Coinbase가 침해 사실을 알기 전 수개월 동안 공격이 진행된 정황 기록 공개

• 2025년 1월, 공격자가 사회보장번호와 비트코인 잔액 등 세부 개인정보를 알고 있었다는 사실이 드러난 사례 발생
• 피해자는 즉시 Coinbase 보안팀에 상세 기술 보고서를 제출했으나, 이후 4개월간 핵심 질문에 대한 답변이 없었음
• Coinbase는 5월에야 해외 하청업체(TaskUs) 직원의 내부 데이터 유출을 인정하고, 약 1% 고객·최대 4억 달러 피해를 발표
• 이메일 헤더 분석 결과 Amazon SES를 통한 위조 발송, Google Voice 번호 사용, SMS 폭탄 공격 등 다단계 공격 구조 확인
• 보고 시점과 공개 시점의 4개월 공백이 보안 감시 실패와 대응 부재를 드러내며, 중앙화 거래소 신뢰 문제를 부각

사건 개요

• 2025년 1월 7일, 피해자는 “2.93 ETH 출금 요청” 제목의 이메일을 받고 Coinbase 사칭 전화를 받음
  • 발신자는 사회보장번호, 비트코인 잔액, 운전면허 정보 등 비공개 데이터를 알고 있었음
  • 피해자는 이를 Coinbase 보안팀에 즉시 보고하고, 이메일 헤더·음성 녹음·공격자 정보를 포함한 상세 분석 자료를 제출
• Coinbase의 Trust & Safety 책임자 Brett Farmer가 “매우 견고한 보고”라 답했으나, 이후 모든 후속 문의에 응답하지 않음

Coinbase의 공식 발표와 불일치

• Coinbase는 2025년 5월 11일에야 침해 사실을 인지했다고 발표, 5월 15일 공개
  • 공격자는 인도 TaskUs 직원들을 매수해 고객 데이터를 탈취
  • 유출 항목: 이름, 주소, 전화번호, 이메일, 사회보장번호 끝 4자리, 정부 신분증 이미지, 계좌 잔액, 거래 내역
  • 피해 규모는 1% 미만 고객, 1억8천만~4억 달러 손실로 추정
• 그러나 피해자는 1월에 이미 공격자가 내부 데이터에 접근한 증거를 제시했으며, Coinbase는 이를 무시

공격 세부 구조

• 이메일 위조:
  • 발신 주소는 commerce@coinbase.com이었으나, 실제 송신 서버는 Amazon SES(a32-86.smtp-out.amazonses.com)
  • DKIM 서명이 coinbase.com과 amazonses.com 모두 통과되어 신뢰성을 가장
  • Return-Path가 amazonses.com으로 설정되어 위조 가능성 존재
• 전화 사기:
  • 발신 번호 1-805-885-0141은 Google Voice 번호로 확인
  • 공격자는 피해자에게 “콜드월렛으로 자산 이동”을 유도
• SMS 폭탄 공격:
  • 통화 직후 수백 건의 스팸 문자 수신
  • 이는 2단계 인증(2FA) 코드와 보안 알림을 묻기 위한 노이즈 생성 기법으로 분석

Coinbase의 문제점

• 보안 민감 업무의 외주화: 해외 계약직이 고객 신원정보와 계좌 데이터에 접근 가능
• 침해 탐지 실패: 1월부터 공격이 진행됐음에도 5월까지 내부 감시 시스템이 탐지하지 못함
• 사용자 보고 무시: 피해자의 기술적 보고와 질문에 4개월간 답변 없음
• 공개 지연: 공격이 수개월 전부터 진행됐음에도 공식 인지는 몸값 요구 이후에야 이루어짐

사용자를 위한 보안 조언

• 전화번호·발신자 ID 신뢰 금지, 반드시 공식 사이트의 번호로 재확인
• 공격자가 개인정보를 알고 있어도 신뢰하지 말 것, 양방향 인증 필요
• 이메일 헤더 분석으로 송신 서버·SPF·DKIM 결과 확인
• 콜백 번호 검증, 앱 내 인증 절차를 통한 신원 확인
• 압박성 자금 이동 요청 거부, SMS 대신 앱 기반 2FA 사용
• 공격 사례는 즉시 전체 기술 정보와 함께 신고

4개월 공백의 의미

• 피해자는 1월에 침해 증거와 녹음 자료를 제출했으나 Coinbase는 5월까지 대응하지 않음
• 이 기간 동안 다른 고객들도 동일한 공격에 노출되었을 가능성 존재
• Coinbase의 침묵은 보안 경보 체계와 고객 대응 절차의 구조적 결함을 드러냄
• 사건은 중앙화 거래소의 신뢰와 책임 문제를 상징하며, 피해자는 “그 침묵이 120일간 이어졌다”고 결론

Coinbase에 남은 핵심 질문

• 실제 데이터 유출 시점은 언제인가
• 1~5월 사이 피해자 수와 보고 처리 내역은 무엇인가
• 내부 접근 통제 실패 원인과 규제 대응 여부는 어떻게 되는가
• Coinbase가 주장하는 보안 개선 조치의 실효성은 검증 가능한가