원작자: Jaleel Jialiu , BlockBeats
코인베이스는 최근 사용자 데이터 유출 사고를 매우 현명하게 처리했습니다. 최초의 암호화폐 주식이자 SP 500에 진입한 최초이자 유일한 회사로서, 우아하게 자리매김했습니다.
예의상 저자는 Coinbase에 대한 기본적인 존중을 표했습니다. 이제 이 회사를 수치의 기둥에 올려놓을 차례입니다.
5월 8일, 암호화폐 전문 탐정 ZachXBT는 개인 채널에 소셜 엔지니어링을 통해 Coinbase 사용자들로부터 4,500만 달러가 추가로 사기당했다는 내용을 담은 메시지를 게시했습니다. 지난 몇 달 동안 그가 추적한 유사한 사건에 연루된 금액은 9자리에 달했습니다. 사기꾼은 대개 Coinbase 고객 서비스인 척하여 사용자에게 전화나 이메일을 보낸 다음, 단계적으로 사용자가 공식 웹사이트로 위장한 피싱 링크를 클릭하도록 유도한 후, 사기꾼의 지갑으로 자금을 이체합니다.
일부 사람들은 사용자들이 소셜 엔지니어링에 속았다고 말합니다. 이게 코인베이스와 무슨 상관이 있나요? 이 플랫폼은 정부 규제 기관이 아니므로, 사용자가 피싱 이메일을 클릭하는 것을 어떻게 막을 수 있을까요?
첫째, 다른 주요 거래 플랫폼에서는 이처럼 대규모로 유사한 사기 문제가 발생하지 않았습니다. 둘째, 많은 피해자들은 사기꾼이 계좌 잔액과 거래 시간을 정확하게 말했을 뿐만 아니라 신분증 사진까지 제출했다고 보고했습니다. 모든 것이 너무나 현실적이었어요.
이 모든 것은 Coinbase의 데이터 유출을 가리킵니다.
Coinbase가 직접 밝힌 내용을 살펴보겠습니다. 5월 14일에 SEC에 제출된 8-K 문서에 따르면, Coinbase는 2025년 1월에 자사 보안 시스템을 통해 일부 해외 고객 서비스 담당자가 사업적 필요 없이 사용자의 전체 신원 정보에 접근했다는 사실을 발견했습니다.
Coinbase가 5월 20일에 메인 주 검찰총장 사무실에 제출한 보고서를 살펴보면, 데이터 침해가 발생한 날짜는 이보다 앞선 2024년 12월 26일입니다.
메인 보고서에 따르면 침해는 2024년 12월 26일에 발생했으며 취약점은 2025년 5월 11일에 발견되었습니다.
그러나 이 사건은 5월 15일이 되어서야 공개되었는데, 그때 서야 공식 웹사이트에 범죄자들이 Coinbase의 해외 고객 서비스 직원을 표적으로 삼아 내부자로부터 현금을 주고 사용자 데이터를 샀다는 공지가 올라왔습니다. 이 데이터에는 이름, 주소, 전화번호, 이메일, 정부 발행 신분증 이미지(운전면허증, 여권 등), 계좌 잔액 스냅샷 및 거래 기록이 포함됩니다.
다시 말해, 데이터는 겨울 초에 도난당했지만, 이제 봄이 지나고 Coinbase는 SP 500에 포함되는 중요한 순간에 이 방 안의 코끼리를 직접 처리해야 했으며, 해커로부터 공식적으로 사건을 공개하라는 협박 이메일을 받았다는 공지를 발표했습니다.
코인베이스 측에 따르면, 비정상적인 접속 사실을 발견한 후 관련 인력을 해고하고 보안 모니터링을 강화했다고 합니다. 하지만 이 5개월 동안 Coinbase가 한 유일한 사용자 커뮤니케이션은 3월 말에 보낸 모호하고 무해한 이메일이었는데, 직원이 계정 기록을 보는 것은 규정을 위반했을 수 있다고 말한 것이었습니다.
