로이터가 검토한 내부 이메일과 사건에 대해 브리핑을 받은 3명의 담당자와의 인터뷰에 따르면, 코인베이스는 해커들이 해외 지원 공급업체 중 한 곳에서 수만 건의 고객 기록을 빼돌렸다 는 경고를 2025년 1월 초에 받았지만, 규제 기관과 사용자에게 통보하기 위해 5월 14 일까지 기다렸다고 합니다.
이번 폭로는 코인베이스가 텍사스에 본사를 둔 아웃소싱 업체 태스크어스(TaskUs)와의 관계를 갑자기 종료 한 가운데 나왔습니다. 태스크어스의 인도 콜센터 직원들은 스크린샷과 고객확인(KYC) 파일을 유출하기 위해 뇌물을 받은 혐의를 받고 있습니다. 최소 69,461명의 고객 이름, 주소, 사회보장번호 일부, 그리고 티켓 내역이 유출 되었습니다. 코인베이스는 이번 침해로 인해 1억 8천만 달러에서 4억 달러의 복구 비용과 잠재적 손해 배상 청구 가 발생할 수 있다고 투자자들에게 경고했습니다 .
코인베이스는 계약자의 부정행위 증거를 발견하고 신속하게 접근을 차단했으며 모든 제3자 공급업체에 대한 통제를 강화하고 있다고 밝혔습니다.
TaskUs는 코인베이스가 1월에 경고를 보낸 후 인도르에서 직원 200명 이상을 해고했다고 확인했지만 , 이 문제를 고객사에 “즉시 보고”했다고 주장했습니다. TaskUs 대변인은 “인도와 미국의 법 집행 기관과 협력하고 있다”고 밝혔습니다.
4개월간의 공개 격차
미국 증권거래위원회(SEC)의 새로운 사이버 사고 규정에 따라, 상장 기업은 사고가 중대한 것으로 판단된 날로부터 4영업일 이내에 8-K 보고서를 제출해야 합니다. 코인베이스는 5월 보고서에 “지난 몇 달간”의 무단 활동이 있었다고 명시했지만, 1월 경고에 대한 구체적인 내용은 밝히지 않았습니다.
그러한 무조치는 중대한 규정 위반의 전형적인 사례로 간주될 수 있습니다. SEC는 1월에 시계가 시작되지 않은 이유에 대한 확인을 요청할 수 있습니다.
월요일 펜실베이니아 동부 지방법원에 제기된 증권 사기 집단 소송은 코인베이스가 주가를 움직일 수 있는 “부정적인 정보를 은폐했다”고 주장합니다. 또한, 피해 사용자들을 대신하여 맨해튼 연방법원에 태스크어스(TaskUs)를 상대로 한 별도의 과실 소송이 제기되었습니다.
법원 제출 자료에는 개인 식별자가 보이는 코인베이스 화면을 사진으로 찍기 위해 지원 담당자에게 돈을 지불한 소규모 범죄 조직이 언급되어 있습니다. 3월에는 이 사기가 더욱 확산되어, 텔레그램 채널에서 도난된 사용자 인증 정보가 “돼지 도살”과 관련된 암호화폐 사기와 연계되어 판매되었습니다. 5월 11일, 해커들은 자신들이 거둔 성과에 도취되어 코인베이스에 이메일을 보내 데이터 삭제를 대가로 2천만 달러를 요구했습니다.
코인베이스는 이를 거부하고 대신 체포로 이어지는 정보에 대해 2,000만 달러의 현상금을 내걸었습니다.
TaskUs가 중요한 이유
2008년에 설립되어 현재 약 15억 달러의 기업 가치를 지닌 TaskUs는 Meta와 DoorDash를 고객사로 두고 있습니다. Coinbase와 같은 암호화폐 거래소들은 61,400명의 정규직 직원을 통해 미국 내 직원보다 저렴한 비용으로 24시간 연중무휴 고객 지원을 제공하기 위해 TaskUs에 의존해 왔습니다 . 보안 컨설턴트들은 민감한 신분증을 저임금 환경에 해외로 이전하는 것이 내부자 뇌물 수수에 악영향을 미칠 수 있다고 경고합니다.
인간을 통한 공격은 기술적 악용보다 점점 더 빠르게 늘고 있는데, 낮은 급여를 받는 에이전트를 고용하는 것이 견고한 암호화를 해독하는 것보다 훨씬 저렴하기 때문입니다.
이번 침해는 코인베이스를 비롯한 암호화폐 이해관계자들이 미국 암호화폐 규제 완화를 위한 공개 캠페인을 벌이는 가운데 발생했습니다. 비즈니스 프로세스 아웃소싱 업체를 이용하는 경쟁사인 크라켄과 제미니는 이제 자사 공급업체의 통제 시스템에 대한 감사를 서두를 것이라고 관련 소식통들이 전했습니다.
한편, 피해를 입은 코인베이스 고객들은 피싱 시도 와 SIM 카드 교체 공격이 지속되고 있다고 보고했습니다. 코인베이스는 2년간 신원 도용 감시 서비스를 제공했지만, 암호화폐 관련 손실에 대한 배상은 약속하지 않았습니다.
다음은 무엇입니까?
– 규제 감사 – SEC와 연방거래위원회는 잠재적인 공개 시기 위반을 평가할 수 있습니다.
– 증거 수집 – 원고는 임원들이 공개에 대해 논의한 후 연기한 사실을 보여줄 수 있는 1월자 이사회 의사록을 요구할 것입니다.
– 공급업체 개편 – 업계 분석가들은 핀테크 기업이 단일 공급업체 지원 모델에서 벗어나 다양화하고 화면 캡처 차단 도구를 도입할 것으로 예상합니다.
코인베이스에게 이번 사건은 대차대조표 비용과 암호화폐 업계에서 가장 규정을 잘 준수하는 브랜드라는 이미지를 위협하고 있습니다. 신뢰는 거래소가 가진 유일한 경화(hard currency)입니다. 신뢰가 4개월만 지속되더라도 이를 잃는 것은 치명적일 수 있습니다.