한국은행이 진행 중인 중앙은행 디지털화폐(CBDC) 모의실험에 차질이 생겼다. 해당 사업의 취약점을 파악하기 위해 보안 컨설팅 연구용역을 발주했지만 모두 유찰돼서다. 전문가들은 CBDC에 보안 문제가 빚어지면 국가적 리스크를 촉발할 수 있는 만큼, 대비가 필요하다고 강력하게 경고했다.
12일 이투데이 취재에 따르면 한은은 두 차례 CBDC 모의실험 연구 보안컨설팅 연구용역을 발주했지만 모두 유찰됐다. 지난 4월 21일 공고 게시, 25일 입찰 개시 후 5월 2일까지 입찰 마감 기한을 뒀지만 유찰됐다. 바로 다음 날인 5월 3일 다시 입찰을 개시했으나 마감일인 5월 9일까지 다시 유찰됐다. 두 차례 모두 사유는 '경쟁조건 미충족'이었다.
한은의 'CBDC 모의실험 연구 보안컨설팅 제안요청서'에 따르면 한은은 고도화되는 사이버 공격에 더욱 면밀하게 대응하기 위해 보안 개선사항을 살피고자 했다. 안전한 CBDC 발행·유통을 위해 보안 취약점을 살피겠다는 것이다.
구체적인 사업 내용으로 △소스코드 보안취약점 진단 △인프라 보안취약점 진단 △웹ㆍ앱 보안취약점 점검 △모의해킹 △중장기 과제 제언 등을 요구했다. 8530만5000원 규모로, 한은 CBDC 보안컨설팅 사업에 입찰한 업체는 한 달(사업 착수일로부터 30일 이내) 사업을 끝내야 했다.
한은 관계자는 "컨설팅 사업이 너무 활황이라 한 달 내에 들어올 여력이 되는 업체가 없었다"라며 "입찰 조건을 보안서비스 전문업체로 제한하고, 보안관제 업체를 제외하고 나니 (조건을) 충족하는 업체도 몇 되지 않았다"라고 설명했다.
전문가들은 CBDC 사업에서 보안 관리가 핵심이라고 누차 강조했다. 현재 가상환경에서 CBDC 모의실험을 진행하고 있지만, 전 국민을 대상으로 CBDC 지갑을 배포하고 발행하게 된다면 취약점이 더 폭넓게 노출될 수 있어서다. CBDC가 유통되는 네트워크 메인넷이나 CBDC 발행 애플리케이션 내 취약점을 통해 중앙 서버로 침투 시 국가 리스크가 촉발될 수 있다고 지적했다.
블록체인 전문가 A씨는 "현재 계좌 수를 더 늘려도 안정적으로 운용할 수 있는지를 들여다보고 있는 것으로 안다"라며 "디자인에 따라 보안 네트워크 구성 요소가 달라지는데, 이를 점검하고 취약점을 제거하는 게 무엇보다 중요하다"라고 말했다.
한은이 제시한 용역의 사업비가 지나치게 적고 요구 사항들이 광범위하다는 지적 또한 이어졌다. 기본적인 보안 인증이라 여겨지는 ISMS(정보보호 관리체계) 획득에도 10억 안팎의 사업비가 소요되는데, 그 이상의 요구수준을 담고 있어 수지타산이 맞지 않는다는 것이다.
블록체인 전문가 B씨는 "보안 컨설팅을 하려면 메인넷이 안고 있는 문제를 체크해야 하는데 (현재 CBDC 연구가) 자체 메인넷이 아닌 만큼 문제점을 지적해도 대안을 마련하기 쉽지 않다"라며 "CBDC가 운용되다가 한 시간이라도 다운되면 경제 안보에 지장을 끼칠 텐데, 연구 용역을 맡아 책임이 쏠리는 상황 또한 피하고 싶었을 것"이라고 설명했다.
한은은 자체적인 점검 도구를 통해 취약점에 대해 들여다보고 있다는 입장이다. CBDC가 모의실험 수준이고 파일럿 테스트라는 점 또한 강조했다.
한편 CBDC의 보안 취약점에 대한 제삼자 확인이 어려워지면서 이달 22일 마무리하기로 예정된 한은의 CBDC 사업에 차질이 빚어질 것으로 전망됐다. 한은은 지난해 사업에 착수하며 2021년 8~12월 1단계 사업을, 2022년 1~6월 2단계 사업을 추진키로 계획했다.
한은 CBDC 사업의 용역을 맡은 그라운드X 컨소시엄에 참여 중인 한 관계자는 "사업 진행이 폐쇄적이고 객관적으로 평가받을 기회가 적은 측면이 있다"라고 우려를 표했다.
크러스트에서 사업을 CBDC를 담당하고 있는 관계자는 "6월 말 사업 마무리를 위해 준비 중"이라며 "차질 없이 진행하기 위해 노력하고 있다"라고 전했다.