블록체인, 안정성을 고려할 시기

블록체인, 안정성을 고려할 시기
서비스 품질 향상 위해 표준화·평가 기준 연구 추진

2019.10.02 09:54 유성민 IT칼럼니스트 (동국대 국제정보보호대학원 외래교수)

블록체인은 신생 기술이다. 그러므로 사업으로 성공한 사례를 찾아보기는 아직 힘들다. 실제로 경영 컨설팅 전문 기관 ‘맥킨지(Mckinsey)’도 블록체인 사업 성공 사례를 찾아보기 힘들다고 언급했다. 그러나 이는 블록체인 기술 전망성이 없는 게 아니라고 선을 그었다. 단지 블록체인 기술이 신생이기 때문이라고 주장했다.

맥킨지는 블록체인 시장 규모와 성장률에 따라 성장 곡선을 분석했다. 현재 블록체인 1단계인 개척(Pioneering)과 2단계인 성장(Growth) 사이에 있다. 이는 블록체인 서비스 성공 사례가 가시화될 것임을 의미한다.

이처럼 블록체인 사업화까지 바라볼 수 있었던 이유는 블록체인만의 고유 가치가 있기 때문이다. 신뢰성이 이에 해당한다. 신뢰성이 블록체인 사업 모델에 핵심 가치로 부각된 셈이다. 그런데 이러한 가치는 서비스 제공에만 있어서는 안 된다. 블록체인 시스템 자체적으로 신뢰성을 가질 필요가 있다. 품질 신뢰성도 신경 써야 한다는 뜻이다.

품질 신뢰성은 서비스 확장에 중요하다. 시스템 신뢰성이 입증돼야 주요 서비스에 적용할 수 있다. 그뿐만 아니라, 사용자는 신뢰성이 보증돼야 해당 서비스를 사용할 수 있다.

블록체인 품질도 취약할 수 있어

이더리움은 취약점으로 손실을 입은 적이 있다. ⓒ Pixabay

블록체인이 신뢰성을 제공하기 때문에 서비스 신뢰성이 높다고 생각할 수 있다. 그러나 두 가지 취약점 내용을 보면, 블록체인 신뢰성 품질 향상이 필요함을 알 수 있다. 코넬대학교는 ‘다수가 충분치 않다: 비트코인 마이닝은 취약하다(Majority is not Enough: Bitcoin Mining is Vulnerable)’이라는 논문을 발표했다.

해당 논문은 비트코인 채굴자가 악의적으로 채굴 보상을 획득할 수 있다는 내용이다. 원리는 단순하다. 악의적인 채굴자가 채굴 사실을 숨기고 계속 쌓아 올린 뒤, 정직한 채굴자가 채굴 사실을 알릴 때 몰래 쌓은 채굴한 사실을 알리는 것이다. 그렇게 되면, 정직한 채굴자는 채굴 보상을 못 받게 된다.

이더리움은 응용 서비스 취약점으로 곤욕을 치른 적이 있다. 2016년 6월 이더리움은 다오(DAO) 서비스 취약점으로 360만 개의 이더리움을 도난당했다. 당시 시세로 640억 원에 달했다. 해커는 다오 잔액과 상관없이 이더를 무한정 생산할 수 있는 취약점을 발견했는데, 이를 악용해 일부 이더리움을 탈취했다.

이처럼 두 가지 취약점 정보는 ‘블록체인 품질 신뢰성이 절대 높지 않음’을 보여준다. 실제로, 이더리움은 다오 해킹 이후에 품질 신뢰성에 신경을 많이 쓰고 있는 듯하다. 작년 8월 이더리움은 콘스탄티노플이라는 신규 버전 업데이트(혹은 하드포크)를 진행한다고 발표했었다. 출시 일정은 작년 11월이었다. 그런데 출시를 두 번이나 연기했다. 이유는 이더리움의 잠재 취약점을 발견했기 때문이다.

ISO와 ITU 중심으로 블록체인 표준화 준비

ITU는 블록체인 개발 권고사항을 위한 표준화를 진행하고 있다. ⓒ Flickr

그럼 블록체인 품질 신뢰성 향상을 위해서는 어떤 작업이 선행돼야 할까? 두 가지 작업이 필요하다. 첫째는 표준화 작업이다. 둘째는 평가 기준 지침 산출 작업이다.

