금융권 블록체인 전방위 확산

[한국금융신문 고영훈 기자] 금투업계 블록체인이 기술시연에 성공하며 금융권 전방위적으로 확산되는 모양새다.

5일 각 금융권에 따르면 지난 10월 31일 세계 최초로 블록체인 기반 증권업계 공동인증 서비스 Chain ID가 오픈하며 금융권 블록체인 도입이 본격적으로 속도를 내고 있다.

이날 시연 서비스는 금융보안원과 함께 했다. 블록체인이란 거래 정보를 하나의 블록으로 설정하고 이를 연결한 공동장부를 의미한다.
Chain ID는 온라인 주식거래와 자금이체 등을 위한 인증서비스로 인증절차 한 번으로 다른 금융기관에서도 바로 금융거래가 가능하다.

개인식별번호(PIN) 및 패스워드(PW), 생체 인증 등 사용자가 정하는 방식으로 인증을 할 수 있다.

보안 취약점을 없애면서 인증서 갱신기간이 3년 이상으로 늘어 사용자 편의성을 높였다.

미래에셋대우, 신한금융투자, NH투자증권, 대신증권, 유안타증권, 키움증권 등 6개사는 2016년 4월 블록체인 분과위원회를 신설했다. 같은해 분과위원회는 TF활동을 통해 블록체인 기반 인증시스템 기술 검증, 기술파트너 선정, 금융투자업권 블록체인 컨소시엄 구성 방식 및 절차 마련 등을 진행했다.

2016년 12월에는 금융투자협회를 포함한 26개사가 블록체인 컨소시엄을 출범했다.
2017년 4월 1차 컨소시엄 총회를 열고 2020년까지 계획을 세운 후 개발 및 테스트를 진행해 지난달 공동인증 서비스 Chain ID의 시범서비스를 오픈했다. 블록체인 특성상 단일기관이 아닌 다수의 참여가 필요하며, 그에 따라 미국, 중국, 일본 등 해외에서는 금융기관 중심으로 빠르게 컨소시엄을 구성해 왔다.

2015년 9월 J.P모간, DBS, HSBC 등 70개 금융기관은 분산장부기술 기반의 해외송금 및 트레이딩 시스템을 구현하는 금융 블록체인 컨소시엄 R3CEV를 출범했다.

2016년 5월에는 중국에선 핑안뱅크, 텐센트 등 30개 기술사 및 금융기관이 함께 금융 블록체인 셴젠 컨소시엄(The Financial Blockchain Shenzhen Consortium)을 만들었다. 일본 역시 미즈호, SBI, SMFG 등 30개 은행들과 2016년 10월 일본은행 컨소시엄(The Japan Bank Consortium)을 출범시켰다.

금투업 블록체인 컨소시엄은 데일리금융그룹 관계사인 코인원, 더루프, 데일리인텔리전스, 피플인사이드, 노매드커넥션 등 5개사를 파트너사로 선정해 개발을 진행해왔다. 금융투자업권 공동인증 특징은 다중요소 인증체계 확보 개념이다. 지식기반 인증, 소유기반 인증, 특징기반 인증 등 3가지 팩터 중 2가지 이상의 팩터를 결합해 인증을 강화한다.
모바일 단말기의 안전한 공간에 개인키를 저장하고, 다양한 개인키 암호화 방식을 제공한다.

업권 담당자로 구성된 비즈니스 분과에서 고객 편의와 보안 요소를 고려했다. 인증서 유효기간은 3년, 1인당 5대의 단말기 등록이 가능하다.

공동인증은 공인인증에 비해 고객확인이 간단하다. 개인키 저장공간도 TEE 또는 앱 영역이 가능해 모든 단말기가 가능하고, 유효기간 정책도 3년이다. 인증 앱이 비밀번호를 통합관리해 금융기관에 상관없이 오류횟수가 임계치에 도달하면 인증서 사용이 불가처리된다.

금융서비스 서버와 루프체인간 통신을 위한 루프체인 SDK와 모바일트레이딩시스템(MTS)앱과 공동앱간 통신을 위한 Auth SDK로 구성된다. 차후 은행, 보험, 카드 등 다른 금융권과 연계한다는 계획이다.

은행권 역시 블록체인 컨소시엄을 구성해 추진하고 있다. IDC는 블록체인 기술로 금융계 비용절감 규모가 2022년 약 200억달러에 달할 것으로 예상하고 있다.

은행권 블록체인 컨소시엄은 16개 은행, 금융결제원, 금융보안원 등이 구성원이며 최근 삼성SDS를 주사업자로 선정했다.

증권사에 이어 은행연합회 공동 인증플랫폼 개발이 마무리되고 내년 상반기 상용화된다면 보험, 카드, 저축은행 등 다른 금융업권과의 연계 작업 역시 활기를 띨 것으로 보인다.

하지만 블록체인은 아직 완벽하지 않다. 키 관리, 거래 검증 및 합의, 참여자 권한관리, 블록체인 S/W 보안, 서비스 보안 등은 앞으로 개선해야 될 문제들이다.

김동진 금융보안원 연구원은 “참여자의 개인키는 정당한 참여자로서 활동을 승인 및 증명하는 수단이지만 도난당할 경우 정상 참여자로 위장한 공격자의 다양한 공격에 노출될 수 있다”며 “블록체인은 참여자 중 과반수의 동의로 합의를 도출하므로 공격자가 과반수를 장악할 경우 거래 유효성 검증 프로세스를 조작할 수 있다”고 말했다.

이밖에 참여자 식별이 가능하지만 권한관리 미흡 등으로 개인정보 침해가 발생할 수 있으며 하이퍼렛저, R3CEV 등 주요 블록체인 플랫폼에서는 채널 등을 통해 개인정보 접근통제가 가능하다.

또한 대부분 블록체인에서 스마트 컨트랙트 코드의 보안 수준은 개발자의 능력에 의존해 별도의 검증 절차와 기능은 존재하지 않는다. 인터넷에 공개된 스마트 컨트랙트 템플릿 코드 중 상당수 심각한 취약점이 존재하는 것으로 드러났다.

고영훈 기자 gyh@fntimes.com