1. 서론 및 개요

본 논문은 작업 증명(PoW) 블록체인 합의 프로토콜, 특히 이더리움과 그 GHOST 프로토콜을 주요 대상으로 하는 새로운 보안 공격인 밸런스 공격을 소개하고 분석합니다. 압도적인 연산 능력을 요구하는 기존의 51% 공격과 달리, 밸런스 공격은 노드 하위 그룹 간의 전략적 네트워크 통신 지연을 활용하여 일시적인 분할을 생성함으로써, 상대적으로 낮은 채굴 능력으로도 이중 지불을 가능하게 합니다. 본 연구는 R3 금융 컨소시엄의 블록체인 테스트베드를 모방한 환경을 사용하여 이론적 확률 모델과 실험적 검증을 모두 제공합니다.

핵심 발견 사항은 PoW 블록체인, 특히 GHOST와 같은 엉클 블록(Uncle Block) 계산 메커니즘을 사용하는 블록체인은 네트워크 토폴로지와 지연 시간을 조작하거나 예측할 수 있는 컨소시엄 또는 프라이빗 체인 환경에 근본적으로 부적합할 수 있다는 점입니다.

2. 밸런스 공격 메커니즘

이 공격은 경쟁하는 유사한 무게의 체인을 생성하도록 하는 네트워크 조건을 인위적으로 만들어 블록체인의 포크 해결 전략을 악용합니다.

2.1 핵심 공격 원리

공격자는 네트워크를 대략 균형 잡힌 총 채굴 능력을 가진 (적어도) 두 개의 하위 그룹으로 분할합니다. 이 하위 그룹 사이의 메시지를 선택적으로 지연시킴으로써(그룹 내부 통신은 지연시키지 않음), 공격자는 각 그룹이 별도의 체인에서 채굴하도록 허용합니다. 그런 다음 공격자는 자체 채굴 능력을 한 하위 그룹(블록 하위 그룹)에 집중시키는 동시에, 다른 하위 그룹(거래 하위 그룹)에서 되돌리려는 거래를 발행합니다.

2.2 공격 단계

  1. 분할 및 지연: 공격자는 네트워크 지연을 통해 하위 그룹 A와 B를 격리시킵니다.
  2. 병렬 채굴: 하위 그룹 A와 B는 별도의 체인을 구축합니다. 공격자는 하위 그룹 B에서만 독점적으로 채굴합니다.
  3. 거래 발행: 공격자는 하위 그룹 A에서 거래를 발행하며, 이 거래는 해당 그룹의 체인에서 확인됩니다.
  4. 무게 기울이기: 공격자는 B 그룹의 체인(엉클 블록 포함)이 A 그룹의 체인보다 무거워질 확률이 높아질 때까지 하위 그룹 B에서 채굴을 계속합니다.
  5. 재연결 및 재구성: 공격자는 지연을 중단합니다. 네트워크가 GHOST를 사용하여 뷰를 조정할 때, 하위 그룹 B의 더 무거운 체인이 채택되며, 공격자의 거래가 포함된 블록을 고아 블록으로 만들고 이중 지불을 가능하게 합니다.

3. 이론적 분석 및 모델

본 논문은 공격 성공 조건을 결정하기 위한 공식적인 확률 모델을 수립합니다.

3.1 확률론적 프레임워크

분석은 채굴 과정을 포아송 과정으로 모델링하기 위해 체르노프 경계를 사용합니다. 핵심 변수는 공격자가 유지해야 하는 지연 시간($\Delta$) 대비 공격자의 채굴 능력 비율($\alpha$)과 정직한 네트워크의 능력입니다.

3.2 핵심 수학적 공식화

격리된 하위 그룹에서 공격자의 브랜치가 다른 하위 그룹의 브랜치보다 무거워질 확률이 도출됩니다. 높은 확률로 이중 지불에 성공하기 위해 필요한 지연 시간 $\Delta$는 공격자의 채굴 능력에 반비례합니다. 이 모델은 다음과 같은 상충 관계를 포착합니다: 공격자 능력이 낮을수록 더 긴 네트워크 지연이 필요합니다. 해시 파워 $q$를 가진 공격자가 정직한 파워 $p$에 대해 시간 $t$ 동안 얻을 수 있는 예상 리드 $L$에 대한 단순화된 표현은 포아송 과정 비율과 관련이 있습니다: $\lambda = \frac{p}{\tau}$, 여기서 $\tau$는 블록 생성 시간입니다. 공격자의 진행 상황은 이 과정으로 모델링된 확률 변수입니다.