Coinbase 직원이 내부 정책에 어긋나는 방식으로 귀하의 계정을 포함한 소수의 Coinbase 고객 계정 기록에 접근했을 가능성이 감지되었습니다.
The Block의 공동 창립자인 Mike Dudas는 이전에 X에서 Coinbase로부터 불안한 이메일을 받았다고 밝혔습니다.
이 외에는 이 사건에 대한 정보 공개나 추가 조사가 공식적으로 이루어진 적이 없습니다.
더욱 흥미진진한 일들이 다가옵니다.
5월 15일, 데이터 유출 사건이 공식 발표된 날, 새로운 Coinbase 사용자 계약이 발효되었습니다.
이 계약은 Coinbase의 자체 보호막이라고 할 수 있습니다. 다른 길고 눈길을 끄는 내용을 제쳐두고, 두 가지 핵심 조항(9.9 및 9.10)이 있습니다. 모든 형태의 집단 소송을 금지합니다(집단 소송 포기). 모든 사용자가 뉴욕 법원에 독립적인 소송을 제기하도록 강요했습니다.
왜 뉴욕인가? 뉴욕주에는 기업에 매우 유리한 규칙이 있습니다. 계약서에 모든 분쟁은 뉴욕 법원에서 해결해야 한다고 명시되어 있고 관련 금액이 100만 달러를 초과하는 경우, 법원은 더 편리한 장소로 변경이라는 이유로 소송 접수를 거부할 수 없습니다. 동시에 뉴욕 남부지방법원은 풍부한 재판 경험을 갖춘 금융 사건이 집중되어 있습니다. 코인베이스와 SEC 간의 소송도 여기서 시작되었습니다.
또한, 공개된 보도에 따르면, Coinbase는 2021년부터 원격 우선 회사로 전환했지만, 올해 샌프란시스코에 새로운 사무실이 설립되기 전까지 뉴욕의 One Madison은 Coinbase의 미국 내 가장 큰 사무실 공간이었습니다. 11년 임대 계약이 체결되었고, 이전 부지의 두 배에 달하는 면적을 자랑했습니다.
이런 맥락에서, 비록 여러분이 다른 수천 명의 사용자들처럼 피해자라 할지라도, 여전히 혼자 뉴욕으로 가서 자비로 소송을 제기해야 합니다.
해당 협정은 4월 11일에 업데이트되어 5월 15일에 발효되었는데, 이는 데이터 유출 사실이 공개된 시점과 거의 일치했습니다. 이처럼 정확한 시점에 맞춰 계약이 변경된다는 것은 하늘이 어두워지고 비가 올 때까지 기다리다가 뽕나무를 파고 장작을 준비하는 것과 같다고 할 수 있습니다. 비오는 날을 대비해 미리 대비하는 코인베이스의 통찰력은 제갈공명의 통찰력과도 같습니다.
이는 기술 보안 연구원인 몰리 화이트 의 의심을 불러일으켰지만, 코인베이스 CEO 브라이언 암스트롱은 이는 음모론이라고 답했습니다. 하지만 몰리 화이트는 코인베이스가 SEC에 데이터 유출 사실을 공개하는 데 왜 한 달 넘게 걸렸나요? 상장 기업이 중대한 사이버 보안 사고를 발견하면 4영업일 이내에 공개해야 하잖아요.라고 추가로 질문했습니다. 브라이언 암스트롱은 더 이상 그녀에게 답하지 않았습니다.
블룸버그는 이 문제에 정통한 사람들의 말을 인용해 지난 5개월 동안 해커들이 코인베이스 고객 서비스 담당자에게 충분한 뇌물을 주어 사용자 정보에 주문형 액세스를 달성했다고 보도했습니다. 수요일에도, 발표가 있기 며칠 전인데도 해커들은 여전히 데이터에 접근하고 있었습니다. 하지만 이러한 주장은 코인베이스의 최고 보안 책임자인 필립 마틴에 의해 반박되었습니다.
