현재 해커들에 의해 51%공격을 받은 코인은 모나코인, 비트코인골드, 젠캐시, 버지코인, 라이트코인 및 최근 대시, 이더리움 클라식까지 점차 시가총액 상위권 코인까지 발생하고 있다.
이러한 51% 공격은 블록체인 개발된 이후 실제로 일어나기 어려운, 이론상으로만 존재하는 공격으로 여겨졌으나 최근 2,3년내 흔한 일이 되었다. 공격에 나선 이들은 상대적으로 작은 블록체인 네트워크를 장악할 만큼 방대한 연산 능력을 갖춘 뒤 거래를 조작하고 합의 알고리듬을 왜곡해 수백만 달러를 훔쳐 갔다. 블록체인상에서 벌어지는 은행 강도의 범행을 보는 것 같다.
51% 공격이 이미 잘 알려진 위험한 암호화폐 공격 벡터라는 사실은 더 놀라운 점일지도 모른다. 과거에도 이런 공격이 성공을 거둔 적이 없지 않지만, 이렇게 빈발하지는 않았다.
공격이 거의 일어나지 않다 보니 전문가들 가운데는 규모가 큰 블록체인의 채굴자들은 절대로 51% 공격의 피해를 보지 않을 것이라고 주장하는 사람이 있을 정도였다. 시시각각 상황이 변하는 암호화폐 세계에서는 이미 까마득한 옛날이야기처럼 들리긴 하지만, 아무튼 성공 가능성도 작고 설사 성공한다 해도 그 많은 돈을 다 빼 올 수도 없으니 51% 공격은 안 하느니만 못하다는, 그래서 결국 블록체인 네트워크는 51% 공격을 걱정하지 않아도 된다는 주장이 정설로 받아들여지던 시절이 분명 있었다
암호화폐는 처음부터 컴퓨터 과학의 오랜 골칫거리 가운데 하나였던 “이중 지불 문제”를 해결하겠다는 야심 찬 목표에 도전했다.
기본적으로 나쁜 행동을 감시하고 예방하는 데 대한 보상을 주지 않고 메시지를 주고받는 네트워크가 스스로 금융 시스템을 제대로 관리, 감독하는 일은 불가능하다. 즉, 누군가 한꺼번에 같은 돈을 다섯 군데 다른 곳에 써도, 심지어 1천 번을 써도 이를 걸러내고 막아내기 어려운 것이다. 그래서 어쩔 수 없이 은행과 같은 제삼자가 나서 귀찮은 일을 모두 처리해 나쁜 행동을 못 하게 막고 신뢰를 강제하게 된 것이다.
사실 채굴자(miners)가 지금처럼 전기를 소모해가며 네트워크 안에 있는 누구의 돈도 도난당하지 않았다는 사실을 끊임없이 확인하고 검증하는 이유도 마찬가지다. (여기서 채굴자란 블록체인 소프트웨어를 운영하는 데 필요한 기계를 뜻하며, 채굴에 참여하면 수많은 노드 가운데 하나가 되어 거래 데이터를 기록하고 저장함으로써 네트워크 보안을 높이게 된다)
해커들이 지금과 같은 채굴 방식을 뚫고 공격을 감행해 돈을 벌려면 몇 가지 요건을 갖춰야 한다. 즉, 채굴 역량(해시파워, hash power)의 절반 이상을 갖추는 것만으로는 해커가 얻을 수 있는 것이 별로 없다. 대신 몇 가지 조건이 갖춰지면 해커들이 (데이터를 위·변조해) 이중 지불할 수 있게 된다.
다만 몇천 원 하는 커피 한 잔 값을 벌겠다고 해시파워를 끌어모으는 건 그야말로 배보다 배꼽이 큰 낭비가 된다. 공격을 감행했을 때 수백, 수천만 달러는 빼돌릴 수 있어야 해커들도 수지타산이 맞는다는 말이다. 해커들은 교묘하게 시스템의 약점을 파고들어 이른바 ‘돈이 되는 공격’을 감행하고 있다. 모나코인, 비트코인골드, 젠캐시, 라이트코인캐시 모두 암호화폐를 다량 보유하고 있던 거래소가 공격 목표가 되었다.
이러한 51% 공격 요인은 한가지로 설명되기 어려우며 복합적으로 작용했을 가능성이 크다는 것이다. 예를 들면 소규모 코인들이 주로 공격 대상이 되는 것도 우연이 아닐 수 있다. 소규모 코인은 채굴자들도 적을 것이고, 그만큼 해시파워의 51%를 장악하는 데 드는 비용도 상대적으로 크지 않다.
이용자나 거래소가 해커들의 잠재적인 공격에 속아 넘어가지 않는 확실한 방법 가운데 하나는 거래 기록이 오래된 암호화폐만 확인해 취급하는 것이다. 다시 말해 거래기록이 더 많아서 블록이 많이 쌓여있는 거래만 인정하는 것인데 이를 확인(confirmation) 절차라고 부른다. 확인 절차를 꼼꼼히 밟을수록 해커들이 51% 공격으로 돈을 빼돌리기는 더 어려워진다.
개발자와 암호화폐 전문가들은 해시파워가 높은 대규모 블록체인일수록 확인 절차를 덜 밟아도 공격받을 걱정이 없이 더 안전하다는 점에 주목하고 있으며 투자자들도 이점을 명심해야 할 것이다.
