원작자: 크리스토퍼 로사
원문 번역: AididiaoJP, Foresight News
이 사이버 보안 전문가도 거의 잡힐 뻔했습니다.
주말 동안, 과거 침해 사례와 새롭게 유출된 로그인 데이터를 포함하여 160억 명의 사용자 신원 정보가 담긴 방대한 데이터 세트가 온라인에 유포되기 시작했다는 소식이 전해졌습니다. 누가 이 데이터 세트를 업데이트하고 다시 게시했는지는 아직 불분명합니다. 데이터베이스의 상당 부분이 과거 침해 사례를 재탕한 것이지만, 다시 업데이트되었다는 사실은 매우 우려스럽습니다. 이 데이터 세트는 역사상 가장 큰 규모의 침해된 계정 정보 모음 중 하나로 여겨집니다.
해커들은 이 데이터를 이용해 다양한 공격을 감행하고 있으며, 저도 그들의 타깃 중 하나가 되었습니다.
6월 19일, 제 개인 기기와 계정에 대한 피싱 공격은 제가 10년간 사이버 보안 경력을 쌓으면서 경험한 것 중 가장 정교한 공격이었습니다. 공격자들은 먼저 제 계정이 여러 플랫폼에서 공격을 받고 있다는 착각을 불러일으킨 후, 코인베이스 직원으로 위장하고 도와주겠다고 제안했습니다. 그들은 고전적인 소셜 엔지니어링 전술에 문자 메시지, 전화, 가짜 이메일 등 다양한 방법을 동원하여 마치 긴급성, 신뢰성, 그리고 규모처럼 거짓된 인식을 심어주기 위해 노력했습니다. 이 가짜 공격의 영향력과 권한은 기만적인 성격의 핵심이었습니다.
아래에서는 공격 과정을 자세히 설명하고, 공격 과정에서 발견한 위험 신호와 제가 취한 보호 조치를 분석하겠습니다. 동시에, 끊임없이 고조되는 위협 환경에서 암호화폐 투자자들이 안전을 유지할 수 있도록 돕는 주요 교훈과 실질적인 제안을 공유하겠습니다.
해커는 과거 데이터와 최근 유출된 데이터를 악용하여 고도로 표적화된 다채널 공격을 감행할 수 있습니다. 이는 계층화된 보안, 명확한 사용자 소통 메커니즘, 그리고 실시간 대응 전략의 중요성을 다시 한번 확인시켜 줍니다. 기관과 개인 사용자 모두 이 사례를 통해 검증 프로토콜, 도메인 이름 식별 습관, 그리고 대응 단계 등 실질적인 도구를 얻을 수 있으며, 이는 순간적인 부주의가 심각한 보안 취약점으로 이어지는 것을 방지하는 데 도움이 될 수 있습니다.
SIM 하이재킹
공격은 목요일 오후 3시 15분경(동부 표준시) 익명의 문자 메시지로 시작되었는데, 누군가가 이동통신사를 속여 내 전화번호를 다른 사람에게 알려주려 한다는 내용이었습니다. 이 전략은 SIM 스와핑이라고 알려져 있습니다.
이 메시지는 SMS 번호가 아닌 일반 10자리 전화번호에서 발송된 것입니다. 합법적인 사업체는 단축 코드를 사용하여 SMS 메시지를 발송합니다. 알 수 없는 표준 길이의 번호로 사업체라고 사칭하는 문자 메시지를 받았다면 사기 또는 피싱 시도일 가능성이 높습니다.
메시지에는 모순되는 내용도 담겨 있었습니다. 첫 번째 문자 메시지에서는 침해가 샌프란시스코 만 지역에서 시작되었다고 했지만, 그 다음 메시지에서는 암스테르담에서 발생했다고 했습니다.
SIM 교체는 성공할 경우 매우 위험합니다. 공격자는 대부분의 회사에서 비밀번호 재설정이나 계정 접근에 사용하는 일회용 인증 코드를 획득할 수 있기 때문입니다. 그러나 이는 실제 SIM 교체가 아니었으며, 해커들은 더욱 정교한 사기 수법을 위한 토대를 마련하고 있었습니다.