코인베이스의 현재 입장은 다음과 같습니다. 일부 직원이 데이터에 부적절하게 접근하여 관련 직원을 해고한 사실을 발견했지만, 당시에는 데이터 유출 사실을 알지 못했습니다. 5월에 해커로부터 랜섬웨어 이메일을 받고서야 문제의 심각성을 깨달았습니다.
이 중 얼마나 자기변명에 해당합니까? Coinbase가 프로토콜을 수정하고 집단 소송의 진입을 차단한 이후 5개월 동안 커뮤니티와 보안 연구원들이 보낸 얼마나 많은 알림, 질문, 경고에 눈감았는지 살펴보겠습니다.
레딧의 코인베이스 포럼에 1월 이후 수많은 사용자들이 계정 도용과 잦은 소셜 엔지니어링 사기를 신고했고, 해외 사용자들도 피해를 입었습니다. 6개월 전만 해도 고객센터가 유령 서비스인 줄 알았어요. 업무 관련 문의 티켓 다섯 장이 모두 급하게 처리됐는데, 아무도 연락을 주지 않았고, 무슨 일이 있었는지 설명해 주지도 않았어요., 방금 인출한 금액이 문자 메시지로 받은 금액과 비슷해서 거의 믿을 뻔했어요., 성함, 계좌 잔액, 마지막 로그인 기기까지 확인했어요. 모든 게 너무 자연스럽고 사실적이었어요...
커뮤니티로부터 여러 차례의 상기 권고에 직면하여, Coinbase는 Three-Body World의 편지인 대답하지 마세요, 대답하지 마세요, 대답하지 마세요를 엄격히 준수했습니다.
Coinbase가 아시아인들처럼 Reddit을 방문하지 않고 커뮤니티가 겪고 있는 일을 볼 수 없다고 변호하고 싶다면, 그들은 트위터에서 유명 KOL과 보안 연구원들이 끊임없이 상기시키는 내용을 볼 수 있어야 합니다.
트위터 팔로워가 86만 명에 달하는 암호화폐 업계에서 가장 영향력 있는 탐정인 ZachXBT는 2월 초에 작년 말부터 올해 초까지만 해도 소셜 엔지니어링 공격으로 인해 6,500만 달러 이상이 도난당했다고 지적했습니다. 3월 말, 그는 지난 2주 동안 4,600만 달러가 더 도난당했다고 주장했습니다. 그는 Coinbase가 아무런 조치도 취하지 않는다고 여러 번 지적했습니다.
MetaMask의 보안 책임자이자 수석 온체인 조사관인 테일러 모나한은 거의 매주 트위터에서 Coinbase를 공개적으로 비판하고 보안 및 지원 팀에 증거를 제공하려고 노력하지만, Coinbase의 수석 조사 책임자는 이미 2024년 말에 그녀를 차단했습니다.
테일러 모나한은 또한 Coinbase가 고객 서비스 업무를 인도의 제3자 서비스 제공업체인 TaskUs에 대량으로 아웃소싱했다고 직접적으로 밝혔습니다 . 코인베이스는 2025년 1월 11일 초에 도난과 불법 운영을 이유로 300명 이상의 인도 고객 서비스 직원을 대규모로 해고했습니다. 이후 사무실은 구르가온으로 이전되었지만, 내부 데이터 유출이 계속해서 빈번하게 발생하여 3월과 4월에 새로운 해고 물결이 일어났습니다.
코인베이스가 5월 11일까지 몰랐다고 밝힌 것에 대해 그녀는 무자비하게 비꼬는 투로 이렇게 말했다. 이건 아주 흥미로운 쇼가 될 거예요. 몸값 요구 이메일이 오기 전까지는 아무것도 모르는 척하는 걸 보세요. 가장 그럴듯한 변명은 이건 중대한 유출이 아니니 공개할 필요가 없다는 거예요.
코인베이스 임원진이 부인하고, 책임을 회피하며, 무시하는 동안, 일부 레딧 사용자와 피해자들은 자발적으로 진이웨이를 조직하고 사기꾼에 대한 단서를 찾았다는 점은 다소 아이러니합니다.