블록체인에 관한 공통된 지식이 필요하다. 표준화는 이러한 작업을 도와준다. 특히 표준화는 두 가지 부분에서 블록체인 품질 향상에 도움을 줄 수 있다. 첫째는 블록체인 개발 방법론을 명확하게 하는 점이다. 이는 개발을 더욱더 용이하게 하여 실수를 줄여준다. 둘째는 공통된 개념 공유는 개발 협업을 도와서 협업에서 발생할 수 있는 실수를 줄인다. 용어의 불일치를 줄이기 때문이다.

현재 표준화 작업은 ‘국제협력기구(ISO)’와 ‘국제통신연합(ITU)’에서 진행하고 있다. ISO는 TC307이라는 하위 조직을 만들고 7개 분과로 나눠서 표준화 작업을 진행케 하고 있다.

ITU는 블록체인 표준화 조직을 2개로 나눴다. ITU-T 스터디 그룹과 ITU-포커스가 이에 해당한다. 전자는 블록체인 개발에 필요한 권고사항을 명시하기 위해 만들어졌다. 참여는 제한적이다. 반면 후자는 블록체인의 이해관계자들이 참여해 표준화를 논의할 수 있도록 만들어졌다. 그래서 참여에 제한이 없다. 다만, ITU-포커스에 나온 내용이 블록체인 개발 권고사항에 포함되지는 않는다.

블록체인 평가 기준도 연구되고 있어

블록체인 평가 기준 연구는 말 그대로 블록체인 평가에 관한 기준을 만드는 것이다. 평가 기준 목적은 블록체인 서비스의 품질 신뢰성을 알기 위함이다. 그런데 이러한 기준은 간접적으로 블록체인 품질 향상에 기여할 수 있다.

블록체인 평가 기준은 개발자가 어떤 항목에 중점을 둬 개발할 수 있을지를 알 수 있게 한다. 특히, 블록체인 평가 기준 요건에서 미비한 부분이 있으면, 블록체인 서비스 제공자는 사용자에게 경쟁력 있는 서비스를 제공하기 위해 해당 부분의 품질을 높이려고 노력할 것이다. 이러한 점은 블록체인의 품질을 향상케 한다.

블록체인 평가 기준도 현재 작업 중에 있다. 국내는 한국블록체인학회가 작년 6월에 평가 기준을 발표했다. 이후 12월에 이를 보강한 평가 기준을 추가로 제시했다.

블록체인학회는 평가 지표를 크게 네 가지로 나눴다. 토큰 구조 평가, 사업 모델 평가, 조직 평가, 기술 평가 등으로 나눴다. 토큰 구조 평가는 블록체인에 활용되는 토큰의 적합성을 평가하는 항목이다. 사업 모델 평가는 해당 블록체인의 사업 적합성을 평가한다. 조직평가는 블록체인 사업 수행 능력을 평가하는 항목이다. 기술평가는 블록체인의 기술 수준을 평가하는 항목이다.

블록체인학회의 평가 기준은 시스템 자체 품질을 대상으로 하기보다는 사업 전략 수행 부분에 중점을 두고 있다. 일본 경제성은 이와 다르게 블록체인 평가 기준을 내놓았다. 시스템 품질 자체에 관한 기준을 내놓았기 때문이다.

금융보안원은 일본 경제성이 내놓은 블록체인 평가 기준을 분석했다. 이에 따르면, 품질, 보수 그리고 비용을 대항목으로 나눠서 분석하고 있다. 특히 일본 경제성은 품질 항목에 많은 기준을 제시했는데, 이는 품질에 중점을 두고 있음을 알 수 있게 한다. 참고로 품질 항목에 20개의 소항목의 평가 기준으로 두고 있다.

그 외에도 여러 기관에서 블록체인 평가 기준을 제시하고 있다. KPMG는 10개 항목을 5점 척도로 만들어 블록체인 시스템 안정성을 평가하는 방법론을 제시했다. 국제웹보안표준기구(OWASP)는 블록체인 보안성에 중점을 뒀다. 블록체인 보안 부분의 품질 검증을 위한 방법론을 간략히 제시했다.

(1576)