코인베이스 데이터 유출 사건 내부: 인도 고객 서비스 센터와 청소년 해커 그룹

원문 저자：Ben Weiss、Jeff John Roberts

원문 편집：Luffy，Foresight News

Coinbase 공동 창립자이자 CEO인 Brian Armstrong이 2022년 인도 벵갈루루에서 열린 행사에서 연설하고 있다.

2025년 5월 15일, Coinbase는 수만 명 고객의 개인 데이터가 도난당했다고 발표했으며, 이는 회사 역사상 가장 큰 보안 사건으로 최대 4억 달러의 손실이 예상된다. 이번 데이터 유출 사건은 그 규모뿐만 아니라 해커의 공격 수법에서도 주목받고 있다: 해외 고객 서비스 직원에게 뇌물을 주어 기밀 고객 정보를 얻는 방식이다.

Coinbase는 단서를 제공하고 범죄자를 체포 및 유죄 판결을 돕는 신고자에게 2000만 달러의 보상을 지급하겠다고 공개적으로 밝혔지만, 공격자의 신원이나 해킹 세부 사항에 대해서는 거의 공개하지 않았다.

《포춘》 잡지의 최근 조사(여기에는 Coinbase와 해커 간의 이메일 검토가 포함됨)는 이 사건의 새로운 세부 사항을 드러내며, 영어를 사용하는 젊은 해커들로 구성된 느슨한 네트워크가 일부 책임이 있음을 암시했다. 동시에 조사 결과는 이른바 BPO(비즈니스 프로세스 아웃소싱) 업체가 기술 회사의 보안 운영에서 약점이 되고 있음을 강조했다.

내부자 범죄：아웃소싱 고객 서비스가 돌파구가 되다

이 이야기는 텍사스주 뉴브라운펠스에 있는 소규모 상장 기업 TaskUs에서 시작된다. 다른 BPO와 마찬가지로, 이 회사는 해외 직원을 고용하여 대형 기술 회사에 저렴한 비용으로 고객 서비스를 제공하고 있다. 회사 대변인에 따르면, 올해 1월 TaskUs는 인도 인도르에 있는 서비스 센터에서 Coinbase를 위해 일하던 226명의 직원을 해고했다.

미국 증권 거래 위원회에 제출된 문서에 따르면, TaskUs는 2017년부터 Coinbase에 고객 서비스 직원을 제공해왔으며, 이 협력 관계는 이 미국 암호화폐 거대 기업에 많은 인건비를 절감해주었다. 그러나 문제는 고객이 계좌나 Coinbase의 새로운 제품에 대해 이메일을 보낼 때, 그들이 해외의 TaskUs 직원과 대화하고 있을 가능성이 높다는 것이다. 이러한 대리인의 급여가 미국 본토 직원보다 낮기 때문에, 그들은 뇌물에 더 쉽게 유혹당할 수 있다.

"올해 초, 우리는 두 명의 개인이 우리 고객의 정보에 불법적으로 접근했다는 사실을 발견했다"고 TaskUs 대변인은 Coinbase를 언급하며 《포춘》 잡지에 말했다. "우리는 이 두 사람이 Coinbase를 겨냥한 더 광범위하고 조직적인 범죄 활동에 고용된 것으로 생각하고 있으며, 이 활동은 Coinbase가 서비스를 제공하는 많은 다른 공급업체에도 영향을 미쳤다."

Coinbase의 규제 문서에 따르면, TaskUs는 올해 1월에 직원을 해고했으며, 이는 Coinbase가 고객 데이터가 도난당한 것을 발견한 지 한 달도 채 되지 않은 시점이다(참고: Coinbase는 2024년 12월에 데이터 유출을 발견했다). 화요일, 뉴욕에서 Coinbase 고객을 대리하여 제기된 연방 집단 소송은 TaskUs가 고객 데이터를 보호하는 데 소홀했다고 주장했다. "우리는 소송에 대해 논평할 수는 없지만, 이러한 주장은 근거가 없다고 생각하며, 우리는 스스로를 변호할 것"이라고 TaskUs 대변인은 말했다. "우리는 고객 데이터를 최우선으로 보호하며, 우리의 글로벌 보안 프로토콜과 교육 프로그램을 계속 강화할 것이다."

이 사건에 대해 잘 아는 소식통은 해커가 다른 BPO 회사에도 성공적으로 공격을 감행했으며, 각 사건에서 도난당한 데이터의 성격이 다르다고 전했다.

이러한 도난된 데이터는 해커가 Coinbase의 암호화폐 금고에 침입하는 데는 부족했지만, 범죄자들이 가짜 Coinbase 고객 서비스로 위장하여 고객에게 접근하고 암호 자산을 넘기도록 설득하는 데 유용한 정보를 제공했다. 회사는 해커가 6.9만 명 이상의 고객 데이터를 도난당했다고 밝혔지만, 그 중 몇 명이 이른바 "사회 공학 사기"의 피해자가 되었는지는 명시하지 않았다. 이 사건에서 사회 공학 사기는 범죄자들이 도난된 데이터를 이용해 Coinbase 직원으로 위장하고 피해자에게 암호 자산을 이전하도록 설득하는 것을 포함한다.

Coinbase는 성명에서 "우리가 이미 공개한 바와 같이, 우리는 최근 위협 행위자가 해외 고객 서비스에 2024년 12월로 거슬러 올라가는 고객 계좌 정보를 요청했다는 사실을 발견했다. 우리는 영향을 받은 사용자와 규제 기관에 통보했으며, 관련 TaskUs 직원 및 기타 해외 고객 서비스와의 연결을 차단하고 관리 강화를 진행했다"고 밝혔다. 성명은 또한 사기에서 손실을 입은 고객에게 보상을 진행하고 있다고 덧붙였다.

