“블록체인 보안 분야, 한국이 국제 표준화 선도 기대”

ITU-T SG17 국제의장 염흥열 교수 인터뷰

 


 

최근 스위스 제네바에서 열린 국제전기통신연합 ITU-T SG17(정보보호) 총회에서 염흥열 순천향대교수팀이 제안한 2건의 ‘분산원장기술(블록체인)’의 보안과 관련한 신규 표준 아이템이 채택되었다. 국내외 블록체인의 정보보안 활용 기법에 대한 관심이 높아지는 가운데, 국제 총회에서 의미 있는 성과를 거둔 염흥열 교수를 만나 이번 연구의 성과와 블록체인의 실용화에 대해 들어보았다.

 


 

김미선 기자  사진 이승재 기자

 

 

Profile

염흥열 교수는

1959년생
한양대 대학원 전자공학 학사(1981년), 석사(1983년), 박사 (1990년)
1982~ 1990년 한국전자통신연구원 선임연구원
1990년~ 현재 순천향대 정보보호학과 교수
2011년 제16대 한국정보보호학회장
2012년~현재 한국정보보호학회 명예회장 
2013년 12월~현재 SCH사이버보안연구센터장
2014년 제7회 대한민국 사이버치안대상 대통령 표창
2016년~현재 국제전기통신연합 ITU-T SG17 의장
2016년~현재 개인정보보호표준포럼 의장

 

Q1. 2016년 국제전기통신연합 전기통신표준화부문연구반17(ITU-T SG17) 의장에 선출된 이후 1년의 세월이 흘렀습니다. 그곳에서 어떤 일을 하고 있으며, 올해(2017년) 이룬 가장 괄목할 만한 성과는 무엇입니까?

“국제전기통신연합(International Telecommunication Union, 이하 ‘ITU’)은 유엔 산하의 국제기구로 글로벌 전기통신 네트워크와 서비스를 다루고 있습니다. 그중에서도 제가 의장직을 맡은 ‘전기통신표준화부문’ SG17은 정보보호에 대한 국제표준을 개발하는 연구반입니다. SG17은 블록체인을 비롯해 사물인터넷(IoT), 지능형 자동차, 핀테크(FinTech), 개인정보보호 등 정보기술(IT) 서비스 및 제품과 관련한 대부분의 보안문제를 다루고 있습니다. SG17은 올해(2017년) 초 12개 연구과제(question)에서 시작했으나, 올해(2017년) 2개를 늘려서 지금은 총 14개의 연구과제가 되었습니다. 새로 만든 2개의 연구과제는 ‘분산원장기술(블록체인)’과 ‘지능형 차량 시스템 보안(ITS)’입니다. 현대자동차가 참여하는 ‘지능형 차량 시스템 보안’ 연구과제는 이미 승인이 완료되었고, ‘분산원장기술’은 내년(2018년) 2월 전기통신표준화자문그룹(TSAG)의 동의를 거쳐 3월에 승인됩니다. 특히, 분산원장기술 연구과제의 신설과 함께 채택한 총 7건의 신규 표준화 작업 아이템 중에 3건을 한국이 에디터를 수임하는 성과를 냈습니다. 의장으로서 그것이 제가 올해(2017년) 이룬 가장 큰 성과가 아닐까 싶습니다. 이는 한국이 국제무대에서 정보보호 표준을 만드는 데 주도적인 역할을 맡게 되었음을 의미합니다. 또한 한국의 금융 서비스가 글로벌 금융 서비스 시장 진출하는 데도 유리한 지위를 차지하는 좋은 기회가 될 것입니다.”

 

Q2. 교수님의 팀에서 제안한 ‘분산원장기술의 보안 보증’과 ‘분산원장기술을 활용한 온라인 투표에 관한 보안 위협’은 어떤 내용입니까?