Scammer-fight-back이라는 사용자와 그의 팀 전체가 사기꾼들에 맞섰습니다. 그들은 사기꾼에게 여러 번 전화를 걸고, 통화 내용을 녹음하고, 정보를 저장했습니다. 결국 그들은 사기꾼들을 추적했습니다. 그들 대부분은 영국 맨체스터 출신이었고, 같은 작은 사무실에서 일했습니다. 이들은 코인베이스 고객 서비스를 사칭하기 위해 현지 억양을 사용했고, 사기 행위를 저지르는 동안 정보를 얻었습니다.
또 다른 네티즌 dyfedavalon도 같은 의견을 공유했습니다. 이건 영국에서 온 대규모 사기 조직이에요. 규모와 범위가 크고 능력도 막강하죠., 사기꾼들을 찾으려고 다시 전화했는데, 같은 조직이었어요. 이 사업에 정말 능숙하더라고요., 그들과 여러 번 통화했는데, 제가 피해자인 줄 알았어요. 하지만 저는 영국인이라 그들의 영국식 억양을 듣고 놀릴 수 있었어요. 나중에는 직접 전화해서 괴롭히지 말라고 했어요.
또한, 위에서 언급한 MetaMask의 보안 책임자인 테일러 모나한의 조사 정보에 따르면, Coinbase에서 아웃소싱한 인도의 제3자 서비스 공급업체인 TaskUs의 내부 직원이 Telegram을 통해 해커에게 연락한 것으로 나타났습니다. 사용자 이메일 주소, 휴대전화 번호, 2FA 정보를 판매하는 각 거래에는 약 10,000달러의 수수료가 청구되었으며, 그 돈은 PayPal이나 은행 계좌를 통해 개인 이름으로 직접 입금되었습니다.
이미지 출처: Taylor Monahan
그러면 누군가가 정보를 유출하기 위해 그렇게 큰 위험을 감수하려는 이유는 무엇일까? 테일러는 인디언 노예로부터 유출된 추가 정보를 공유하면서 TaskUs의 실제 작업 환경을 직접 지적했습니다. 그들은 화장실을 사용할 수 없고, 식사 시간을 위해 싸워야 하며, 충분한 성과를 내지 못하면 경영진으로부터 집단적으로 차갑게 대우받습니다. 압박이 엄청나게 심해서 병가는 결근으로 기록되고 임금은 바로 공제됩니다. 그들은 훈련 속도를 따라가지 못하면 그 자리에서 해고될 것입니다.
제 경력 중 최악의 결정입니다. 인사부는 전혀 편을 들어주지 않고, 아무리 울고불고 불평해도 아무도 신경 쓰지 않습니다. 결국 교육비를 보상해 달라고 해서 경력 증명서도 못 받았습니다. 한 직원은 이렇게 썼습니다.
Coinbase 아웃소싱 회사 TaskUs의 전직 직원들의 불만 사항, 출처: Taylor Monahan
Glassdoor와 Indeed 등 여러 플랫폼의 데이터에 따르면 Coinbase의 현지 고객 서비스 직원은 연봉 6만~7만 달러를 버는 반면, 인도의 아웃소싱 고객 서비스 직원은 연봉 3,600~4,800달러에 불과합니다. 즉, 미국 고객 서비스 담당자 1명의 급여로 최소한 인도의 아웃소싱 고객 서비스 담당자 15명을 고용할 수 있다는 의미입니다.
Coinbase는 300개의 아웃소싱 포지션을 기준으로 연간 1,800만 달러를 절감할 수 있습니다. 여기에는 사무실 공간, 사회 보장, 초과 근무 수당, 기술 지원 등의 숨겨진 비용 절감은 포함되지 않습니다.
블룸버그 기자의 조사에 따르면, 코인베이스가 CEO 브라이언 암스트롱의 개인 경호 비용으로 1년 동안 620만 달러를 지불했다는 점도 언급할 가치가 있습니다. 4억 달러 규모의 해킹 사건과 SEC의 사용자 데이터 조사에 대한 대응을 총괄한 코인베이스 최고법무책임자(CLO) 폴 그리월은 작년에 총 820만 달러 이상의 보상을 받았습니다.
