5월 11일, 글로벌 가상자산 거래소 코인베이스는 “알 수 없는 공격자로부터 일부 고객 계정 정보와 함께 고객 지원 및 계정 관리 시스템과 관련된 내부 문서를 확보했다”는 이메일을 받았다고 밝혔다. 이 사실은 사흘 뒤 미국 증권거래위원회(SEC)에 제출한 8-K 보고서를 통해 공식화됐다.
이번 침해 사건은 금전적 동기를 지닌 젊은 해커 그룹 ‘더 컴(The Com)’ 혹은 ‘스캐터드 스파이더(Scattered Spider)’, ‘샤이니헌터(ShinyHunters)’와 연계된 조직이 인도 아웃소싱 직원을 매수해 고객 데이터 접근 권한을 확보한 것으로 알려졌다. 다만 코인베이스는 특정 그룹에 책임을 돌리지는 않았다. 코인베이스 대변인은 CSO와의 인터뷰에서 “더 컴이 이번 공격을 자행했다고 주장했으나, 실제로 그들인지 확인할 수 없다”라고 전했다.
특히 외부 위탁 인력이 뇌물의 주요 표적이 된 점이 이번 사건에서 가장 눈에 띄는 대목이다. 코인베이스의 최고보안책임자(CSO) 필립 마틴은 “이처럼 장기간 집중적이고 고액의 뇌물 시도가 이뤄진 사례는 처음 본다”라며 “공격자의 행위가 한 단계 진화했다는 점에서 의미가 크다”라고 설명했다.
전문가들은 이번 사건을 계기로 기업 보안 책임자들이 사내 직원뿐 아니라 외주 인력까지 포함해 뇌물 위협 대응 교육과 레드팀 모의훈련을 강화해야 한다고 강조한다. 또한 피싱과 같은 전통적 침투 방식의 효과가 약화되면서 공격자들이 새로운 매수 전략을 사용할 가능성에 대비해야 한다고 지적한다.
코인베이스 침해 사건의 구체적 내용
공격자들은 2024년 12월부터 인도 인도르에 위치한 BPO(비즈니스 프로세스 아웃소싱) 기업 태스크어스(TaskUS) 소속 코인베이스 고객 지원 직원을 노렸다. 이들에게 1인당 최대 2,500달러의 뇌물을 제안하며 고객 지원 도구에서 데이터를 복사해 달라고 요구했다.
유출된 정보는 코인베이스의 월간 거래 고객 중 약 1percent인 7만 명에 달했으며, 여기에는 연락처, 사회보장번호, 계좌 정보, 일부 가려진 은행 계좌 정보가 포함됐다. 다만 로그인 자격 증명, 개인 키, 계정 및 암호화폐 지갑 접근 권한은 유출되지 않았다.
해커들은 데이터를 공개하지 않는 대가로 코인베이스에 2,000만 달러를 요구했지만, 코인베이스는 이를 거부하고 오히려 동일한 금액의 현상금을 걸었다. 또한 사회공학 공격으로 피해를 본 고객에게는 보상하고, 보안 기능을 강화하겠다고 약속했다.
코인베이스는 업계와 협력해 공격자의 암호화폐 주소를 추적할 수 있도록 조치했으며, 내부 공모자들을 즉시 해고하고 미국 및 국제 수사 당국에 형사 고발했다. 태스크어스는 해당 시설에서 코인베이스 관련 고객 전화를 중단하고 직원 226명을 해고했다. 코인베이스는 복구 및 보상 비용을 1억8천만 달러에서 4억 달러로 추산했다.
‘몸값 불응’과 신속한 대응
코인베이스의 투명한 대응, 몸값 요구 거부, 신속한 복구, 고객 보상 약속은 보안 업계의 호평을 받았다.
마틴은 “코인베이스가 탄탄한 보안 체계를 갖췄기 때문에 해커들이 최후의 수단으로 인도 헬프데스크 직원을 매수했다”고 설명했다. 그는 “우리는 고객의 자산을 보호하기 위해 많은 시간과 엔지니어링 자원을 투입해왔다”고 덧붙였다.
마틴은 약 300명 규모의 보안팀이 이번처럼 극도로 긴장된 상황 속에서 성공적으로 대응할 수 있었다며 공을 돌렸다. 그는 “보안은 팀 스포츠다. 사건 발생 전후를 막론하고 조직 전체가 아키텍처, 네트워크 분리, 접근 통제를 고민하며 대응해 왔다”고 전했다.
“우리는 테러리스트에게 돈을 주지 않는다”
코인베이스는 이번 랜섬 요구를 거부했다. 단순히 원칙의 문제일 뿐만 아니라, 설령 돈을 지불해도 공격자들이 데이터를 삭제하지 않을 것이라는 판단에서다.
코인베이스의 필립 마틴 CSO는 “우리는 테러리스트에게 돈을 주지 않는다는 원칙이 분명히 있었다. 하지만 결국 중요한 것은 고객의 정보였다. 우리는 이를 보호할 의무가 있다”며 “따라서 이 위협 행위자들이 자신들의 말을 지키고 데이터를 노출하지 않겠다고 약속을 이행할 것이라고 믿을 이유가 없었다”고 설명했다.
마틴은 또 “랜섬웨어 공격자에게 돈을 지불하면 그들의 악의적 행위를 지속하도록 부추기는 셈”이라며 “이는 장기적인 전략이 아니라 단기적인 대응일 뿐이다. 테러리스트에게 돈을 주면, 결국 당신이나 다른 누군가를 겨냥한 다음 공격을 자금 지원하는 꼴이 된다”라고 경고했다.