“분산원장기술(Distributed Ledger Technology, DLT)이란 ‘블록체인’이라고 불립니다. 분산원장기술은 정보를 한곳에 집중하지 않고 여러 곳에 분산해 저장하고, 암호학적 해시 체인으로 정보의 무결성을 보장하는 기술입니다. 그래서 분산원장기술이 블록체인보다 기술적 속성을 좀 더 잘 반영하고 있고 기술 중립적인 용어라고 생각합니다. 다만, 여기서는 일반인들이 이해하기 쉽게 ‘블록체인’이라고 말하겠습니다. 블록체인의 핵심인 보안은 다음 3가지 조건을 충족해야 합니다. 첫째, 한번 데이터가 저장되면 절대 변경할 수 없는 ‘무결성’, 둘째, 그 민감 데이터에 아무나 접근할 수 없도록 하는 ‘암호저장기술’, 셋째, 사용자가 안심하고 사용할 수 있는 ‘안전한 지갑(wallet)’이 그것입니다. 즉, 이 3가지 속성의 안정성을 각 기술 속성별로 등급(1~3등급, 숫자가 높을수록 안전성이 높음)을 매깁니다. 즉, 1등급의 안전성을 지니려면 이런 속성을 지녀야 한다고 표준을 정해 정의한 것이죠. 그것이 ‘분산원장기술의 보안 보증’입니다. 우리는 그 블록체인 자체의 안정성 평가 기술을 개발하고 그 ‘보증수준(assurance level)’을 할당해줍니다.
‘분산원장기술’을 온라인 투표에 활용할 때 발생하는 위협과 보안 요구사항을 식별할 필요가 있습니다. 현재 에스토니아에서는 분산원장기술을 활용한 온라인 투표를 실행하고 있는데, 블록별로 어떤 기능과 위협이 있는지 파악해서 보안 기술을 적용하는 것입니다. 예를 들어 신원 확인에서부터 시작해 투표, 암호화, 계수화, 집계 등 각각의 서버가 존재하는데 그에 따른 위협을 식별해서 어떻게 막아야 하는지 보안기술을 제안하는 것이죠. 앞으로 전 세계 온라인 투표 시스템을 이용하고자 하는 곳은 그 표준에 근거해서 만들면 안전하게 만들 수 있습니다.”

 

Q3. 블록체인의 활용으로 인해 일상생활도 크게 달라질 수 있다고 생각합니다. 교수님이 생각하는 일상의 가장 큰 변화는 무엇일까요?

“가까운 미래에 블록체인기술은 금융, 제조, 공급체인, 정부 등 여러 분야에 활용될 것입니다. 그중에서 가장 대표적인 분야는 ‘금융’입니다. 지금 가장 큰 이슈인 ‘가상화폐’로 대변되는 지불, 결제 등이 확대될 것이라 봅니다. 가상화폐는 은행과 같은 중간 매개체가 없어 거액 송금도 몇 초 만에 빠르고 간편하게 거래할 수 있습니다. 앞으로 더 나아가 중앙은행이 발행하는 디지털 법정화폐가 나올 가능성이 있습니다. 그것에 대한 연구도 ITU가 올해(2017년)부터 시작했습니다. 즉, 비트코인과 같은 가상화폐를 중앙은행에서 발행하는 것입니다. 에스토니아 스타트업은 중앙은행에서 발행하는 EST-COIN이라는 법정화폐를 설계해 에스토니아 정부에 기부하겠다는 계획을 최근 발표했습니다. 또한 두바이 등에서도 중앙은행이 발행하는 디지털 법정화폐를 구현하고 있습니다. 유럽중앙은행(ECB)에서도 디지털 법정화폐 기술의 속성을 살펴보고 적용 가능성을 살펴보겠다고 했습니다. 이제 한국은행에서도 디지털 법정화폐에 대한 구체적인 액션이 필요한 시점이라고 생각합니다.”

 

 

Q4. 블록체인을 이용한 변화 중 금융 이외에 어떤 변화를 기대해볼 수 있을까요?

“모든 분야에 다 적용 가능합니다. 그중에서도 최근 가장 흥미로운 부분은 농수산물 유통 분야입니다. 지금까지 전 세계에서 출하되는 수산물 중에는 원산지가 잘못 표기된 라벨링이 많았습니다.소비자들은 정확한 원산지를 확인하기 힘들어 불안감도 컸습니다. 하지만 앞으로 블록체인 기술을 여기에 활용하면 얘기는 달라집니다. 소비자가 수산물의 라벨만 보고도 수산물이 잡히는 순간부터 우리 식탁에 오르기 전까지 공급 사슬 전체를 투명하게 알 수 있습니다. 또 하나 기대되는 분야는 물류 쪽입니다. 사이버상 하나의 개체와 실제로 물리적 공간에 있는 모든 객체가 연결되는 것입니다. 자동차를 예로 들면, 생산, 판매, 운송, 폐차 등 모든 물리적 공간에서 일어나는 일련의 과정을 모두 블록체인에 넣고 그 정보를 공유하는 것입니다. 그 외에도 보건의료 분야, 통신 분야, 정부 등 그 쓰임의 다양성은 무궁무진할 것입니다.”

