사회 공학 사기가 증가하고 있으며, 이러한 공격은 2025년 1분기 동안 코인베이스 사용자들을 특히 표적으로 삼았습니다. ZachXBT의 일련의 조사에 따르면, 2024년 12월 이후 사용자들은 1억 달러 이상의 자금을 잃었으며, 연간 손실은 3억 달러에 달했습니다.
다양한 사용자들이 제기한 불만을 정리한 후, BeInCrypto는 코인베이스의 최고 정보 보안 책임자(CISO)인 제프 룽로퍼와 대화를 나누어 이러한 공격에 사용자가 취약한 이유, 공격이 발생하는 방식, 그리고 이를 막기 위해 어떤 조치가 취해지고 있는지 이해했습니다.
코인베이스 사용자 사기 심각성
2025년 1분기 동안 여러 코인베이스 사용자들이 사회 공학 사기의 희생양이 되었습니다. 해킹이 시간이 지남에 따라 더욱 정교해지는 분야에서 선도적인 중앙화 거래소로서, 이러한 현실은 놀랍지 않습니다.
최근 조사에서, Web3 연구원 ZachXBT는 코인베이스 계정에서 대규모 인출을 당한 여러 X 사용자들로부터 받은 메시지를 보고했습니다.
3월 28일, ZachXBT는 한 개인에게 3500만달러에 가까운 손실을 입힌 중요한 사회 공학 공격을 공개했습니다. 그 기간 동안의 추가 조사를 통해 동일한 공격의 추가 피해자들이 밝혀졌으며, 3월에만 도난당한 총액이 4600만달러를 초과했습니다.
한 달 전 완료된 별도의 조사에서, ZachXBT는 2024년 12월부터 2025년 1월 사이에 코인베이스 사용자들로부터 6500만달러가 도난당했다고 밝혔습니다. 그는 또한 코인베이스가 사용자들에게 연간 3억 달러의 손실을 입히는 사회 공학 사기 문제를 조용히 해결하고 있다고 보고했습니다.
코인베이스 사용자들이 사회 공학 사기에 특히 취약한 반면, 중앙화 거래소 전반적으로도 이러한 점점 더 정교해지는 공격에 크게 영향을 받고 있습니다.
FBI 접수된 암호화폐 민원, 46%가 투자 사기 관련
최근 몇 년간 사회 공학 사기의 진화에 대한 공공 데이터는 제한적이고 다소 오래되었습니다. 그러나 이용 가능한 보고서의 수치는 놀랍습니다.
2023년, 미국 연방수사국(FBI) 산하 인터넷 범죄 신고 센터(IC3)는 최초의 암호화폐 보고서를 발표했습니다. 투자 사기는 암호화폐 관련 불만의 가장 큰 범주를 차지했으며, 거의 6만9500건의 불만 중 46%를 차지하거나 약 3만3000건에 해당했습니다.
투자 사기, 또는 피그 부처링은 높은 수익과 낮은 위험을 약속하여 투자자, 특히 큰 이익을 놓칠까 두려워하는 암호화폐 초보자들을 유혹합니다.
IC3 보고서에 따르면, 이러한 계획은 사회 공학과 신뢰 구축에 의존합니다. 범죄자들은 SNS, 데이팅 앱, 전문 네트워크, 암호화된 메시징을 통해 대상과 연결합니다.
2023년, 이러한 투자 사기는 사용자들에게 39억6000만달러의 손실을 초래했으며, 이는 전년 대비 53% 증가한 수치입니다. 피싱 및 스푸핑과 같은 다른 사회 공학 사기는 추가로 960만달러의 손실을 초래했습니다.
이러한 사기는 지난 몇 년 동안 코인베이스 사용자들에게 광범위한 영향을 미쳤습니다.