회사를 사칭한 사회 공학 사기는 새로운 것이 아니지만, 해커가 BPO 회사를 공격하는 규모는 드물다. 범죄자를 명확히 지목한 사람은 없지만, 일부 단서는 영어를 사용하는 젊은 해커들로 구성된 느슨한 조직을 강하게 암시하고 있다.

청소년 해커 집단：「그들은 비디오 게임에서 왔다」

5월 중순 Coinbase 데이터 유출 사건이 공개된 며칠 후, 《포춘》 잡지는 Telegram에서 "puffy party"라고 자칭하는 한 남성과 대화했다. 그는 자신이 해커 중 한 명이라고 주장했다.

또 다른 두 명의 보안 연구원은 이 익명의 해커와 대화한 후 그가 신뢰할 수 있다고 생각한다고 《포춘》 잡지에 말했다. 그 중 한 명은 "그가 나와 공유한 내용을 바탕으로, 나는 그의 주장을 진지하게 검토했으며 그의 주장이 거짓이라는 증거를 찾을 수 없었다"고 말했다. 두 명의 연구원 모두 소위 해커와 대화한 이유로 소환장을 받을까 두려워 익명을 요청했다.

대화 중, 이 남자는 Coinbase 보안 팀과의 이메일 교환이라고 주장하는 여러 스크린샷을 공유했다. 그는 Coinbase와 소통할 때 "Lennard Schroeder"라는 이름을 사용했다. 그는 또한 Coinbase의 전 고위 임원에 속하는 계정의 스크린샷을 공유했으며, 그 안에는 암호 거래와 많은 개인 세부 정보가 포함되어 있었다.

Coinbase는 이러한 스크린샷의 진위를 부인하지 않았다.

이 자칭 해커가 공유한 이메일에는 2000만 달러의 비트코인으로 갈취하겠다는 위협(코인베이스는 지급을 거부함)과 해커 집단이 일부 범죄 수익으로 회사의 대머리 CEO인 Brian Armstrong에게 머리카락을 사주겠다는 조롱이 담겨 있었다. "우리는 그가 멋지게 세계를 여행할 수 있도록 모발 이식 수술을 후원할 용의가 있다"고 해커는 썼다.

Telegram 메시지에서 이 사람(《포춘》 잡지는 한 보안 연구원에게서 그의 존재를 알게 됨)은 Coinbase에 대한 경멸을 표현했다.

많은 암호화폐 강도 사건은 러시아 범죄 집단이나 북한 군대에 의해 수행되지만, 이번 해킹 사건은 "Comm" 또는 "Com"이라고 불리는 청소년과 20대 초반의 젊은이들로 구성된 느슨한 연합에 의해 발생했다고 전해진다.

지난 2년 동안 Comm 집단에 대한 보도가 다른 해킹 사건의 언론 보도에 등장했으며, 《뉴욕타임스》의 최근 보도에서는 일련의 암호화폐 도난을 저지른 혐의로 기소된 한 용의자가 해당 조직의 구성원이라고 주장했다. 《월스트리트저널》에 따르면, 2023년 조사관들은 이 조직으로 추정되는 해커들이 라스베가스의 여러 온라인 카지노를 해킹하고 MGM 리조트에 3000만 달러를 갈취하려 했다고 밝혔다.

일반적으로 금전적 이익만을 추구하는 러시아와 북한의 암호 해커들과 달리, Comm 집단의 구성원들은 주목받기를 원하면서도 장난의 쾌감을 추구하는 경향이 있다. 그들은 때때로 해킹 공격을 위해 협력하지만, 누가 더 많은 것을 훔치는지 경쟁하기도 한다.

"그들은 비디오 게임에서 왔고, 높은 점수를 현실 세계로 가져온다"고 암호 포렌식 조사 회사 Cryptoforensic Investigators의 조사 책임자 Josh Cooper-Duckett는 말했다. "이 세계에서 그들의 점수는 얼마나 많은 돈을 훔쳤는가이다."

Telegram 메시지에서 이 자칭 해커는 Comm의 구성원들이 강도 사건의 서로 다른 단계에 전문화되어 있다고 밝혔다. 그의 팀은 고객 서비스를 뇌물로 유도하고 고객 데이터를 수집한 다음, 이 데이터를 팀 외부의 사회 공학 사기에 능숙한 다른 사람에게 전달한다. 그들은 서로 다른 Comm 소속 그룹이 Telegram과 Discord와 같은 소셜 플랫폼에서 어떻게 행동을 실행할지 조정하고 범죄 수익을 분배한다고 덧붙였다.

암호 조사 회사 Tracelon의 창립자 Sergio Garcia는 《포춘》 잡지에 Coinbase 공격에 대한 해커의 설명이 Comm 집단의 운영 방식과 다른 암호 사회 공학 사기에 대한 그의 관찰과 일치한다고 말했다. 소식통에 따르면, 최근 사회 공학 사기에서 고객을 공격한 사람들은 유창한 북미 영어를 구사한다고 한다.

BPO 직원의 급여에 대해 잘 아는 소식통에 따르면, 인도 TaskUs 직원의 월급은 500달러에서 700달러 사이이다. TaskUs는 논평을 거부했다. Garcia는 《포춘》 잡지에 이 숫자가 인도의 1인당 국내 총생산보다 높지만, 고객 서비스의 낮은 급여가 그들이 뇌물을 수용하기 쉽게 만든다고 말했다. "분명히, 이는 체인에서 가장 약한 고리이며, 그들은 뇌물을 받을 경제적 유인이 있다"고 그는 덧붙였다.