역사상 최대 규모의 코인베이스 "데이터 유출"의 내부 이야기: 아웃소싱 업체가 해커와 공모하여 각 데이터를 200달러에 판매했습니다.

뉴욕 남부 지방 법원에 제출된 수정된 집단 소송 문서는 Coinbase 역사상 최대 규모의 데이터 유출에 대한 자세한 내용을 보여줍니다.
(이전 요약: 69,000명의 코인베이스 사용자 데이터 유출. 공식: 최대 배상금 4억달러, 해커 몸값 지불 거부)
(배경 보충: 베이스체인이 '토큰 발행'을 검토 중이라고 발표했는데, 코인베이스가 토큰을 발행하지 않겠다는 약속을 어긴 이유는 무엇인가?)

미국 상장 암호화폐 거래소 코인베이스가 랜섬머니를 받았다. 올해 5월 한 해커가 보낸 메모에는 해커가 코인베이스를 마스터했다고 주장했습니다. 이후 코인베이스는 미국 증권거래위원회(SEC)에 69,461명의 사용자 정보가 유출되었음을 확인하는 문서를 제출했습니다.

영향을 받는 정보에는 이름, 주소, 전화번호, 정부 신분증, 은행 계좌 세부정보 및 거래 기록이 포함됩니다. 사용자 로그인 자격 증명과 핵심 지갑이 직접적으로 손상되지는 않았지만 해커는 이러한 데이터를 사용하여 코인베이스 직원인 것처럼 가장하여 사용자를 속이는 대규모 사회 공학 공격을 수행하여 막대한 금전적 손실을 입혔습니다.

사고가 폭로된 후 코인베이스는 피해를 입은 사용자에게 전액 보상하고 1년 동안 무료 신원 보호 서비스를 제공하겠다고 약속했습니다. 하지만 사건 공표를 5월까지 미뤘고(사건 발생 시기는 2024년 9월로 거슬러 올라간다), 이로 인해 사용자와 규제 당국의 비판이 촉발됐다.

뉴욕 법원 문서에 따르면 TaskUs 직원은 뇌물을 받고 비밀을 유출했습니다.

최근 뉴욕 남부 지방 법원에 제출된 수정된 집단 소송 문서에 따르면 데이터 유출의 배후에 있는 사람은 Coinbase의 아웃소싱 파트너인 미국 비즈니스 프로세스 아웃소싱 회사인 TaskUs를 지목했습니다. 조사 결과, 범죄자들이 인도의 TaskUs 고객 지원 직원에게 뇌물을 제공하여 Coinbase의 운영 체제에 성공적으로 침투하고 대량의 사용자 정보를 훔친 것으로 나타났습니다.

보고서에 따르면 TaskUs 직원은 컴퓨터 화면에 표시된 코인베이스 고객 정보를 사진으로 찍어 해커에게 사진당 200달러의 가격으로 전달한 혐의를 받고 있습니다. 조사 결과 직원 아시타 미슈라(Ashita Mishra)는 2024년 9월부터 범죄에 연루된 것으로 지목됐다. 그녀는 하루 최대 200장의 사진을 찍고 1만 명 이상의 사용자 개인정보를 자신의 휴대전화에 저장했다. 더욱이 범죄 집단은 "허브 앤 스포크" 모델을 채택합니다. Mishra와 그의 동료들은 여러 소그룹에게 작업을 수행하도록 지시하며 참가자들은 서로를 인식하지 못합니다. 소장에 따르면 TaskUs 직원은 이 방법을 통해 50만 달러 이상의 뇌물을 받았는데, 이는 인도 직원 100명 이상의 연봉을 합친 것과 맞먹는 금액입니다.

문서에서는 TaskUs가 체계적인 관리 실패와 직원 행동을 효과적으로 모니터링하지 못했다고 비난합니다. 태스크어스는 2025년 1월 침해 사실을 발견한 뒤 관련 직원 300여 명을 해고했지만, 원고측은 회사가 내부 조사를 제압하려 했고, 우려를 제기한 인사 담당자까지 해고했으며, 코인베이스와 대중에 사건을 공개하는 것을 지연해 피해가 확대됐다고 주장한다.

Coinbase 및 TaskUs의 후속 처리

Coinbase는 사건이 알려진 후 신속하게 조치를 취하여 TaskUs 직원 및 관련 해외 에이전트와의 협력을 종료하고 해커를 체포하는 데 2천만 달러의 현상금을 제공했습니다. TaskUs는 평판 위기에 직면해 있습니다. 세계적으로 유명한 BPO 제공업체로서 관리 허점은 다른 기술 회사와의 협력에도 영향을 미쳤습니다.

애널리스트들은 이번 사건이 암호화폐 업계에서 민감한 사업을 아웃소싱하는 데 따른 위험성을 부각시키고, 향후 거래소들이 해외 운영 모델을 재평가하게 될 수도 있다고 지적했습니다. 이 사건은 현재 사법 절차가 진행 중이며, 후속 전개는 Coinbase와 TaskUs의 책임에 더욱 영향을 미칠 것입니다.