원작자: 벤 와이스, 제프 존 로버츠
원문: 루피, 포사이트 뉴스
Coinbase 공동 창립자이자 CEO인 Brian Armstrong이 2022년 인도 벵갈루루에서 열린 행사에서 연설하고 있습니다.
2025년 5월 15일, 코인베이스는 수만 명에 달하는 고객의 개인 데이터가 도난당했다고 공개했습니다. 이는 회사 역사상 가장 큰 보안 사고였으며, 최대 4억 달러의 손실이 발생할 것으로 추산됩니다. 이 데이터 침해는 규모뿐만 아니라 해커의 공격 방식, 즉 해외 고객 서비스 직원에게 뇌물을 주어 기밀 고객 정보를 얻은 방식에서도 주목할 만합니다.
코인베이스는 범죄자의 체포와 유죄 판결로 이어질 수 있는 정보를 제공하는 고발자에게 2,000만 달러의 보상금을 지불하겠다고 공개적으로 밝혔지만, 공격자의 신원이나 해킹 세부 사항에 대해서는 거의 공개하지 않았습니다.
최근 포춘은 코인베이스와 해커 중 한 명 간의 이메일을 검토한 결과, 사건에 대한 새로운 세부 사항을 밝혀냈으며, 영어를 구사하는 젊은 해커들의 느슨한 네트워크가 일부 책임이 있을 가능성을 시사했습니다. 동시에 조사 결과에 따르면 기술 기업의 보안 운영에 있어서 BPO(비즈니스 프로세스 아웃소싱 부문)가 약점으로 지적되었습니다.
내부 범죄: 고객 서비스 아웃소싱이 획기적인 발전으로 이어지다
이 이야기는 텍사스주 뉴브라운펠스에 있는 소규모 상장 기업인 TaskUs에서 시작됩니다. 다른 BPO와 마찬가지로 이 회사는 해외 직원을 고용하여 저렴한 비용으로 대형 기술 회사에 고객 서비스를 제공합니다. 회사 대변인에 따르면, TaskUs는 1월에 인도 인도르에 있는 서비스 센터에서 직원 226명을 해고하고 Coinbase에서 일하게 했다고 합니다.
미국 증권거래위원회에 제출된 문서에 따르면 TaskUs는 2017년부터 Coinbase에 고객 서비스 직원을 제공해 왔으며, 이러한 파트너십을 통해 미국 암호화폐 거대 기업은 상당한 인건비를 절감할 수 있었습니다. 하지만 중요한 점은 고객이 계정이나 새로운 Coinbase 상품에 대해 문의하는 이메일을 보낼 때, 그들은 해외에 있는 TaskUs 직원과 통화할 가능성이 높다는 것입니다. 이런 요원들은 미국 직원보다 급여가 낮기 때문에 뇌물 수수에 더 취약합니다.
TaskUs 대변인은 포춘지와의 인터뷰에서 Coinbase를 언급하며 올해 초에 우리는 두 명의 개인이 우리 고객 중 한 명의 정보에 불법적으로 접근한 사실을 발견했습니다.라고 말했습니다. 우리는 이 사람들이 Coinbase를 표적으로 삼고 Coinbase가 서비스를 제공하는 다른 많은 공급업체에도 영향을 미치는 더 광범위한 조직적 범죄 조직에 고용되었다고 믿습니다.
Coinbase의 규제 기관 제출 서류에 따르면 TaskUs는 Coinbase가 고객 데이터가 도난당한 사실을 발견한 지 한 달도 채 되지 않아 올해 1월에 직원을 해고했습니다(참고: Coinbase는 2024년 12월에 데이터 침해 사실을 발견했습니다). 화요일에 Coinbase 고객을 대신하여 뉴욕에서 제기된 연방 집단 소송은 TaskUs가 고객 데이터를 보호하는 데 부주의했다는 주장을 담고 있습니다. TaskUs 대변인은 소송에 대해서는 언급할 수 없지만, 우리는 이러한 주장이 근거가 없다고 생각하며 스스로를 변호할 것이라고 말했습니다. 우리는 고객 데이터 보호를 최우선으로 여기고 있으며, 글로벌 보안 프로토콜과 교육 프로그램을 지속적으로 강화하고 있습니다.
