Coinbase 데이터 유출 사건 내막: 인도 고객센터와 청소년 해커 조직
글: Ben Weiss, Jeff John Roberts
번역: Luffy, Foresight News
코인베이스 공동창업자이자 최고경영자(Brian Armstrong)가 2022년 인도 벵갈루루에서 열린 행사에서 연설하는 모습
2025년 5월 15일, 코인베이스는 수만 명 고객의 개인정보가 유출됐다고 밝혔으며, 이는 회사 역사상 최대 규모의 보안 사고로, 약 4억 달러의 손실이 예상된다. 이번 데이터 유출 사건은 그 규모뿐 아니라 공격 방식에서도 주목받는데, 바로 해외 고객 서비스 직원에게 뇌물을 주고 기밀 고객 정보를 탈취한 것이다.
코인베이스는 범죄자를 체포하고 기소하는 데 결정적인 단서를 제공한 제보자에게 2000만 달러의 포상금을 지급하겠다고 공개적으로 밝혔지만, 공격자의 정체나 해킹 세부 내용에 대해서는 거의 언급하지 않았다.
최근 『Fortune』지가 실시한 조사(코인베이스와 한 해커 간의 이메일 확인 포함)는 새로운 사실들을 드러냈으며, 영어를 사용하는 젊은 해커들로 구성된 느슨한 네트워크가 일부 책임이 있음을 시사한다. 동시에 이번 조사는所谓 BPO(업무 프로세스 아웃소싱 업체)가 테크 기업들의 보안 운영에서 취약한 고리임을 부각했다.
내부자 범죄: 아웃소싱 고객센터가 뚫렸다
이 이야기는 텍사스주 뉴브라운펠스에 위치한 소규모 상장기업 TaskUs에서 시작된다. 다른 BPO들과 마찬가지로 이 회사는 저렴한 비용으로 대형 테크 기업들에게 해외 인력을 고용해 고객 서비스를 제공한다. 해당 회사 대변인이 밝힌 바에 따르면, 올해 1월 TaskUs는 인도 인돌에 있는 센터에서 코인베이스를 위해 일하던 직원 226명을 해고했다.
미국 증권거래위원회(SEC)에 제출된 문서에 따르면, TaskUs는 2017년부터 코인베이스에 고객 서비스 인력을 제공해 왔으며, 이러한 협력 관계는 미국의 암호화폐 거물 기업에게 막대한 인건비 절감 효과를 가져왔다. 그러나 문제는 고객이 계정 문의나 코인베이스 신제품 관련 이메일을 보낼 경우, 대부분 해외에 있는 TaskUs 직원과 대화하게 된다는 점이다. 이러한 에이전트들은 미국 현지 직원보다 급여가 낮아 뇌물에 더 쉽게 넘어갈 수 있다.
TaskUs 대변인은 『Fortune』지와의 인터뷰에서 코인베이스를 언급하며 "올해 초 두 명의 개인이 당사 고객 정보에 불법 접근한 것을 발견했다"고 말했다. "이 두 사람은 코인베이스를 겨냥한 보다 광범위하고 조직적인 범죄 활동에 고용된 것으로 보이며, 이 활동은 코인베이스 서비스를 이용하는 많은 다른 공급업체들도 피해를 입혔다"고 덧붙였다.
코인베이스의 규제 문서에 따르면, TaskUs는 올해 1월 직원을 해고했는데, 이는 코인베이스가 고객 데이터 유출을 발견한 지 한 달도 되지 않은 시점이었다(단, 코인베이스는 2024년 12월 이미 데이터 유출을 감지함). 화요일 뉴욕에서 코인베이스 고객들을 대리해 제기된 연방 집단소송은 TaskUs가 고객 데이터 보호에 있어 과실이 있다고 주장했다. 이에 대해 TaskUs 대변인은 "소송에 대해 언급할 수는 없지만, 이러한 주장은 근거가 없다고 생각하며, 우리는 스스로를 방어할 것"이라고 밝혔다. "우리는 고객 데이터 보호를 최우선 과제로 삼고 있으며, 글로벌 보안 프로토콜과 교육 프로그램을 계속 강화할 것"이라고 덧붙였다.
이 보안 사건에 정통한 한 관계자는 해커들이 다른 여러 BPO 기업들에도 성공적으로 침투했으며, 각 사건에서 유출된 데이터의 성격이 서로 다르다고 전했다.
이러한 유출된 데이터만으로는 코인베이스의 암호화 자산 금고를 직접 해킹하기에는 부족하지만, 범죄자들이 가짜 코인베이스 고객 서비스 직원으로 위장해 고객에게 접근하고 암호화 자산을 넘기도록 설득하는 데 충분한 정보를 제공했다. 회사에 따르면 해커는 6만 9천 명 이상의 고객 데이터를 탈취했지만, 그 중 얼마나 많은 사람이所谓 '사회공학 사기'의 피해자가 됐는지는 밝히지 않았다. 본 사건에서 사회공학 사기는 탈취한 데이터를 활용해 코인베이스 직원을 가장하여 피해자가 자신의 암호화 자산을 이전하도록 유도하는 방식이다.
코인베이스는 성명을 통해 "이미 공개한 바와 같이, 최근 해외 고객 서비스 담당자가 2024년 12월까지 거슬러 올라가는 고객 계정 정보를 확보하도록 요구한 위협 행위자를 발견했다. 영향을 받은 사용자와 규제기관에 통보했으며, 관련된 TaskUs 인력 및 기타 해외 고객 서비스 담당자와의 연결을 차단하고 통제를 강화했다"고 밝혔다. 또한 "사기로 자금을 잃은 고객들에게 보상을 진행하고 있다"고 덧붙였다.
