블록체인을 이용한 금융과 IT 융합의 가속화가 이루어지면서 다양한 블록체인 기반 시스템이
도입되고 있는 상황이지만 블록체인 또한 하나의 ICT기술이기에 보안상 취약점이 존재할 수
밖에 없다. 특히 금융 비즈니스관련 IT시스템은 고객의 개인정보를 다루고 있기 때문에
개인정보보호 관점의 정보보안 이슈를 고려할 필요가 있다.
금융권에 블록체인 도입시 고려해야 할 정보보안 이슈
| 구분 | 정보보안 이슈 | 설명 |
| 키관리 | 키 도난 및 분실 | 키에 대한 도난 및 분실은 어느 보안시스템이나 항상 중요한 이슈 중에 하나이다. 공격자에게 키를 도난 당하거나 분실된 키가 악용될 경우 자산 밀 기밀거래 노출 |
| 취약한 키 생성 | 키 생성 알고리즘의 취약성으로 인해 키 재생공격이 가능 | |
| 거래검증 및 합의 | 합의 가로채기 | 참여자 중 과반수를 장악하여 블록체인의 합의 과정 을 조작할 수 있다. |
| 사이드 체인내 비정상거래 발생 | 메인 체인에서 유효하지 않은 자산이 *사이드 체인 에서 거래 가능 |
|
| 참여자 권한 관리 |
개인정보 침해 | 거래정보에 대한 참여자의 접근건한 관리 부족으로 인해 개인정보 침해가능성 존재 |
| 권한 오남용 | 참여자의 내외부 권한관리 부족 시 금융회사 및 내부 직원에 의한 귬융사고 발생 가능 |
|
| 블록체인 SW보안 |
블록체인 SW취약점 | 블록체인 SW 자체에 보안 취약점이 존재할 경우 키 도난, 합의조작, DDoS 공격 가능 |
| 스마트 컨트렉트 취약점 | 스마트 컨트랙트에 취약점이 존재할 경우 자산유출 ,개인정보침해, DDoS 공격 가능 |
|
| 서비스보안 | 분산 서비스 공격 | 다수 참여자가 악성코드 등을 통해 공격자에게 장약시 대량의 스팸거래 발생으로 인해 블록체인 서비스가 중단될 수 있다. |
| 가용성 저하 | 블록체인 자체가 속도가 느린게 단점 거래급증으로 인해 속도저하 등 가용성에 문제가 생길 수 있음 |
|
| 비정상거래 탐지 불가 | 비정상거래에 대한 탐지기술이 아직 부족하여 사기 거래, 자금세탁, 이중지불 등의 사고 발생 가능. |
|
| 상호 운용성 미제공 | 블록체인 간 자산교환, 기능 확장 등 연계 필요시 책임주체 및 표준규격이 명확하지 않아 예상치 못한 보안위협 발생 가능 |
|
| 컴플라이언스 이슈 |
보안사고시 책임 불분명 | 현재 전자금융거래법상 블록체인을 통한 분산환경 에서 발생한 보안사고에 대한 책임소재 불분명 |
| 개인정보 파기문제 | 블록체인 기술의 특성상 거래 종료 후 과거 블록의 파기가 어려움. |
|
| 개인정보 법규준수 | - 개인정보보호법, - 신용 정보의 이용 및 보호에 관한 법률, - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 준수 필요 |
|
| 개인정보 식별문제 | 금융기관과 민간기관, 공동기관이 공동을 분산원장 을 보관하는 경우 분산환경에서 개인정보 식별문제 발생 |
* 사이드 체인 (SideChain) 이란 ?
비트코인(bitcoin)의 탄생은 획기적이기는 하지만 모든 최초 탄생이 그랬듯이 고유한 한계점을
가지고 있다.
<한계점>
① 속도가 느리다
② 오직 비트코인 블록체인 위에서는 오직 비트코인 만이 이체가 가능하다. 따라서
이종화폐와 교환할려면 결국 중앙화된 웹거래소를 이용해야하는데 이는 결국
블록체인이 가진 보안적 ,탈중앙화적 이점을 부정하는 셈이 된다.
③ 비트코인 블록체인에서 사용할 수 있는 기능이 제한적이다.
④ 비트코인은 로직을 수정하기에는 감담이 안된다..
⑤ 비트코인 상에서 일어나는 모든 거래는 기밀이 유지 안된다.
<한계점을 극복하고자 고안한 것이 바로 사이드 체인>
이러한 한계점을 갖고 있는 비트코인이지만 그렇다고 비트코인을 안 쓸수는 없다.
왜냐 암호화폐계의 기준통화나 다름 없기 때문이다. 따라서 생각해 낸것이 바로 비트코인을
다른 블록체인에서 거래를 하는 방법이다.
비트코인이 이더리움 블록체인에 올라갈 수 있다면, 다양한 스마트 컨트랙트(Smart Contract)나
탈중앙화 어플리케이션(DApp)에서 사용될 수 있을 것이다. 비트코인의 속도가 걱정이 된다면,
속도가 빠른 다른 블록체인에 비트코인을 올려서 사용하면 될 것이고 응용성을 원한다면
이더리움(Ethereum)에, 기밀성을 원한다면 대쉬코인(Dashcoin) 등의 블록체인에 올려서
거래를 하면 될 것이다.
비트코인의 소유자가 해당 코인을 이더리움 블록체인 위에 올려서 거래하고자 할 경우,
비트코인 블록체인에 있는 비트코인을 '동결(Freeze)'시키고 이더리움 블록체인 위에서
이 비트코인에 해당하는 '상응물(counterpart)'을 만들어 거래할 수 있도록 하는 것이다.
이후 거래된 '상응물'의 소유자는 비트코인 블록체인에 있는 진짜 비트코인으로 이 상응물을
교환해 갈 수 있다.
즉, 비트코인 블록체인의 비트코인을 동결하고, 이에 상응하는 코인을 사이드체인에 생성해서,
사이드체인 위에서 사이드체인의 혜택을 누리며 거래를 하고, 이를 마치면 다시 해당 상을물로
비트코인 블록체인의 비트코인을 수령하는 것이다.
(위의 경우 이더리움이 곧 사이드체인이 되는 셈이다)
'정보보안' 카테고리의 다른 글
| 소프트웨어 개발 보안 (0) | 2019.11.17 |
|---|---|
| 해시값(Hash Value)과 해시함수(Hash Function) (0) | 2019.11.09 |
| 디지털 윤리(Digital Ethics)와 개인정보보호(Privacy) (1) | 2019.11.03 |
| 양자암호통신 (0) | 2019.10.21 |
| ISMS 와 ISMS-P (0) | 2019.10.12 |