보안 사고에 대해 잘 아는 한 관계자는 해커들이 다른 여러 BPO 회사도 성공적으로 공격했으며, 도난당한 데이터의 성격은 사고마다 달랐다고 말했습니다.
도난당한 데이터만으로는 해커들이 Coinbase의 암호화폐 보관소에 침입하기에 충분하지는 않았지만, 범죄자들이 가짜 Coinbase 고객 서비스 담당자로 가장하고 고객에게 연락하여 암호화폐 자산을 넘기도록 설득하는 데 도움이 되는 풍부한 정보를 제공했습니다. 해당 회사는 해커들이 69,000명 이상의 고객 데이터를 훔쳤다고 밝혔지만, 소위 소셜 엔지니어링 사기에 얼마나 많은 고객이 속았는지는 밝히지 않았습니다. 이 사례에서 소셜 엔지니어링 사기는 범죄자들이 도난한 데이터를 사용하여 Coinbase 직원을 사칭하고 피해자들에게 암호화폐 자산을 이체하도록 설득하는 것을 포함합니다.
코인베이스는 성명을 통해 공개한 바와 같이, 최근 한 위협 행위자가 해외 고객 서비스에 2024년 12월 이후의 고객 계좌 정보를 요청한 사실을 발견했습니다. 영향을 받은 사용자와 규제 기관에 통보하고, TaskUs 직원 및 관련 해외 고객 서비스와의 연락을 끊었으며, 통제를 강화했습니다.라고 밝혔습니다. 또한 이 성명에서는 사기로 인해 자금을 잃은 고객에게 보상이 지급된다고 덧붙여 말했습니다.
회사 대표를 사칭하는 소셜 엔지니어링 사기는 새로운 일이 아니지만, BPO 회사를 표적으로 삼는 해커 공격의 규모는 드뭅니다. 아직까지 범인이 누구인지 확실히 밝혀지지 않았지만, 여러 단서가 영어를 구사하는 젊은 해커 집단이 조직되어 있을 가능성을 강력히 시사하고 있습니다.
10대 해커 갱단: 그들은 비디오 게임에서 나왔습니다
5월 중순 코인베이스 데이터 침해 사실이 공개된 후, 포춘은 텔레그램을 통해 자신을 퍼피 파티라고 부르는 남자와 대화를 나누었는데, 그는 자신이 해커 중 한 명이라고 주장했다.
익명의 해커와 이야기를 나눈 다른 두 명의 보안 연구원은 포춘에 그가 신뢰할 만한 인물이라고 생각한다고 말했습니다. 저는 그가 저에게 알려준 내용을 토대로 그의 진술을 주의 깊게 검토했지만 그의 진술이 거짓이라는 증거를 찾을 수 없었습니다.라고 그중 한 명이 말했습니다. 두 연구원은 모두 해커와 통화하면 소환장을 받을까 봐 익명을 요구했습니다.
이메일 교환이 진행되는 동안, 이 남자는 Coinbase 보안팀과 이메일을 교환했다고 주장하며 여러 장의 스크린샷을 공유했습니다. 그가 Coinbase와 소통할 때 사용한 이름은 Lennard Schroeder였습니다. 그는 또한 전 Coinbase 임원의 계정 스크린샷을 공유했는데, 그 안에는 암호화폐 거래 내역과 수많은 개인 정보가 담겨 있었습니다.
코인베이스는 스크린샷의 진위를 부인하지 않았습니다.
