블록체인 보안이란 무엇인가요?

블록체인 기술은 내재적인 보안 특성을 가진 데이터 구조를 생성합니다. 이는 거래의 신뢰를 보장하는 암호화, 탈중앙화, 합의의 원칙을 기반으로 합니다. 대부분의 블록체인 또는 분산 원장 기술(DLT)에서 데이터는 블록으로 구조화되며 각 블록에는 트랜잭션 또는 트랜잭션 묶음이 포함됩니다.

각각의 새로운 블록은 변조가 거의 불가능한 방식으로 암호화 체인에서 그 이전의 모든 블록에 연결됩니다. 블록 내의 모든 거래는 합의 메커니즘에 의해 검증되고 합의되며, 각 거래가 진실하고 정확한지 확인합니다.

블록체인 기술은 분산된 네트워크 전반에서 구성원의 참여를 통해 탈중앙화를 가능하게 합니다. 단일 장애 지점이 존재하지 않으며 한 명의 사용자가 거래 기록을 변경할 수 없습니다. 그러나 블록체인 기술은 몇 가지 중요한 보안 측면에서 차이가 있습니다.

블록체인 네트워크는 참여할 수 있는 사람과 데이터에 액세스할 수 있는 사람이 다를 수 있습니다. 네트워크는 일반적으로 참여가 허용되는 사람을 설명하는 퍼블릭 또는 프라이빗으로 레이블이 지정되고, 참가자가 네트워크에 액세스하는 방법을 설명하는 허가형 또는 비허가형으로 분류됩니다.

퍼블릭 블록체인 네트워크는 일반적으로 누구나 참여할 수 있으며 참가자는 익명을 유지할 수 있습니다. 퍼블릭 블록체인은 인터넷에 연결된 컴퓨터를 사용하여 트랜잭션의 유효성을 검사하고 합의를 도출합니다. 비트코인은 아마도 블록체인의 가장 잘 알려진 예일 것입니다. 비트코인은 '비트코인 채굴'을 통해 합의를 달성합니다.

비트코인 네트워크의 컴퓨터, 즉 '채굴자'는 복잡한 암호화 문제를 해결하여 작업 증명을 생성하고 거래를 검증합니다. 이러한 유형의 네트워크에는 공개 키를 제외하고는 신원 및 액세스 제어가 거의 없습니다.

프라이빗 블록체인은 신원을 사용하여 회원 자격 및 액세스 권한을 확인하며, 일반적으로 알려진 조직만 참여할 수 있도록 허용합니다. 이러한 조직은 함께 회원 전용의 비공개 '비즈니스 네트워크'를 형성합니다. 허가된 네트워크의 프라이빗 블록체인은 알려진 사용자가 거래를 검증하는 '선택적 승인'이라는 프로세스를 통해 합의를 달성합니다. 특별한 액세스 권한을 받고 승인을 받은 회원만 거래 원장을 유지할 수 있습니다. 이 네트워크 유형은 더 많은 신원 및 액세스 제어가 필요합니다.

블록체인 애플리케이션을 구축할 때는 어떤 유형의 네트워크가 비즈니스 목표에 가장 적합한지 평가하는 것이 중요합니다. 프라이빗 및 허가형 네트워크는 엄격하게 제어할 수 있으며 규정 준수 및 규제상의 이유로 선호됩니다. 그러나 퍼블릭 및 비허가형 네트워크는 더 큰 탈중앙화 및 분산을 달성할 수 있습니다.

해커와 사기범은 피싱, 라우팅, 시빌(Sybil), 51% 공격의 네 가지 주요 방식으로 블록체인을 위협합니다.

피싱은 사용자의 자격 증명을 탈취하기 위한 사기 시도입니다. 사기범은 지갑 키 소유자에게 합법적인 출처에서 보낸 것처럼 보이도록 디자인된 이메일을 보냅니다. 이메일은 가짜 하이퍼링크를 사용하여 사용자에게 자격 증명을 요청합니다. 사용자의 자격 증명 및 기타 민감한 정보에 액세스하면 사용자와 블록체인 네트워크에 손실이 발생할 수 있습니다.

블록체인은 실시간 대규모 데이터 전송에 의존합니다. 해커는 인터넷 서비스 제공업체로 전송되는 데이터를 가로챌 수 있습니다. 라우팅 공격에서 블록체인 참여자는 일반적으로 위협을 확인할 수 없으므로 모든 것이 정상적으로 보입니다. 그러나 사기범들은 이면에서 기밀 데이터나 화폐를 빼내갑니다.

시빌 공격에서 해커는 수많은 허위 네트워크 ID를 생성하고 사용하여 네트워크에 과부하를 일으키고 시스템을 다운시킵니다. 시빌은 다중인격 장애 진단을 받은 유명한 책 속 인물을 말합니다.

