Coinbase가 침해 사실을 알기 전 수개월 동안 공격이 진행된 정황 기록 공개

 (jonathanclark.com)
1P by GN⁺ 18일전 | ★ favorite | 댓글 1개
  • 2025년 1월, 공격자가 사회보장번호와 비트코인 잔액 등 세부 개인정보를 알고 있었다는 사실이 드러난 사례 발생
  • 피해자는 즉시 Coinbase 보안팀에 상세 기술 보고서를 제출했으나, 이후 4개월간 핵심 질문에 대한 답변이 없었음
  • Coinbase는 5월에야 해외 하청업체(TaskUs) 직원의 내부 데이터 유출을 인정하고, 약 1% 고객·최대 4억 달러 피해를 발표
  • 이메일 헤더 분석 결과 Amazon SES를 통한 위조 발송, Google Voice 번호 사용, SMS 폭탄 공격 등 다단계 공격 구조 확인
  • 보고 시점과 공개 시점의 4개월 공백이 보안 감시 실패와 대응 부재를 드러내며, 중앙화 거래소 신뢰 문제를 부각

사건 개요

  • 2025년 1월 7일, 피해자는 “2.93 ETH 출금 요청” 제목의 이메일을 받고 Coinbase 사칭 전화를 받음
    • 발신자는 사회보장번호, 비트코인 잔액, 운전면허 정보 등 비공개 데이터를 알고 있었음
    • 피해자는 이를 Coinbase 보안팀에 즉시 보고하고, 이메일 헤더·음성 녹음·공격자 정보를 포함한 상세 분석 자료를 제출
  • Coinbase의 Trust & Safety 책임자 Brett Farmer가 “매우 견고한 보고”라 답했으나, 이후 모든 후속 문의에 응답하지 않음

Coinbase의 공식 발표와 불일치

  • Coinbase는 2025년 5월 11일에야 침해 사실을 인지했다고 발표, 5월 15일 공개
    • 공격자는 인도 TaskUs 직원들을 매수해 고객 데이터를 탈취
    • 유출 항목: 이름, 주소, 전화번호, 이메일, 사회보장번호 끝 4자리, 정부 신분증 이미지, 계좌 잔액, 거래 내역
    • 피해 규모는 1% 미만 고객, 1억8천만~4억 달러 손실로 추정
  • 그러나 피해자는 1월에 이미 공격자가 내부 데이터에 접근한 증거를 제시했으며, Coinbase는 이를 무시

공격 세부 구조

  • 이메일 위조:
    • 발신 주소는 commerce@coinbase.com이었으나, 실제 송신 서버는 Amazon SES(a32-86.smtp-out.amazonses.com)
    • DKIM 서명이 coinbase.com과 amazonses.com 모두 통과되어 신뢰성을 가장
    • Return-Path가 amazonses.com으로 설정되어 위조 가능성 존재
  • 전화 사기:
    • 발신 번호 1-805-885-0141Google Voice 번호로 확인
    • 공격자는 피해자에게 “콜드월렛으로 자산 이동”을 유도
  • SMS 폭탄 공격:
    • 통화 직후 수백 건의 스팸 문자 수신
    • 이는 2단계 인증(2FA) 코드와 보안 알림을 묻기 위한 노이즈 생성 기법으로 분석

Coinbase의 문제점

  • 보안 민감 업무의 외주화: 해외 계약직이 고객 신원정보와 계좌 데이터에 접근 가능
  • 침해 탐지 실패: 1월부터 공격이 진행됐음에도 5월까지 내부 감시 시스템이 탐지하지 못함
  • 사용자 보고 무시: 피해자의 기술적 보고와 질문에 4개월간 답변 없음
  • 공개 지연: 공격이 수개월 전부터 진행됐음에도 공식 인지는 몸값 요구 이후에야 이루어짐

사용자를 위한 보안 조언

  • 전화번호·발신자 ID 신뢰 금지, 반드시 공식 사이트의 번호로 재확인
  • 공격자가 개인정보를 알고 있어도 신뢰하지 말 것, 양방향 인증 필요
  • 이메일 헤더 분석으로 송신 서버·SPF·DKIM 결과 확인
  • 콜백 번호 검증, 앱 내 인증 절차를 통한 신원 확인
  • 압박성 자금 이동 요청 거부, SMS 대신 앱 기반 2FA 사용
  • 공격 사례는 즉시 전체 기술 정보와 함께 신고

4개월 공백의 의미

  • 피해자는 1월에 침해 증거와 녹음 자료를 제출했으나 Coinbase는 5월까지 대응하지 않음
  • 이 기간 동안 다른 고객들도 동일한 공격에 노출되었을 가능성 존재
  • Coinbase의 침묵은 보안 경보 체계와 고객 대응 절차의 구조적 결함을 드러냄
  • 사건은 중앙화 거래소의 신뢰와 책임 문제를 상징하며, 피해자는 “그 침묵이 120일간 이어졌다”고 결론

Coinbase에 남은 핵심 질문

  • 실제 데이터 유출 시점은 언제인가
  • 1~5월 사이 피해자 수와 보고 처리 내역은 무엇인가
  • 내부 접근 통제 실패 원인규제 대응 여부는 어떻게 되는가
  • Coinbase가 주장하는 보안 개선 조치의 실효성은 검증 가능한가
GN⁺ 18일전  [-]
Hacker News 의견

