국제결제은행, ‘DDoS, 멀웨어, 암호키 위·변조, 기술적 인프라 결함 등’
한국은행 발행 본격 검토, 인터넷진흥원 “사이버보안 대책 절실” 주문
![CBDC 이미지. [CNBC]](https://cdn.sbiztoday.kr/news/photo/202312/21064_21244_414.jpg)
[중소기업투데이 조민혁 기자] 한국은행은 CBDC를 본격적으로 검토하며 사실상 발행 준비에 들어갔다. 그러나 CBDC가 발행될 경우 사이버보안 대책도 절실하다는게 전문가들의 지적이다. 이미 국제결제은행(BIS)는 각종 CBDC 보안 사고를 경고하기도 했다. 국내에서도 한국인터넷진흥원이 BIS 보안 계획인 ‘프로젝트 폴라리스(Project Polaris)’를 인용하며, 미리 경각심을 고취시키고 있다.
BIS가 경고한 가장 대표적인 사이버공격 유형은 ‘분산 서비스 거부(DDoS)’, 이른바 디도스 공격이다. 컴퓨팅 리소스나 손상된 컴퓨터 또는 사물인터넷(IoT) 디바이스 네트워크를 악용, 대량의 서비스 요청을 CBDC 시스템이나 해당 서비스에 전송하는 수법이다. 이를 통해 시스템 과부하에 의한 타임아웃 또는 성능 저하를 유발하는 것이다.
‘지능적 지속 위협(APT) 공격’도 제시됐다. 국가 또는 조직 범죄 단체에서 미리 정해둔 공격 대상에 대해 장기간에 걸친 공격을 퍼붓는 것이다. 다만 그 시스템에 몰래 침투, 악성 소프트웨어를 설치하거나 백도어를 만드는 수법이다. 또 네트워크 트래픽이나 사용자, 시스템 동작을 분석, 공격하기도 한다.
‘멀웨어(와이퍼웨어26, 랜섬웨어 등)’도 대표적인 위협 요인이다. 컴퓨터와 네트워크에 악성 소프트웨어를 심어 특정 프로그램을 파괴하거나, 해당 네트워크 백도어를 장악하는 것이다. 이를 통해 데이터와 정보자산을 대상으로 한 랜섬 결제를 유도하곤 한다.
또 ‘사회공학적 공격’도 주의해야 한다. 피싱이나, 스피어 피싱, SIM 스왑, 중간자 공격, 크리덴셜 변조 등의 수법으로 사용자의 CBDC 계정이나, CBDC 시스템 관리자 계정을 장악, 제어하는 것이다.
지능적인 ‘암호키 위·변조’도 위협 요인이다. 개인키를 얻어 CBDC 소유권을 탈취하기 위해 컴퓨터나 장비를 해킹하는 것이다. 또 이용자의 키를 악용, 생성된 데이터를 기반으로 암호를 해독하는 수법이다.
‘분산원장 기술(DLT)’도 위험하다. 스마트 계약이나, 분산원장 기술(DLT) 합의 프로토콜, 원장 간의 브릿지, 오라클, 프로토콜 거버넌스 등의 보안 취약점을 이용해 공격하는 것이다.
‘결제 프로세스 위·변조’도 위협 요인이다. 이는 다양한 이해 관계자들이 관련되어 있어 각기 보안 수준이 다르다보니, 취약점이 많을 수 밖에 없다.
‘최종 사용자들의 악의적인 공격’도 있다. 즉, CBDC 시스템의 최종 이용자가 자신의 CBDC 결제 장비나 모바일 애플리케이션을 통해 사취하는 경우다. 또 외부와 협력, CBDC를 이중 지급하거나 위조하는 등 다양한 공격을 시도하기도 한다.
‘내부자 방해 공격’도 있다. CBDC 시스템에 접근할 수 있는 직원이나, 조직에 불만을 느끼고 있는 특정인, 혹은 계약자가 하드웨어를 손상시켜 시스템이 오작동하게 하는 경우다. 또 키 정보를 삭제하거나, 서비스를 차단시키고, 잘못된 데이터를 입력하는 등 사이버 위협 행위자를 돕는 행위도 이에 속한다.
‘내부자 사기’도 주의해야 한다. 악의적인 내부자가 개별적으로, 또는 외부와 협력하여 CBDC 시스템 접근 권한과 비즈니스 로직에 대한 지식 등을 활용, 금융사기를 야기하는 것이다.
‘접근관리 통제력 부족’도 문제다. 이로 인해 누구나 무단 접근할 수 있고, 공유 IT 환경의 설정 오류 등 문제 해결 중에 제3자 서비스 제공사업자는 CBDC 시스템과 관련된 민감한 정보를 볼 수도 있다. 혹은 접근통제 로직의 공백 등으로 인해 데이터가 해커에게 노출될 수도 있다.
이 밖에 운영 인프라의 결함이나, 기술 오류로 인한 서비스 중단도 큰 문제가 된다. 소프트웨어 또는 하드웨어 버그, 완전히 테스트 되지 않은 소프트웨어 패치 및 업그레이드, 만료된 서비스 계정 자격증명 등은 CBDC 시스템 중단을 초래한다.
BIS는 또 ‘기술의 노후화’도 위협 요인으로 꼽았다. 그래서 “CBDC 시스템에 사용되는 기술이 점차 노후화되고, 공급자들이 지원을 중지하게 되면 기술 업그레이드나 다른 기술로 시급히 전환하는게 필요하다”는 지적이다. 그러면서 BIS는 “어떠한 공격이라도 발생하게 되면 CBDC 시스템의 무결성, 가용성뿐만 아니라 시스템의 민감 정보 관련 기밀성에 영향을 초래할 수 있다”고 경고했다.