미국 암호화폐 거래소 코인베이스 이용자들이 소셜 엔지니어링 공격으로 지난 두 달 동안 6500만달러(약 940억원) 이상의 손실을 입은 것으로 추정된다는 분석이 나왔다.
5일(현지시간) 블록체인 매체 크립토포테이토에 따르면 암호화폐 추적 회사 ZachXBT와 보안 연구원 타누키42는 2024년 12월부터 올해 1월까지 코인베이스 사용자가 최소 6500만달러의 피해를 봤다는 추산을 내놨다.
코인베이스에 대한 공격으로 매년 약 3억달러(약 4300억원)가 손실되는 것으로 분석됐다. 게다가 보고되지 않은 사례는 포함되지 않았기 때문에 실제 손실 규모는 더 높을 것으로 보여졌다.
공격자들은 코인베이스 고객지원팀을 사칭해 이용자들의 신뢰를 얻었다. 이 과정에서 위조된 이메일과 전화번호 등을 사용했다.
이후 공격자들은 이용자들의 개인 정보를 빼낸 뒤 코인베이스 월렛을 통해 자금을 이체하도록 유도했고, 피싱 사이트 등을 이용해 악성 주소를 클릭하도록 조작하기도 했다.
한 피해자는 85만달러(약 12억3000만원)의 손실을 낸 것으로 파악됐다. 해당 사기에는 인도 기반의 범죄 조직과 온라인 사이버 범죄 커뮤니티가 연루된 것으로 분석됐다.
ZachXBT는 “사기꾼들은 코인베이스 사이트를 거의 완벽히 복제하고 공식 커뮤니케이션을 모방한 가짜 이메일을 보내 사용자를 속인다”면서 “이러한 사기 행위는 주로 미국 사용자를 대상으로 한다”고 설명했다.
또 “코인베이스의 리스크 모델과 고객보호 시스템은 연간 3억달러(약 4350억원)가 넘는 손실을 방지하는 데 실패했다”면서 “코인베이스는 도난 자산과 관련된 주소가 몇 주 동안 감지되지 않는 경우가 많았고, 고객 지원도 비효율적으로 운영돼 피해 복구가 어려운 구조였다”라고 지적했다.
그러면서 “지난해 코인베이스는 여러 보안 사고를 겪었지만 이를 공식적으로 공개하지도 않았다”면서 “코인베이스에 전화번호 입력을 선택 사항으로 만들고, 신규 사용자에게는 제한된 계정 유형을 제공하며, 사기 예방에 대한 커뮤니티 교육을 개선하는 등 보안을 강화하라”고 조언했다.