[스토리텔링으로 이해하는 AI 보안-17] 블록체인과 비트코인

가상화폐로 인한 문제 때문에 블록체인 기술마저 매도당하고 있는 현실
블록체인, 당사자들 간의 거래에서 필요한 기술...사이버공간의 대표적 거래 수단될 수도

[보안뉴스= 김주원 사이버보안 분야 칼럼리스트] 인간의 문명이 발전하면서 점차 인간은 발품을 팔며 돌아다니지 않아도 모든 일을 다 할 수 있게 되었다. 사이버공간에서 말이다. ‘디지털혁명의 아이콘’이라고 불리는 에스토니아는 세계 최고의 전자정부를 구축하면서 결혼·이혼·부동산거래를 제외한 모든 업무를 사이버공간에서 처리할 수 있도록 하겠다고 선언했다. 전자선거·전자상거래·원격의료 등 대부분의 중요 사안들이 사이버공간에서 가능하도록 서비스를 제공하고 있는 에스토니아가 결혼과 이혼 그리고 부동산거래만은 어떤 이유로 사이버공간에서 가능하지 않도록 한 걸까?

[이미지=utoimage]

누구를 사랑해서 평생 같이 살아야겠다고 다짐한 후, 프러포즈하고 결혼까지 하기 위해서는 서로에 대한 신뢰 형성이 사랑만큼이나 중요하다. 일방적 사랑은 결국 행복을 보장해주지 않기 때문이다. 그러니 서로가 평생 상대방만을 사랑하겠다고 약속해야 한다. 진정 사랑한다면 사실 결혼이고 뭐고 할 것 없이 그날부터 같이 살면 된다. 하지만 둘이서 같이 산다는 것을 다른 사람들에게 알려주어야 혹시나 있을 유혹과 오해를 줄일 수 있다. 그래서 대부분의 신랑·신부들은 아는 사람들을 모두 불러서 성대하게 결혼식을 치른다. “이제 나의 반려자는 품절되었다”라고 대내외에 알리는 것이다. 그리고 증인 2명의 확인을 받아 자치단체를 방문해 혼인신고를 한다. 물론 이혼도 증인이 필요하지만 결혼 때와는 달리 아는 사람을 줄이려 할 것이다. 결국, 결혼도 이혼도 증인이 필요하다. 이렇듯 아는 사람과 하는 것일지라도 당사자들 간에 계약이나 신원 확인을 해야 하는 경우에는 증인이 있어야 한다. 그렇다고 해도 사이버공간에서는 혼인신고를 할 때처럼 증인 세우기가 기술적으로 어려울까?

고대 그리스-로마에서는 두 사람이 손 붙잡고 신전에 찾아가 신에게 부부로 살겠다고 맹세했다. 이 결혼 약속은 신의 이름을 걸고 한 것이기에 만일 약속을 저버린다면 그 신이 노해서 약속을 저버린 인간을 처벌하거나 지옥불에 떨어뜨릴 것이라 믿었다. 하지만 신에게 맹세한다고 해도 구두로 한 약속은 상대방이 부정하거나 “기억이 나지 않습니다”라고 하면 확인할 방법이 없다. 그러다보니 신에게 했던 약속을 저버리고 불륜을 저지르거나 사기를 치는 인간이 발생하기 시작했다. 그런데도 신은 일부 인간들을 벌하기는커녕 오히려 대대손손 잘살게 해주기까지 했다. 단지 자기가 그 인간을 총애한다는 이유만으로 말이다.

결국, 인간은 신에게 찾아가는 대신 자신을 스스로 지킬 수단을 마련했다. 자신의 결백 또는 자신이 주장하는 내용을 다른 이들이 “맞다”고 인정하도록 만들 제도적 장치를 찾은 것이다. ‘규범’이 바로 그것이다. 그리해 인간들은 규범이라는 틀 안에서 움직이기 시작했다. 예를 들어, 고대 메소포타미아의 바빌로니아 왕국을 통치한 함무라비 왕의 법전도 ‘눈에는 눈, 이에는 이’와 같이 당한 만큼 상대방을 벌할 수 있도록 명시해 놓았다. 이제 신을 대신해 인간이 인간에게 벌을 내릴 수 있게 된 것이다.