4. 실험적 검증

이론적 모델은 R3 컨소시엄을 모델로 한 실제 환경에서 테스트되었습니다.

4.1 R3 컨소시엄 테스트베드 구성

R3 컨소시엄(약 11개 참여 은행)의 조건을 모방한 분산 시스템에 이더리움 프라이빗 체인이 배포되었습니다. 공격을 시뮬레이션하기 위해 노드 하위 그룹 사이에 인위적으로 네트워크 지연이 도입되었습니다.

4.2 결과 및 공격 실행 가능성

핵심 실험 결과

공격 소요 시간: 단일 머신이 시뮬레이션된 R3 컨소시엄에 대해 밸런스 공격을 성공적으로 실행하는 데 약 20분이 걸렸습니다.

함의: 이는 공격이 단순히 이론적이지 않으며, 공용 메인넷에 비해 총 네트워크 해시 파워가 제한된 컨소시엄 환경에서 적은 자원으로도 실제로 실행 가능함을 보여줍니다.

차트 설명 (개념적): 선형 차트는 공격자가 통제하는 지연 시간(X축)이 증가함에 따라 이중 지불 성공 확률(Y축)이 급격히 상승하는 것을 보여줄 것입니다. 이는 낮은 공격자 채굴 능력 값(다른 선으로 표현)에 대해서도 마찬가지입니다. 20% 공격자에 대한 곡선은 5% 공격자에 비해 훨씬 빠르게 높은 확률에 도달하지만, 충분한 지연이 주어지면 둘 다 결국 성공합니다.

5. 함의 및 비교 분석

5.1 이더리움 대 비트코인 취약성

둘 다 네트워크 수준 공격에 취약하지만, 본 논문은 엉클 블록을 무게 계산에 통합하는 이더리움의 GHOST 프로토콜이 아이러니하게도 다른 공격 표면을 생성할 수 있다고 제안합니다. 밸런스 공격은 특히 격리를 통해 균형 잡힌 경쟁 서브트리를 생성함으로써 "가장 무거운 서브트리" 규칙을 조작합니다. 비트코인의 최장 체인 규칙은 다른 지연 공격(예: 이기적 채굴)에 취약하지만, 밸런스 공격은 GHOST의 메커니즘을 중심으로 공식화되었습니다.

5.2 컨소시엄 블록체인 적합성

본 논문의 가장 심각한 결론은 표준 PoW 프로토콜이 컨소시엄 블록체인에 적합하지 않다는 점입니다. 컨소시엄은 참여자가 적고 알려져 있어, 전 세계적이고 적대적인 비트코인 네트워크보다 네트워크 분할 공격이 더 현실적입니다. 또한 총 해시 파워가 제한적이어서 의미 있는 비율을 획득하는 비용도 줄어듭니다.

6. 분석가 관점: 핵심 통찰 및 비판

핵심 통찰: 나톨리와 그라몰리는 블록체인 보안에서 종종 간과되는 중요한 공리를 폭로했습니다: 합의 보안은 암호학적 증명과 네트워크 동기화의 함수입니다. 밸런스 공격은 SHA-256이나 Ethash를 깨는 것이 아닙니다. 이는 부분적 동기 모델에서 "네트워크" 가정을 정밀하게 깨는 것입니다. 이는 위협을 컴퓨팅 계층(해시 파워)에서 네트워크 계층(라우팅, ISP)으로 이동시킵니다. 이는 많은 컨소시엄 운영자가 방어할 준비가 되어 있지 않은 새로운 전선입니다. 이는 FLP 불가능성 결과와 같은 고전적 분산 시스템의 교훈을 반영하며, 비동기성 하에서 합의가 취약함을 증명합니다.

논리적 흐름: 논증은 그 단순함에서 우아합니다. 1) PoW 보안은 단일의 가장 빠르게 성장하는 체인에 의존합니다. 2) GHOST는 이를 "가장 무거운" 체인으로 수정하여 엉클 블록을 통합해 처리량을 향상시킵니다. 3) 균형 잡힌 파워를 가진 격리된 파티션을 생성함으로써, 공격자는 두 개의 무겁고 유효한 서브트리의 생성을 강제합니다. 4) 재연결 시, GHOST의 규칙은 방어 수단이 아닌 공격 경로가 됩니다. 이 공격이 악용하는 논리적 결함은 GHOST가 무게가 정직한 작업을 반영한다고 가정하지만, 분할된 네트워크에서 무게는 격리된 작업을 반영하며, 이는 조작 가능하다는 점입니다.

