셜 네트워크에 접속하고, 온라인 서비스를 이용하며 스마트 자동온도조절기나 냉장고, 심지어 자동차 같은 소위 사물인터넷 기기들을 더 많이 이용함에 따라 접근 포인트들도 늘어나고 있는데, 이는 해커들의 좋은 먹잇감이 되고 있다. 해커들은 지속적으로 늘어가고 있는 중앙화된 인터넷 데이터 저장소에 침입할 수 있게 하는 이런 접근 포인트를 통로로 삼아 그 저장소에 있는 정보들을 훔치거나 망가뜨릴 생각을 하고 있다.
대안은 중앙집중식에서 분권화로의 전환이다.
결론은 사이버 보안을 위한 구조적 변혁이 필요하다는 것으로 귀결된다. 블록체인에 담긴 기술이 이 구조적 변혁을 도와줄 것이다. 블록체인 환경의 분산된 구조를 이용하면 사용자들은 더 이상 방화벽 같은 사이버 보안 인프라를 유지하기 위해 중앙화된 기관에 의존하지 않아도 된다. 대신 보안에 대한 책임은 모두가 나눠지게 된다. 어떤 기관이 아니라 개인들이 직접 자신들의 중요하고 민감한 정보를 관리할 책임을 갖는 것이다. 그리고 어떤 정보든 공유된 정보는 그 진실 여부를 확인하기 위해 공통의 합의 절차를 거치게 된다.
비트코인은 이런 분산 구조가 어떤 잠재성을 갖는지 보여주는 사례다. 비트코인이라는 특정 블록체인망이 사이버 보안에 대한 궁극적인 솔루션을 제공하지는 못하지만 비트코인은 방화벽 같은 고전적인 형태의 중앙화된 사이버 보안 도구가 전혀 없음에도 해킹으로부터 안전함을 보여주고 있다. 현 집필 시점에 비트코인의 시가 총액은 1200억달러에 달하며 해커들이 침을 흘리는 공격 대상이 될 수 있음에도 불구하고 비트코인의 원장은 전혀 해킹이 불가능한 상태다. 비트코인 블록체인의 비화폐적 적용 분야로 가장 유망한 분야 중 하나가 바로 보안이다.
분권화의 핵심은 공격자들이 공격을 해서 얻을게 별로 없도록 만드는 것이다.공격을 감행하면 얻는 것보다는 잃는게 더 많도록 설계된 비트코인 네트워크의 로직을 확대 재생산하는 것이다.
중앙 기관들은 이제 보안의 문제를 더 뛰어난 암호화나 다른 부가적인 보호장치를 어떻게 적용하는 것이 좋을지가 아니라 사이버 공격에 수반되는 비용을 증가시켜 해커들이 사이버 공격에 힘을 써봤자 별 이득이 없을 것이라는 경제적 관점으로 접근해야 한다.
이제 정보보호를 현행의 공유된 비밀 모델을 비트코인 블록체인 모델이 구현할 수 있는 새로운 디바이스 아이덴티티 모델과 비교해보자. 현행 시스템 하에서는 고객이 서비스 제공자의 시스템에서 패스워드를 재설정할때 그 기억을 돕는 질문, 예를 들어 당신의 반려동물의 이름은? 같은 추가 질문에 답변함으로써 나에 대한 인증을 받아 비밀번호를 변경하곤 한다. 그러나 이렇게 신중을 기한다 해도 수십억 달러로도 환산할 수 없는 아주 중요한 데이터들이 해킹에 취약한 기업들의 데이터 저장소에 고스란히 노출되어 있다는 사실은 변함없다.
중앙의 허가가 필요 없는 블록체인 모델에서는 데이터에 대한 통제권이 해당 정보의 소유자인 고객에게 있다. 즉 해킹의 공격이 될 수 있는 포인트는 중앙의 저장소가 아니라 해당 고객의 디바이스가 된다는 말이다. 이말은 비자카드 소유자 수억명이 카드를 긁을때마다 필요한 개인식별 정보를 비자카드사의 서버에 저장하는 것이 아니라 카드를 긁을 때 필요한 접근권한을 카드 소유자 개개인이 각각의 핸드폰이든, 컴퓨터든, 어느 디바이스 간에 각자 관리하게 된다는 뜻이다.
