코인베이스, 내부 피싱 공격으로 최대 5840억 원 피해 우려… 몸값 요구도 거절

코인베이스(Coinbase)가 내부 피싱 공격으로 최대 4000억 원의 피해를 입을 위기에 놓였다. 익명의 범죄 집단은 인도에 근무하는 외부 고객지원 요원을 매수해 사용자 정보를 유출했고, 이를 바탕으로 피싱 사기에 나섰다고 회사 측은 밝혔다. 코인베이스는 2000만 달러(약 292억 원)의 몸값 요구를 거절했고, 해당 인력을 즉각 해고했다.

이번 사건은 지난달 미국 암호화폐 애널리스트인 필립 마틴(Philip Martin) 코인베이스 최고 보안 책임자의 발언을 통해 알려졌다. 그는 일부 인도 국적일 가능성이 있는 외주 고객지원 요원들이 사용자 정보 접근 권한을 악용해 사이버 공격자들에게 내부 데이터를 넘겼다고 지적했다. 이로 인해 사용자의 이메일, 전화번호 등 계정 관련 정보가 유출됐으며, 피해 규모는 최소 1억 8000만 달러(약 2628억 원)에서 최대 4억 달러(약 5840억 원)에 이를 수 있다.

피해자는 이미 발생하고 있다. 암호화폐 벤처 그룹인 앨라이언스 DAO의 핵심 구성원 차오 왕(Qiao Wang)은 자신의 X(구 트위터)를 통해 사기범에게서 코인베이스 계정 해킹을 통보받고 본인 확인을 요구받았다고 밝혔다. 그는 이들이 "코인베이스 자체 커스터디 지갑으로 자금을 옮기라"고 안내했다며, 이는 개인정보 접근권한을 가진 내부자의 정보 유출 없이는 불가능한 수법이라고 주장했다. 그는 대화를 종료하며 범행을 지적했고, 사기범은 "오늘 하루에만 700만 달러를 벌었다"고 말했다고 전했다.

코인베이스는 공식 블로그를 통해 외부 공격자들이 고객지원 시스템에 접근한 일부 외주 직원을 매수해 내부 보안망을 뚫었다고 인정했다. 다만 해킹으로 영향받은 사용자는 전체 활성 사용자 중 1% 미만이며, 비밀번호, 프라이빗 키, 자산, 그리고 코인베이스 프라임 고객 계정은 보호됐다고 밝혔다.

이번 사건은 트럼프 대통령이 친암호화폐 정책을 표방하며 규제 환경이 변화하는 시점에서 발생해 업계에 충격을 주고 있다. 최근 다크웹 최대 거래소로 알려진 후이원 개런티(Huione Guarantee)의 서비스 중단과 맞물리며, 암호화폐 산업 전반의 보안 관리와 내부통제 강화 필요성이 다시 한 번 부각되고 있다.