3억 달러의 연간 손실, 코인베이스 사용자들 정교한 사기 연이어 당해… 그 이면에 정보 유출 '내부자' 존재?
글: Fairy, ChainCatcher
「안녕하세요, 코인베이스 보안팀입니다. 귀하의 계정에서 비정상적인 로그인 활동이 감지되었습니다……」
전화 너머의 목소리는 전문적이면서도 다급했고, 심지어 귀하의 이름, 등록된 이메일 주소, 최근 거래 내역까지 정확히 말해줍니다. 여러분은 즉시 전화를 끊겠습니까? 아니면 「고객센터」의 지시에 따라 자금을所谓 '보안 지갑'으로 옮기겠습니까?
최근 여러 코인베이스 사용자들이 잇달아 사기 피해를 입었으며, 손실 금액은 엄청난 수준에 달합니다. 오직 3월 한 달 동안만 해도 탈취된 자금이 4600만 달러를 넘었고, 매년 코인베이스 사용자들이 소셜 엔지니어링 사기에 의해 입는 손실은 무려 3억 달러에 이릅니다.
하지만 이 해커들은 어떻게 정확하게 대상을 선정할 수 있었던 것일까요? 그들은 왜 사용자 개인 정보를 확보할 수 있었을까요? 이 보안 위기는 우리가 생각하는 것보다 훨씬 더 심각할 수 있습니다.
사기 범죄 성행, 피싱 공격 산업화
3월 28일, 체인상 수사 전문가 제이크제트비(ZachXBT)는 지난 2주간 코인베이스 사용자를 대상으로 한 의심 사기 사건이 다수 발생해 3월 도난 금액이 4600만 달러를 초과했다고 밝혔습니다.
사실 이러한 유형의 사기는 이미 그 징후가 있었다고 할 수 있습니다. 2월 초, 제이크제트비는 2024년 12월부터 2025년 1월 사이 코인베이스 사용자들이 비슷한 수법으로 6500만 달러 상당의 손실을 입었다고 폭로한 바 있으며, 이 수치는 코인베이스가 매년 3억 달러 이상의 소셜 엔지니어링 사기 리스크에 직면해 있음을 시사합니다.
제이크제트비의 분석에 따르면, 사기 수법은 이미 성숙한 산업 체계를 형성했습니다:
코인베이스 공식 기관 사칭
사기범들은 위조된 전화번호를 사용해 피해자에게 전화를 걸고, 사용자 개인 정보를 활용해 신뢰를 얻습니다. 그리고 계정에 무단 로그인이 시도되었다며, 보안 인증 절차에 협조할 것을 유도합니다.
피싱 이메일 발송
사기범들은 위조된 코인베이스 이메일을 보내며, 가짜 케이스 번호(Case ID)를 포함시킵니다.
사용자 자산 이체 유도
사기범들은 피해자가 자금을 코인베이스 월렛(Coinbase Wallet)으로 이체하고, 사기용 주소를 화이트리스트에 등록하도록 요구하며, 이를 계정 보안 검증 방식이라고 주장합니다.
코인베이스 웹사이트 클론 생성
사기범들은 거의 1:1로 복제된 코인베이스 피싱 사이트를 만들고, 위조된 이메일과 텔레그램 사기 패널을 통해 피해자에게 각기 다른 조작 지침을 전달합니다.
이 외에도, 코인데스크(Cointelegraph) 보도에 따르면 최근 여러 암호화폐 사용자들이 코인베이스와 제미나이(Gemini)를 사칭한 사기 이메일을 받았습니다. 이런 이메일들은 규제 당국의 요구로 사용자가 자체 관리형 지갑(self-custody wallet)으로 전환해야 하며, 마지막 마감일을 4월 1일로 설정해 긴박감을 조성합니다.
이메일에는 코인베이스 월렛 또는 제미나이 월렛 다운로드 링크와 미리 생성된 복구 문구(Recovery Phrase)가 포함되어 있습니다. 사용자가 해당 문구로 새 지갑을 생성하고 자산을 이체하면, 곧바로 사기범들에 의해 자금이 전부 탈취됩니다.