 

Q5. 일각에서는 블록체인이 만능은 아니라는 지적도 나오고 있습니다. 그럼에도 불구하고 이처럼 블록체인이 주목받는 이유는 무엇이라고 생각하나요?

“결국은 블록체인 기술을 근간으로 하는 가상화폐인 비트코인의 영향이 크다고 봅니다. 비트코인의 성공 사례를 보고 이 기술이 지불 분야뿐 아니라 다양한 다른 분야에 응용할 수 있다는 걸 깨닫게 된 거죠. 하지만 중요한 건, 본인이 하고자 하는 사업에 블록체인이 정말 필요한가에 대한 판단이 먼저 이루어져야 한다고 생각합니다. 그게 가장 중요한 핵심입니다. 블록체인 기술이 가진 속성(투명성, 무결성, 신속성 등)이 지금 원하는 응용 분야에 딱 들어맞아야 합니다. 무조건 흐름에 따라가는 건 옳지 않습니다. 블록체인의 기술 속성을 잘 인지한 후 적용하라고 말해주고 싶습니다.”

 

Q6. 블록체인 기술을 도입하려는 현 금융 분야에서 가져야 할 인식과 대책은 무엇일까요?

“금융 시스템도 마찬가지입니다. 앞서 말씀드렸듯이 블록체인이 가지고 있는 속성이 현재 바꾸고자 하는 시스템에 잘 맞는지 먼저 평가를 해볼 필요가 있습니다. 그리고 안전성 평가 기준이 필요합니다. 제가 위원장으로 있는 금융보안표준협의회에서는 금융보안원을 중심으로 블록체인 안전성 평가 표준화도 만들고 있습니다. 그 안전성 표준 평가를 보고 각 금융 시스템에 어떤 안전성이 맞는지 비교해봐야 합니다. 각 등급에 따라 비용이 다르게 들어가니 정확한 판단이 중요합니다.”

 

Q7. 블록체인, 가상화폐에 대한 논란이 연일 뜨겁습니다. 한국 정부에서는 엄중한 규제에 나서겠다고 발표했습니다. 이에 대해 한국의 제4차 산업혁명 주도 능력이 상실될 수 있다는 우려의 목소리도 나오고 있습니다만, 교수님의 생각은 어떠십니까?

“비트코인은 여러 가지 부작용이 있으니 투자자(소비자) 보호 차원에서 최소한의 정부 규제가 필요하긴 합니다. 단, 그 규제가 정교하고 기술 혁신 발전을 저해하지 않는 선에서 이루어져야 한다고 생각합니다. 해외에서는 그것을 ‘스마트 규제(smart regulation)’라고 부릅니다. 즉, 새로운 기술 발전에 저해되지 않도록 자율 규제를 원칙으로 하되, 규제가 필요한 경우는 해당 생태계에서 원하는 선에서 최소한으로 해야 한다는 겁니다. 미국 등 선진국의 규제기관 전문가들은 새로운 기술이 등장할 때 선제적으로 규제하기보다는 늘 ‘일단 기다려보겠다’는 반응을 보입니다. 미리 부정적으로 단정하지 않고 지켜보며 그 안에서 자율적으로 돌아가게 하다가 규제 요청이 들어오면 그때 개입하겠다는 거죠. 우리도 그런 유연함이 필요하다고 생각합니다.”

 

Q8. 블록체인이 이슈화될수록 프라이버시에 대한 문제는 꾸준히 논쟁이 되는 사항이기도 합니다.교수님은 이 문제에 대해 어떻게 풀어 가야 한다고 보십니까?

