다양한 규제 체계들 사이의 간극에서 활동하는 것만 한 것이 없습니다.
비트코인 디포트(Bitcoin Depot)가 자사의 암호화폐 인출 ATM 이용 고객 중 약 27,000명에게 2024년 6월에 개인 정보가 유출된 사실을 통보한 것으로 알려졌습니다.
혹시 처음 들으신 분들을 위해 설명드리자면, 일반 ATM이 은행 계좌의 가상 화폐 일부를 실제 현금으로 바꿔주는 방식이라면, 비트코인 ATM은 사용자가 언제 수십억 달러를 가질지 결정할 때까지 건드릴 필요가 없는 암호화폐 형태로 변환해 줍니다.
BleepingComputer에 따르면, 비트코인 디포트는 수만 명의 사용자들에게 편지를 보내 이름, 주소, 이메일 주소, 전화번호, 생년월일, 운전면허 번호 등이 유출된 보안 침해 사실을 알렸다고 합니다. 메인주 법무장관실(Office of the Maine Attorney General)이 공개한 안내문 사본(PDF)에는 다음과 같은 내용이 담겨 있습니다.
FBI, 2025년 ATM 악성코드 공격으로 2,000만 달러 이상 손실
경찰 보호 금고에서 절도된 비트코인 150만 달러 사건 용의자 2명 체포
"2024년 6월 23일, 비트코인 디포트 주식회사(Bitcoin Depot, Inc.)는 정보 시스템에서 비정상적인 활동을 감지하고 즉시 조사에 착수했습니다. 이 과정에는 승인되지 않은 활동의 규모를 파악하기 위해 제3자 사고 대응 전문가를 고용하는 것이 포함되었습니다. 2024년 7월 18일, 조사가 완료되었으며, 우리는 무단 침입자가 확보한 당사 고객 관련 문서에 포함된 귀하의 개인 정보를 확인했습니다. 유감스럽게도, 이 사실을 더 일찍 알려드릴 수 없었습니다. 이는 조사 진행 때문이었습니다. 연방 법 집행 기관은 비트코인 디포트가 조사 완료 전까지 통지를 보류해 줄 것을 요청했습니다. 법 집행 기관은 2025년 6월 13일에 비트코인 디포트에 조사 완료를 통보했습니다."
해당 편지는 7월 7일자로 작성되었습니다. 법 집행 기관이 조사 완료를 공식 통보한 이후에도 비트코인 디포트가 고객들에게 보안 침해 사실을 알리는 데 거의 한 달이 걸린 이유는 명확하지 않습니다. (물론, 몇 주 차이가 1년 전 발생한 사건을 다룰 때 그렇게 큰 의미를 가지는지는 별개의 문제입니다.)
이 사건으로 피해를 입은 사람들에게는 당연히 실망스러운 일일 것입니다. 하지만 외부 관찰자들에게는, 이 보안 침해가 암호화폐 관련 기업들이 처한 독특한 규제 환경을 어떻게 부각시키는지에 주목하는 것이 훨씬 흥미로울 수 있습니다.
비트코인 디포트가 이러한 정보를 수집할 수 있었던 근거는 오직 고객 확인 의무(Know Your Customer, KYC) 규정 때문이었으며, 위에서 설명했듯이 법 집행 기관과의 협력 의무도 있었습니다. 그럼에도 불구하고 회사는 데이터가 유출될 때 대부분의 미국 기업들이 의무적으로 제공하는 신원 도용 보호 서비스는 제공할 의무가 없습니다.
또한, 가장 아이러니한 점은, 익명 거래를 제공한다고 알려진 암호화폐를 구매한 사람들 때문에 개인 정보가 유출되었다는 점입니다. (비트체인이 모든 거래에 대한 분산되고 불변적인 기록을 유지하도록 설계된 블록체인 개념을 대중화시킨 것임에도 불구하고 말입니다.)
결론적으로, 미국 규제 때문에 비트코인 디포트 측에 정보를 공유해야 했던 약 27,000명의 사용자들과, 미국 법 집행 기관의 절차 때문에 1년 넘게 보안 침해 사실을 알지 못했던 사람들이, 단지 암호화폐를 구매했다는 이유만으로 통상적인 보호를 받지 못하게 된 상황에 놓이게 된 것입니다.
Tom's Hardware를 구글 뉴스에서 팔로우하고 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요. 팔로우 버튼을 클릭하는 것을 잊지 마세요.