고려대, 블록체인 스마트 콘트랙트 취약점 자동 검출 기술 개발

오학주 교수팀, ‘SmarTest’ 기술 개발. 보안분야 학술대회 USENIX Security Symposium에서 발표

▲ 제1저자 소순범 (사진=고려대)

[에너지경제신문 배준호 에디터] 블록체인(Blockchain) 스마트 콘트랙트(Contract)는 개인 간 금융거래, 토큰화 부동산, 중개인 없는 공증 등 다양한 전자계약을 자동화하여 여러 참여자들이 저렴하고 손쉽게 온라인으로 계약하는 장점이 있어, 향후 디지털 자산거래 플랫폼의 출현 등 5년 내 급성장이 기대되고 있다.

스마트 콘트랙트는 블록체인 기술의 핵심에 해당하지만 동시에 치명적인 보안 사고의 원인이기도 하다. 스마트 콘트랙트는 보통 금전적 거래를 수행하는 경우가 많은데, 블록체인의 특성상 온라인에서 누구나 열람할 수 있는 반면에 취약점을 수정할 수 없어서 해커의 표적이 되기 쉽기 때문이다. 이러한 특성 때문에 최근까지 스마트 콘트랙트의 보안 취약점으로 인한 사고가 이어져왔다. 이러한 보안 사고는 2016년 이후 매년 수차례 발생하여 왔고, 수십~수백억 원 규모의 금전적 손실까지 발생했다.

고려대학교(총장 정진택) 정보대학 컴퓨터학과 오학주 교수팀은 스마트 콘트랙트의 보안 취약점을 자동으로 검출하는 기술인 ‘SmarTest’를 개발, 이를 8월 11일부터 13일까지 온라인으로 개최된 보안 분야 최우수 학술대회인 USENIX Security Symposium 2021에서 발표했다. USENIX Security Symposium은 컴퓨터 보안 분야의 가장 우수한 연구 성과들이 발표되는 곳이다.

해당 기술은 오픈소스 소프트웨어로 GitHub에 공개됐으며, 고려대 SW보안연구소(연구소장 이희조)의 ‘보안 취약점 자동분석 플랫폼(iotcube.net)’에도 공개하여 누구나 사용해 볼 수 있도록 했다.

연구를 맡은 오학주 교수는 "스마트 컨트랙트 보안 취약점 자동 검출 기술들이 가지던 기존 한계를 극복했다"고 이번 연구의 의의를 설명하며 "향후 블록체인 기술이 안전하게 활용되는데 기여할 수 있을 것"이라고 기대했다.

이번 연구는 과학기술정보통신부 정보보호핵심원천기술개발사업 및 SW컴퓨팅산업원천기술개발사업(SW스타랩)의 지원을 받아 수행됐다.

▲ SmarTest 동작 방식 (위) 다수의 스마트 컨트랙트로 구성된 학습 데이터로부터 기호실행을 통하여 취약점을 유발하는 시나리오들을 생성한 후 확률 모델을 생성함 (아래) 학습한 확률 모델을 활용하여 새로운 스마트 컨트랙트의 취약점을 빠르게 탐지하는 기호 실행 (이미지=고려대)