해커들, crypto ATM 거대 기업 Bitcoin Depot에서 360만 달러를 탈취

Source: Bleeping Computer

사건 개요

비트코인 ATM 네트워크 중 가장 큰 규모를 운영하는 Bitcoin Depot은 지난달 시스템이 침해된 후 공격자들이 3,665,000 달러 상당의 비트코인을 자사 암호화폐 지갑에서 탈취했다고 밝혔습니다. 이 회사는 전 세계에 25,000개 이상의 비트코인 ATM 및 BDCheckout 지점을 관리하고 있으며 2025년 매출은 6억 1,500만 달러를 기록했습니다.

미국 증권거래위원회(SEC)에 제출한 서류에 따르면, 회사는 2026년 3월 23일 일부 IT 시스템에서 의심스러운 활동을 감지하고 공격을 발견했습니다. 침해를 즉시 차단하기 위한 조치를 취했지만, 공격자는 디지털 자산 정산 계정에 대한 자격 증명을 입수하고 접근이 차단되기 전까지 50 비트코인 이상을 Bitcoin Depot의 지갑에서 전송했습니다.

“2026년 3월 23일, Bitcoin Depot Inc. (이하 “회사”)는 무단 당사자가 특정 정보기술 시스템에 접근한 것을 발견했습니다. 탐지 즉시, 회사는 사고 대응 프로토콜을 신속히 가동하고 외부 사이버 보안 전문가를 투입했으며, 법 집행 기관에 통보했습니다,” 라고 회사는 밝혔습니다.

“그 결과, 무단 행위자는 회사가 관리하는 지갑에서 약 50.903 비트코인을 전송했으며, 이는 본 보고서 작성 시점 기준 약 3,665,000 달러에 해당합니다. 회사는 또한 이번 사고가 회사의 기업 환경에 국한되었으며 고객 플랫폼, 부서, 시스템, 데이터 또는 환경에는 영향을 미치지 않았다고 판단하고 있습니다.”

회사 대응

• 즉각적인 차단: 공격자의 접근을 차단하고 사고 대응 계획을 가동했습니다.
• 외부 지원: 제3자 사이버 보안 전문가를 고용해 조사했습니다.
• 법 집행 기관: 침해 사실을 당국에 통보했습니다.
• 보험: Bitcoin Depot은 사이버 보험을 유지하고 있지만, 정책이 발생한 손실을 전부 보상할 수 있을지는 보장하지 못합니다.

2026년 4월 6일에 회사는 이번 사고가 평판, 법률, 규제 및 대응 비용 측면에서 중대한 영향을 미칠 수 있다고 밝혔습니다. 보험이 일부 손실을 커버할 수는 있지만, 모든 손해를 회복하기에 충분할지는 확신할 수 없다고 강조했습니다.

이전 보안 사고

• 2024년 데이터 유출: Bitcoin Depot은 이전에 거의 26,000명에 달하는 개인에게 이름, 주소, 생년월일, 운전면허 번호, 이메일 주소, 전화번호 등 개인 정보를 포함한 유출 사실을 통보했습니다. 자세한 내용은 원본 보고서를 참고하십시오: BleepingComputer 기사.

• Byte Federal 유출 (2024년 12월): 미국 비트코인 ATM 운영업체 Byte Federal은 58,000명 고객에게 영향을 미친 데이터 유출을 공개했습니다. 자세한 내용은 여기에서 확인할 수 있습니다: BleepingComputer 기사.