‘플레이코인’ 김호광 대표 칼럼 [연재2] ‘비트코인 제로데이’와 메인넷의 딜레마

성장하는 스타트업에 있었던 필자는 몇 차례의 사무실 확장 이전을 경험했다. 빠르게 확장하는 스타트업의 경우 성장의 속도를 예측하기 쉽지 않기 때문에 넉넉한 사무실 공간을 준비한다고 하더라도 금세 부족하기 마련이다.

사업 확장도 바쁜데 사무실 임대차 계약에서도 정해진 기간보다 짧게 이전하기 때문에 여러 가지 손해를 보기 마련이었다. 임차 기간이 남았지만 새로운 인력이 일할 공간이 없어서 기존 임대 보증금을 손해 보고 이전했다. 작은 스타트업으로서 몇 달 치 임대료와 부동산 수수료조차 부담스러웠던 것이 사실이었다.

공유 오피스 공간인 위워크(WeWork)는 스타트업이 시작될 때 사무실 임대에 대한 문제를 슬기롭게 풀었다. 위워크는 스타트업에게 바로 일할 수 있는 공간을 임대하여 성공을 거두었다. 위워크는 고정 좌석뿐아니라 다양한 형태의 이용 방식으로 스타트업이 사용한 만큼 비용을 내는 형태로 스타트업이 가진 급격한 사업 확장과 축소를 가능하게 했다.

비트코인의 대중화 이후, 블록체인에서 여러 코인들이 독자적인 네트워크를 구성했다. 문제는 블록체인 노드를 확장하고 관리하고, 보안 취약점을 패치하는 것이 그리 쉬운 일이 아니었다는 것이다. 이더리움은 이 문제를 위워크처럼 공유 경제로 문제에 접근했다.

■ 이더리움, 공유경제로 접근 ‘성공’...환전 쉬운 코인 노리는 해킹 등장

이더리움은 블록체인 프로젝트들에게 이더리움 네트워크를 빌려주고 사용할 때마다 이용료(Gas 비용)를 받았다. 마치 공유 경제의 대표 주자인 위워크처럼 잘 만든 블록체인 메인 네트워크를 이용한 만큼 비용을 받는 형태로 임대해준 것이다. 이렇게 이용하는 블록체인을 댑(DApp)이라고 한다.

이런 이더리움의 DApp은 블록체인 프로젝트가 메인넷을 구축하지 않고 사업에만 집중하도록 했기 때문에 성공을 거둘 수 있었다. 많은 블록체인 프로젝트들이 이더리움 메인넷을 이용하여 성공을 거두었다.

블록체인 개발의 아이디어와 사업만 생각한다면, 메인넷을 만들고 검증할 필요 없이 위워크처럼 메인넷을 임대하여 사용하면 된다. 이것이 이더리움의 성공의 한 축이 되었다. 이더리움 생태계는 이더리움 메인넷을 이용하고자 하는 많은 DApp들로 붐비게 되었다.

성공적인 메인넷은 메인넷을 이용하는 트랜잭션과 Dapp이 이용하는 전송 수수료로 이더리움의 성공처럼 엄청난 부를 보장한다. 하지만 메인넷은 생각보다 경제적, 기술적으로 쉽지 않다.

가장 큰 문제는 해킹이다. 해커들은 환전이 용이한 코인을 노린다. 특히 메인넷의 취약점은 노린다.

메인넷의 취약점을 이용한 공격은 이더리움 역시 여러 차례 당했다. 이더리움 재단은 이런 공격 속에서 이더리움 메인 네트워크의 보안을 강화하고 견고하게 만들었다. 이 과정에서 이더리움의 가격은 폭락했고 단기적으로 투자자들은 큰 손실을 봤다.

이런 보안 강화는 오픈 소스인 이더리움에 기여하는 수많은 개발자들의 헌신적인 노력이 있었다. 일부 메인넷의 경우 해커의 공격 후 분실된 코인을 제대로 회수하지 못하거나 블록체인 참여자들의 신뢰를 회복하지 못해서 붕괴되는 경우도 많았다.

블록체인 메인넷에 참여하는 개발자의 수가 메인넷 개발의 절대적인 활성화 지표가 될 수 없지만, 많은 메인넷이 개발에 기여하는 개발자가 소수일 경우 상대적으로 위기 대응은 경험적으로 빠르지 않았다. 소수의 개발자가 방대한 알고리즘의 총합인 블록체인 코어 취약점 이슈에 대한 대응은 어려울 수밖에 없다.

■ 보안 패치 안되는 외주 메인넷 심각...글로벌 아웃소싱인가? 양산형인가?

비트코인은 다양한 채굴형 메인넷에게 영향을 미쳤다. 공개적으로 비트코인 코어를 이용해서 개발한 경우와 소스를 참고하여 언어만 변경한 경우가 있다. 이는 양심적인 축에 들어간다.