강점 및 결함: 본 논문의 강점은 이론을 넘어 이더리움 프라이빗 체인에서의 실제적인 실증에 있습니다. 체르노프 경계의 사용은 수학적 엄밀성을 제공합니다. 그러나 이 분석은 학술적 보안 논문에서 흔히 나타나는 결함을 가지고 있습니다: 거의 완벽하고 지속적인 네트워크 분할을 가정합니다. 다중 물리적 및 논리적 경로를 가진 실제 기업 네트워크에서 네트워크 엔지니어의 모니터링을 피해 20분 이상 그러한 깨끗한 분할을 유지하는 것은 사소한 일이 아닙니다. 또한 공격자는 정확히 균형 잡힌 해시 파워를 가진 하위 그룹을 식별하고 대상으로 삼아야 하며, 이는 컨소시엄 내부자 지식을 필요로 할 수 있습니다.

실행 가능한 통찰: PoW 기반 컨소시엄 체인을 고려하는 모든 기업에게 이 논문은 필수적인 경고 신호입니다. 즉각적인 교훈은 컨소시엄 환경을 위해 순수 PoW를 포기하는 것입니다. 권한 증명(PoA), 실용 비잔틴 장애 허용(PBFT) 또는 그 파생물(이스탄불 BFT 등)과 같은 대안은 보안이 해시 파워와 네트워크 운이 아닌 신원과 메시지 전달에서 비롯되기 때문에 본질적으로 더 저항력이 있습니다. 이더리움과 같은 공용 체인의 경우, 완화책은 강력하고 분산된 네트워크 인프라(이더리움의 Discv5 등)와 빠른 블록 전파(Graphene 등)에 있습니다. 주요 마이닝 풀 간의 비정상적인 지연 시간에 대한 네트워크 모니터링은 표준 보안 관행이 되어야 합니다. 이 연구는 이클립스 공격(하일만 등)과 뇌물 공격(주드마이어 등)에 대한 초기 연구와 함께, 레이어-1 합의가 명시적 적대적 네트워크 모델을 염두에 두고 설계되어야 한다는 증거 체계를 형성합니다.

7. 기술 심층 분석

7.1 수학적 모델 상세

정직한 노드와 공격자의 채굴 과정은 각각 비율 $\lambda_h$와 $\lambda_a$를 가진 독립적인 포아송 과정으로 모델링되며, 여기서 $\lambda = \text{해시 파워} / \text{블록 시간}$입니다. $Q(t)$와 $H(t)$를 시간 $t$ 동안 공격자와 정직한 네트워크가 채굴한 블록 수라고 합시다. 그들의 기대값은 $\mathbb{E}[Q(t)] = \lambda_a t$ 및 $\mathbb{E}[H(t)] = \lambda_h t$입니다.

지연 기간 $\Delta$ 동안 공격자의 목표는 한 파티션에서 리드 $z$를 확립하는 것입니다. 파티션 B에서 공격자의 체인이 파티션 A의 정직한 체인보다 적어도 $k$ 블록 앞설 확률은 포아송 분포에 대한 꼬리 부등식을 사용하여 경계를 정할 수 있습니다. 네트워크가 병합될 때 공격의 성공 조건은 두 경쟁 체인의 총 무게(엉클 블록 포함)를 비교하는 것을 포함합니다. 논문은 $\Delta$, $\alpha$(전체 파워 대비 공격자 비율), 그리고 원하는 성공 확률을 연결하는 조건을 도출합니다.

7.2 실험 매개변수 및 지표

  • 테스트베드: 프라이빗 이더리움 네트워크 (Geth 클라이언트).
  • 노드 수: R3의 약 11명 참가자를 모델링.
  • 네트워크 에뮬레이션: 노드 하위 집합 사이에 정밀한 지연 시간($\Delta$)을 도입하기 위해 도구(예: `tc` netem) 사용.
  • 채굴 능력 분포: 균형 잡힌 하위 그룹 시뮬레이션 (예: 45%-45% 정직한 노드, 10% 공격자).
  • 주요 지표: 성공적 이중 지불까지의 시간(TTS) 및 그 확률.
  • 검증: 약 20분 공격 시간의 일관성을 측정하기 위해 반복 실행.

