안전한 줄 알았던 비트코인, 거래소 보안은 허술하다 | |
2017-08-21 | |
프린스턴 대학 연구원들, 거래소 웹사이트에서 보안 문제점 발견
쿠키를 거래 내역에 연결시키면 신원 파악 가능해질 정도로 정보 수집 및 공유 [보안뉴스 문가용 기자] 비트코인은 다른 무엇보다 익명성 때문에 크게 선호 받고 있는 거래 방식이다. 하지만 실상은 그렇지도 않다는 연구 보고서가 등장했다. 프린스턴 대학의 연구팀이 발표한 이번 보고서에 의하면 인터넷 환경에서 활동하고 있는 비트코인 거래소들이 문제다. 해당 보고서는 여기서 다운로드가 가능하다. [이미지 = iclickart] 보고서의 초록은 다음과 같다. 해당 보고서에 의하면 사용자의 쿠키를 비트코인 거래에 연결시키는 것이 문제의 근원이다. 이 연구에 참여한 딜론 레이즈만(Dillon Reisman), 스티븐 골드페더(Steven Goldfeder), 해리 칼로드너(Harry Kalodner), 아빈드 나레이야난(Arvind Narayanan)은 비트코인 거래에 쿠키를 연결시킴으로써 아주 간단히 거래 추적이 가능하다는 사실을 20 페이지 남짓한 보고서를 통해 증명했다. [이미지 = 원 보고서] 보고서에서 제시한 방법에 의하면 아주 적은 양의 정보만 있어도 비트코인 거래를 감행한 ‘아무개 씨’를 파악할 수 있다고 한다. 비트코인 거래의 익명성을 더욱 강화하기 위한 프로토콜인 코인조인(CoinJoin)과 같은 서비스를 활용할 경우에도 거래 당사자의 신원을 추측할 수 있을 정도다. 이 연구원들에 의하면 현존하는 온라인 비트코인 거래소 130여 곳 중 53개소에서 지불 관련 정보를 40개의 서드파티에 유출시키고 있다고 한다. “이 서드파티 대부분은 쇼핑 카트입니다. 즉, 모르고 유출시키는 게 아니라 의도적으로 파트너십을 맺고 그렇게 하는 것이죠. 광고나 분석 등을 목적으로, 그렇게 거래를 한 겁니다.” 게다가 거래소 웹사이트들도 상당히 취약한 편이라 블록체인 상의 거래를 수많은 추적자들에게 그대로 노출시키는 경우도 많다고 한다. * 총 130개 비트코인 거래소를 분석한 보고서 내용 중 일부를 발췌해보면 다음과 같다. 결국 이번 조사를 위해 분석된 130개의 비트코인 거래 웹사이트들은 서로 다양한 종류의 개인정보를 전달하고 또 전달받고 있었다는 것으로, 서비스 자체가 이런 식으로 운영되기 때문에 추적 방지 시스템을 사용해도 소용이 없다고 한다. 해당 보고서에 나타난 개인정보의 유형은 이메일, 이름과 성, 사용자 ID, 주소, 풀네임, 전화번호, 회사 이름 등이었다. 게다가 49개 거래소에서는 식별이 가능한 사용자 개인정보를 공유하고 있었고, 38개 거래소는 사용자가 옵션을 조정해서 공유를 금지해도 민감한 정보를 공유하고 있었다. 즉, 거래소의 현재 보안 상황은 사용자를 전혀 위하고 있지 않다는 것이며, 따라서 비트코인을 사용하더라도 얼마든지 추적이 가능하다는 것이다. |
[출처] http://www.boannews.com/media/view.asp?idx=56480&skind=O#