1년 손실 3억 달러, Coinbase 사용자 빈번히 정밀 사기 피해, 그 뒤에 "내부자"가 정보 유출?
이 해커들은 도대체 어떻게 정확하게 목표를 설정할 수 있는 걸까요? 그들은 왜 사용자 신원 정보, 계좌 상태, 심지어 거래 기록까지 얻을 수 있는 걸까요? 이 보안 위기는 아마도 우리가 생각하는 것보다 더 심각할지도 모릅니다.저자:Fairy,ChainCatcher
편집:TB,ChainCatcher
"안녕하세요, 여기 Coinbase 보안 팀입니다. 귀하의 계정에서 비정상적인 로그인 시도가 감지되었습니다……"
전화 너머의 목소리는 전문적이고 긴박하며, 심지어 귀하의 이름, 등록된 이메일 및 최근 거래 기록을 정확히 말할 수 있습니다. 귀하는 즉시 전화를 끊을 것인가, 아니면 "고객 서비스"의 안내에 따라 단계별로 자금을 이른바 "안전한 지갑"으로 옮길 것인가요?
최근 여러 Coinbase 사용자가 연이어 사기를 당해 막대한 손실을 입었습니다. 3월 한 달 동안 도난당한 자금은 이미 4,600만 달러를 초과했으며, 매년 Coinbase 사용자가 소셜 엔지니어링 사기로 인한 손실은 3억 달러에 달합니다.
하지만 이 해커들은 도대체 어떻게 정확하게 목표를 설정할 수 있었을까요? 그들은 왜 사용자 개인 정보를 얻을 수 있었을까요? 이 보안 위기는 아마도 우리가 생각하는 것보다 더 심각할 수 있습니다.
사기 만연 , 피싱 공격 산업화
3월 28일, 블록체인 탐정 ZachXBT는 지난 2주 동안 여러 Coinbase 사용자가 사기를 당한 사건이 발생하여 3월 도난당한 자금 총액이 4,600만 달러를 초과했다고 밝혔습니다.
사실 이러한 사기는 이미 징후가 있었습니다. 2월 초, ZachXBT는 2024년 12월부터 2025년 1월 사이에 Coinbase 사용자가 유사한 방식으로 6,500만 달러를 잃었다고 폭로했으며, 이 숫자는 Coinbase가 매년 3억 달러 이상의 소셜 엔지니어링 사기 위기에 직면하고 있음을 보여줍니다.
ZachXBT의 분석에 따르면, 사기 수법은 이미 성숙한 산업 체계를 형성하고 있습니다:
- 사기꾼이 Coinbase 공식으로 가장함
사기꾼은 위조된 전화번호로 피해자에게 전화를 걸고, 사용자 개인 정보를 이용해 신뢰를 얻습니다. 그들은 사용자 계정에 무단 로그인 시도가 있다고 주장하며, 피해자가 보안 검증에 협조하도록 유도합니다.
- 피싱 이메일 발송
사기꾼은 위조된 Coinbase 이메일을 보내며, 가짜 사례 번호(Case ID)를 포함합니다.
- 사용자에게 송금 유도
사기꾼은 피해자에게 자금을 Coinbase Wallet로 이체하고, 사기 주소를 화이트리스트에 추가하라고 요구하며, 이것이 계정 보안 검증 방법이라고 주장합니다.
- Coinbase 웹사이트 복제
사기꾼은 거의 1:1로 복제된 Coinbase 피싱 웹사이트를 만들고, 위조 이메일과 텔레그램 사기 패널을 통해 피해자에게 다양한 조작 지침을 보냅니다.
이 외에도, Cointelegraph의 보도에 따르면 최근 여러 암호화폐 사용자가 Coinbase와 Gemini를 사칭한 사기 이메일을 받았습니다. 이러한 이메일은 일반적으로 규제 요구 사항으로 인해 사용자가 자가 관리 지갑으로 전환해야 하며, 4월 1일을 최종 기한으로 설정하여 긴박감을 조성한다고 주장합니다.
이메일에는 Coinbase Wallet 또는 Gemini Wallet 다운로드 링크가 제공되며, 미리 생성된 복구 문구가 첨부되어 있습니다. 사용자가 이러한 문구를 사용해 새 지갑을 만들고 자산을 이전하면, 자금은 사기꾼에 의해 즉시 청산됩니다.