기업 대표를 사칭한 사회공학 사기는 새로운 일이 아니지만, BPO 기업을 표적으로 삼은 해킹의 규모는 매우 드물다. 아직 누구도 범죄자를 명확히 특정하지는 못했지만, 몇 가지 단서는 영어를 구사하는 젊은 해커들로 구성된 느슨한 조직을 강하게 시사한다.
청소년 해커 집단: "그들은 전자게임에서 왔다"
5월 중순 코인베이스 데이터 유출 사건이 알려진 지 며칠 후, 『Fortune』지는 텔레그램을 통해 자신을 "puffy party"라고 소개하는 한 남성과 대화를 나누었으며, 그는 자신이 해커 중 한 명이라고 주장했다.
이 익명의 해커와 대화했던 또 다른 두 명의 보안 연구원은 그의 말을 신뢰할 수 있다고 『Fortune』지에 말했다. 한 연구원은 "내가 공유받은 내용을 바탕으로 그의 진술을 심도 있게 검토했지만, 그의 진술이 거짓임을 입증할 증거를 찾을 수 없었다"고 말했다. 두 연구원 모두 소위 해커와 대화했다는 이유로 소환장을 받을까 우려해 익명을 요구했다.
대화 중 이 남성은 코인베이스 보안팀과 주고받은 이메일 내역을 담은 여러 스크린샷을 공유했다. 그는 코인베이스와 소통할 때 "Lennard Schroeder"라는 이름을 사용했다. 또한 코인베이스 전직 임원의 계정 스크린샷도 공유했으며, 여기에는 암호화폐 거래 내역과 방대한 개인 정보가 담겨 있었다.
코인베이스는 이러한 스크린샷의 진위 여부를 부인하지 않았다.
자신을 해커라 소개한 인물이 공유한 이메일에는 2000만 달러 상당의 비트코인을 요구하는 협박 메시지(코인베이스는 지불을 거부함)와, 탈취한 자금 일부를 이용해 회사의 대머리 CEO 브라이언 암스트롱에게 머리카락을 사주겠다는 조롱성 댓글이 포함돼 있었다. "우리는 그에게 모발이식 수술을 후원할 용의가 있으며, 그렇게 하면 그가 멋지게 세계를 여행할 수 있을 것"이라고 해커는 적었다.
텔레그램 메시지를 통해 이 인물(『Fortune』지가 한 보안 연구원으로부터 존재를 알게 됨)은 코인베이스에 대한 경멸감을 표현했다.
많은 암호화폐 강도 사건은 러시아 범죄조직이나 북한 군사기관에 의해 실행되지만, 이번 해킹은 'Comm' 또는 'Com'이라 불리는 청소년 및 20대 초반 젊은이들로 구성된 느슨한 연합에 의해 수행된 것으로 알려졌다.
지난 2년간 다른 해킹 사건 보도에서도 Comm 집단에 대한 언급이 있었으며, 이달 초 『뉴욕타임스』의 보도에서는 일련의 암호화폐 절도 사건의 용의자 중 한 명이 자신이 이 조직의 일원이라고 밝힌 바 있다. 『월스트리트저널』에 따르면, 2023년 조사관들은 이 조직으로 추정되는 해커들이 라스베이거스의 여러 온라인 카지노를 공격했으며, 미르마그 리조트에 3000만 달러의 몸값을 요구하려 했다고 밝혔다.
일반적으로 오직 돈만을 목표로 하는 러시아·북한 암호화 해커들과 달리, Comm 집단 구성원들은 주목받고 장난을 치는 쾌감을 동시에 추구하는 경향이 있다. 때로는 함께 해킹을 수행하지만, 누가 더 많이 훔치는지를 두고 경쟁하기도 한다.
"그들은 전자게임에서 왔고, 고득점을 현실 세계로 가져온다"고 암호화포렌식조사회사(Cryptoforensic Investigators)의 조사 책임자 조쉬 쿠퍼덕엣이 말했다. "이 세계에서 그들의 점수란 얼마나 많은 돈을 훔쳤는가다."
텔레그램 메시지에서 이 소위 해커는 Comm 구성원들이 강도의 다양한 단계를 전담한다고 밝혔다. 그의 팀은 고객 서비스 직원에게 뇌물을 주고 고객 데이터를 수집한 후, 이를 사회공학 사기에 능숙한 외부 인물들에게 넘긴다는 것이다. 그는 또 다른 Comm 산하기관들이 텔레그램 및 디스코드 같은 소셜 플랫폼에서 작전의 각 단계를 어떻게 수행할지 조율하고, 범죄 수익을 분배한다고 덧붙였다.
암호화 조사회사 트레이셀론(Tracelon)의 창립자 세르지오 가르시아는 『Fortune』지에 코인베이스 공격에 대한 해커의 설명이 자신이 관찰한 Comm 집단의 운영 방식 및 다른 암호화 사회공학 사기 사례들과 일치한다고 말했다. 관계자들은 최근 사회공학 사기로 고객을 공격한 사람들이 유창한 북미식 영어를 사용했다고 전했다.
BPO 직원 급여에 정통한 한 관계자에 따르면, 인도 TaskUs 직원의 월 급여는 500~700달러 사이이다. TaskUs는 이에 대해 언급을 거부했다. 가르시아는 『Fortune』지에 이 수치가 인도 1인당 국내총생산(GDP)보다는 높지만, 고객 서비스 직원의 낮은 급여는 뇌물 수수에 더 쉽게 노출되게 만든다고 말했다. "분명히 이들은 경제적 동기를 갖고 뇌물을 받기 쉬운, 가장 취약한 고리"라고 그는 덧붙였다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@FortuneMagazine
