블록체인을 해킹하는 51% 공격이란?

블록체인, 하면 제일 먼저 떠오르는 말이 뭘까요? 아마 "해킹이 안 되는 기술" 아닐까요? 중앙 서버 없이 여러 대의 컴퓨터가 다 같이 기록을 검증하니까, 웬만한 해커도 손 못 댄다는 인식이 강하죠. 

그런데 사실은, 블록체인도 특정 조건이 맞으면 해킹 비슷한 상황이 발생할 수 있어요. 그 대표적인 예가 바로 ‘51% 공격’이에요.

이번 글에서는 51% 공격이란 무엇이며, 어떻게 가능한지, 어떤 사례가 있었는지, 왜 아직도 중요한 이슈인지, 그리고 작업 증명과 지분 증명 방식에서 각각 어떤 식으로 발생할 수 있는지를 살펴볼게요. 어렵지 않으니 꼭 끝까지 읽어보세요.

51% 공격이란?

1) 블록체인의 기본 원리부터 간단히

블록체인은 중앙 관리자 없이 여러 사용자가 거래를 검증하는 시스템이에요. 누군가가 가상자산을 보내면, 네트워크에 있는 여러 컴퓨터(노드)가 이를 검증하고, 다수가 “맞다”고 합의하면 그 거래가 블록에 기록돼요. 이 과정을 합의 알고리즘이라고 부르죠.

2) 근데 만약 과반수를 장악한다면?

문제는 이 '합의'가 다수결이라는 점이에요. 만약 한 명 혹은 한 그룹이 전체 해시 파워의 과반(51% 이상)을 장악하게 되면, 이들은 블록체인의 합의 과정 자체를 조작할 수 있어요. 이게 바로 '51% 공격'이에요.

51% 공격으로 가능한 일은?

1) 이중 지불

이중 지불은 같은 코인을 두 번 쓰는 거예요. 예를 들어 거래소에 코인을 입금한 후, 공격자가 블록체인을 되돌려 해당 거래를 무효로 만들고, 그 코인을 다시 자기 지갑으로 돌려받을 수 있어요.

2) 블록 순서 변경

기존에 있던 블록을 되돌리고 새로운 블록을 연결해서, 자신의 의도대로 블록체인을 다시 구성할 수도 있어요.

3) 특정 트랜잭션 거부

공격자는 특정 거래를 포함하지 않거나, 네트워크에서 일부 사용자들의 거래만 계속 무효 처리할 수도 있어요. 일종의 검열이죠.

진짜 그런 일이 있었냐고요?

1) 비트코인 골드 (2018년 5월)

공격자가 네트워크 해시 파워의 과반을 장악하고 약 388,000 BTG를 이중 지불했어요. 거래소에 코인을 입금하고, 해당 블록을 되돌려 코인을 빼돌리는 수법이었죠.

2) 이더리움 클래식 (2019년 1월)

총 11차례의 블록 재조직이 일어났고, 공격자는 약 88,500 ETC를 탈취했어요. 그 여파로 여러 거래소가 큰 피해를 입었고, 이더리움 클래식의 신뢰도도 크게 떨어졌죠.

3) 버지 (2018년 4~5월)

두 차례의 51% 공격으로 총 3천7백만 개 이상의 XVG 코인이 사라졌어요. 이때는 블록 생성 속도까지 조작되면서 네트워크가 마비되기도 했죠.

비트코인은 앞으로 안전할까?

현실적으로 지금 비트코인 네트워크를 51% 공격하려면 하루에 수천억 원 이상의 비용이 들어요. 채굴 장비 수만 대와 엄청난 전기 요금이 필요하니까, 공격을 시도하기도 전에 포기하는 셈이죠. 그래서 비트코인이나 이더리움 같은 대형 체인은 거의 안전하다고 여겨져요.

문제는 신생 프로젝트나 소규모 블록체인이에요. 이런 체인들은 채굴자 수도 적고, 해시 파워도 낮기 때문에 비교적 적은 비용으로 과반수를 장악할 수 있어요. 실제로 위에서 소개한 사례들도 대부분 규모가 작은 블록체인에서 일어났고요.