내부 데이터 접근 문제 드러나다
소셜 엔지니어링 사기의 핵심은 정확한 정보 획득에 있으며, Coinbase 사용자 사기 사건에서 공격자는 피해자의 개인 정보, 즉 전화번호, 이메일 주소, 거래 기록 등을 파악한 것으로 보입니다. 이는 중요한 질문을 제기합니다: 이러한 데이터는 도대체 어떻게 사기꾼의 손에 들어갔을까요?
어제, The Block의 공동 창립자 Mike Dudas는 X 플랫폼에서 Coinbase로부터 이메일을 받았다고 밝혔습니다. 이 이메일의 내용은 불안감을 주며, 내부 데이터 접근 문제를 지적합니다. 이메일에는 다음과 같이 적혀 있습니다:
"우리는 귀하에게 알리기 위해 이 글을 씁니다. 내부 정책에 부합하지 않는 방식으로 한 Coinbase 직원이 소수의 Coinbase 고객 계정 기록을 조회했을 가능성이 있는 징후를 감지했습니다. 여기에는 귀하의 계정도 포함됩니다."
이메일에서는 "귀하의 자산은 여전히 안전하며, 귀하의 Coinbase 계정은 손상되지 않았습니다."라고 언급하며, 현재 외부로 데이터가 유출되었다는 증거는 없다고 강조했지만, 이 이메일은 사용자에게 명확한 경고를 보냅니다: 내부 데이터 접근 문제는 확인되었으며, 단독 사건이 아닙니다.
Dudas는 이것이 가짜 C oinbase에서 발송된 피싱 이메일과 전화의 설명이 될 수 있다고 말했습니다.
그러나 데이터 유출의 범위는 의문이며, 더 광범위한 사용자와 관련이 있을 수 있습니다. 커뮤니티 사용자 @ghaiankur는 "저는 Coinbase에 자금이 없고, 사용한 적도 없습니다. 하지만 계정이 있기 때문에 이러한 이메일을 받았습니다. 이는 몇 개의 목표 계정만을 겨냥한 것이 아니라, 전체 데이터베이스일 수 있습니다."라고 말했습니다.
데이터 유출이 산업의 위험 요소로 부상
Coinbase뿐만 아니라 다른 거래소들도 유사한 내부 보안 위험에 직면해 있는 것으로 보입니다.
Dudas가 이메일을 공유한 후, 암호화 거래자 Jordan Fish(@Cobie)는 암호화 거래소 Kraken도 최근 유사한 공격을 당했다고 폭로했습니다. 그는 "이것은 공격자의 전략일 수 있습니다------고객 서비스 팀에 침투하여 내부에서 사용자 데이터를 훔치는 것입니다."라고 추측했습니다.
한편, 3월 27일, 다크 웹 뉴스 사이트 Dark Web Informer는 AKM69라는 코드명을 가진 해커가 암호화 거래소 Gemini의 많은 사용자 개인 정보를 확보했다고 주장했습니다. 이 데이터베이스에는 100,000개의 기록이 포함되어 있으며, 미국 사용자의 전체 이름, 이메일, 전화번호 및 위치 정보가 포함되어 있으며, 심지어 일부 싱가포르 및 영국 사용자의 데이터도 포함되어 있습니다.
사용자를 보호하는 방법을 배우거나, 아니면 사용자가 떠나게 하십시오.
Solana 공동 창립자 toly는 이 사건에 대한 댓글에서 거래소는 사용자가 자산을 신속하게 도난당하는 위험을 줄이기 위해 사용자 제어 가능한 송금 시간 잠금(time lock)을 구현해야 한다고 말했습니다. 그러나 이번 사건의 본질은 단순히 그 이상이며, 거래소 내부의 리스크 관리 실패와 사기 행위의 고도 산업화를 드러냅니다.
거래소의 보안은 더 이상 단순한 기술 방어 문제만이 아니라, 관리와 신뢰의 문제입니다. 점점 복잡해지는 공격 수단 속에서, 어떻게 더 완벽한 리스크 관리 시스템을 구축할 것인가는 미래 산업의 안전 기준을 결정할 것입니다.
