안전한 줄 알았던 비트코인, 거래소 보안은 허술하다

[보안뉴스 문가용 기자] 비트코인은 다른 무엇보다 익명성 때문에 크게 선호 받고 있는 거래 방식이다. 하지만 실상은 그렇지도 않다는 연구 보고서가 등장했다. 프린스턴 대학의 연구팀이 발표한 이번 보고서에 의하면 인터넷 환경에서 활동하고 있는 비트코인 거래소들이 문제다. 해당 보고서는 여기서 다운로드가 가능하다.

[이미지 = iclickart]

보고서의 초록은 다음과 같다.
이번 보고서를 통해 서드파티 웹 추적툴 혹은 추적자들이 암호화 화폐 사용자들에게 보장되는 익명성을 사실상 무력화시킬 수 있다는 것을 증명하고자 합니다. 그러기 위해 두 가지 공격 유형을 여기에 설명했습니다. 둘 다 상호 독립적이지만 상호 보완적이기도 한 공격입니다. 쇼핑 웹 사이트들 대부분 서드파티 추적툴이 있는데, 그 이유는 사용자의 구매 행위에 대한 정보를 받아 광고나 상품 기획, 시장 분석에 활용하기 위해서입니다. 소비자가 쇼핑을 하고 암호화 화폐로 돈을 냈다고 해도 이 부분은 깨지지 않습니다. 대부분의 경우 이 서드파티들은 블록체인 내에서 거래행위에 해당하는 부분을 파악하고, 이를 사용자의 쿠키에 연결시켜 사용자의 신원을 파악할 수 있게 됩니다. 이는 첫 번째 공격을 통해 드러납니다. 두 번째 공격은 더 심각한데, 실제로 진행할 경우 사용자의 전체 주소 및 거래 내용이 담긴 블록체인 전체 클러스터를 파악하는 게 가능해진다고 합니다.

해당 보고서에 의하면 사용자의 쿠키를 비트코인 거래에 연결시키는 것이 문제의 근원이다. 이 연구에 참여한 딜론 레이즈만(Dillon Reisman), 스티븐 골드페더(Steven Goldfeder), 해리 칼로드너(Harry Kalodner), 아빈드 나레이야난(Arvind Narayanan)은 비트코인 거래에 쿠키를 연결시킴으로써 아주 간단히 거래 추적이 가능하다는 사실을 20 페이지 남짓한 보고서를 통해 증명했다.

[이미지 = 원 보고서]

보고서에서 제시한 방법에 의하면 아주 적은 양의 정보만 있어도 비트코인 거래를 감행한 ‘아무개 씨’를 파악할 수 있다고 한다. 비트코인 거래의 익명성을 더욱 강화하기 위한 프로토콜인 코인조인(CoinJoin)과 같은 서비스를 활용할 경우에도 거래 당사자의 신원을 추측할 수 있을 정도다.

이 연구원들에 의하면 현존하는 온라인 비트코인 거래소 130여 곳 중 53개소에서 지불 관련 정보를 40개의 서드파티에 유출시키고 있다고 한다. “이 서드파티 대부분은 쇼핑 카트입니다. 즉, 모르고 유출시키는 게 아니라 의도적으로 파트너십을 맺고 그렇게 하는 것이죠. 광고나 분석 등을 목적으로, 그렇게 거래를 한 겁니다.” 게다가 거래소 웹사이트들도 상당히 취약한 편이라 블록체인 상의 거래를 수많은 추적자들에게 그대로 노출시키는 경우도 많다고 한다.

* 총 130개 비트코인 거래소를 분석한 보고서 내용 중 일부를 발췌해보면 다음과 같다.
* 총 107개의 웹사이트들이 거래와 관련된 정보를 노출시키고 있다.
* 총 31개의 웹사이트들에서 서드파티 스크립트가 활용되고 있다. 이 스크립트는 사용자의 비트코인 주소에 접근할 수 있다.
* 총 104개의 웹사이트들에서 비트코인이 아닌 다른 화폐 단위로 표기된 거래가격을 공유하고 있다.
* 총 30개의 웹사이트들에서 실거래가격을 공유하고 있다.

결국 이번 조사를 위해 분석된 130개의 비트코인 거래 웹사이트들은 서로 다양한 종류의 개인정보를 전달하고 또 전달받고 있었다는 것으로, 서비스 자체가 이런 식으로 운영되기 때문에 추적 방지 시스템을 사용해도 소용이 없다고 한다. 해당 보고서에 나타난 개인정보의 유형은 이메일, 이름과 성, 사용자 ID, 주소, 풀네임, 전화번호, 회사 이름 등이었다.

게다가 49개 거래소에서는 식별이 가능한 사용자 개인정보를 공유하고 있었고, 38개 거래소는 사용자가 옵션을 조정해서 공유를 금지해도 민감한 정보를 공유하고 있었다. 즉, 거래소의 현재 보안 상황은 사용자를 전혀 위하고 있지 않다는 것이며, 따라서 비트코인을 사용하더라도 얼마든지 추적이 가능하다는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]