일회용 인증코드 및 비밀번호 재설정
공격이 심해지자 Venmo와 PayPal에서 보낸 것처럼 보이는 일회성 인증 코드가 SMS와 WhatsApp으로 전송되기 시작했습니다. 이로 인해 누군가 여러 금융 플랫폼에서 제 계정에 로그인을 시도하고 있다고 생각하게 되었습니다. 의심스러운 통신사 SMS 메시지와 달리, 이 인증 코드는 정상적인 것처럼 보이는 짧은 코드에서 전송되었습니다.
코인베이스 피싱 전화
문자 메시지를 받은 지 약 5분 후, 캘리포니아 번호로 전화가 왔습니다. 자신을 메이슨이라고 소개한 발신자는 순전히 미국식 억양으로 말하며 코인베이스 조사팀 소속이라고 주장했습니다. 그는 지난 30분 동안 코인베이스 채팅 창을 통해 비밀번호 재설정 및 계정 해킹 시도가 30건 이상 있었다고 말했습니다. 메이슨에 따르면, 소위 공격자는 비밀번호 재설정을 위한 1단계 보안 검증은 통과했지만 2단계 인증에는 실패했습니다.
그는 상대방이 제 신분증 마지막 네 자리, 운전면허증 번호, 집 주소, 그리고 성명은 제시할 수 있지만, 신분증 번호나 코인베이스 계좌와 연결된 은행 카드 마지막 네 자리는 제시하지 않았다고 말했습니다. 메이슨은 이러한 모순 때문에 코인베이스 보안팀이 경보를 발령했고, 저에게 연락하여 진위 여부를 확인하게 되었다고 설명했습니다.
코인베이스와 같은 공식 거래소는 공식 웹사이트를 통해 서비스 요청을 하지 않는 한 사용자에게 적극적으로 연락하지 않습니다. 거래소 고객 서비스 규정에 대한 자세한 내용은 이코인베이스 문서를 참조하십시오.
보안 검사
메이슨은 나쁜 소식을 알려준 후, 추가 공격 채널을 차단하여 제 계정을 보호하겠다고 제안했습니다. 그는 API 연결과 관련 지갑부터 언급하며 위험을 줄이기 위해 해당 연결들이 취소될 것이라고 주장했습니다. 그는 Bitstamp, TradingView, MetaMask 지갑 등 여러 연결을 나열했는데, 그중 일부는 제가 알지 못했지만, 제가 설정해 놓고 잊어버렸을 수도 있다고 생각했습니다.
이 시점에서 저는 경계심을 풀었고 Coinbase의 적극적 보호에 안심하기도 했습니다.
지금까지 메이슨은 피싱 사기범들이 흔히 요구하는 개인 정보, 지갑 주소, 2단계 인증 코드, 일회용 비밀번호 등을 요구하지 않았습니다. 모든 상호작용 과정은 매우 안전하고 예방적으로 진행됩니다.
은밀한 압박 전술
그런 다음 첫 번째 압박 시도가 이어졌습니다. 긴박감과 취약성을 조성하는 것이었습니다. 소위 보안 점검을 완료한 후, 메이슨은 제 계정이 고위험으로 분류되어 Coinbase One 구독 서비스 계정 보호가 종료되었다고 주장했습니다. 이는 제 Coinbase 지갑 자산이 더 이상 FDIC 보험의 보호를 받지 못하며, 공격자가 자금을 훔쳐도 어떠한 보상도 받을 수 없다는 것을 의미했습니다.
돌이켜보면, 이 주장은 명백한 오류였어야 했습니다. 은행 예금과 달리 암호화폐 자산은 FDIC 보험의 보호를 받지 못합니다. 코인베이스가 고객 자금을 FDIC 보험 가입 은행에 보관할 수는 있지만, 거래소 자체는 보험 가입 기관이 아닙니다.
메이슨은 또한 24시간 카운트다운이 시작되어 연체된 계좌는 잠길 것이라고 경고했습니다. 잠금 해제에는 복잡하고 긴 절차가 필요합니다. 더욱 무서운 것은, 공격자가 이 기간 동안 제 사회보장번호를 모두 획득하면 동결된 계좌에서 돈을 훔칠 수도 있다는 것입니다.
