[컴퓨터월드] 블록체인은 시간과 신원 정보를 포함한 변조 방지 암호 기록을 생성한다. 이러한 특징 때문에 기업 간 거래에 유용한 기술이다. 블록체인은 이미 수십억 달러의 가치를 지니고 있으며, 앞으로 그 가치는 더욱 커질 전망이다. 가트너는 향후 10년간 블록체인 시장이 1,760억 달러까지 성장할 것으로 예측한다.

갑작스럽게 인기가 상승한 다른 신흥 기술들처럼, 블록체인 기술에 대한 과장된 기대도 존재한다. 이는 복잡한 기술에 대한 낮은 이해에서 비롯된다. 기업의 보안 및 리스크 관리(SRM) 리더들은 기술에 대한 잠재적 가치와 리스크를 냉정하게 평가해야 할 필요가 있다.

분석
블록체인 기술은 은행, 정부, 디지털 비즈니스 전반 등 여러 산업을 형성하고 와해할 수 있는 잠재력을 지니고 있다. 그러나 새로운 기술과 방식은 새로운 리스크를 수반한다. 많은 기업들은 블록체인의 이점을 활용하기 위해 나서고 있다. 이를 위해 SRM 리더는 조직적·운영적 리스크를 완화하기 위한 최선의 보안 관행을 정의해, 이를 권고하고 구현해야 한다.

블록체인 보안 모델
<그림 1>은 대표적인 프레임워크인 블록체인 보안 모델(BCS)이다. 이를 활용해 SRM 리더는 비즈니스, 암호화, 기술적 문제와 관련해 보안 리스크의 영향을 받을 수 있는 블록체인 제품을 평가할 수 있다. 가트너는 블록체인 구현과 관련된 다양한 리스크를 식별하고 추적하기 위해 개방형 시스템간 상호접속(OSI) 스택과 유사한 레이어 모델을 활용한다.

비즈니스 프로세스
블록체인은 프로토콜로 볼 수 있다. 그렇기 때문에 블록체인은 HTTP 프로토콜이 전자상거래를 지원하는 것과 동일한 방식으로 기존의 비즈니스 프로세스를 지원해야 한다. 기업은 블록체인이 기업 내 필요한 기술인지 먼저 확인해야 한다. 그 다음 블록체인 기술을 통해 블록체인 이외의 방식으로는 실현할 수 없었던 새로운 디지털 비즈니스 이니셔티브를 이끌어낼 수 있어야 한다.

프라이빗 vs 퍼블릭 블록체인
블록체인 기술의 도입을 결정했다면, 퍼블릭 블록체인과 프라이빗 블록체인 중 하나를 선택해야 한다. 퍼블릭 블록체인은 자체 인증 참여자가 자유롭게 합류하거나 탈퇴할 수 있으며, 중앙에서 신원 관리를 하지 않는 분산화 방식으로 운영된다. 프라이빗 블록체인은 중앙에서 신원과 멤버십을 관리해 전반적으로 쉽게 통제할 수 있으며, 참여가 제한된 폐쇄형 그룹 내에서 운영된다.

비즈니스 로직과 실행 및 복원력
비즈니스 로직과 실행 및 복원력은 블록체인의 유형에 따라 다르다. 의사 결정은 비즈니스 문제보다 기술적이고 신원 위주의 문제로 전환되고 있다. 문제의 비즈니스 로직을 올바른 IAM과 공개키 기반구조(PKI) 프로비저닝 및 신원 패브릭(identity fabric)에 일치시키는 것이 중요하며, 이는 프로젝트의 성공에 큰 영향을 미친다.

기업은 코드와 비즈니스 절차 및 계약의 테스트에 중점을 둬야 하며, 애플리케이션 테스트, 스마트 계약 테스트, 블록체인 충돌 해결, 컨소시엄 및 거버넌스 변경, 개인키 유출, 신원 라이프사이클 관리, 키롤링 및 암호화 민첩성(crypto-agility) 등에 대한 문제를 고려해야 한다.

리스크 관리 및 규정 준수
HTTP 프로토콜과 마찬가지로 블록체인은 유연하고 적응력이 뛰어나지만, 다양한 규정 준수 및 개인정보보호와 관련된 요구사항을 충족할 수 있는 도구를 내재하고 있지 않다. 블록체인은 무결성과 타임스탬핑(time-stamping)을 위해 암호화를 사용하며, 이를 위한 페이로드(payloads)는 주로 일반적인 텍스트 형식이며 블록체인에 액세스 가능한 모든 참여자들이 열람할 수 있다. 기업은 리스크 관리와 규정 준수 전략을 정확하게 명시해야 할 것이다.

신원 및 키 관리
기업은 블록체인의 기술적 측면인 자격 증명 생성, 발급, 관리 및 회수, 자격 증명 교체, 신원 확인, 검증, 사기 등 일반적인 신원 관리, PKI 및 키 관리에 대해 고려해야 한다. PKI는 수십 년간 사용돼 왔지만, 블록체인에서 인증서를 사용할 경우 몇 가지 문제가 발생할 수 있다. 예를 들어, 사용자가 개인키를 분실하거나 도난당한 경우, 이에 대한 신원 확인 절차를 사전에 마련해 놓지 않는다면, 블록체인 접근이 영구적으로 차단될 수 있다. 이러한 사례는 프라이빗 블록체인에서 더욱 쉽게 일어난다. 기업은 코드를 작성하기 전 가능한 모든 신원 확인 방안을 계획해야 한다.

위협, 네트워크, 노드 관리
블록체인은 네트워크와 고객의 소프트웨어에 따라 달라진다. 기업은 네트워크 레이어를 살펴보고 문제가 발생할 경우 복구방법에 대해 미리 계획해야 한다. 예를 들어 컨소시엄으로 구성된 프라이빗 블록체인에서 누군가 악의적으로 중앙집중화 네트워크 조작을 시도한 경우, 컨소시엄 그룹은 어떻게 이를 감지하고 방지할 것인지, 그리고 이에 대한 재정적 책임은 어떻게 부과할 것인지 등에 대한 문제를 고민해야 한다.

물리적 레이어 관리
하드웨어 측면에서 블록체인 참여자들에게 요구되는 사항은 무엇인가? 개인키는 소프트웨어와 스마트카드에서 관리할 수 있지만, 키를 안전하게 유지하기 위해서는 일정 수준의 유지 보수와 보호가 필요하다. 이는 네트워크, 재해 복구 관리와 관련된 문제에 적용된다. 또한, 블록체인 프로젝트가 돈이나 화물 등 실제 물품을 포함하는 경우, 블록체인이나 스마트 계약을 물리적 프로세스로 변환하는 방법을 파악하는 것이 중요하다.

보안 사고에 대비하기 위한 대응 계획을 마련해야 한다
가트너는 블록체인 기술과 플랫폼이 집중적으로 통합되는 시기가 있을 것으로 예측하며, 기업들에게 블록체인 기술의 전체 전환에 대한 대비를 권장한다. SRM 리더는 블록체인이 지니고 있는 잠재적 가치를 파악하고 수용할 줄 알아야 한다. 동시에 블록체인이 가져올 위험에 대해 인지하고, 비판적인 시각으로 바라볼 수 있어야 한다. 뿐만 아니라 블록체인을 활용하기 전 실제 참여자와 환경을 동원해 잠재적 블록체인 프로젝트의 파일럿 테스트를 진행해야 할 것이다.