  • 6월 2일자 로이터 보도에 따르면, Coinbase는 1월부터 외주업체를 통한 고객 데이터 유출 사실을 알고 있었음이 드러남
    5월 14일 SEC 공시에 따르면, 5월 11일 Coinbase는 알 수 없는 공격자로부터 고객 계정 정보와 내부 문서(고객 서비스 및 계정 관리 시스템 관련 자료 포함)를 확보했다는 이메일을 받았음

    • 1월 7일에 내가 Coinbase에 이 문제를 보고했음. 타이밍이 정확히 맞아떨어짐. 통화했던 직원의 자신감 있는 태도를 보면 내가 첫 제보자는 아니었던 것 같음
    • “외주업체”라는 단어가 앞으로 이런 사건 기사들의 공통 소제목이 될 것 같음

  • 예전에 Coinbase가 입주한 공유오피스의 네트워크 작업을 맡았는데, 관리자 비밀번호가 화이트보드에 적혀 있고 복도에서도 보이는 상태였음
    이메일로 지적하고 비용 청구까지 했는데, 그들의 해결책은 비밀번호 위에 종이를 덮는 것이었음. 참 어이없는 시절이었음

    • 요청받지 않은 서비스에 대해 청구서를 보내는 행동은 이메일을 아무도 진지하게 안 보게 만드는 방법임
    • 이런 일은 전혀 놀랍지 않음. 비트코인과 핀테크 업계 전체가 너무 무모함

  • 한 달 전쯤 영국에서 Coinbase라고 주장하는 사람에게 전화를 받았음
    내 계정에 £5 정도의 Bitcoin Cash밖에 없다고 하자 바로 흥미를 잃고 이메일로 처리하겠다고 함
    “콜드 스토리지 있냐”길래 냉장고 있다고 답했음. 사실이었음

    • 하하, 다음에 스팸 전화 오면 나도 이 농담 써먹을 것임

  • 기사 제목이 너무 낚시성(clickbait)
    실제로는 피싱 공격자가 정보를 캐내려 한 녹음일 뿐이며, Coinbase가 유출 사실을 알고 있었다는 증거는 아님
    제보자가 Coinbase에 자료를 넘겼다고 해서 그들이 이미 breach를 인지했다고 볼 수 없음

    • 내가 통화 녹음과 이메일을 Coinbase에 보냈고, 그쪽에서 “이 보고는 매우 탄탄하며 조사할 가치가 크다. 지금 사기꾼을 조사 중이다”라고 답변받았음
    • 기사를 제대로 읽지 않은 것 같음. 필요한 내용은 기사 안에 다 있음

  • 흥미로운 이야기지만, 글을 AI로 작성했다는 점이 너무 거슬림. 읽기가 불편했음

    • 어떻게 확신하냐고 묻고 싶음. LLM이 인간의 말투를 모방하지만, 결국 그 말투도 누군가의 스타일에서 비롯된 것임.
      지금의 LLM 언어 패턴은 누군가의 글쓰기 습관을 복제한 결과물일 가능성이 높음
    • AI로 썼는지는 모르겠지만, 같은 말을 계속 반복함. 길이를 1/3로 줄여도 내용은 같았을 것임
    • 나도 AI 특유의 “LinkedIn식 어조” 가 거슬렸음. 문장 구조는 나아졌지만 여전히 과장된 드라마 연출, 불필요한 목록, “The Call That Changed Everything” 같은 인위적 제목이 많음
      특히 “The Timeline That Doesn’t Make Sense” 같은 표현은 실제 내용과 맞지 않음.
      대기업이 복잡한 조사 중이라면 발표까지 시간이 걸리는 건 당연한데, AI는 맥락을 고려하지 않고 “이상하다”고 단정함.
      이런 맥락 없는 판단이 AI 글의 가장 큰 문제로 보임
    • 그런 주장을 하려면 근거 자료가 필요함

  • 이건 증거로 보기 어려움
    작성자는 피싱 전화를 받았고 Coinbase에 신고했을 뿐임. Coinbase는 이런 피싱 제보를 매일 수백 건 받음
    공격자가 알고 있던 정보는 다른 데이터 유출에서 얻었을 수도 있음. 고객이 실수로 계정 정보를 노출했을 가능성도 큼

    • 처음엔 블록체인 거래 내역을 내 이름과 연결해 추적한 줄 알았음.
      하지만 공격자가 내 ETH와 BTC 잔액, 계정 개설일까지 알고 있었음.
      개설일은 추적 가능하겠지만, 두 코인의 잔액을 동시에 아는 건 Coinbase 내부 정보가 아니면 불가능해 보임

  • 타임라인은 흥미롭지만, 이 한 건으로 Coinbase가 유출 사실을 인지했다고 보기엔 부족함
    스크린스크래핑 악성코드는 흔하고, 분석가 입장에서는 고객 쪽 감염으로 판단하는 게 자연스러움
    실제로 고객이 해킹당하고 회사를 탓하는 경우가 많음

    • 하지만 나는 통화 녹음과 이메일 헤더까지 보내자 Coinbase 신뢰·안전 책임자가 직접 “이 보고는 매우 탄탄하다. 지금 스캐머를 조사 중이다”라고 답변했음

  • 나도 비슷한 시기에 Coinbase 해킹 징후를 감지했음
    Discord API 키까지 유출되어 4~5월쯤에야 리셋되었음.
    이건 중앙 비밀 관리 시스템(secrets manager) 까지 뚫렸다는 의미로 보임

  • 우리 조직도 Coinbase를 사용 중인데, 2025년 2월 초에 공격 시도를 받았음
    다행히 계정 담당자가 의심이 많아 상대 조직의 공식 연락처로 직접 확인해 피해를 막았음

답변달기