그러면서도 상황에 따라 몸값을 지불해야 하는 경우가 있을 수 있음을 인정했다. 마틴은 “랜섬웨어 사건에서는 회사를 살리기 위해 몸값을 지불할 수밖에 없는 경우가 생길 수도 있다. 그건 매우 힘든 선택지”라고 말했다.
시간이 지나며 커진 뇌물 규모
코인베이스 침해 사건의 핵심은 뇌물이 개인 투자자의 지갑을 털기 위한 것이 아니라, 기업 차원에서 고객 계정 정보를 확보해 회사를 상대로 협박하는 데 집중됐다는 점이다. 일반적으로 금전적 동기를 지닌 해커들은 통신사 직원을 매수해 심 스와프(SIM swap)를 시도하고, 이를 통해 암호화폐나 금융 계좌에서 직접 돈을 빼내는 경우가 많다.
코인베이스를 겨냥한 뇌물 시도는 이번이 처음도 아니었다. 마틴은 “지원 요원들이 일상적인 고객 지원 과정에서 접근할 수 있는 권한을 악용해 고객 정보를 빼내고, 이를 바탕으로 공격자가 사회공학 기법을 고도화했다”며 “처음에는 소액으로 시작된 뇌물이 시간이 갈수록 점점 커졌다”고 설명했다.
해커들이 계속 뇌물 공세를 이어가는 동안 코인베이스는 이에 대응하기 위한 조치를 강화했다. 마틴은 “우리는 공격자에게 대응하면서도 동시에 선제적으로 방어 통제를 업데이트했다”며 “사건이 발생할 때마다 사후 분석을 진행해 교훈을 보안 프로그램에 즉시 반영하고 있다. 이런 과정이 몸값 요구가 있기 전까지도 계속됐다”고 말했다.
보안 기업 사일런트 푸시(Silent Push)의 시니어 위협 연구원 잭 에드워즈는 “해커가 직원을 매수하는 건 흔한 일”이라며 “더 컴의 수법과 유사한 공격자들은 수년간 기업의 고객 지원 직원을 매수해 공격을 수행해왔다. 하지만 코인베이스 사건에서는 기업 단위에서 이런 뇌물 수법이 사용됐다는 점이 새롭다”고 분석했다.
관리형 보안 플랫폼 기업 헌트리스(Huntress)의 수석 위협 인텔리전스 애널리스트 그렉 리나레스는 2020년 발생한 테슬라 사건을 언급했다. 당시 러시아 해커가 네바다에 있는 테슬라 직원에게 100만 달러를 제안하며 랜섬웨어를 설치해 회사로부터 수백만 달러를 뜯어내려 했다는 것이다. 리나레스는 “대규모 랜섬웨어 조직은 언제든 내부자를 매수할 자금을 갖고 있으며, 특정 산업에서는 내부자 위협이 항상 문제로 남는다”라고 강조했다.
전 세계 어디서든 뇌물 리스크에 대비해야
코인베이스는 SEC 보고서 제출 당시, 이번 침해 사건을 계기로 미국 내 새로운 고객 지원 허브를 설립하고 방어 체계를 강화하는 조치를 진행 중이라고 밝혔다.
그러나 테슬라 사건에서 확인됐듯, 근로자가 어디에 있든 뇌물 대상이 될 수 있다. 코인베이스의 필립 마틴 CSO는 “이 문제가 단지 경제적 불평등이 심한 지역에서만 발생한다고 생각하는 것은 큰 착각”이라며 “그런 시각은 보안 담당자의 상상력을 제한한다. 뇌물 시도는 어디서든 발생할 수 있으며, 이는 ‘어디서 채용하느냐’보다 ‘누구를 채용하느냐’의 문제”라고 강조했다. 이어 “예컨대 인도에서도 상당수 직원이 이런 외부 공격자와 결탁하지 않았다”고 덧붙였다.
헌트리스의 그렉 리나레스 역시 같은 의견을 내놨다. 그는 “위협 행위자는 개발도상국의 외주 인력뿐 아니라, 선진국에서 중산층 급여를 받는 직원도 똑같이 노릴 수 있다”며 “예를 들어 연봉 6만 달러를 받는 IT 직원이 15분 일만 하면 8년 치 급여를 받을 수 있다는 제안을 받는다면, 충분히 유혹을 느낄 수 있다. 공격자들은 이런 약점을 공략하려 한다”고 설명했다.
기업 차원의 뇌물 리스크가 심각한 만큼, 보안 책임자들은 직원들에게 뇌물 제안을 받았을 때 어떻게 대응해야 하는지 교육하고, 고객 데이터 접근 권한이 있는 직원들을 대상으로 레드팀 모의훈련을 실시해야 한다는 지적이 나온다.
사일런트 푸시(Silent Push)의 잭 에드워즈는 “항공, 보험, 소매업계 고객 지원팀은 불법적인 구두 비밀번호 재설정 시도뿐 아니라 뇌물 시도에 대해서도 어떻게 대응해야 하는지 훈련받아야 한다”고 강조했다. 그는 또 “고객 지원팀은 뇌물이 매우 심각한 문제라는 점을 명확히 알고, 뇌물 시도가 발생했을 때 단순히 거절하는 데 그치지 않고 반드시 상급자에게 보고하고 escalation 절차를 밟아야 한다”고 설명했다.
마틴은 “기업 보안이 아무리 철저해도 공격자는 항상 이를 우회할 방법을 찾는다. 위, 아래, 옆, 어디든 통로를 찾는다”며 “완벽한 보안은 존재하지 않는다”고 말했다. 그는 이어 “내가 좋아하는 마이크 타이슨의 유명한 말이 있다. ‘누구나 계획은 세우지만, 한 대 맞는 순간 모든 것이 달라진다’”라고 인용했다.
dl-ciokorea@foundryco.com
