코인베이스 사용자들, ‘소셜 엔지니어링’ 사기로 6,500만 달러 피해

지난 두 달 동안 코인베이스(Coinbase) 사용자들이 계정 제한 증가를 겪고 있으며, 이는 공격적인 리스크 모델과 '소셜 엔지니어링' 사기의 급증과 연관된 것으로 보인다.

5일(현지시간) 크립토포테이토에 따르면, 온체인 조사관 잭XBT(ZachXBT)와 보안 연구원 타누키42(Tanuki42)는 2024년 12월부터 2025년 1월까지 코인베이스 사용자가 최소 6,500만 달러(약 942억 5,000만 원)의 피해를 본 것으로 추산했다. 하지만 실제 피해 규모는 더 클 것으로 예상된다.

공격자들은 코인베이스 고객지원팀을 사칭해 사용자의 신뢰를 얻고, 위조된 이메일과 전화번호를 활용해 개인 정보를 빼내는 방식으로 피해자를 속였다. 이들은 코인베이스 월렛을 통해 자금을 이체하도록 유도했고, 피싱 사이트 등을 이용해 악성 주소를 허용하도록 조작했다.

특히 한 피해 사례에서는 85만 달러(약 12억 3,000만 원)의 손실이 발생했으며, 이 자금은 최소 25명 이상의 다른 피해자의 자산과 함께 'coinbase-hold.eth' 주소로 이동된 것으로 확인됐다. 연구진은 이번 사기에 인도 기반의 범죄 조직과 온라인 사이버 범죄 커뮤니티가 연루된 것으로 분석했다.

잭XBT는 코인베이스의 리스크 모델과 고객보호 시스템이 연간 3억 달러(약 4,350억 원)가 넘는 손실을 방지하는 데 실패했다고 지적했다. 도난 자산과 관련된 주소가 몇 주 동안 감지되지 않는 경우가 많으며, 고객 지원도 비효율적으로 운영돼 피해 복구가 어려운 구조라고 비판했다.

또한 지난해 코인베이스는 여러 보안 사고를 겪었지만 이를 공식적으로 공개하지 않았다고 덧붙였다. 예를 들어, 세금 소프트웨어용 구버전 API 키가 악용되었고, 특정 보안 결함으로 인해 인증 코드가 계정과 무관한 이메일 주소로 발송되는 사례도 발생했다.

한편, 2023년에는 코인베이스 커머스에서 1,590만 달러(약 230억 5,000만 원)가 유출됐으며, BTCTurk 해킹 사건과 연관된 3,800만 달러(약 551억 원)의 자금이 단 몇 시간 만에 코인베이스를 통해 세탁됐다.

잭XBT는 코인베이스의 대응이 경쟁사 크라켄(Kraken), OKX, 바이낸스(Binance) 등에 비해 미흡하다고 지적하며, 미국 내 저수준 해커조차 효과적으로 차단하지 못하고 있다고 비판했다. 그는 "현재의 보안 문제는 직원 개개인의 문제라기보다는 경영진의 결정에서 비롯된 것"이라며, "기업 차원의 조속한 대응이 필요하다"고 촉구했다.

코인베이스의 보안 시스템이 반복적으로 허점을 노출하며 대규모 피해가 발생하는 가운데, 업계에서는 보다 강력한 사용자 보호 대책이 필요하다는 목소리가 커지고 있다.