출처: 토큰포스트
미국에서 빠르게 확산하고 있는 ‘비트코인 인출기(ATM)’가 가장 위협적인 암호화폐 범죄 유형으로 떠오르고 있다고 8일(현지시간) CNBC가 보도했다.
미시간 혁신기술대학 사이버 보안 부문 티모시 베이츠 교수는 비트코인 ATM가 온라인 및 오프라인 공격에 상당히 취약하며 해킹과 절도의 주요 타깃이 되고 있다고 주장했다.
베이츠 교수는 “범죄자가 비트코인 ATM에 악성 소프트웨어를 설치해 개인키를 복제하고 자금을 탈취하거나 거래를 조작할 수 있다”고 설명했다. 그는 ATM 기기가 정기적인 소프트웨어 업데이트나 보안 패치를 받지 못할 수 있어 이러한 공격에 더욱 노출되기 쉽다고 설명했다.
또한 “네트워크 통신 보안이 충분하지 않아 범죄자가 ATM과 서버 간의 데이터 전송을 가로채 데이터를 훔치거나 무단으로 접근할 수 있다”고 부연했다.
이번주 연방거래위원회(FTC)는 관련 사기 사건이 2020년 이후 1000% 증가했다고 밝혔다.
구글 클라우드 산하 사이버 보안 기업 만디안트(Mandiant)의 수석 분석가 조 돕슨은 탈중앙화성, 비허가, 불변성이라는 비트코인 강점이 비트코인 ATM 범죄 위험과 직결되고 있다고 말했다. ATM에 대한 조작으로 비트코인이 잘못된 주소로 보내져도 거래를 취소하거나 회수할 수 없다고 경고했다.
비트코인 ATM은 신원확인(KYC) 규제를 이행하기 위해 사회보장번호와 같은 개인 식별 정보를 요구하는 만큼 개인정보 유출 위험에도 노출될 수 있다고 덧붙였다.
블록체인 컨설팅 업체 ‘아웃셋 PR’의 보안·준법 책임자 앨리스 프레이는 “암호화폐는 온라인에서 명확한 당사자 확인 없이 손쉽게 교환 가능하다”면서 “범죄자들은 이러한 익명성을 악용해 자금을 추적할 수 없도록 이동시키고 크로스 블록체인 ‘브리지’와 같은 기술을 사용하여 거래 경로를 은폐한다”고 설명했다.
또한 “ATM 사기와 연결된 암호화폐 거래소들은 규제기관의 손이 닿지 않는 해외에 기반을 두는 경우가 많다”면서 “도난당한 자금을 추적하고 회수하기 어렵다”고 강조했다.
앨리스 프레이는 이러한 위험을 피하기 위해 사용자가 비트코인 ATM 운영사 및 허가 상태를 확인하고, ‘체인어뷰즈’ 같은 플랫폼을 통해 거래 상대방 주소의 위험성을 점검하는 등 검증 단계를 밟아야 한다고 조언했다.
전 세계 ATM의 74%를 상위 10개 운영사 ▲비트코인 디팟(Bitcoin Depot) ▲코인플립(CoinFlip) ▲아테나 비트코인(Athena Bitcoin) ▲록잇코인(RockItCoin) ▲비트스탑(Bitstop) ▲마르고(Margo) ▲코인허브(Coinhub) ▲로컬코인(Localcoin) ▲바이트 페더럴(Byte Federal) ▲캐시투비트코인(Cash2Bitcoin)가 관리하고 있다고 덧붙였따.
한편, 8000대 이상의 ATM을 운영하는 최대 비트코인 ATM 운영사 비트코인 디팟의 CEO 브랜든 민츠는 ATM은 해킹 공격을 막도록 설계돼 있고, 비트코인 ATM이 주요 해킹 대상이 아니라고 반박했다.
그는 “비트코인 ATM은 하드웨어와 비트코인 지갑 환경이 분리돼 있기 때문에 사이버 범죄의 주요 타깃이 아니다”라고 강조했다. ATM 기기는 비트코인을 직접 저장하지 않으며 미승인 접근을 막기 위한 여러 단계의 검증, 승인 절차를 두고 있다고 설명했다. 또 현금만 지원하기 때문에 종종 현금 인출기에 설치되는 ‘카드 복제기’ 문제도 없다고 덧붙였다.
다만 오래된 금융 사기 수법이 암호화폐 부문에도 적용될 뿐이라면서 “비트코인 ATM 이용자는 알지 못하거나 신뢰하지 않는 사람에게 암호화폐를 전송하지 않아야 한다”고 말했다. 특히 “요청이 긴급성을 띠거나 위협이 있을 때는 더욱 경계해야 한다”고 말했다.
한편, 비트코인 디팟은 증권 당국 신고서에서 “이용자는 계정 탈취와 같은 사이버 보안 사건의 표적이 된 적이 있으며 향후에도 가능성이 있다”며 위험성을 인정하고 있으며 사이버 사기와 관련해 여러 소송에 휘말려있다.
만디안트의 수석 분석가인 조 돕슨은 “사기를 막는 가장 강력한 무기는 더 많은 기술이 아니라 이용자의 책임”이라고 말했다. 그는 “암호화폐에서 이용자의 책임은 매우 중요한 사안”이라면서 “문제가 생기면 보상을 받을 가능성은 거의 없으며 이용자가 조치를 취해야 할 책임을 갖게 된다”고 말했다.