해킹 막으려 코인 금지? 쥐 없애려고 치즈 금지하는 꼴
WSJ의 '코인 금지' 사설
이 기사를 공유합니다
Dave Morris
Dave Morris 2021년 6월3일 08:35
출처=Pixabay
출처=Pixabay
데이비드 모리스는 코인데스크의 수석 칼럼니스트이다.

이달 초 미국 최대 송유관 운영사인 콜로니얼파이프라인(Colonial Pipeline)이 랜섬웨어 공격으로 셧다운되면서 사이버보안에 대한 관심이 뜨거워지고 있다. 그런데 해커들이 암호화폐를 요구한 것이 알려지면서 관심의 방향이 다소 틀어지고 있다.

월스트리트저널에 암호화폐 금지가 사이버범죄를 막는 합리적 조치라고 주장하는 사설이 게재되었다. 사설의 저자는 듀크대학교에서 금융규제를 연구하는 리 레이너스 교수로, 그는 암호화폐는 현실세계에서 아무런 효용이 없으며, 암호화폐 없이는 랜섬웨어 공격이 성공할 수 없기 때문에 암호화폐를 금지해야 한다고 주장했다. 암호화폐의 즉각적 금지가 불가능하다면, 거래소 등과 같은 암호화폐 진입로라도 금지해야 한다는 것이 레이너스의 주장이었다.

레이너스의 이 같은 주장을 반박할 근거는 여러가지가 있다. 집에 쥐가 들끓으니 치즈를 금지해야 한다는 것과 비슷한 주장인 것이다. 하지만 이미 많은 이들이 지적한 바 있듯이, 암호화폐는 범죄행위에 사용되었을 때 영구적이고 공개적인 기록을 남기기 때문에 법 집행에 대단히 유리한 면이 있다. 어떤 유익한 신기술이든 부작용은 있기 마련이고, 그러한 부작용 해결은 현대사회의 중요한 부분이다. (일례로, 자동차가 보편화된 지 벌써 100년이 넘었지만, 아직도 미국에서만 매년 3만8천명이 교통사고로 사망한다.)

이러한 예시는 얼마든지 더 들 수 있다. 하지만 지금은 암호화폐 금지 주장 자체를 살펴보기로 하자. 사이버보안책의 일환으로 암호화폐를 금지해야 한다는 주장은 그 의도가 의심될 정도로 말이 안 되는 주장이기 때문이다.

왜냐고? 우선 랜섬웨어는 수많은 해킹 종류의 한 가지일 뿐이다. 암호화폐 금지가 랜섬웨어를 막기 위한 수단이라면, 다른 종류의 해킹 공격에도 적용될 수 있어야 한다. 뿐만 아니라, 암호화폐 금지가 랜섬웨어 공격을 감소시키는 효과가 있다 해도, 랜섬웨어를 완전히 없앨 수는 없다. 암호화폐가 생기기 전에도 랜섬웨어는 존재해왔기 때문이다. 사이버보안을 강화하는 것이 목표라면, 암호화폐 금지는 소위 가성비가 떨어지는 방법이다.

최근 수년간 발생했던 가장 심각한 해킹 공격들은 암호화폐와 관련이 없었다. 2013년 미국 유통업체 타겟(Target)은 사이버 공격으로 고객 4천만명의 신용카드 정보 및 기타 개인정보를 도난 당했다. 2017년에는 미국 신용정보사 에퀴팩스(Equifax)의 고객 개인정보 1억4,790만 건이 유출되었다. 또한 지난해 밝혀진 솔라윈즈(Solarwinds) 해킹 사건에는 러시아 정부기관 소속 해커들이 관련되어 미국 기업 10여개 이상을 감시해온 것으로 알려졌다. 그러나 암호화폐는 이들 해킹과 아무런 관련이 없었다.

솔라윈즈 해킹이 특히 주목해야 할 이유는 정부기관이 관련된 스파이 활동에는 랜섬웨어가 개입될 가능성이 없기 때문이다. 이들은 발각되지 않는 것이 핵심인 것이다. 그리고 타겟이나 에퀴팩스 해킹은 대부분의 랜섬웨어 공격과 마찬가지로 정보 유출을 목적으로 했다는 점에서 의의가 있다. 다만, 그렇게 유출된 정보는 신분 도용이나 신용카드 정보 도난, 카드대출 사기를 통해 현금화하려 했지 암호화폐 몸값을 요구하지 않았다. 그렇다면 차라리 신용카드를 금지하는 편이 합리적이지 않을까?

