코인베이스 정보 유출로 4억 달러 손실, KYC가 오히려 해커의 금광으로?

저자: Fairy, ChainCatcher

편집: TB, ChainCatcher

"이번 사건의 손실은 약 1억 8천만에서 4억 달러에 이를 것으로 예상된다."

한 장의 정치 심사는 결국 사회 공학 공격을 막을 수 없다….

4월 초, 우리는 Coinbase 사용자들이 정밀 사기에 자주 노출되고 있으며, 연간 손실이 3억 달러에 이를 수 있다고 보도한 바 있다. 이제 진실이 서서히 드러나고 있다.

어제, Coinbase는 핵심 세부 사항을 공개하며 해커가 해외 고객 서비스 직원을 매수하여 1% 미만의 활성 사용자의 개인 정보를 탈취했다고 밝혔다. 오랫동안 숨겨져 있던 내부 보안 취약점이 드디어 드러났다.

영광은 사라지지 않았지만, 위기는 왔다

S&P 500에 대한 긍정적인 소식이 전해진 지 일주일도 채 되지 않아, Coinbase의 보안 스캔들이 연이어 발생하며 주가는 즉시 하락하여 하루 동안 7.2% 떨어졌다.

4월 초, The Block의 공동 창립자 Mike Dudas는 Coinbase로부터 통지를 받았으며, 그의 계정이 직원에 의해 부당하게 접근되었다고 전해졌다. 그 당시 내부 데이터 권한 관리에 대한 우려가 제기되었다. (관련 기사: 1년 손실 3억 달러, Coinbase 사용자들이 정밀 사기에 자주 노출되고, 그 뒤에는 "내부자"가 정보를 유출하고 있다?)

어제 Coinbase의 발표는 사건의 전모를 처음으로 공개했다: 해외 고객 서비스 직원이 범죄자에게 매수되어 1% 미만의 월간 활성 사용자 데이터를 복사하고, 이를 통해 공식인 척 사기를 시도했다. 해커는 Coinbase를 협박하며 2천만 달러의 입막음 비용을 요구했다. Coinbase는 지급을 거부하고, 동일한 금액의 보상을 걸어 배후 주범을 추적하고 유죄 판결을 내리겠다고 밝혔다.

동시에, Coinbase가 사용자 수를 허위 보고했는지에 대한 문제도 대두되었다. SEC는 등록 문서에서 공개된 "1억 검증 사용자"라는 핵심 데이터를 조사하고 있으며, 이 지표는 2년 후 조용히 중단되었다. 그들의 최고 법률 책임자 Paul Grewal은 이것이 이전 정부의 유산 조사이며, 관련 정보는 충분히 공개되었다고 응답했지만, 내우외환 속에서 Coinbase는 다시 한 번 여론의 초점이 되었다.

Coinbase를 믿을 수 있을까?

Coinbase의 신뢰도는 전례 없는 시험대에 올랐다. "안전 및 규정 준수"를 핵심 판매 포인트로 하는 상장 암호화 거래소에게, 민감한 데이터 유출, 사회 공학 사기 위험 증가 및 잠재적인 규제 처벌은 분명 다방면에서 "얼굴에 침 뱉기"와 같은 상황이다.

Coinbase 발표에 따르면, 해커가 탈취한 정보는 거의 사용자의 전체 KYC 파일을 포함하고 있다: 이름, 주소, 전화번호, 이메일, 신분증 이미지, 심지어 일부 은행 계좌 정보까지. 이러한 정보가 범죄자에게 넘어가면, 후속 사회 공학 공격, 피싱 이메일 및 자금 도난에 "정밀 탄약"을 제공할 뿐만 아니라, 다크 웹에서 재판매되어 장기적인 위험을 초래할 수 있다.