CEO의 연간 보안 비용과 최고법무책임자의 급여만 해도 Coinbase 플랫폼 전체 사용자의 보안 비용보다 많을 수 있습니다.
이 사건의 피해를 입은 사용자 중에는 유명 사용자가 많이 있습니다. 블룸버그에 따르면, 이 사건 에 정통한 소식통은 세쿼이아 캐피털의 관리 파트너인 로엘로프 보타가 피해자 중 한 명이었으며, 그에게서 도난당한 데이터에는 전화번호, 주소, 그리고 코인베이스 프로필과 관련된 기타 민감한 계정 정보가 포함되어 있었다고 밝혔습니다.
또한 67세의 에드 수만이라는 유명 예술가가 있습니다. 그는 거의 20년 동안 예술계에서 활동해 왔으며 제프 쿤스의 풍선 개 조각품과 같은 예술 작품 제작에 참여했습니다. 그는 올해 초에 코인베이스 고객 서비스 사기에 걸려 200만 달러가 넘는 암호화폐를 잃었습니다.
Coinbase는 또한 개인 데이터를 잘못 처리했다는 이유로 사용자들로부터 여러 건의 소송을 접수했습니다. 게다가 Coinbase의 관행은 규제 기관의 주목을 끌기도 했습니다. 예를 들어, 오리건 주 검찰총장실은 코인베이스를 상대로 소송을 제기하여 주 증권법을 위반했다고 주장하고 사용자 계약에 명시된 중재 및 집단 소송 포기 조항의 합법성에 이의를 제기했습니다.
Elliptic 데이터에 따르면, 이 사건으로 인한 보상 및 처리 비용은 4억 달러에 달했으며, 암호화 역사상 8번째로 큰 보안 사건으로 평가되었습니다. 이 공격에는 핫 월렛 해킹과 같은 극적인 장면이나 계약 취약성과 같은 기술적 복잡성이 포함되지 않았습니다. 그 대신, 가장 기본적이고 매일 발생하며 간과되는 링크인 KYC 데이터에서 문제가 발생했습니다.
하지만 현실적으로 Coinbase가 너무 심하게 처벌받을 가능성은 낮습니다.
미국의 법률에서는 실수로 인한 데이터 침해에 대해 엄중한 처벌을 내린 선례가 없는 듯합니다. 데이터 남용과 관련된 가장 유명한 소송은 Facebook입니다. Facebook은 사용자 동의 없이는 사용자 데이터를 제3자와 공유하지 않는다는 약속을 위반했기 때문입니다. 하지만 이는 Coinbase가 직면한 상황과는 약간 다릅니다.
코인베이스 사건은 내부자가 외부 해커에게 데이터를 유출한 것에 더 가깝습니다. 즉, 데이터 접근 권한을 남용하고 부적절한 아웃소싱 관리를 한 것입니다. 이는 체계적인 개인정보 사기로 간주되어서는 안 되며, 손실도 제한적입니다. 코인베이스는 또한 보상을 지불할 것이라고 밝혔다.
더 중요한 점은, 코인베이스의 시장 가치가 600억 달러가 넘는 회사라는 것입니다. 또한 SP 500 지수에 포함된 암호화폐 업계의 유일한 거래 플랫폼이기도 합니다. 풍부한 정책적 관계와 깊은 자본 자원을 보유하고 있습니다.
이번 미국 선거에서 Coinbase와 그 임원진은 공화당 후보자들에게 수천만 달러의 기부금을 제공했으며, 여러 법안에 대한 로비 활동에서 중요한 역할을 한 것으로 알려져 있습니다. SEC가 코인베이스에 대한 소송을 철회하기로 한 결정은 한때 코인베이스의 정치 기부금과 관련이 있다는 의심을 받았습니다.
모든 것은 Coinbase가 이 폭풍을 견뎌낼 수 있을 것이라는 것을 보여줍니다. 미래에도 Coinbase는 계속 좋은 성과를 낼 것이고, 심지어 더 좋아질 수도 있습니다.