비트코인 코어를 공유하는 Qtum의 경우 비트코인 코어의 취약점이 발생하자, Qtum 개발팀은 긴급히 대응하여 3일 내에 보안 업데이트를 했다. 하지만 많은 채굴형 코인들은 이 보안 업데이트를 적용하지 않고 있다. 언제든 노드가 적고 패치가 되지 않는 블록체인에 공격이 발생할 소지가 있다.

공개적으로 비트코인 코어를 사용했다고 밝힌 블록체인 외에 특정 버전의 소스를 가져오고 주석을 지운 상태에서 운영하는 블록체인도 있다. 이 경우 버전 업데이트를 쫓아갈 능력이 없는 외주팀이 외주를 한 경우가 많다. 구글의 스타 개발자 제프 딘의 소스에 저작권 주석을 지우고 자신들이 저작권을 가졌다고 표시한 경우도 있을 정도로 저작권에 무지한 경우도 있었다.

왜 이런 일이 벌어지는지 알기까지 오래 걸리지 않았다. 필자는 TOP 100 안의 블록체인 메인넷 여러 개가 외주로 만들어진 사실을 어느 블록체인 메인넷 개발자들 모임에서 때 알게 되었다. 우연치않게 그들의 구조적인 취약점을 지적하다가 소스가 어디서 왔고 비트코인 취약점 버전을 사용한 것을 알게 된 것이다.

중국에서 만난 모 메인넷 재단의 경우 처음 소스를 미국의 개발자에게 외주로 개발했다고 내게 고백했다. 이 메인넷은 개발자 서너 명이 힘들게 업데이트하고 있었다. 이들은 구버전 비트코인 코어 소스를 공유하고 사용하고 있지만, 이번 비트코인 취약점 업데이트조차도 제대로 하지 못하고 있다.

보안 패치와 유지보수가 되지 않는 메인넷은 심각한 문제를 야기한다. 양산형 RPG가 게임 시장을 망쳤듯이 신뢰 기반의 블록체인 시장을 붕괴시킬 수 있다. 외주로 만들어진 메인넷은 블록체인이 표방하는 투명성과 오픈소스 정신과 거리가 있다. 특정 외주팀의 경우 여러 메인넷 외주를 해서인지 동일한 보안 버그뿐 아니라 오타 역시 동일하게 발견되고 있다. 메인넷이 제공하는 지갑 역시 동일한 보안 취약점에 노출되고 있다.?

그래서 메인넷 코어 소스에 관여하는 개발자가 십 여명 이하이고 제대로 커밋하는 개발자가 적을 경우 필자는 주의해서 보는 편이다. 개발자가 많다는 것은 긴급한 제로데이 버그에 대처할 개발 인력이 상대적으로 충분하다는 것이다.

잘 나가는 메인넷이고 개발자 생태계가 활발한 EOS의 경우 코어 소스에 기여하는 개발자가 200명 내외이다. 비트코인 역시 600명 수준이다. 코어 소스를 수정하고 기여하는 진짜 핵심 개발자를 꼽는다면 EOS와 비트코인 역시 십 여명 수준의 작은 숫자에 불과하다.

그렇기 때문에 개발자가 적은 메인넷은 더욱 제로데이 대처 능력이 떨어질 수밖에 없다. 블록체인 업계 역시 리눅스 커널 기여자가 소수인 것처럼 핵심 개발자를 구하기 쉽지 않고 잘 나가는 프로젝트에 좋은 인재가 몰리는 부익부 빈익부인 상황이다. 그래서 경쟁에서 밀리고 보안 패치가 원활하게 되지 않는 메인넷은 해커들의 공격에 속절없이 상장 폐지되거나 문을 닫을 수밖에 없다.

메인넷은 라이브 서비스 과정에서 해커들의 많은 도전을 받는다. 비트코인과 이더리움 역시 이런 도전을 겪고 지금의 지위에 올랐다. 우리가 생각할 수 없는 다양한 공격과 수학적 증명과 가설을 능가하는 공격자들이 존재하는 곳이 블록체인의 메인넷이다. 블록체인의 특성상 현금화가 쉽고 익명성이 있기 때문에 무자비하고 잔인한 공격들이 일어나고 있다.

앞으로 큰 문제는 비트코인 0.16.3 업데이트를 하지 못한 비트코인 코어 메인넷과 비트코인 메인넷 소스를 가지고 만들었지만 출처를 밝히지 않은 메인넷이다. 왜냐면 0.16.3 이하 버전에서는 블록생성 검증 루틴을 우회할 수 있기 때문이다. 게임 아이템, 게임 머니 복사가 발생하는 것처럼 비정상적인 토큰, 코인이 만들어질 수 있다. 마운트콕스 해킹 사태가 비트코인의 암흑기를 만들었듯이 비트코인 코어의 취약점을 이용한 복사 코인 생성 공격이 대량으로 발생할 경우 블록체인 시장은 신뢰를 잃어버릴지도 모른다.