이러한 법·제도가 발전하면서 인간들은 자신들의 재산을 지키기 위해 서로 합의한 사항들을 기록한 뒤, 그것을 믿을 수 있는 자에게 맡겼다. 가장 믿을 수 있는 자는 그 마을의 최고령자나 권력이 가장 높은 자였다. 점차 세력이 규합되면서 국가가 형성되고 통치자가 나타났다. 결국 가장 믿을 수 있는 자는 국가가 권한을 위임한 기관의 관리자가 되었다. 각 개인이 소유한 토지․건물․나무․노예․가축 등이 ‘내 것’임을 증명할 수 있게 해주는 장치들도 만들어졌다.

국가는 인간들이 가지고 온 계약서를 보관만 해도 보관수수료조로 세금을 챙길 수 있으면서, 그 계약 내용을 토대로 각종 정보도 얻을 수 있었다. 그리고 그 정보를 토대로 자신들의 권력을 자연스레 유지할 수 있었다. 즉, 국가는 국민들로부터 세금을 징수하면서 국민들 개개인의 사유재산권을 타국의 침략이나 타인의 범죄로부터 책임지고 지켜주는 의무를 가지게 된 것이다.

국가는 한발 더 나아가 그러한 세금을 담보로 화폐를 찍어냈다. 국민들끼리 소규모 거래를 하면서 일일이 국가에 신고하게 하는 대신, 국가가 거래의 신뢰성을 책임지겠다는 증명이 담긴 화폐를 이용하게 한 것이다. 즉, 국민들끼리 거래할 때 자신이 생산한 물건의 가치만큼 금액을 정한 뒤 그걸 화폐로 받고, 또한 원하는 물건을 살 때는 화폐를 지급하도록 한 것이다. 그리고 이러한 화폐를 주고받거나 빌려주는 일 등을 은행이 국가로부터 위임받았다.

그런데 사이버공간이 발전하자 사이버공간에서의 거래․교환도 빈번해졌다. 그러자 국가가 공인한 화폐를 주고받는 데 대한 의문이 제기되기 시작했다. 화폐를 이용하려면 은행 거래를 해야 하고, 그 과정에서 은행에 자신의 신원을 증명해야 한다. 하지만 사이버공간에서의 거래 때에는 은행을 굳이 거쳐야 할 필요성을 못 느낀 것이다. 그래서 사이버공간에서도 금전 거래를 편리하게 할 수 있도록 해주는 여러 가지 제도적 안전장치를 마련하기 시작했다.

일단 가장 기본적인 정보보호의 3요소 중 기밀성과 무결성은 암호를 이용해 해결했다. 가용성도 방화벽, 침입 탐지 시스템, 백신 등과 같은 정보보호 제품을 도입하면서 어느 정도 해결되었다. 하지만 시간이 흐르자 불특정 다수가 존재하는 사이버공간에서 “내가 누군지”를 알릴 방법, 신원 확인 방법이 필요해졌다. 즉, 사용자 인증이 필요해진 것이다. 인증 방법은 다양하나 가장 효과적인 방법은 “신뢰받는 기관에서 인증을 승인하고, 인증서를 발급받는” 것이다. 인증서 발급은 처음 한 번만 수행하면 되기에 번거롭기는 해도 가입할 때 한 번 신청하는 걸로 해결했다.

이제 인간은 사이버공간에서 정보를 보내면서 예전만큼 불안해하지 않는다. 정보를 보낼 때 자신의 비밀키로 암호화해 전달하고, 상대방은 그걸 보내준 인간의 공개키로 복호화하면 된다. 이러한 정보 전달 방식은 보편화·활성화되기 시작했다. 그리고 인간은 한 걸음 더 나아가 굳이 국가에 정보를 전달하면서 국가가 주조한 화폐를 써야 하는 가에 대해 의문을 품고 사이버공간에서도 충분히 화폐처럼 사용할 수 있는 뭔가를 만들 수 있다고 생각하기에 이르렀다. 그러면 일단 화폐의 기능과 특징을 살펴보자.

첫째, 화폐는 먼저 지급을 보증해줄 수 있어야 한다. 예를 들어, 누군가가 1만 원을 주었다면, 상대방도 1만 원의 가치를 가진 물건을 내주어야 한다. 그리고 바로 이 1만 원을 받은 인간은 다른 인간과 다시 그 1만 원으로 거래할 수 있어야 한다. 그 상황에서 1만 원의 가치가 줄어들거나 숫제 쓰레기가 된다면 그것은 사기인 것이고, 그런 일이 발생하는 사이버공간은 그야말로 양아치 시장이 될 것이다.