나중에 실제 코인베이스 고객 서비스팀에 문의해 보니, 그들이 권장하는 보안 조치는 계정 잠금이라는 것을 알게 되었습니다. 잠금 해제 절차는 실제로 간단하고 안전합니다. 신분증 사진과 셀카를 제출하면 거래소에서 신원을 확인하고 신속하게 접속 권한을 복구해 줍니다.
그 후 두 개의 이메일을 받았습니다. 첫 번째는 Coinbase Bytes 뉴스 구독 확인서였는데, 공격자가 공식 웹사이트 양식을 통해 제 이메일 주소를 입력하여 보낸 일반적인 이메일이었습니다. 이는 제 판단을 Coinbase 공식 이메일로 혼동시켜 사기의 신뢰성을 높이려는 의도가 분명했습니다.
두 번째로 더욱 충격적인 이메일은 no-reply@info.coinbase.com에서 발송되었는데, 제 Coinbase One 계정 보호가 해제되었다는 내용이었습니다. 정상적인 Coinbase 도메인에서 발송된 것으로 보이는 이 이메일은 매우 사기성이 짙었습니다. 의심스러운 도메인에서 발송되었다면 쉽게 알아볼 수 있었겠지만, 공식 주소에서 발송된 것처럼 보여 진짜처럼 보였습니다.
제안된 수정 사항
메이슨은 보안을 위해 제 자산을 Coinbase Vault라는 다중 서명 지갑으로 옮기라고 제안했습니다. 심지어 Coinbase가 오랫동안 제공해 온 합법적인 서비스임을 증명하기 위해 Coinbase Vault를 구글에서 검색해 보라고까지 했습니다.
충분히 조사하지 않고 그렇게 큰 변화를 주고 싶지 않다고 말씀드렸습니다. 그는 제 마음을 이해해 주시고 신중하게 조사하도록 격려해 주셨고, SIM 카드 교체를 방지하기 위해 통신사에 먼저 연락하도록 도와주셨습니다. 그는 30분 후에 다시 전화해서 다음 단계를 진행하겠다고 했습니다. 전화를 끊자마자 바로 통화 및 예약 확인 문자 메시지를 받았습니다.
Coinbase Vault를 사용한 콜백
통신사에서 SIM 카드 이전 시도가 없다는 것을 확인한 후, 즉시 모든 계정 비밀번호를 변경했습니다. 메이슨이 예정대로 다시 전화했고, 우리는 다음 단계에 대해 논의하기 시작했습니다.
이 시점에서 Coinbase Vault가 Coinbase에서 제공하는 실제 서비스임을 확인했습니다. 다중 서명 인증과 24시간 지연 출금 기능을 통해 보안이 강화된 커스터디 솔루션이지만, 진정한 셀프 커스터디 콜드 월렛은 아닙니다.
메이슨은 저에게 첫 번째 통화에서 논의된 보안 설정을 검토할 수 있다고 말하며, vault-coinbase.com 링크를 보내주었습니다. 검토가 완료되면 자산을 Vault로 옮길 수 있었고, 이 순간 네트워크 보안에 대한 저의 전문성이 드디어 드러났습니다.
그가 제공한 사건 번호를 입력하자 열린 페이지에는 소위 API 연결 제거됨과 Coinbase Vault 생성 버튼이 표시되었습니다. 저는 즉시 웹사이트의 SSL 인증서를 확인했고, 등록한 지 한 달밖에 되지 않은 이 도메인 이름이 Coinbase와 아무런 관련이 없음을 확인했습니다. SSL 인증서는 종종 잘못된 합법성을 유발할 수 있지만, 정식 기업 인증서는 명확한 소유권을 가지고 있기 때문에 이 사실을 알게 되어 즉시 작업을 중단했습니다.
코인베이스는 비공식 도메인 이름을 절대 사용하지 않을 것이라고분명히 밝혔습니다 . 타사 서비스를 사용하더라도 반드시 vault.coinbase.com과 같은 하위 도메인을 사용해야 합니다. 거래소 계정과 관련된 모든 작업은 공식 앱이나 웹사이트를 통해 수행해야 합니다.