지분 증명에서는 51% 공격이 불가능할까?

지분 증명(PoS) 방식은 작업 증명(PoW)과 같은 채굴 대신 코인을 많이 보유한 사람이 블록을 만들 수 있는 구조예요. 그래서 해시 파워 대신 전체 스테이킹 수량의 과반을 가져야 공격이 가능해요. 이론상으론 작업 증명보다 보다 공격이 훨씬 어려워 보이죠.

그러나 지분 증명에서는 지배적인 검증자(Dominant Validator) 문제가 발생해요. 어떤 부자나 대형 기관이 전체 코인의 51% 이상을 스테이킹해버리면, 결국 그 체인도 특정 소수의 입맛대로 돌아갈 수 있죠.

일부 지분 증명 체인은 이를 막기 위해 슬래싱(Slashing)이라는 처벌 메커니즘을 두고 있어요. 악의적인 검증자가 발견되면, 스테이킹한 코인의 일부를 강제로 몰수하는 식이에요.

51% 공격을 방지하는 방법은?

51% 공격을 막으려면 블록체인 구조 자체를 좀 더 안전하게 설계해야 해요. 먼저, 특정 채굴자나 채굴 풀이 해시 파워를 과도하게 장악하지 않도록, 채굴 참여자를 다양하게 분산시키는 게 중요해요. 중앙화된 채굴 풀이 지나치게 커지면 한 집단이 네트워크를 좌지우지할 수 있기 때문에, 이를 제한하는 정책이 필요하죠.

검증자 독점 문제도 마찬가지예요. 특히 지분증명(PoS) 방식에서는, 한 사람이 너무 많은 코인을 스테이킹해 네트워크를 장악하지 않도록 설계하는 게 핵심이에요. 이를 위해 검증자마다 스테이킹할 수 있는 최대 수량에 제한을 두거나, 전체 지분이 다양한 사용자에게 고르게 분포되도록 유도하는 방법이 쓰여요.

또 하나 중요한 건 이중 지불을 막는 방법이에요. 거래소에서는 보통 거래가 몇 번의 블록 확인(컨펌)을 거친 뒤에야 입금을 인정해요. 이 컨펌 횟수를 늘리는 방식으로 공격자가 블록을 되돌릴 시간을 줄일 수 있어요. 예를 들어, 비트코인의 경우 최소 6번 이상의 컨펌이 있어야 거래가 확정되죠.

마지막으로 블록 재조직을 막기 위한 기술적인 방안도 필요해요. 체인 구조를 설계할 때 너무 오래된 블록까지 쉽게 되돌릴 수 없도록 ‘블록 깊이’라는 개념을 설정하면, 공격자가 과거 블록을 되돌리는 걸 어렵게 만들 수 있어요. 이렇게 다양한 조치를 종합적으로 적용하면, 블록체인 네트워크의 보안성을 한층 더 높일 수 있어요.

마치며

블록체인은 분산된 시스템이기 때문에 기본적으로 안전하다고 알려져 있지만, 그 안전성은 '다수가 공정하게 참여한다'는 전제 아래에서만 성립해요.

만약 그 다수가 한 명 혹은 한 집단으로 쏠린다면, 블록체인은 더 이상 탈중앙화 시스템이 아니게 되죠.

실제로 51% 공격은 이 구조적인 틈을 파고든 공격 방식이에요. 블록체인 생태계가 성숙해질수록 이런 위협은 줄어들겠지만, 새로운 프로젝트가 생기는 한 이 문제는 계속해서 고민해야 할 주제예요.

결론적으로, “블록체인은 무조건 안전하다”는 말은 과장이에요. 기술이 아무리 좋아도, 설계와 운영이 엉성하면 언제든 뚫릴 수 있다는 것, 그게 51% 공격이 우리에게 주는 가장 현실적인 경고예요.