내부 데이터 접근 문제 부상
소셜 엔지니어링 사기의 핵심은 정밀한 정보 수집에 있습니다. 코인베이스 사용자 사기 사건에서 공격자들은 전화번호, 이메일 주소, 거래 기록 등의 개인정보를 정확히 알고 있었습니다. 그렇다면 이 데이터들은 어떻게 사기범들의 손에 들어간 것일까요? 이 질문이 핵심적입니다.
어제, The Block 공동 창립자 마이크 두다스(Mike Dudas)는 X 플랫폼을 통해 자신이 코인베이스로부터 받은 이메일을 공개했습니다. 그 내용은 매우 불안감을 주는 것이었으며, 바로 내부 데이터 접근 문제를 직접적으로 지적하고 있었습니다. 이메일에는 다음과 같이 적혀 있습니다:
「저희는 귀하께 연락드려, 코인베이스 직원 한 명이 내부 정책에 어긋나는 방식으로 소수의 코인베이스 고객 계정 기록, 귀하의 계정을 포함하여 조회한 정황이 있다는 사실을 확인했다는 점을 알려드립니다.」
이메일에서는 「귀하의 자산은 여전히 안전하며, 코인베이스 계정이 침해된 것은 아닙니다」라고 밝히고 있으며, 현재로서는 데이터가 외부로 유출되었다는 증거가 없다고 강조하지만, 이 메시지는 사용자들에게 분명한 경고를 보냅니다. 내부 데이터 접근 문제가 확인되었으며, 이는 고립된 사건이 아닐 수 있다는 것입니다.
두다스는 이것이 코인베이스를 사칭한 피싱 이메일과 전화의 배경이라고 설명했습니다.
하지만 데이터 유출 범위는 여전히 의문이며, 더 광범위한 사용자층이 영향을 받았을 가능성이 있습니다. 커뮤니티 이용자 @ghaiankur는 「저는 코인베이스에 자금도 없고 사용한 적도 없습니다. 하지만 저는 여전히 계정이 있다는 이유로 그런 이메일을 받았습니다. 이건 특정 몇몇 타깃 계정만의 문제가 아니라, 전체 데이터베이스가 관련되었을 가능성이 있습니다.」라고 말했습니다.
데이터 유출, 업계 전체의 잠재적 위험
코인베이스뿐만 아니라, 다른 거래소들도 비슷한 내부 보안 위험에 직면해 있는 것으로 보입니다.
두다스가 이메일을 공유한 후, 암호화폐 트레이더 조던 피쉬(@Cobie)는 암호화폐 거래소 크라켄(Kraken) 역시 최근 비슷한 공격을 당했다고 폭로했습니다. 그는 추측하기를, 「공격자의 전략일 가능성이 있다. 고객지원 팀에 침투해 내부에서 사용자 데이터를 탈취하는 것이다.」라고 말했습니다.
동시에 3월 27일, 다크웹 뉴스 사이트 다크웹 인포머(Dark Web Informer)는 코드네임 AKM69인 해커가 암호화폐 거래소 제미나이(Gemini)의 대량 사용자 개인정보를 확보했다고 주장했다고 보도했습니다. 해당 데이터베이스에는 10만 건의 기록이 포함되어 있으며, 미국 사용자의 실명, 이메일, 전화번호, 위치 정보뿐 아니라 일부 싱가포르 및 영국 사용자 데이터도 포함되어 있다고 합니다.
사용자를 보호하는 법을 배우거나, 사용자에게 버림받을 것인가.
솔라나(Solana) 공동 창립자 톨리(Toly)는 이 사건에 대해 언급하며, 거래소는 사용자가 통제 가능한 자산 이체 시간 잠금(time lock) 기능을 도입해 자산이 급속도로 탈취되는 위험을 줄여야 한다고 말했습니다. 그러나 이번 사건의 본질은 그 이상입니다. 이는 거래소 내부 리스크 관리 시스템의 실패와 동시에 사기 행위의 고도 산업화를 드러낸 사건입니다.
거래소의 보안은 이미 단순한 기술적 방어 문제를 넘어, 관리와 신뢰의 문제로 진화했습니다. 날이 갈수록 정교해지는 공격 수법 속에서, 얼마나 완벽한 리스크 관리 체계를 구축할 수 있는지가 미래 업계의 보안 기준을 결정할 것입니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
ChainCatcher 链捕手