채굴에는 특히 대규모 퍼블릭 블록체인의 경우 엄청난 양의 컴퓨팅 파워가 필요합니다. 그러나 한 채굴자 또는 채굴자 그룹이 충분한 자원을 모으면 블록체인 네트워크의 채굴 파워의 50% 이상을 확보할 수 있습니다. 50% 이상의 파워를 가진다는 것은 원장을 통제하고 조작할 수 있다는 것을 의미합니다.

참고: 프라이빗 블록체인은 51% 공격에 취약하지 않습니다.

오늘날의 디지털 세계에서는 블록체인 설계와 환경 모두의 보안을 보장하기 위한 조치를 취하는 것이 필수적입니다. X-Force Red 블록체인 테스트 서비스가 바로 이러한 작업을 도와드릴 수 있습니다.

엔터프라이즈 블록체인 애플리케이션을 구축할 때는 기술 스택의 모든 계층에서 보안과 네트워크에 대한 거버넌스 및 권한을 관리하는 방법을 고려하는 것이 중요합니다. 엔터프라이즈 블록체인 솔루션을 위한 종합 보안 전략에는 기존 보안 제어 및 기술 고유 제어를 사용하는 것이 포함됩니다. 엔터프라이즈 블록체인 솔루션에 특화된 보안 제어는 다음과 같습니다.

• 신원 및 액세스 관리
  
  
• 키 관리
  
  
• 데이터 프라이버시
  
  
• 보안 통신
  
  
• 스마트 계약 보안
  
  
• 거래 승인

규정을 준수하고, 안전한 솔루션을 설계하고, 비즈니스 목표를 달성할 수 있도록 도와주는 전문가를 고용하세요. 온프레미스 또는 선호하는 클라우드 공급업체 등 원하는 기술 환경에 배포할 수 있는 블록체인 솔루션 구축을 지원하는 프로덕션급 플랫폼을 찾아보세요.

블록체인 솔루션을 설계할 때는 다음과 같은 주요 질문을 고려하세요.

• 참여 조직 또는 구성원을 위한 거버넌스 모델은 무엇인가요?
  
  
• 각 블록에는 어떤 데이터가 캡처되나요?
  
  
• 관련 규정 요건은 무엇이며 어떻게 충족할 수 있나요?
  
  
• 신원 정보는 어떻게 관리되나요? 블록 페이로드는 암호화되나요? 키는 어떻게 관리되고 해지되나요?
  
  
• 블록체인 참여자를 위한 재해 복구 계획은 무엇인가요?
  
  
• 블록체인 클라이언트의 참여에 대한 최소한의 보안 태세는 무엇인가요?
  
  
• 블록체인 블록 충돌을 해결하기 위한 로직은 무엇인가요?

프라이빗 블록체인을 구축할 때는 안전하고 복원력이 뛰어난 인프라에 배포해야 합니다. 비즈니스 요구사항과 프로세스에 맞는 기반 기술을 잘못 선택하면 취약성으로 인해 데이터 보안 위험이 발생할 수 있습니다.

비즈니스 및 거버넌스 위험을 고려하세요. 비즈니스 위험에는 재정적 영향, 평판 요인 및 규정 준수 위험이 포함됩니다. 거버넌스 위험은 주로 블록체인 솔루션의 탈중앙화된 특성에서 비롯되며, 이를 위해서는 의사 결정 기준, 관리 정책, 신원 및 액세스 관리에 대한 강력한 통제가 필요합니다.

블록체인 보안은 블록체인 네트워크 위험을 이해하고 이를 관리하는 것입니다. 이러한 통제에 대한 보안을 구현하는 계획이 블록체인 보안 모델을 구성합니다. 블록체인 보안 모델을 만들어 블록체인 솔루션을 적절하게 보호하기 위한 모든 조치를 취하세요.

블록체인 솔루션 보안 모델을 구현하려면 관리자는 모든 비즈니스, 거버넌스, 기술 및 프로세스 위험을 해결할 수 있는 위험 모델을 개발해야 합니다. 그리고 블록체인 솔루션에 대한 위협을 평가하고 위협 모델을 만들어야 합니다. 그런 다음 관리자는 다음 세 가지 범주에 따라 위험과 위협을 완화하는 보안 제어를 정의해야 합니다.

• 블록체인에 고유한 보안 제어 적용
  
  
• 기존 보안 제어 적용
  
  
• 블록체인에 대한 비즈니스 제어 시행

IBM 블록체인 서비스 및 컨설팅은 프라이버시, 신뢰, 보안을 보장하면서 거버넌스, 비즈니스 가치, 기술 요구 사항을 해결하는 블록체인 네트워크를 설계하고 활성화하는 데 도움을 드릴 수 있습니다.