해커들이 분산화된 네트워크의 개인 디바이스를 순차적으로 공격해서 거래를 위해 필요한 개인키를 훔치려는 시도를 할수도 잇다. 그리고 운이 좋다면 개인키 탈취에 성공하여 비트코인 수천달러어치를 훔쳐갈 수도 있다. 그러나 이런 방식의 공격은 중앙 서버를 공격하는 것에 비해 훨씬 수고스럽고 시간이 많이 드는 과정이다. 그러므로 블록체인 네트워크의 취약 부분은 이제 개별 디바이스들이 될 것이다. 블록체인 시스템에서 디바이스를 보호할 책임은 이제 사용자가 직접 갖게 된다. 틀림없이 개인키에 대한 관리 및 암호화 전략에 대한 교육이 한차례 뜨거운 이슈로 부각될 것이다. 암호화폐가 꿈꾸는 미래가 제대로 우리 곁이 다가오려면 개개인들이 자신의 데이터에 대한 보안 책임을 개별적으로 가져야 하기 때문이다.
블록체인 시대에는 개개인의 디바이스 보호 문제가 중요한 문제로 떠오르는 한편 사이버 공격의 횟수는 크게 감소할 것으로 예상된다. 어떤 해커가 공격함으로써 얻게 되는 이익이 투입되는 비용에 비해 매우 작아지기 때문이다. 다시 말해 한번에 수백만명의 계좌를 털수 있던 과거와 달리 이제는 디바이스를 하나씩 공격해봤자 한두개의 계좌 정보만 가져올 수 있을 뿐이다. 즉 문제가 있는 부분만 일부 수정하는 패치 업데이트의 방식으로 보안 문제를 해결하는 것이 아니라 인센티브 중심의 접근 방식으로 푼 것이다.
블록체인에 기반한 분산화된 신뢰 구조를 받아들임으로써, 디지털 경제의 효율성이 훨씬 더 커질 것은 자명해 보인다. 분산화된 시스템이 제공하는 단순한 데이터 백업만으로도 가치가 있다. 더 나아가 시스템이 분산화된다는 것은 간단히 생각해봐도 백업 파일이 여러 곳에 분산되어 저장되는 것이기 때문에 가성비 면에서 훨씬 그 효과가 크다고 여겨진다. 시스템을 분산화하면 비록 시스템 유지 비용은 증가할지 몰라도 백업 안정성의 가치는 그 비용을 훨씬 뛰어넘는다. 이렇게 새롭게 탄생한 데이터 관리 모델 덕분에 개개인은 자신들이 만들어낸 데이터에 대한 통제권을 가질 수 있게 될 뿐만 아니라 데이터 자체의 보안성도 훨씬 강화될 것이기 때문이다.
예전에 스마트시티 관련 취재를 하면서 다양한 IoT 기술이 범람하는 상황에서, 지금의 보안 기술로 연결되는 세상을 노리는 해킹을 막는 것이 어렵다는 전문가분의 얘기를 들은적이 있다. 모든 것이 연결되는 시대에는 보안 패러다임도 근본적인 변화가 불가피하다는 것이었다.
방법은 여러가지가 있을 수 있겠지만 트루스머신 저자들은 블록체인을 기반으로한 분권화된 보안 구조를 대안으로 제시하고 있다. 중앙집중식 구조를 유지하면서 방어 능력을 키우는게 아니라 개별 디바이스 중심으로 판을 바꿔 공격의 동기를 낮추고 사고가 나더라도 피해를 최소화할 수 있는 환경을 만드는 것이 중요하다는 것이다.
블록체인이 보안 위협을 줄일 수 있는 근본적인 대안이 될지는 두고봐야겠지만방어 능력을 키우는 것이 아니라 공격자의 인센티브를 낮춰야 한다는 메시지는 주목해볼만 할 것 같다. 지금의 보안 패러다임으로는 자율주행차, 스마트시티를 지속 가능하게 유지하기가 어려울것 같아서다.