Coinbase의 대응 조치를 살펴보면, Coinbase는 이번 사건으로 인해 사기를 당해 공격자에게 송금한 사용자에게 전액 보상할 것이라고 약속했으며, 보안 취약점에 대한 시스템적 수정을 진행할 예정이다. 고객 서비스 권한 관리를 강화하고, 미국에 새로운 고객 서비스 센터를 추가하여 감독 능력을 향상시킬 예정이다. 동시에, Coinbase는 내부적으로 잠재적 위협 탐지, 자동 응답 및 공격 시뮬레이션 테스트에 대한 투자를 확대할 것이다.

이러한 조치는 비록 사후 약방문이지만, Coinbase가 "정면으로 맞서겠다"는 태도를 드러내고 있다. 이러한 일련의 구제 조치가 실제로 위험을 억제하고 투자자 및 사용자로부터 신뢰를 다시 얻을 수 있을지는 시간과 실제 성과로 검증해야 할 것이다.

KYC 논란 재점화

KYC의 초기 목적은 자금 세탁 방지 및 테러 자금 조달 방지였지만, 현실에서는 사용자 개인 정보의 가장 집중된 정보 저장소가 되었다. Coinbase의 이번 데이터 유출 사건은 KYC 제도의 논란을 다시 전면에 내세웠다.

이번 소동에서 여러 프로젝트 창립자와 CEO들이 목소리를 내며 세 가지 문제에 대해 반성을 시작했다:

1. "개인정보 교환의 안전"은 가치가 있는가?

Nansen CEO Alex Svanevik는 KYC 제도가 사용자에게 신분증, 여권, 공과금 청구서 등 많은 민감한 정보를 제출하도록 요구하지만, 현실에서는 "실제 범죄자가 거의 잡히지 않는다"고 직언했다.

Casa 지갑 CEO Nick Neuman은 "이것이 우리가 KYC를 수집하지 않는 이유"라고 말했다. 그에게 KYC는 해커에게 더 많은 공격 경로를 제공할 뿐이다.

2. 제도적 허점이 사용자 위험을 가중시킨다

플랫폼이 사용자 민감 정보를 수집하면서 적절한 보호 능력이 부족하면, 오히려 사용자를 더 큰 위험에 처하게 할 수 있다. Wintermute CEO Evgeny Gaevoy는 Coinbase가 정보 유출 사건을 제때 공개하지 않았다고 강조하며, 이는 "우리가 처한 어리석고 터무니없는 KYC/AML 체제의 어두운 면"이라고 말했다. 그는 이 제도가 "지정학적 및 법 집행에 편의를 제공하지만, 시민의 개인 정보를 희생시키고 기업에 무거운 부담을 주어 범죄자들이 더 쉽게 갈취, 납치 및 사기를 저지를 수 있게 한다"고 주장했다.

3. 정보 미끼통, 계속 강화해야 할까?

DeFiance Capital 창립자 Arthur는 X 플랫폼에 글을 올리며, Coinbase가 정말로 문제를 해결해야 한다고 주장했다. 만약 최종적으로 Coinbase 플랫폼이 사용자 중요한 정보의 미끼통이 된다면, 계속해서 KYC를 요구할 이유가 없다고 말했다.

암호화 산업에 있어 "규정 준수"가 사용자 민감 정보를 강제로 수집하는 이유가 될 때, 플랫폼은 그에 따른 데이터 보안 책임을 감당할 준비가 되어 있는가? KYC에 대한 논의는 처음이 아니지만, 이번 현실 사례는 논란을 더욱 날카롭게 만들었다: 규제 준수와 사용자 개인 정보 간의 긴장은 암호화 산업이 피할 수 없는 난제이다.

규정 준수는 주류로 가는 통행증이지만, 데이터 보안의 연금술사이기도 하다. 이는 기술력뿐만 아니라 플랫폼의 책임감과 거버넌스 수준을 시험한다.

이것은 돌아갈 수 없는 길이며, 길고 힘든 수행이 될 것이다.

앞길은 멀고, 책임은 무겁다.