8. 분석 프레임워크 및 개념적 예시

시나리오: 10개 은행이 각각 동등한 파워의 하나의 채굴 노드를 운영하는 무역 금융용 컨소시엄 블록체인.

공격 프레임워크 적용:

  1. 정찰: 공격자(한 은행의 악의적인 내부자)는 네트워크 토폴로지를 매핑하고 노드가 두 개의 주요 클라우드 리전(US-East 6개 노드, EU-West 4개 노드)에 호스팅되어 있음을 식별합니다.
  2. 파워 균형 맞추기: 공격자는 US-East 하위 그룹이 약 60%의 해시 파워를, EU-West가 약 40%를 가진다고 계산합니다. 균형을 맞추기 위해 공격자는 EU 지역에서 임시로 노드를 추가로 손상시키거나 온라인으로 가져와 균형을 50%-50%에 가깝게 조정합니다.
  3. 분할: BGP 하이재킹 또는 리전 간 링크에 대한 표적 DDoS를 사용하여, 공격자는 US-East와 EU-West 사이에 30분의 통신 지연을 유도합니다.
  4. 실행: 공격자는 US-East 체인에서 자산을 구매하는 거래를 발행합니다. 동시에 그들은 EU-West 파티션에서 자신의 자원으로 채굴합니다. 25분 후, EU-West 체인(공격자의 집중 채굴로 강화됨)은 더 무거운 GHOST 가중치를 갖게 됩니다.
  5. 해결: 공격자는 네트워크 간섭을 중단합니다. 네트워크 노드들은 조정을 거쳐 EU-West 체인을 채택하고, US-East 거래를 무효화합니다. 공격자는 자산을 이중 지불했습니다.

이 비코드 예시는 현실적인 비즈니스 시나리오를 사용하여 공격 단계를 설명합니다.

9. 향후 방향 및 완화 전략

  • 합의 프로토콜 진화: 프라이빗/컨소시엄 체인을 위한 비-PoW 합의의 광범위한 채택 (예: Hyperledger Fabric의 Raft, Quorum의 QBFT).
  • 하이브리드 모델: 명시적으로 지연 허용이거나 네트워크 지연 증명을 통합하는 PoW 프로토콜에 대한 연구.
  • 강화된 네트워크 계층 보안: 검증 가능한 무작위 피어 선택 및 비정상적 지연 패턴 모니터링과 같은 반분할 기능을 갖춘 피어-투-피어 네트워킹 프로토콜 통합.
  • 정형 검증: Algorand 합의에 대해 수행된 작업과 유사하게, 약한 네트워크 동기화 가정 하에서 합의 프로토콜을 모델링하고 검증하기 위한 정형 방법 적용.
  • 규제 및 거버넌스 초점: 컨소시엄의 경우, 블록체인 배포의 사후 고려사항이 아닌 일부로 강력한 네트워크 인프라 및 모니터링을 의무화하는 거버넌스 모델 및 기술 표준 개발.

10. 참고문헌

  1. Natoli, C., & Gramoli, V. (2016). The Balance Attack Against Proof-Of-Work Blockchains: The R3 Testbed as an Example. arXiv preprint arXiv:1612.09426.
  2. Nakamoto, S. (2008). Bitcoin: A Peer-to-Peer Electronic Cash System.
  3. Buterin, V. (2014). Ethereum: A Next-Generation Smart Contract and Decentralized Application Platform.
  4. Sompolinsky, Y., & Zohar, A. (2013). Accelerating Bitcoin's Transaction Processing. Fast Money Grows on Trees, Not Chains. IACR Cryptology ePrint Archive.
  5. Heilman, E., Kendler, A., Zohar, A., & Goldberg, S. (2015). Eclipse Attacks on Bitcoin's Peer-to-Peer Network. USENIX Security Symposium.
  6. Eyal, I., & Sirer, E. G. (2014). Majority is not Enough: Bitcoin Mining is Vulnerable. International Conference on Financial Cryptography and Data Security.
  7. Lamport, L., Shostak, R., & Pease, M. (1982). The Byzantine Generals Problem. ACM Transactions on Programming Languages and Systems.
  8. Castro, M., & Liskov, B. (1999). Practical Byzantine Fault Tolerance. OSDI.