UPDATED   2019. 11. 12(화) 18:08
페이지상단으로이동

[단독]아이콘루프 ‘루프체인’ 보안 취약점 발견…“코인, 휴짓조각 가능성”

    • 김수찬·신용수 기자
    • |
    • 입력 2019-01-22 19:24
▲450억 원에 가까운 ICO(암호화폐 공개)를 진행한 블록체인 프로젝트 ‘아이콘루프(ICON)’에서 치명적인 취약점이 발견됐다는 보고서가 나왔다. (사진출처=아이콘루프 홈페이지)

450억 원에 가까운 ICO(암호화폐 공개)를 진행한 블록체인 프로젝트 ‘아이콘루프(ICON)’에서 치명적인 취약점이 발견됐다는 주장이 제기됐다.

네트워크 보안상에 심각한 취약점이 존재하면 블록체인 합의 프로토콜 전체가 흔들린다. 악의적인 의도가 있는 사용자가 악성 거래를 성사시키거나 네트워크 자체를 붕괴시킬 수 있다. 이러한 취약점으로 아이콘루프가 발행한 암호화폐가 휴짓조각에 가까울 정도로 가치가 떨어질 수 있다는 지적이다.

22일 암호화폐·블록체인 보안 검수 업체 ‘어뎁트(ADEVT)’는 국내 블록체인 프로젝트에 관한 연구 자료를 내놨다.

이 보고서는 국내 블록체인 아이콘 프로젝트의 코어 엔진인 ‘루프체인’을 기술적으로 접근해 분석했다. 특히 백서 일치성과 보안성에 중점을 뒀다.

보고서에서 지적한 아이콘루프의 문제점은 크게 두 가지다. ‘원격제어삽입 공격 가능성’과 ‘악성 코드로 인한 시스템 자원의 직접적 위협 가능성’이다.

(▲사진제공=어뎁트)

◇원격제어삽입 공격·악성코드 위협…루프체인 네트워크 전체 장악 가능

보고서는 루프체인에 심각한 취약점이 존재해 네트워크에 치명적인 장애를 일으킬 수 있다고 했다.

원격제어삽입 공격(Remote Command Injection)으로 불리는 이 취약점은 일반 노드가 리더 노드 혹은 네트워크를 통제하는 관리 노드(Radio Station)를 오염시킬 수 있다. 악의적인 의도를 가진 사용자가 노드의 접근 권한을 가지게 되면 모든 노드를 오염시켜 악성 거래를 성사시킬 수 있게 된다.

보고서에 따르면 취약점의 원인은 루프체인의 핵심 구성 요소에 사용 중인 서드-파티 라이브러리(다른 업체나 제삼자가 만든 툴 지원 시스템)에 있었다. 루프체인은 정보 송수신 과정에서 ‘피클(pickle)’이라는 서드-파티 라이브러리를 사용하고 있다. 피클은 프로그래밍 언어 ‘파이선’에서 데이터를 저장하고 불러올 때 사용되는 라이브러리다.

이제형 어뎁트 대표는 “루프체인의 코드를 살펴본 결과 피클 서드파티 라이브러리를 사용한다는 사실이 확인됐다”면서 “피클의 개발자 문서를 살펴보면 비신뢰 환경에서는 절대 사용하지 말라고 경고하고 있다”고 말했다.

이 대표는 “피클의 취약점은 14년이 지난 후에도 빈번하게 발견되고 있다”며 “원격제어삽입 공격은 공격자가 운영체제를 통해 목표 시스템의 파괴와 서비스 정지는 물론 작동 권한을 완전히 장악할 수도 있다는 것”이라고 설명했다.

아이콘 측이 피클 라이브러리를 쓴 이유는 속도를 높이기 위함으로 보인다.

정인우 어뎁트 이사는 “피클 라이브러리 개발자 문서를 보면 비 신뢰 환경에서는 절대 사용하지 말라는 경고를 해놨다”며 “신뢰를 기반으로 한 블록체인 합의 알고리즘상에서 보안상 문제가 있는 시스템을 사용한다는 것은 치명적인 판단 오류”라고 꼬집었다. 원격제어삽입 공격으로 루프체인을 장악하면 코인을 무한정 발행도 가능하며 코인 가치를 ‘0’으로 만들 수도 있다는 의미다. 악의적인 공격자가 네트워크를 장악하면 어떤 일이 벌어질지는 아무도 모른다.

악성코드 탓에 시스템 자원에 위협이 될 수 있다는 의견도 나왔다. 보고서는 “아이콘루프의 스마트 콘트랙트인 ‘SCORE’가 제대로 된 샌드박싱이 이뤄지지 않아 악성코드가 시스템 자원에 직접적인 위협을 가할 수 있다”고 했다.

‘샌드박싱’은 가상컴퓨터와 같은 분리된 환경에서 프로그램을 작동시켜 악성 행위나 에러가 직접 물리 시스템에 영향을 미치지 못하게 하는 것을 말한다. 이러한 ‘물리적 분리’가 제대로 이뤄지지 않으면 전체 서버에 해킹과 같은 위협을 가할 수 있게 된다.

▲ 김종협 아이콘 재단 이사. (사진=조용기 기자)

◇아이콘 제휴사 서울시·관세청·네이버 등 고민 깊어질 듯

아이콘루프 내에서 발생한 보안 취약점은 단순히 루프체인만의 문제로 멈추지 않는다. 아이콘루프와 직간접적으로 제휴를 맺은 업체들에도 영향을 끼칠 수 있다.

아이콘루프는 2016년 설립된 국내 블록체인 1세대 업체다. 2017년 9월 인터체인(서로 다른 블록체인 간 연결)에 특화된 메인넷 프로젝트 ‘아이콘’으로 ICO를 진행해 약 450억 원 규모의 자금을 끌어들였다. 현재 아이콘은 22일 코인마켓캡 기준 시가총액 상위 44위(약 1204억 7400만 원)에 달한다.

아이콘은 선거관리위원회의 ‘지능정보기술 기반의 차세대 선거 시스템 구축 정보화 계획 수립’ 사업 블록체인 부문 컨설팅 참여 사업자, 서울시 ‘블록체인 표준 플랫폼 도입’ 시범 사업자, 관세청의 물류 시범사업자 등에 참여하고 있다.

또 네이버 라인이 구축한 블록체인 메인넷 ‘링크체인’에 아이콘의 합의 모듈과 스마트 콘트랙트 모듈을 적용했다.

정인우 어뎁트 이사는 “현재 발견된 아이콘루프의 취약점으로 모든 데이터가 공격을 당할 수 있다”면서 “합의 알고리즘 자체가 흔들리는 상황”이라고 우려했다.

또 “국가기관과 은행은 보안을 가장 중요시한다”면서 “아이콘루프가 취약점을 극복하지 않는다면 채택할 가능성은 적다고 본다”고 관측했다.

한편 어뎁트는 최근 아이콘루프가 진행하는 P-REP 선출에 대해서도 우려를 표했다. P-Rep은 일종의 블록 생성자로 네트워크 대표자 역할을 맡는다.

이 대표는 “현재 발견된 보안 취약점을 살펴보면 P-Rep이 악의적인 마음을 품으면 루프체인을 장악할 수도 있다”면서 “보안취약점을 확인한 악의적 사용자가 P-Rep에 지원해 진출할 경우를 상상해보라”고 강조했다.

김수찬 기자 [email protected] 신용수 기자 [email protected]

김수찬·신용수 기자 | [email protected]

닫기