코인베이스, 해커가 직원 매수해 고객 데이터 탈취 후 2,000만 달러 몸값 요구

 (cnbc.com)
1P by GN⁺ 7일전 | ★ favorite | 댓글 1개
  • 코인베이스가 해커 집단에 의해 직원 매수 및 고객 데이터 유출 피해 발생
  • 해커들은 고객 정보를 탈취한 뒤, 2,000만 달러 몸값을 요구함
  • 내부 직원이 해커와 협력하는 유례없는 보안 위협이 확인됨
  • 이 사건은 거래소 및 핀테크 업계에서 내부자 위험 관리의 중요성 재조명 계기임
  • 피해 확산을 막기 위한 긴급 대응과 고객 보호 조치가 이루어지는 중임
GN⁺ 7일전  [-]
Hacker News 의견

  • 나는 최근에 정교한 스피어 피싱 전화를 계속 받고 있음. 이들은 내가 의심스러운 거래를 확인해야 한다고 주장하는 전형적인 수법을 사용함. 미국식 영어에 능통하고 매우 친근한 목소리, 그리고 내 계좌 잔액까지 아는 모습임. 첫 전화 때 바로 사기임을 알아차렸고, Google의 콜 스크리닝 기능 덕분에 이후엔 안전함. 이런 전화를 Kitboga에게 넘기고 싶은 마음임. 처음엔 Coinbase 고객 대상으로 사기 시도하다가, 결국 Coinbase 자체에 협박을 시도함

    • Coinbase에 자산이 꽤 있었던 적이 있다면, 스피어 피싱은 걱정거리 중에 가장 작은 부분임. Coinbase가 이름과 주소만이 아니라 잔액, 거래 내역, 신분증 이미지까지 유출함. 많은 사람이 실제 거리나 집에서 공격받거나 가족이 납치 당하기까지 함. 1만 달러 이하도 '상당한' 자산으로 간주함. 지금까지 최고의 방어는 비밀 유지였지만, Coinbase 덕분에 이제 그마저 사라짐. 나쁜 사람들은 Coinbase에서 한 번이라도 큰 금액을 보유했거나 현금화했고, 가족 정보를 쉽게 찾거나 협박 대상으로 삼을 수 있음. Coinbase가 이로 인한 피해 전부를 보상해야 할 의무가 있어도, 그렇게 하면 회사가 파산할 수준임

    • Pixel에서 iPhone으로 바꿨는데, 스팸 전화가 너무 많아서 당황스럽다는 생각임. iPhone에서는 이걸 어떻게 대처하는지 궁금함

    • 스피어 피싱 전화가 늘어난 지 얼마나 됐는지 궁금함. 나는 Coinbase가 해킹 공격이 시스템적 문제라고 주장하는 걸 믿지 않음

    • Coinbase 로그인 인증 코드 문자를 아무 시도 없이 계속 받고 있음. Microsoft 계정도 마찬가지임. 누군가 내 이메일이 로그인에 쓰일 수 있는지 테스트 중인 것으로 추정함

    • 발신 번호가 어디인지 궁금함. 나는 많은 피싱 전화를 받았지만, 모르는 번호는 절대 받지 않음. Google 콜 스크린 덕분에 그들은 매번 끊음. 그래서 사기임을 확신함

    • AI 덕분에 사기는 더욱 정교해짐. 철자 실수도 많이 사라짐. 최근에 피싱 이메일을 흥미 삼아 살펴봤더니, 이상한 유니코드 문자가 잘못 번역된 부분을 발견함. 완벽하지는 않지만 점점 교묘해지는 모습임

