
미국 NVD가 취약점 CVE를 채택하면 인스크립션 생태계가 붕괴될 수 있을까?
글: 부어화, Odaily 스타 데일리
오늘 보안 회사 슬로우미스트(SlowMist)의 창립자인 유시엔(余弦)이 X 플랫폼을 통해 비트코인 오디널스 인스크립션(Inscription) 취약점이 미국 국가취약성데이터베이스(NVD)에 의해 공식적으로 채택되었으며, CVSS 취약점 등급 점수는 5.3으로 중간 수준 위험도(만점 10점)라고 밝혔다.
"인스크립션 문제에 CVE 번호가 부여된 것은 기반을 뒤흔드는 조치이며, 명확하게 이 문제가 취약점임을 규정한 것이다. CVE 번호 자체는 특별한 것이 아니며 많은 보안 팀이나 개인들이 신청할 수 있다. 우리는 이를 크게 중요하게 여기지 않았지만... 아마도 비트코인 생태계의 관련 주체들은 이 점을 중요하게 여길 수 있다. 어쨌든 CVE 번호는 보안 업계에서 가장 잘 알려진 취약성 입증 수단 중 하나이기 때문이다."
유시엔은 자신 또한 인스크립션을 연구하고 이용하고 있으며 "인스크립션에는 다른 가능성도 있다고 느끼며 더 나은 해결책을 기대한다"고 반복해서 밝혔지만, 그럼에도 불구하고 "인스크립션 취약점이 공식적으로 인정되었다"는 소식은 암호화 커뮤니티에서 다시금 논란을 불러일으켰다. 일부 사람들은 NVD의 이번 인증을 받아들이지 않으며 탈중앙화된 비트코인이 중앙화된 기관에 의해 정의되어서는 안 된다고 주장했다.

(유시엔 트위터 스크린샷)
이전에도 비트코인 코어 클라이언트(Bitcoin Core) 개발자 루크 대쉬제이알(Luke Dashjr)은 인스크립션이 블록체인에 스팸 정보를 전송하기 위해 Bitcoin Core 클라이언트의 취약점을 악용하고 있다고 주장했으며, 해당 취약점에는 식별자 CVE-2023-50428이 부여되었다. 그러나 암호화 투자자들은 이에 동의하지 않으며, 루크 대쉬제이알이 자신의 편견에서 비롯된 거짓 이유로 CVE를 신청해 성공했다고 비판하며 "이는 공공 보안 메커니즘의 부끄러운 남용이다"라고 지적했다.

(루크 대쉬제이알 트위터 스크린샷)
인스크립션 보유자들에게 가장 중요한 질문은 바로 NVD의 인증 채택이 곧바로 해당 취약점의 수정을 요구하는지를 의미하며, 궁극적으로 인스크립션 시장에 영향을 미칠 것인지 여부이다.
익명의 보안 전문가는 Odaily 스타 데일리에 "취약점 인증은 반드시 수정을 의미하지는 않는다. 수정 여부는 결국 Bitcoin Core가 어떻게 판단하고 실행하느냐에 달려 있다"고 말했다. 다만 "CVE/NVD는 보안 및 기술 산업 내에서 오랜 기간 큰 영향력을 지니고 있기 때문에, '비트코인 오디널스 인스크립션은 취약점이다'는 정의를 강화하는 목소리가 확산될 수밖에 없다"고 덧붙였다.
"또한 알아야 할 점은 CVE/NVD와 같은 플랫폼이 매우 유명하다 하더라도, 역사적으로 수많은 취약점들이 등재되었음에도 모두 수정되거나 즉각 수정된 것은 아니라는 사실이다. 이런 취약점 논쟁은 비트코인만의 특수한 사례가 아니며, 평소처럼 차분하게 대응하면 된다."
또한 이 보안 전문가는 CVSS가 해당 취약점에 5.3의 중간 수준 위험도를 부여한 것이 전체 블록체인의 보안성에 직접적인 위협을 의미하지는 않는다고 설명했다. "CVSS는 업계에서 가장 유명하고 정점 수준의 취약점 평가 기준이며 만점은 10점이다. 5.3 점수는 이미 그 자체로 의미 있는 정보다. 중간 수준 위험도이지 고위험도도 아니며 심각한 수준도 아니다. 비트코인의 이 중간 수준 취약점이 수정되지 않더라도 큰 영향을 미치지 않거나 단기적으로는 거의 영향을 미치지 않을 것이다. 비트코인 오디널스 인스크립션(그리고 BRC-20 포함)은 현재 거래되거나 체인 상에서 활동하는 순간마다 이 취약점을 활용하고 있는 것이다. 루크 대쉬제이알의 관점에서는 이것이 스팸 공격을 유발한다고 보는 것이다. 스팸, 즉 쓰레기 정보일 뿐이다. 하지만 이것이 정말 쓰레기인지 아닌지는 사람마다 다르게 보는 문제이므로, 논란이 있을 수밖에 없다."
유시엔 역시 소셜미디어를 통해 "모든 CVE 취약점이 반드시 혹은 반드시 수정되어야 하는 것은 아니다. 특히 점수가 낮은 경우 더욱 그렇다. 예를 들어 비트코인 오디널스 취약점의 경우 5.3점의 중간 수준 위험도인데, 세부 항목을 보면 최종 점수에 영향을 주는 여러 지표 중 일부는 0점이며, '영향(Impact)' 지표도 겨우 1.4점에 불과하다. 이런 상황이라면 최종적으로 수정 여부는 Bitcoin Core의 입장에 달려 있고, 수정 후 실제로 적용할지는 광산 운영자들의 태도에 달려 있다"고 언급했다.

(인스크립션 취약점 평가 점수)
현재 암호화 커뮤니티 내에서 인스크립션을 '취약점'으로 보는 문제에 대한 논쟁은 여전히 계속되고 있으며, 이번 NVD 인증 채택은 양측 간의 갈등을 다시 한번 부추기고 있다. 개발자의 입장에서는 시스템 내 취약점이 발생하고 이를 수정하는 것은 중요도와 무관하게 당연한 현상이다. 그러나 이러한 취약점을 활용하는 인스크립션 생태계, 특히 다수의 이해관계자들 입장에서는 이 조치가 곧 '생계를 끊는 행위'로 비춰질 수밖에 없다.
현재 인스크립션은 비트코인 생태계에 새로운 서사와 활력을 불어넣고 있다. 개발자들과 생태계 구축자들이 조속히 협의를 통해 합의에 도달하고 최선의 해결책을 찾기를 기대한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News