메인넷을 만들었다고 이제는 기술력을 증명하지 않는다.

■ EOS와 ICON - 3세대 메인넷 게임 체인저 될 수 있을까?

메인넷이 쉽지 않은 도전이라는 것은 EOS의 사례를 보면 알 수 있다. 최근 EOS 거래 내역이 누락(transaction not found)되는 사태가 발생하고 있다. 이 때문에 많은 거래소가 이오스 전송에서 알 수 없는 에러와 소비자 보상으로 인한 거래 손실을 봤다.

EOS가 타 주소로 거래가 된 것처럼 보이지만 게임 머니 복사처럼 무한대로 복사가 되는 경우가 생겼기 때문이다. 이는 코인 위변조가 불가능한 블록체인에서 거래 내역에 대한 신뢰를 할 수 없다는 말이라 문제가 된다.

이 때문에 일부 가상화폐 거래소는 EOS로 거래된 내역에 대해서 출금을 막거나 지연 출금 조치를 취했다. 모 거래소의 경우 EOS 출금을 일시 중지시키는 조치를 취했다. EOS 메인넷 개발자들은 이런 버그로 인한 사태 수습과 거래소와 긴밀한 협력에 많은 노력을 했다고 들었다. 메인넷은 메인넷 독자적인 문제에서 벗어나 거래소와 다양한 블록체인 생태계에 파급력이 점점 커지고 있다. 그렇기에 메인넷 개발과 운영은 생각보다 더 힘들다.

최근 ICON 관련 비판글이 SNS를 넘어서 뉴스로 화자 되었다. 새로 공유 오피스 사업을 시작한다면, 공유 오피스 공간을 채우기까지 많은 시간이 걸린다. ICON 역시 새로운 메인넷 생태계를 만들고 DApp을 확장하기 위한 준비를 하고 있다. 당연히 트랜잭션이 한가할 수밖에 없다. EOS, 이더리움과 비교했을 때 트랜잭션이 적은 것은 메인넷의 기본 기능이 부족하다는 전제가 될 수 없다.?

이는 다른 신규 메인넷의 경우 사정이 비슷하다. 대부분의 트랜잭션이 탈중앙화된 거래가 아니라 중앙화된 거래소에서 발생하기 때문에 메인넷의 트랜잭션은 이더리움에 비해 확실히 적을 수밖에 없다. 필자가 ICON을 지지하고 응원하는 이유는 메인넷 뒤편에 B2B와 B2G를 위한 프라이빗 블록체인 기술을 ICON에서는 시도하고 도전하고 있기 때문이다. 아이콘이 퍼블릭 체인을 넘어 기업과 공공 기관에서 사용되는 블록체인된다면 이더리움을 넘어 게임 체인저가 될 수 있다고 본다.

비트코인의 역대급 제로데이 취약점이 발표되면서 얼마나 많은 비트코인과 비트코인의 이복형제들이 긴급 패치를 하는지 지켜봤다. 채굴을 주 수익으로 생각하는 메인넷들 중 상당수가 상당히 낮은 버전의 비트코인 코어를 지금까지 유지하고 있었다. 이들은 곧 유동성이 좋고 현금화가 빠른 코인 순서대로 해커들의 먹이가 될 것이 분명하다.

블록체인은 비트코인의 버전을 보듯이 아직 1.0이 되지 않았다. 하지만 이런 해커의 공격과 수비를 바탕으로 새로운 시장이 우리에게 열리고 있다. 닷컴 버블이 있었을 때 많은 한국의 스타트업 대표들이 비정상적인 사업으로 매도당하고 말았다. 그러나 닷컴 버블에서 구글과 아마존과 같은 혁신 기업이 탄생했다.

우리는 위워크와 같은 공유 오피스를 통해 빠르게 스타트업에 필요한 임대 공간, 커뮤니티를 가질 수 있는 시대다. 위워크는 소비자의 요청에 따라 중요 지역에 빌딩을 매입하고 리모델링하며, 새로운 서비스를 지속적으로 공급하여 스타트업의 성장을 지원하고 있다. 메인넷은 공유 오피스와 같은 사업이다. 좋은 블록체인 메인넷은 위워크와 같이 바로 건전한 생태계와 빠른 보안 패치가 되는 메인넷이라고 정의할 수 있다.

블록체인은 시장의 거대한 흐름이 되고 있다. 스타트업을 위한 위워크처럼 문제점으로 지적되는 것은 언제나 그렇듯 오픈 소스의 열린 생태계가 빠르게 수정하고 보완할 것이다.

기사출처: 게임톡

오하영 기자

더 빠른 정보를 받고 싶거나
다이렉트 문의를 원하시면
공식 SNS로 문의 바랍니다.
오픈카톡: https://open.kakao.com/o/gc1wwdS
공식밴드: https://band.us/band/67061288?invitation_url_id=afaaX8K3Uet0w
텔레그램: https://t.me/BlockChaintodayMagazine