    • 지난주에만 세네 번 받았다는 경험임

    • 그 완벽한 억양이 혹시 머신러닝 덕분인지 궁금함

    • 그들이 완벽한 영어를 구사하고 계좌 잔고까지 안다는 사실에 대해 Coinbase 전 직원이 아닐지 상상해보게 됨

    • 이런 일이 절대 멈추지 않을 것이고, 이제 범죄적 요소가 합법적 자본주의가 됐다는 씁쓸함을 느낌

  • 유출된 데이터가 계정 복구에 쓰이는 정보와 동일해 보이는 점을 문제로 지적함. 즉, 직접 실수하거나 혹은 Coinbase 측의 문제로 계정에 접근 불가해지면 복구 과정이 더 이상 간단하지 않아짐. 해커가 유출된 정보로 계정 복구 시도 가능성도 있음. 해결책은 현실에 계정 복구를 지원하는 오프라인 지점(IRL office)이 필요함을 주장함. 현장이라면 범죄자를 검거하고 기소할 수 있음. 해외 범죄자에게 큰 장벽이 됨. 가장 확실한 해결책은 Yubikey 같은 하드웨어 2단계 인증임

    • 암호화폐 업계가 전통 금융 시스템이 왜 존재하는지의 이유를 다시 한 번 빠르게 깨달아가고 있음. 말하는 IRL 오피스는 많은 암호화폐 지지자들이 '은행'이라고 부르는 개념임

    • 본인 지갑에서 직접 입출금 기록이 있다면, Coinbase에 주소 등록된 것으로 그 키로 서명한 메시지를 보내는 방식도 신뢰할 수 있는 복구 수단임. 암호화폐의 본질은 PKI의 다른 형태임

    • 오프라인 지점이 생기면, 사용자 잘못이 아니라도(예: 시스템이 과민하게 위험을 탐지해) 계정 접근이 막히는 상황에서 멀리 다른 도시까지 가야 한다는 현실이 생김. 그렇게 되면 락아웃된 사람들이 크게 불만일 것임

    • Yubikey를 쓸 정도로 충분히 기술에 밝은 사람이라면 아예 하드웨어 월렛을 사서 직접 보관할 것이라고 생각함

    • Coinbase에 오프라인 지점이 필요하다면, 그건 그냥 은행이라는 뜻임

    • 하드웨어 2단계 인증(Yubikey)이 유일한 해결책이라 해도, 잃어버리면 다시 계정 복구 단계로 돌아감

    • Coinbase에 오프라인 지점이 필요하다는 말은 풍자냐는 반문임

  • 나는 Coinbase 고객지원에 이번 해킹 영향 여부를 문의함. AI 챗봇 거치고 실제 상담원 연결되니, 이들은 해킹 사실 자체를 모르고 있었음. 내가 처음 알린 셈임

    • 영향받은 계정에는 이메일 발송됨. 나는 영향받은 사용자였음

    • 첫번째 고객이 단순히 게으른 상담원을 만났던 것일 수도 있음

    • 담당 상담원이 "몰랐다, 당신이 이 얘길 처음 해준다"라는 매뉴얼 대사만 읽어줬다는 경험임

  • Coinbase가 해외의 '불량 지원 직원'과 자신들의 거리를 두려는 노력이 엿보임. 만약 그들이 실제로 Coinbase 직원이나 계약자였다면, 회사가 사실상 직접 해커에게 데이터를 팔아넘긴 셈임. 사기로 손해 본 고객에게 보상하는 건 상식적임. 하지만 실제로 이사하거나 은행, 이메일을 바꿔야 했거나, 심지어 보안 요원을 고용해야 했다면 이런 비용까지도 회사에 청구할 수 있을지 궁금함

    • 직원이 회사 방침을 어기거나 불법적으로 기밀 데이터를 빼돌려 해커에게 넘겼다면, "우리 회사가 데이터를 판 것"이라고 말하긴 무리라는 의견임

  • Coinbase 공식 블로그에 언급된 내용을 공유함: 공격에 속아 자금을 이체한 고객에겐 보상 진행, 정보가 노출된 고객에겐 이미 5월 15일 7:20(미 동부 기준) 이메일 발송함

    • 노리플라이 이메일 선택이 인상적임. Coinbase가 중앙화와 고객센터가 큰 장점이지만, 이 점이 사회공학 공격을 가능하게 한다는 점을 보여줌

