코인베이스(Coinbase)가 인도 아웃소싱 고객지원 직원들을 통한 데이터 유출 사건을 2025년 1월부터 알고 있었음에도 불구하고 5월까지 공식 발표를 미뤘으며, 해커들이 매수한 직원들을 통해 획득한 고객 정보로 최대 4억 달러 규모의 피해를 입힌 것으로 조사됐다.
2일(현지시간) 크립토폴리탄에 따르면, 로이터 조사에 의하면 코인베이스가 인도 소재 아웃소싱 고객지원 직원들을 통한 데이터 유출 사건을 2025년 1월부터 알고 있었지만 5월 공식 발표까지 수개월간 은폐했으며, 해커들이 매수한 태스크어스(TaskUs) 계약업체 직원들을 통해 민감한 사용자 데이터가 유출됐다고 이 문제에 정통한 6명이 증언했다.
5월 14일 증권거래위원회(SEC) 서류에서 태스크어스는 인도 기반 직원이 개인 휴대폰으로 업무용 컴퓨터 화면을 촬영하다 적발된 유출 사건의 한 부분을 문서화했다. 전직 태스크어스 직원 5명은 해당 직원과 공모 혐의자가 코인베이스 사용자 데이터를 얻기 위해 해커들로부터 뇌물을 받았다고 확인했다.
직원 3명과 추가 소식통 1명은 코인베이스가 즉시 경고를 받았다고 말했다. 얼마 후 인도레(Indore) 태스크어스 센터에서 200명 이상의 직원들이 해고되어 인도 언론의 주목을 받았다. 처음에 코인베이스는 '해외 지원 요원들'을 비난했지만, 현재는 이번 유출이 회사에 최대 4억 달러의 비용을 들게 할 수 있다고 추산하고 있다.
코인베이스는 인건비 절감을 위해 고객 지원 업무를 해외 팀에 할당하기 위해 텍사스 기반 아웃소싱 회사인 태스크어스와 오랫동안 파트너십을 맺어왔다. 2017년부터 태스크어스 요원들은 종종 낮은 임금을 받는 국가에서 코인베이스 고객 문의를 처리해왔다. 인도 인도레에서 이들 요원들은 월 500달러에서 700달러를 벌었다고 전해지며, 이는 범죄 뇌물을 유인할 만큼 충분히 낮은 수준이었다.
회사의 5월 서류에서 코인베이스는 5월 11일 2000만 달러 갈취 요구를 받기 전까지 공격의 전체 규모를 모르고 있었다고 인정했다. 이에 대응해 회사는 유출에 책임이 있는 태스크어스 직원들과의 관계를 단절했을 뿐만 아니라 일부 다른 익명의 외국 계약업체들과도 관계를 끊었다. 코인베이스는 또한 규제당국에 통보하고 피해를 받은 사용자들에게 환급했으며 내부 통제를 강화했다고 말했다.
공개 성명에서 태스크어스는 데이터 도난으로 직원 2명을 해고했다고 인정했지만 코인베이스의 이름을 언급하지는 않았다. 회사는 이 두 명이 고객과 연결된 다른 서비스 제공업체들을 표적으로 한 조직적인 범죄 캠페인의 일부였다고 말했다.
해커들은 훔친 개인정보를 사용해 일련의 사회공학 사기에서 코인베이스 직원을 사칭했다. 그들은 지원 요원인 척하며 피해자들을 속여 암호화폐 자산을 이동하도록 유도했다.
보안 연구원들은 '더 콤(the Comm)'으로 알려진 느슨하게 조직된 집단이 이번 유출을 조율했다고 믿고 있다. 이 집단은 카지노와 암호화폐 회사들을 공격한 것을 포함해 주목받는 공격을 수행한 경험이 있는 젊은 해커들로 구성되어 있다.
포춘(Fortune) 보고서는 또한 해커들이 구성원들에게 서로 다른 역할을 부여했다고 밝혔다. 일부는 내부자들에게 뇌물을 주어 데이터를 훔치는 반면 다른 이들은 사기를 실행했다. 텔레그램(Telegram)과 디스코드(Discord) 같은 소셜 미디어 플랫폼이 작전을 조율하고 수익을 분할하는 데 사용됐다.
조사관들은 코인베이스 고객들을 표적으로 삼은 이들이 유창한 북미 영어를 구사했기 때문에 사칭 계획이 더욱 효과적이었다고 지적했다. 사기꾼들은 훔친 정보를 활용해 사용자들이 암호화폐를 넘겨줄 만큼 충분히 신뢰할 만하게 보이도록 할 수 있었다.
유출 사건 이후에도 코인베이스는 운영을 확대하고 있다. 회사는 최근 S&P 500 지수에 추가됐으며 최근 전략적 인수 발표를 했다. 브라이언 암스트롱(Brian Armstrong) 최고경영자는 향후 10년 내에 코인베이스를 선도적인 글로벌 금융 서비스 앱으로 만들 계획이라고 말했다.
코인베이스 공격은 체인어널리시스(Chainalysis) 보고서에 따르면 2024년 22억 달러를 초과한 암호화폐 해킹의 대대적인 증가 속에서 발생했으며, 아웃소싱의 위험성과 공격자들의 증가하는 디지털 정교함을 부각시키고 있다.