둘째, 화폐는 은닉성을 보장해야 한다. 예를 들어, 가게에서 1천 원짜리 아이스크림을 사 먹으면서 종업원에게 1만 원 지폐를 준 뒤 아이스크림과 9천 원을 돌려받을 경우, 종업원은 고객의 신원을 확인하지 않는다. 사이버공간에서도 화폐의 이러한 기능을 보장해야 한다.

셋째, 내가 얼마나 많거나 적은 화폐를 가지고 있는지를 다른 인간들이 알면 안 된다. 특히, 사이버공간에서는 내가 많은 화폐를 가지고 있다는 사실이 알려지면 나는 범죄의 표적이 된다.

넷째, 고객이 무엇을 샀는지를 알아서는 안 되지만, 나중에라도 고객이 요청하면 그러한 거래 사실이 있었음을 입증해주어야 한다. 예를 들어, 사이버공간에서 카메라를 구매하고 화폐를 입금했는데, 카메라 판매자가 카메라를 안 보내면서 “제대로 입금되지 않았다”고 주장하는 경우 이를 확인하고 입증할 수 있어야 한다.

그런데 암호 관련 기술이 발전하면서 인증은 물론 디지털 서명 같은 수단도 등장했다. 디지털 서명은 인증과는 반대 개념으로, 자신의 공개키로 암호화해 보내면 앞으로 사안이 발생했을 때 반대로 자신의 비밀키로 복호화함으로써 거래를 부인하지 못하도록 하는 것이다. 이를 일명 ‘부인 봉쇄’라고 한다.

지금까지는 전자상거래나 메일로 서로 주고받은 로그기록이나 접속 시간과 같은 이력으로 이를 입증했다. 하지만 해킹이 빈번해지면서 이러한 이력만으로는 상대방이 거래를 부인할 경우 법적 분쟁이 일어날 소지가 있었다. 하지만 디지털 서명 덕분에 이러한 부인을 원천 차단할 수 있게 되었다.

물론 인증과 디지털 서명에도 제3자(국가․은행)가 개입해야 한다. 예를 들어, 인증과 디지털 서명에는 비밀키와 공개키가 필요한데, 이를 제3자가 발급해주어야 한다. 물론 발급 이후에는 이를 자유롭게 사용할 수 있으며, 제3자는 여기에 개입할 여지도 없다. 이제 인간들은 이를 이용해 제3자가 없더라도 전자거래를 할 방안도 찾았다.

좀 전에 언급했듯이, 물건의 가치는 거래하는 사람들끼리 정하면 되는 것이고, 그 가치를 매길 수 있는 척도도 그들끼리 정하면 된다. 즉, 기준점을 마련하고, 이를 이용해 통용하면 되는 것이다. 예를 들어, 카메라의 가치를 10만 원으로 정한다면 이후 거래가 보편화될 경우 다음에 같은 카메라가 온라인상에 뜨면 10만 원의 가치에 해당할 것이고, 수요와 공급의 원칙에 따라 가치가 조금씩 조정될 것이다.

이전에는 공급자가 카메라의 가격을 정했지만, 온라인상에서는 수요자가 정할 수 있다. 공급자는 수요자가 제시한 가격에 맞춰 팔지 말지를 결정하는 구조인 것이다. 사실 가격이라는 것이 오프라인 상에서는 공급자가 임의로 정했지만, 온라인에서는 실시간으로 가격을 비교․확인할 수 있기 때문이다. 결국 거래가 성립되면 공급자는 카메라를 보내고 대신 온라인으로 가상화폐를 받는다. 가상화폐는 지폐나 동전이 아니라 디지털 코드다. 이 코드를 받으면 잘 보관해야 한다. 분실하거나 해킹당하면 그야말로 한순간에 무일푼 거지가 된다.

가장 이상적인 건 모든 행위가 사이버공간에서 이루어지는 것이다. 하지만 인간이 사이버세상에서만 살 수는 없지 않는가. 인간이 먹고 자고 여행 가는 물리적 생활을 영위하려면 결국 화폐가 필요하다. 물물교환 형식의 상품 거래도 좋겠지만, 상대방이 다른 물건(가상화폐 포함) 대신 현금을 요구할 수도 있다. 따라서 가상화폐를 현금으로 환전할 필요가 발생하니 결국 물리적 공간과 사이버공간 사이에 가상화폐 거래소가 존재하게 된다.