저는 메이슨에게 제 우려를 표명하며 공식 앱을 통해서만 운영하겠다고 강조했습니다. 그는 앱 운영으로 인해 48시간 지연이 발생하고 24시간 후에는 계정이 잠길 것이라고 주장했습니다. 저는 다시 한번 성급한 결정을 내리지 않겠다고 했고, 그는 제 Coinbase One 보호를 복구하기 위해 이 문제를 3단계 지원팀으로 이관하겠다고 말했습니다.
전화를 끊은 후에도 다른 계정의 보안을 계속 확인하면서 불안감은 더욱 커졌습니다.
3단계 지원팀으로부터 수신 전화
약 30분 후, 텍사스 번호로 전화가 왔습니다. 미국식 억양을 쓰는 다른 사람이 레벨 3 수사관이라고 하면서 제 코인베이스 원(Coinbase One) 복구 신청을 처리하고 있다고 했습니다. 그는 7일의 검토 기간이 필요하며, 그 기간 동안 계정은 여전히 보험에 가입되지 않을 것이라고 했습니다. 또한 친절하게 여러 체인의 자산을 보관할 수 있는 여러 개의 볼트(Vault)를 개설해 보라고 제안했습니다. 그는 전문가처럼 보였지만, 실제로는 구체적인 자산에 대해서는 언급하지 않고 이더리움, 비트코인 등이라고 모호하게 언급했습니다.
그는 법무팀에 채팅 기록을 보내달라고 요청하겠다고 말한 후 Coinbase Vault를 홍보하기 시작했습니다. 대안으로 SafePal이라는 서드파티 지갑을 추천했습니다. SafePal은 일반 하드웨어 지갑이지만, 신뢰를 기만하기 위한 서두름에 불과합니다.
제가 다시 vault-coinbase.com 도메인에 대해 문의했을 때, 상대방은 여전히 제 의심을 해소하려 애썼습니다. 이쯤 되자 공격자는 성공하기 어렵다는 것을 깨닫고 결국 피싱 공격을 포기했을지도 모릅니다.
Coinbase 실제 고객 서비스에 문의하세요
가짜 고객 서비스 담당자와 두 번째 통화를 마친 후, Coinbase.com을 통해 즉시 신청서를 제출했습니다. 진짜 고객 서비스 담당자는 제 계정에 비정상적인 로그인이나 비밀번호 재설정 요청이 없었다고 재빨리 확인해 주었습니다.
그는 계정을 즉시 잠그고 공격 세부 정보를 수집하여 조사팀에 제출할 것을 제안했습니다. 저는 모든 사기 도메인 이름, 전화번호, 공격 경로를 제공했고, 특히 no-reply@info.coinbase.com의 전송 권한에 대해 문의했습니다. 고객 서비스팀은 이 문제가 매우 심각함을 인지하고 보안팀에서 철저한 조사를 진행하겠다고 약속했습니다.
거래소나 보관 업체의 고객센터에 문의할 때는 반드시 공식 채널을 이용하시기 바랍니다. 합법적인 회사는 절대 사용자에게 적극적으로 연락하지 않습니다.
얻은 교훈
속지 않아서 다행이었지만, 전직 사이버 보안 전문가로서 이번처럼 거의 속을 뻔한 경험은 저를 깊은 불안감에 빠뜨렸습니다. 전문적인 교육을 받지 않았다면 속았을지도 모릅니다. 그저 평범하고 낯선 전화였다면 바로 끊었을 겁니다. 공격자가 치밀하게 설계한 일련의 행동들이 마치 긴박감과 권위를 부여한 것처럼 느끼게 했기에 이 피싱은 그토록 위험했습니다.
현재 네트워크 환경에서 암호화폐 투자자가 자금의 안전을 확보하는 데 도움이 되기를 바라며 다음과 같은 위험 신호와 보호 제안을 요약했습니다.
위험 신호
혼란과 긴급성을 조성하기 위해 조정된 허위 경보
공격자들은 Venmo와 PayPal 같은 서비스에서 SMS와 WhatsApp으로 전송된 일회성 인증 코드 요청과 일련의 SIM 교체 알림을 통해 여러 플랫폼에서 동시에 공격하는 것처럼 위장했습니다. 이러한 메시지는 쉽게 접근할 수 있는 제 전화번호와 이메일 주소만으로 발송되었을 가능성이 높습니다. 현재로서는 공격자들이 더 자세한 계정 데이터에 접근할 수 있었던 것으로 보이지 않습니다.