    • Coinbase Prime 계정은 유출 범위에 포함되지 않았다는 점이 궁금함. Prime 계정에 특별한 보호가 있는지, 아니면 그런 계정에는 사기꾼들이 덜 관심을 가졌던 건지 궁금함

  • 정부의 KYC(고객신원확인) 법 때문에, 본인인증에 필요한 것보다 훨씬 많은 민감 정보를 Coinbase가 반드시 저장해야 하는 상황임. 신분증 사진까지 절도당한 건 정부 탓이며, 이 정보로 무엇을 할지 모를 범죄자와 내부 직원까지 문제임

    • KYC는 그 자체로 충분한 이유가 있음. 문제는 정부 규제가 아니라 고객 데이터 관리를 허술하게 하는 민간 기업임. 관리가 허술할수록 비용이 적게 들고 자기 정보가 아니니까 보호 동기가 부족함. 강제성이 없으면 지키지 않을 것임

    • KYC 때문에 민감 정보를 계속 가지고 있어야 한다는 건 핑계임. 왜 모든 상담원이 영구적으로 신분증 문서에 접근할 수 있는지 솔직해질 필요가 있음

  • Coinbase의 대응이 꽤 괜찮다는 생각임: 2천만 달러의 몸값 요구는 절대 내지 않고, 그 대신 범인을 검거하는 정보에 2천만 달러의 보상금 기금 마련임

    • 1996년 영화 'Ransom'에서 썼던 같은 수법이라는 지적임

    • 고객 입장에선 데이터 유출을 제한하기 위해 몸값을 내는 것이 더 중요한데, 보상금을 따로 마련하는 것까지는 좋지만 당장 데이터 보호가 더 급하다는 의견임

    • 이런 대응 방식이 마음에 듦. 이런 때일수록 회사가 딱딱한 문구 대신 “해커 XX들아, 엿 먹어라!” 같은 강렬한 메시지를 주면 많은 사람들이 호응할 거라고 생각함

  • '불량 해외 지원 직원'을 모집했다고만 표현함. 어떤 나라였고 처음에 왜 그들을 고용했는지 설명하지 않음. 이미 수십억 달러 매출의 회사가 제대로 된 인력 채용과 검증조차 못했다는 게 의아함

  • "2천만 달러 보상금 기금" 제도 도입에 대해, 평소에 암호화폐 업계를 주로 비판하지만 이번만큼은 칭찬함. 정말로 보상금을 지급하길 바람

    • 그 보상금을 암호화폐로 지급할 수도 있다는 농담

  • 데자뷰 느낌임. 만약 해커가 돈을 요구할 때에서야 뭔가 이상함을 알아챘다면 Coinbase는 직원 접근 로그도 남기지 않은 게 아닌지 의심됨. 내부적으로 최소한의 책임 추적 방법이 있는지 궁금함. 간단히 접근 추적 시스템을 만들고 이상 징후나 악의적 직원을 즉시 차단하면 좋을 텐데. 이 사태 후 고위직 퇴직 보상이 어떤 모습일지 지켜보고 싶음

    • 공식 블로그를 보면 고객지원 직원들이 이미 접근 권한이 있는 민감 데이터를 공격자에게 돈 받고 넘긴 것임. 해커가 직접 계정에 접근한 건 아님

    • 나는 미국 외 지역 직원을 채용하게 되면서 내부 관리자 패널에 여러 단계의 보안 장치를 추가해야 했던 경험이 있음(로그 기록, 모니터링, 관리자 승인 등). 신용카드 업계는 PCI-DSS 기준 덕분에 데이터 보호 기준이 엄청 엄격함. 암호화폐 업계는 이런 규정 미비로 인해 보안 의식이 상대적으로 낮은 듯함

    • 최소한의 대응으로 로그 기록 및 사후 감사가 필요함. 고객센터 직원들에게 고객이 쉽게 알 수 없는 확인 정보를 요구하는 것도 무리가 아님. 고객이 직접 락아웃된 경우엔 극소수만 더 엄격히 관리되는 직원이 처리하면 됨. 월 사용자 중 1% 미만만 접근됐다는 통계도 충분히 큰 수치라고 생각함

답변달기