LG화학이 가짜 이메일에 속아 240억원을 사기당한 사건이 발생했다. LG화학 평균 연봉이 8500만원인 것을 감안하면, 직원 280명분의 연봉이 날아간 셈이다.

지난 4월 LG화학은 사우디아라비아 국영 석유회사인 아람코의 자회사 ‘아람코 프로덕트 트레이딩’ 측으로부터 납품대금 계좌가 변경됐다는 메일을 받았다. 당시 LG화학은 아람코 프로덕트 트레이딩으로부터 나프타를 사들여 석유화학제품을 만들어 오고 있었는데, 아무런 의심 없이 해당 계좌로 거래대금 약 240억원을 송금한 것이다. 뒤늦게 해당 메일은 가짜로 판명났고 거래대금 240억원의 손실을 입었다는 것을 알아차렸다. 현재 서울중앙지검에 수사를 의뢰한 상태다.

이 같은 사기사건은 이번이 처음이 아니다. 포스코도 2013년 2월에 가짜 메일 사기를 당해 대금을 입금했다. 다행히 피해상황을 알아채고 빠르게 대금을 회수해 피해를 입지는 않았다. 2014년 9월에도 포스코를 대상으로 같은 시도가 있었지만 한 차례 가짜 메일 사건을 겪었던 터라 피할 수 있었다. ‘스피어피싱’이라고 불리는 가짜 메일 무역사기가 끊임없이 기업을 괴롭히고 있다. 스피어피싱은 정확히 말하면 정보·자산 갈취 목적으로 특정 대상에 가짜 이메일을 보내는 공격이다. 스피어피싱은 꾸준히 발생하고 있고 공격방식도 진화하고 있다. LG화학처럼 대기업도 당한 것을 보면 피해사례는 계속 증가할 것으로 보인다. 이런 스피어피싱을 막을 방법이 없는 것은 아니다. 바로 보안기술의 일종인 ‘블록체인’이다.

비트코인으로 주목받는 ‘블록체인’

블록체인은 비트코인이 부상하면서 많이 알려진 보안기술이다. 보통 비트코인과 블록체인을 같은 개념으로 오해하는 경우가 많은데, 둘은 엄밀히 다른 기술이다. 비트코인은 네트워크에서 거래되는 ‘가상화폐’로 세계에서 가장 널리 사용되고 있다. 최근에는 오프라인에서도 비트코인으로 결제가 가능하다.

블록체인은 거래의 안전성을 보장해주는 기술이다. 비트코인에만 사용되는 기술이 아니라 안전한 거래를 위해 다양한 곳에 활용이 가능하다. 블록체인 방식은 간단하게 ‘분산장부’라는 혁신시스템을 사용하고 있다. 기존 금융거래에서는 중앙기관이 거래를 조율하고 보안을 책임지고 있는 반면 블록체인은 거래를 하면서 발생한 거래장부를 각각의 개인이 소유하게 하는 것이다. 다시 말해 중앙기관이 없이도 안전하게 개인의 거래가 가능하다는 이야기이다. 비트코인이 네트워크상에서 개인끼리 거래가 가능한 것은 블록체인이 안전성을 보장해주기 때문이다.

즉 비트코인에 화폐를 보유하고 있는 사람이 1000만명이라고 추산했을 때 1000만명 모두가 지금까지 비트코인에서 발생한 거래장부를 보유하고 있는 것이다. 그래서 비트코인 사용자는 거래가 잘못되거나 개인의 자금이 도난당하는 일이 99% 불가능하다고 볼 수 있다.

기존 은행거래보안시스템의 경우 해커는 은행의 거래를 담당하는 서버만 해킹해 장부를 왜곡하면 입금 내용을 위변조하거나 은행의 돈을 인출할 수 있다. 그러나 블록체인을 기반으로 하는 비트코인에서는 구조적으로 힘들다. 개인이 가지고 있는 장부는 끊임없이 서로의 장부 내용을 확인하고 거래가 발생하면 업데이트가 된다. 그리고 어느 한 장부의 거래 내용이 잘못되면 다른 장부들을 참조해서 과반수가 넘는 쪽으로 수정이 된다.