“유럽의 개인정보보호규정(General Data Protection Regulation, GDPR)에는 ‘삭제권리’ 즉, ‘잊힐권리(right to be forgotten)’라는 규정이 존재합니다. 개인정보처리자가 곳곳에 존재하는 정보 주체의 개인정보를 정보 주체가 원하는 경우 삭제해주도록 하는 권리입니다. 그러나 블록체인에 개인정보를 저장하게 되면 개인정보를 삭제하는 것이 매우 어렵게 됩니다. 따라서 이를 해결하기 위한 기술적·관리적 방안의 마련이 중요합니다. 하지만 전혀 방법이 없는 것은 아닙니다. 접근 권한을 통제하면 됩니다. 일단 블록에는 해당 개인정보를 포함하고 있는 참조값(reference)만을 저장하고, 잊힐 권리가 필요할 경우 해당 개인정보에 대한 접근 권한을 통제하면 됩니다. 즉, 원칙은 블록에 개인정보를 두지 않게 하고, 개인정보는 암호화해서 따로 간직하는 것입니다. 그리고 블록에는 개인정보에 접근할 수 있는 참조값만 넣고, 암호키를 가진 사람만이 해당 개인정보에 접근이 되도록 하는 원리입니다. 만약 완벽히 차단하고 싶다면 해당 암호키를 없애는 방법입니다.”

 

Q9. 앞으로 세계의 블록체인과 가상화폐 시장을 어떻게 전망하시나요?

“어느 학자는 ‘미래에 비트코인과 같은 민간 주도의 가상화폐는 없어지고 결국 중앙은행이 발행하는 디지털 법정화폐 시대로 갈 것이다’라고 예견했습니다. 하지만 저는 2가지 가상화폐가 한동안 공존할 거라고 봅니다. 이유는 익명성, 편의성, 신속성이라는 가상화폐가 지닌 3가지 특성의 매력이 크기 때문입니다. 여기에 하나의 이유가 더 있습니다. 달러가 전 세계에서 통하기 때문에 화폐가치가 큰 것처럼 비트코인이 당분간은 그런 역할을 분명히 할 거로 생각합니다. 다만, 전제조건이 있습니다. 사람들의 신뢰가 무너지면 안 된다는 것입니다. 삼성전자 주가는 삼성전자라는 재화나 서비스가 있어 거기에 따라 주가가 움직입니다. 하지만 비트코인은 오로지 사람 간의 신뢰에 따라 움직입니다. 사람 간의 신뢰가 무너지면 비트코인의 신뢰도 무너집니다. 그것만 보장된다면 가상화폐 시장은 향후에도 일정 기간 유지될 것입니다.”

 

Q10. 국제전기통신연합 ITU-T SG17 의장으로서 최종 지향하는 점이나 목표가 있다면 무엇입니까?

“의장으로서 제가 가진 신조가 있습니다. ‘SAFE’, 즉 ‘Security is Absolutely First Everywhere’. 보안이 어디서든 절대 최우선이 되어야 한다는 의미입니다. 국제표준화기구가 ITU만 있는 것이 아니라 여러 곳에 있습니다. 그래서 ITU의 세계적인 영향력을 더욱 키우고 싶고, 여러 곳에서 활용할 수 있는 표준을 많이 개발해서 제공하고 싶습니다. 또한 많은 전문가나 기업들을 SG17 표준화 활동에 참여시키고 싶습니다. 최근 세계적인 글로벌 보안 회사와 제조업체들이 참여하고 있어 좋은 사례가 될 것입니다. 개발도상국을 위한 계획도 있습니다. ITU는 유엔 산하의 유일한 국제 표준화를 만드는 기구로서 선진국에서 개발한 틀을 개발도상국이 잘 활용할 수 있도록 도와주는 것도 SG17의 주요 미션 중 하나입니다. 또 반대로 그들의 역량을 키워 ITU 표준화 활동에 참여시켜 같이 만들어 가는 활동도 필요하다고 생각입니다. 여기에 마지막으로 ITU-T에서 유일한 한국인 출신 연구반 의장으로서 한국 보안 전문가들이 ITU-T 정보보호 국제표준화 활동에서 더 많은 역할을 할 수 있기를 희망합니다.”

 

 

* 저작권법에 의하여 해당 콘텐츠는 코스콤 홈페이지에 저작권이 있습니다.

* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.