이렇듯 가상화폐는 기술적으로는 완벽했지만, 인간은 욕심을 내기 시작했다. 잘 사용하면 전혀 문제가 되지 않지만, 이를 역이용해 사기를 치거나 부도를 내는 사건들이 다발한 것이다. 이러한 사회적 문제 때문에 가상화폐에 대한 인식이 안 좋아지면서 가상화폐에 관한 관심이 시들었다. 하지만 가상화폐가 터부시된다고 해서 블록체인마저 덤터기를 써야 하는 건 아니다. 블록체인은 앞서 소개한 화폐의 네 번째 기능을 보장하기 때문이다.

사실 누구도 자신의 거래명세를 모두 저장할 수 없다. 그리고 그 거래명세의 내용을 모두가 공유할 필요도 없다. 따라서 모든 거래명세를 하나의 블록으로 만들고, 그 블록을 쌓는다. 이후 다음 거래명세를 만들 때에는 이전에 만든 블록의 정보를 이용해 다음 블록을 만드는 것이다. 이때 블록에 모든 내용이 들어갈 필요가 없다. 블록에는 전체 이력에 대한 해시함수 결과값이 들어간다. 그 해시함수 결과값은 어느 누구도 유추․해석할 수 없으며, 결과로부터 원본을 유추해낼 수도 없다.

블록의 크기는 작으므로 거래에 참여한 당사자를 비롯하여 참여한 모든 인간이 가질 수 있다. 이후 거래가 잘못되거나 중간에 사고가 발생하면 어떤 블록에서 문제가 발생했는지를 추적하고, 그 블록에 해당하는 기록을 들여다보면 된다. 문제가 발생하지 않는 한 블록을 열어보지 않아도 되므로 신뢰는 계속 유지될 수 있다. 블록을 만들 때 사용되는 암호 알고리즘이 좀 전에 언급한 해시함수이며, 가장 보편적으로 사용되는 해시함수는 미국 NSA가 설계한 SHA(Secure Hash Algorithm)이다. 해시함수 결과값의 크기에 따라 SHA-256, SHA-384, SHA-512 라고 부르기도 한다.

안타깝게도 가상화폐로 인한 문제 때문에 블록체인 기술마저 매도당하고 있다. 하지만 블록체인은 당사자들 간의 거래에서 필요한 기술이며, 잘 활용하면 사이버공간에서의 대표적 거래 수단이 될 수 있다. 이미 가상화폐에 적용되던 블록체인 기반 서비스가 다른 분야에도 적용하기 시작했다. 대표적인 예가 부동산·의료 분야다. 과거에는 부동산을 구매하려면 고액이 필요했지만, 이제는 증권처럼 쪼개어 구매할 수 있고, 장기간 보관하는 경우 가치가 상승하면 비율에 맞춰 배당금까지 챙길 수 있다. 본인의 의료정보가 중앙 서버에 저장되어 있으면 정보가 노출될 걸 염려해야 했지만, 분산 저장이 가능해지면서 노출에 대한 염려가 그만큼 줄어들 수 있으니 안심이 된다.

결국 인간은 과거처럼 누군가에게 신탁하거나 의지하지 않아도 인간 스스로 협심해 살 수 있는 환경을 구축하기 시작했다. 서로가 사슬처럼 얽히고설킨 사이버공간에서 실생활에 필요한 모든 일을 할 수 있게 된 것이다. 그렇다고 하더라도 국가가 해야 할 일이 없어진 것은 아니다. 결국, 국민들의 삶의 기반이 안전하게 작동할 수 있도록 누군가는 책임을 져야 하니까 말이다. 사이버공간의 실체는 결국 물리적 공간이라는 대명제를 잊어서는 안 된다.

이제 인간은 신에게 의지하지 않고서 스스로가 만든 사슬(블록체인)로 신의 영역에 가고 있다. 필자가 걱정하는 부분은 그 사슬이 끊기거나 블록에 치명적 오류가 발생해 그 블록으로 인해 인간들이 쌓아놓은 탑들이 무너지는 것이다. 그렇게 되면 인간 세상은 치명타를 입을 것이다. 그래서일까? 에스토니아가 결혼과 이혼, 그리고 부동산거래만큼은 사이버공간과 연결하지 않는 이유가 다음 세대를 위해 안전장치를 남겨두기 위해서가 아닐까 싶다.
[글_ 김주원 사이버보안 분야 칼럼리스트]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)