예를 들어 300만명의 장부에서는 A거래가 발생했지만, 700만명의 장부에 해당 거래가 없다면 A거래는 자동으로 취소된다. 그렇기 때문에 해커는 비트코인의 데이터를 위변조해서 거래사기를 발생시키려면 1000만명의 사용자가 있다고 가정할 때 과반수가 넘는 최소 500만1명의 장부를 위변조해야 한다. 이론상 성능이 최고로 뛰어난 수퍼컴퓨터를 사용하면 가능할 수 있다. 그러나 현실적으로 쉽지 않은 일이다. 그렇다면 이러한 블록체인이 앞서 언급한 스피어피싱 공격을 어떻게 막을 수 있을까.

‘블록체인’을 이메일에 적용한다면?

블록체인은 가상화폐에만 적용되는 기술이 아니다. 그리고 블록체인이 제공하는 기술적 장점도 거래보안에만 국한되지 않는다. 대표적 예로 ‘스마트계약’ 시스템이 있다. IBM은 여러 글로벌 기업과 제휴해 블록체인을 기반으로 한 ‘스마트계약시스템’ 연구개발을 추진 중에 있다. 블록체인 기반으로 계약시스템을 개발하면 계약 내용의 위변조를 방지할 수 있기 때문이다. 뿐만 아니라 계약조건의 이행과 대금결제를 동시에 진행할 수 있다. 방법은 간단하다. 블록체인의 거래조건 중 ‘조건문 삽입’ 기능에 ‘계약조건 이행 시 대금결제’라는 코드를 삽입하면 된다. 이 기술이 실제로 적용된다면 주식시장에서 체결과 정산 사이의 2일 정도 시차를 줄일 수 있고 금융기관 간 거래시간도 단축할 수 있다.

블록체인을 이메일에 적용할 경우 이메일 내용의 위변조로부터도 안전성을 보장할 수 있다. 이유는 이메일 내용이 장부로 기록되기 때문이다. 블록체인 기반의 활동에 참여하기 위해서는 사용자 등록을 반드시 해야 한다. 등록하면 고유의 ‘키’가 할당된다. 키 값은 절대 변경할 수 없다. 이메일의 경우 정보를 주고받을 시 서로 키 값을 공유하게 된다. 그리고 키 값을 바탕으로 당사자가 진짜 맞는지를 판별할 수 있다. 때문에 LG화학의 스피어피싱 사례처럼 다른 사람으로 사칭하는 것은 블록체인에서는 거의 불가능하다.

앞에서 소개한 포스코 스피어피싱 시도는 이메일 철자를 속여 사기행위를 벌이려 한 경우이다. 예를 들어 ‘power’ 철자를 교묘하게 ‘powre’로 속인 것이다. 그러나 블록체인을 도입하면 키 값으로 서로 확인을 하기 때문에 스피어피싱 공격 피해를 상당 부분 줄일 수 있다.

블록체인 기반의 이메일은 또 다른 장점이 있다. 사생활을 100% 안전하게 보장할 수 있다는 것이다. 이메일 송수신 내역은 중앙서버에서 관리되지 않는다. 암호화된 채로 이메일이 사용자의 기기에 보관된다. 중앙에 의해서 이메일 사생활 정보가 노출될 위험이 없는 것이다. 이미 미국에서는 블록체인 기반의 이메일을 보급화하고 있다. 보안 소프트웨어 기업인 존 맥아피는 블록체인 기반의 이메일 시스템과 스위프트코인을 이미 출시한 상태다. 영국 경제전문지 ‘이코노미스트’는 2015년 11월호에서 블록체인을 ‘트러스트 머신’으로 표현했다.

키워드

#IT
유성민 IT칼럼니스트
저작권자 © 주간조선 무단전재 및 재배포 금지