일반 전화번호와 단축 코드 혼합
피싱 메시지는 SMS 단축 코드와 일반 전화번호를 조합하여 전송됩니다. 기업은 공식적인 연락을 위해 단축 코드를 사용하는 경우가 많지만, 공격자는 이러한 단축 코드를 위조하거나 재활용할 수 있습니다. 하지만 합법적인 서비스는 보안 알림을 전송하기 위해 일반 전화번호를 사용하지 않는다는 점에 유의해야 합니다. 표준 길이의 전화번호로 전송된 메시지는 항상 신중하게 접근해야 합니다.
비공식적이거나 익숙하지 않은 도메인 이름을 통해 운영 요청
공격자는 저에게 vault-coinbase.com에 호스팅된 피싱 사이트를 방문하도록 요청했습니다. 이 도메인은 언뜻 보기에는 합법적인 것처럼 보이지만 실제로는 Coinbase와 관련이 없습니다. 정보를 입력하기 전에 항상 도메인 이름과 SSL 인증서를 다시 한번 확인하세요. 민감한 계정과 관련된 작업은 공식 회사 도메인이나 애플리케이션에서만 수행해야 합니다.
요청하지 않은 전화 및 후속 커뮤니케이션
코인베이스를 비롯한 대부분의 금융 기관은 지원 요청 없이는 절대 전화하지 않습니다. 3단계 조사팀이라고 주장하는 사람에게서 전화를 받는 것은 심각한 위험 신호이며, 특히 협박 전술과 복잡한 계정 보호 지침이 함께 제공되는 경우에는 더욱 그렇습니다.
요청되지 않은 비상 및 결과 경고
피싱 공격자는 종종 두려움과 긴박감을 이용하여 피해자가 생각 없이 행동하도록 강요합니다. 이 경우, 계정 잠금, 자산 도난, 보험 해지 등의 위협이 전형적인 사회 공학적 전술입니다.
공식 채널을 우회하라는 요청
회사의 공식 앱이나 웹사이트 사용을 피하라는 조언, 특히 더 빠르거나 더 안전한 대안을 제공한다고 주장하는 경우, 즉시 경고 신호를 보내야 합니다. 공격자는 합법적인 것처럼 보이지만 실제로는 악성 도메인을 가리키는 링크를 제공할 수 있습니다.
검증되지 않은 사례 번호 또는 지원 티켓
맞춤형 피싱 포털을 구축하기 위해 사례 번호를 제공하는 것은 마치 합법적인 것처럼 착각하게 만듭니다. 어떤 합법적인 서비스도 사용자에게 신원 확인을 요구하거나 사례 번호가 포함된 외부 맞춤형 링크를 통해 조치를 취하도록 요구하지 않습니다.
진실과 거짓 정보가 섞여 있음
공격자는 신뢰성을 높이기 위해 실제 개인 정보(이메일 주소나 주민등록번호 일부 등)를 모호하거나 부정확한 정보와 혼합하는 경우가 많습니다. 체인, 지갑 또는 보안 검토에 대한 모호한 언급이나 불일치는 의심스러운 측면이 있습니다.
대체 제안서에는 실제 회사 이름을 사용하세요
SafePal과 같은 신뢰할 수 있는 이름을 소개하는 것은(이러한 회사가 합법적인 회사라 하더라도) 피해자를 악의적인 작업으로 유인하면서 선택권과 합법성의 모습을 제공하는 횡령 전략이 될 수 있습니다.
검증 없는 과열
공격자는 인내심을 가지고 제가 직접 조사해 보도록 독려했으며, 처음에는 민감한 정보를 요구하지 않았습니다. 이러한 행동은 실제 고객 서비스 담당자를 흉내 내어 사기처럼 보이게 했습니다. 너무 좋아서 믿기 어려울 정도라고 느껴지는 요청하지 않은 도움은 의심의 여지가 있습니다.
사전 예방적 보호 조치 및 권장 사항
거래소에서 거래 수준 검증 활성화
거래소 설정에서 2단계 인증 및 캡차 기반 인증을 활성화하세요. 이렇게 하면 자금을 보내거나 이체하려는 모든 시도가 실시간 확인을 위해 신뢰할 수 있는 기기로 전송되므로 무단 거래를 방지할 수 있습니다.