자신을 해커라고 주장하는 사람이 공유한 이메일에는 2,000만 달러 상당의 비트코인을 갈취하겠다는 협박 내용(코인베이스는 지불을 거부)과, 해커 그룹이 훔친 돈의 일부를 회사의 대머리 CEO인 브라이언 암스트롱의 머리카락을 사는 데 사용할 것이라는 비꼬는 말이 포함되어 있었습니다. 해커는 우리는 그가 스타일리시하게 전 세계를 여행할 수 있도록 모발 이식을 후원할 의향이 있습니다.라고 썼습니다.
텔레그램 메시지에서 그 개인(포춘이 보안 연구원을 통해 알게 된 사람)은 코인베이스에 대한 혐오감을 표현했습니다.
많은 암호화폐 도난 사건은 러시아 범죄 조직이나 북한군에 의해 저질러졌지만, 이번 해킹 사건은 Comm 또는 Com으로 알려진 10대와 20대의 느슨한 연합에 의해 저질러졌다고 알려졌습니다.
Comm 그룹에 대한 보고서는 지난 2년 동안 발생한 다른 해킹 사건에 대한 언론 보도에도 등장했는데, 이번 달 초에 발표된 뉴욕 타임스 보도에서는 일련의 암호화폐 도난 사건의 용의자가 자신을 이 그룹의 일원이라고 밝혔습니다. 월스트리트 저널에 따르면, 조사관들이 이 그룹으로 지목한 해커들은 2023년에 라스베이거스의 여러 온라인 카지노를 공격하고 MGM 리조트에서 3,000만 달러를 갈취하려고 시도했습니다.
대개 돈만 노리는 러시아와 북한의 암호화폐 해커들과 달리, Comm 갱단원들은 종종 주목과 장난의 스릴을 모두 추구합니다. 그들은 때때로 해킹 공격에 협력하지만, 동시에 누가 더 많은 것을 훔칠 수 있는지 서로 경쟁하기도 합니다.
암호 포렌식 조사 회사인 Cryptoforensic Investigators의 조사 책임자인 조쉬 쿠퍼-더킷은 그들은 비디오 게임에서 유래하여 높은 점수를 현실 세계로 가져온다고 말했다. 이 세상에서 그들의 점수는 얼마나 많은 돈을 훔쳤는가로 결정됩니다.
해커로 추정되는 인물은 텔레그램 메시지를 통해 Comm 회원들이 강도 사건의 여러 측면에 책임이 있다고 말했습니다. 그의 팀은 고객 서비스 부서에 뇌물을 주고 고객 데이터를 수집한 다음, 소셜 엔지니어링 사기에 능숙한 팀 외부의 다른 사람들에게 데이터를 전달했습니다. 그들은 텔레그램과 디스코드와 같은 소셜 플랫폼에서 다양한 Comm 계열 그룹이 작전의 각 부분을 어떻게 수행하고 훔친 돈을 어떻게 분배할지에 대해 협력했다고 덧붙였습니다.
암호화폐 조사 회사인 트레이슬론(Tracelon)의 창립자인 세르히오 가르시아(Sergio Garcia)는 포춘(Fortune)에 해커들이 코인베이스(Coinbase) 공격을 설명한 내용이 Comm 갱단과 다른 암호화폐 소셜 엔지니어링 사기의 운영 방식에 대한 자신의 관찰 결과와 일치한다고 말했습니다. 이 문제에 대해 잘 아는 사람들에 따르면, 최근 소셜 엔지니어링 사기로 고객을 공격한 범인은 정통한 북미 영어를 구사했다고 합니다.
BPO 근로자 급여에 대한 지식이 있는 소식통에 따르면, 인도의 TaskUs 직원들은 한 달에 500~700달러를 벌어들인다고 합니다. TaskUs는 이에 대한 언급을 거부했습니다. 가르시아는 포춘과의 인터뷰에서 그 수치가 인도의 1인당 GDP보다 높지만, 고객 서비스 종사자들의 낮은 임금 때문에 뇌물을 더 쉽게 받는다고 말했습니다. 그는 분명히 그게 사슬에서 가장 약한 고리예요. 뇌물을 받으면 재정적 인센티브가 생기니까요.라고 덧붙였다.