출처=Michael Geiger/Unsplash
출처=Michael Geiger/Unsplash

사이버보안 강화보다 더 쉽고 효과적인 대책?

암호화폐 없이는 랜섬웨어 공격이 불가능하다는 사설의 주장도 사실과 다르다. 지피코드(Gpcode), 크라이집(Cryzip), 크로튼(Krotten)과 같은 랜섬웨어는 비트코인이 출시되기 전부터 존재했고, 전통적 은행환을 포함한 다양한 금전적 요구를 했다. 암호화폐가 출시되면서 랜섬웨어 범죄가 더 쉽고 안전해진 것은 사실이지만, 암호화폐가 사라진다고 랜섬웨어가 사라지는 것은 아니다.

사이버보안 전문가들도 이에 동의한다. 마이크로소프트 등의 지원을 받는 사이버보안 전문기관이자 싱크탱크인 미국 보안기술연구소(Institute for Security and Technology)는 암호화폐의 역할에 집중한 랜섬웨어 퇴치 보고서를 발행했다. 그러나 이 보고서도 암호화폐 금지를 주장하지는 않았으며, 블록체인 기술은 전통 금융체계에 비해 조사가능한 증거가 많이 남긴다고 인정했다.

암호화폐 금지 주장은 전반적으로 모순 투성이여서 그러한 주장의 배후에 다른 숨은 뜻이 있는 것은 아닌지 의심하게 된다. 어떤 이유에서든 암호화폐를 싫어하는 사람들이 할 법한 주장이니까 말이다.

하지만 편견을 버리고 생각해 보면, 사이버보안이 뚜렷한 해결책이 보이지 않는 까다롭고 두려운 문제이기 때문에 비교적 쉬워 보이는 해결책을 제시했을 것이다. 비록 그 해결책이 틀렸다고 해도 말이다. 마치 가로등 아래에서 안경을 찾고 있는 노인의 우화와 같다. “저기 골목길에서 안경을 떨어뜨렸지만, 여기가 더 밝으니까 여기서 찾는걸세.”

랜섬웨어에 대한 보다 실질적인 대책은 사이버 랜섬 지불을 불법화하는 것이다. 일부 국가에서 납치에 대한 랜섬 지불을 금지하고 있는 것처럼 말이다. 이렇게 하면 랜섬웨어 공격으로 얻을 수 있는 잠재 수익이 감소하게 되고, 따라서 랜섬웨어 공격의 동기도 줄어들 것이다. 또한, 시스템 관리자들은 보다 강력한 백업 및 복구 계획을 수립하게 될 것이고, 결과적으로 랜섬웨어 뿐만 아니라 다른 사이버공격에 대한 방어력도 높아질 것이다.

또한, 사이버보안 전문가들은 장기적으로 “제로 트러스트 아키텍처(zero-trust architecture)”를 구축해야 한다고 주장한다. 제로 트러스트 사이버 보안이란 시스템이 언젠가는 뚫릴 것으로 예상하고, 잠재적인 피해를 최소화하도록 설계하는 것이다. (블록체인 기술에서 말하는 “제로 트러스트”와는 완전히 다르다.)

이러한 제로 트러스트 설계가 사이버범죄를 어느 정도까지 줄일 수 있을지는 아직 불분명하지만, 전문가들의 관심이 집중되고 있는 해결책임은 분명하다. 앞서 언급했던 사설의 저자인 레이너스 교수는 사이버보안 관련 경력으로 2000년대 중반에 2년간 육군 통신 전문가로 일했던 경력을 내세웠다. 하지만 그는 제로 트러스트 설계를 “형식적이고 부적절한” 대책이라고 일축하며, 암호화폐 금지가 “더 쉽고 효과적”이라고 주장했다. 사이버보안을 제대로 강화하는 것보다 쉽고 효과적이라는 것이다.

암호화폐 금지는 단순히 불성실하고 부적절한 방법일 뿐만 아니라 대단히 위험한 것도 이 때문이다. 암호화폐 금지에 초점을 맞추는 이상 미국과 전 세계가 직면한 진짜 사이버보안 해결책이 발전될 수 없기 때문이다.

영어기사: 이정은 번역, 임준혁 코인데스크코리아 편집

This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.



관련기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.