항상 합법적이고 검증된 채널을 통해 서비스 제공자에게 연락하세요.
이 경우, 공식 플랫폼에 직접 로그인하여 지원 티켓을 제출하여 이동통신사와 Coinbase에 문의했습니다. 이는 계정 보안이 침해되었을 때 고객 서비스에 문의하는 가장 안전하고 유일한 방법입니다.
교환 지원팀은 결코 귀하의 자금을 이동, 접근 또는 보호하도록 요구하지 않습니다.
이들은 귀하의 지갑 니모닉 문구를 요청하거나 제공하지 않으며, 2단계 인증 코드를 묻지 않으며, 귀하의 기기에 원격으로 액세스하거나 소프트웨어를 설치하려고 시도하지 않습니다.
다중 서명 지갑이나 콜드 스토리지 솔루션을 사용하는 것을 고려하세요
다중 서명 지갑은 여러 당사자가 거래를 승인해야 하는 반면, 콜드 지갑은 개인 키를 완전히 오프라인 상태로 유지합니다. 두 방법 모두 원격 피싱이나 맬웨어 공격으로부터 장기 보유 자산을 보호하는 데 효과적입니다.
공식 웹사이트를 북마크하고 원치 않는 메시지의 링크를 클릭하지 마십시오.
도메인 스푸핑을 피하는 가장 좋은 방법은 URL을 직접 입력하거나 신뢰할 수 있는 북마크를 사용하는 것입니다.
의심스러운 사이트를 식별하고 강력한 비밀번호를 유지하려면 비밀번호 관리자를 사용하세요.
비밀번호 관리자는 가짜 또는 알려지지 않은 도메인에 대한 자동 완성을 차단하여 피싱 시도를 방지합니다. 악의적인 공격이 의심되는 경우 비밀번호를 정기적으로 즉시 변경하세요.
연결된 앱, API 키 및 타사 통합을 정기적으로 검토하세요.
더 이상 사용하지 않거나 인식하지 못하는 앱이나 서비스에 대한 액세스 권한을 취소하세요.
가능한 경우 실시간 계정 알림을 활성화하세요.
로그인, 탈퇴 또는 보안 설정 변경에 대한 알림은 승인되지 않은 활동에 대한 중요한 조기 경고를 제공할 수 있습니다.
모든 의심스러운 활동을 서비스 제공자의 공식 지원 팀에 보고하세요.
조기에 보고하면 더 광범위한 공격을 예방하고 플랫폼의 전반적인 보안을 강화하는 데 도움이 됩니다.
결론적으로
금융 기관, IT 보안팀, 그리고 경영진에게 이 공격은 과거 데이터가 어떻게 재활용되고 실시간 소셜 엔지니어링과 결합될 때 해커가 가장 정교한 보안 방어 체계조차 우회할 수 있는지를 여실히 보여줍니다. 위협 행위자들은 더 이상 무차별 대입 공격에만 의존하지 않고, 합법적인 워크플로우를 모방하여 사용자의 신뢰를 얻고 사용자를 속이기 위해 조직적인 크로스채널 전략을 실행합니다.
우리는 시스템과 네트워크 보안을 보호하는 것뿐만 아니라, 위협을 파악하고 스스로를 보호하기 위한 조치를 취해야 합니다. 암호화폐 전문 기관에서 일하든, 집에서 암호화폐 자산을 관리하든, 모든 사람은 개인의 보안 취약성이 어떻게 시스템 전체의 위험으로 이어질 수 있는지 이해해야 합니다.
이러한 위협으로부터 보호하기 위해 조직은 도메인 이름 모니터링, 적응형 인증, 피싱 방지를 위한 다중 요소 인증, 그리고 명확한 통신 프로토콜과 같은 방어 체계를 구축해야 합니다. 또한, 엔지니어부터 임원까지 모든 직원이 회사 보호에 있어 자신의 역할을 이해하도록 사이버 보안에 대한 이해도를 높이는 문화를 조성하는 것도 중요합니다. 오늘날의 환경에서 보안은 단순한 기술적 기능이 아니라 개인과 조직 전체가 공유해야 할 책임입니다.
