코인베이스, Au10tix 데이터 유출에 대한 모르는 입장 표명

김민준 기자

2024.06.28 (금) 19:10

코인베이스, Au10tix 데이터 유출에 대한 모르는 입장 표명 / 셔터스톡

6월 27일, 암호화폐 거래소 코인베이스(Coinbase)는 Au10tix 준수 플랫폼과 관련된 고객 데이터 유출에 대해 알지 못한다고 부인했다. 이는 6월 26일 Au10tix 직원 자격증명이 텔레그램에 유출되었다는 보고서에 따른 것이다. Au10tix 웹사이트는 코인베이스 로고를 보여주며, 코인베이스가 Au10tix의 고객 중 하나임을 암시하고 있다.

27일(현지시간) 코인텔레그래프에 따르면, 코인베이스 대변인은 코인텔레그래프(Cointelegraph)에 "현재 코인베이스 데이터 유출에 대해 알지 못하며 상황을 계속 모니터링할 것"이라고 말했다.

Au10tix는 파이버(Fiverr), 틱톡(TikTok), 우버(Uber), X, 코인베이스(Coinbase) 등 여러 플랫폼에서 사용하는 신원 확인 플랫폼이다. 이 플랫폼은 사용자의 사진 신분증과 기타 식별 정보를 저장한다.

Au10tix 대변인은 한 직원의 자격증명이 유출되었으며 "개인 식별 정보(PII) 데이터가 잠재적으로 접근 가능했다"고 밝혔다. 그러나 "현재까지의 조사 결과, 데이터가 어떤 식으로든 악용된 증거는 없다"고 덧붙였다.

6월 26일, 404 미디어는 이 준수 플랫폼이 "관리자 자격증명을 1년 이상 온라인에 노출시켜 해커들이 민감한 데이터에 접근할 수 있게 했다"고 보도했다.

이 자격증명은 사이버 보안 회사 스파이더실크(SpiderSilk)에 의해 텔레그램에서 발견되었다. 자격증명은 Au10tix 직원의 컴퓨터에 악성 소프트웨어를 감염시킨 공격자에 의해 얻어졌을 가능성이 있다.

스파이더실크의 보안 연구원은 이 자격증명을 사용해 최소 한 고객의 데이터를 접근할 수 있었으며, 이를 통해 데이터가 유출된 자격증명을 가진 누구나 접근할 수 있음을 입증했다. 이 데이터에는 "사람의 이름, 생년월일, 국적, 신분증 번호 및 업로드된 문서 유형(예: 운전면허증)"이 포함되었다. 데이터 내 링크는 "미국 운전면허증" 실제 이미지로 연결되었다고 보고서는 밝혔다.

Au10tix 대변인은 코인텔레그래프에 자격증명이 이제 "완전히 제거되었으며" 고객 데이터는 더 이상 이를 통해 접근할 수 없다고 말했다. 또한 "상세한 보안 검토 후, 악의적인 활동이나 시스템에서의 데이터 유출은 없었다"고 주장했다.

Au10tix는 향후 이러한 사고가 발생하지 않도록 추가 조치를 취했다고 밝혔다. 대변인은 다음과 같이 말했다. "관련 운영 시스템을 분리하고 더 안전한 시스템으로 교체했습니다. 보안 절차를 검토하고 모든 IT 자산의 보안 통제를 강화했습니다. 향후 활동을 지속적으로 모니터링하기 위해 전담 팀을 배정했습니다."

Au10tix는 "최고 산업 표준, 시장 요구 및 최신 모범 사례를 준수하고 계속 준수할 것"이라고 주장했다.

코인베이스는 Au10tix를 사용해 고객 데이터를 저장하는지 여부를 확인하거나 부인하지 않았다. 그러나 이번 사건에서 고객 데이터 유출에 대해 알지 못한다고 밝혔다.

대부분의 관할 구역은 중앙집중형 암호화폐 거래소가 고객의 운전면허증이나 여권 이미지를 요구하는 고객 확인(KYC) 절차를 수행하도록 요구한다. 지지자들은 이 관행이 거래소가 자금 세탁에 사용되는 것을 방지하는 데 필요하다고 주장하지만, 비평가들은 이것이 사용자의 프라이버시를 침해한다고 주장한다.