암호화폐 사용자 노리는 사기 수법
코인베이스 사기꾼들은 가짜 이메일을 생성하는 경향이 있습니다. 이는 복제된 웹사이트 이미지와 가짜 사례 ID를 사용하여 합법적으로 보이게 합니다. 그런 다음 스푸핑된 전화를 통해 사용자에게 연락하여 개인 정보를 활용하여 신뢰를 구축한 후 이러한 기만적인 이메일을 보냅니다.
사기꾼들이 사용자를 상호작용의 합법성에 대해 확신시킨 후, 그들은 자금을 이체하도록 설득하여 상황을 악용합니다.
이러한 사기의 증가하는 정교함은 감정적 조작과 피해자의 특정 취약성을 보여줍니다. 이는 중앙화 거래소가 이러한 착취의 주요 플랫폼임을 나타냅니다.
ZachXBT의 조사와 X 사용자 보고서는 사회 공학 사기의 범위와 코인베이스의 명백한 관리 효과성 사이의 격차를 드러냅니다.
공공 토론은 코인베이스가 일반적인 준수 도구에서 도난 주소를 표시하지 않았음을 나타냅니다.
사기의 피해자와 자금이 동결된 사용자는 코인베이스가 이 증가하는 비용 문제에 대해 강력한 조치를 취할 것을 촉구하고 있습니다. 이러한 사기가 발생하는 방식을 이해하는 것이 효과적으로 대처하는 데 필수적입니다.
코인베이스 사용자, 어떻게 피해자가 되나?
1월에 한 피해자가 85만 달러를 잃은 후 조사관에게 연락했습니다. 그 경우, 사기꾼은 스푸핑된 전화번호로 피해자에게 연락하여 신뢰를 얻기 위해 개인 정보를 사용했습니다.
사기꾼은 피해자에게 가짜 사건 ID가 포함된 스푸핑 이메일을 보내 계정에 여러 번의 무단 로그인 시도가 있었다고 믿게 했습니다. 사기꾼은 피해자에게 주소를 안전 목록에 추가하고 다른 코인베이스 지갑으로 자금을 이체하라고 지시했습니다.
작년 10월, 또 다른 코인베이스 사용자는 코인베이스 지원을 사칭하는 스푸핑 번호로부터 전화를 받은 후 650만 달러를 잃었습니다.
피해자는 피싱 사이트를 사용하도록 강요받았습니다. 8개월 전, 또 다른 피해자는 사기꾼이 코인베이스 로그인을 재설정하도록 설득한 후 400만 달러를 잃었습니다.
ZachXBT는 코인베이스가 일반적인 준수 자원에서 도난 주소를 보고하지 않는 것과 증가하는 사회 공학 문제를 적절히 처리하지 않는 것에 대해 우려를 제기했습니다.
BeInCrypto와의 대화에서 코인베이스의 최고 정보 보안 책임자인 Jeff Lunglhofer는 사건에 대한 자신의 견해를 공유했습니다.
코인베이스 CISO, 사회공학 사기 대응
코인베이스는 사용자에게 영향을 미치는 사회 공학 사기의 광범위한 피해를 명확히 이해하고 있음에도 불구하고, Lunglhofer는 이 문제를 단일 기관에 맡기기보다는 더 넓은 암호화폐 커뮤니티가 함께 해결해야 한다고 강조했습니다.
“사회 공학 문제의 맥락에서, 물론 코인베이스 고객들이 영향을 받고 있습니다. 우리는 이를 잘 알고 있습니다. 우리는 사용자 보호를 위해 여러 가지 통제 개선을 진행하고 있으며, 더 중요한 것은 이러한 아이디어와 통제 개선을 모든 암호화폐 거래소와 산업 전반에 걸쳐 확산시키기 위해 더 넓은 산업과 협력하고 있습니다.”라고 Lunglhofer는 BeInCrypto에 말했습니다.
코인베이스의 CISO는 이 문제를 해결하기 위한 다른 플랫폼과의 협력 노력을 언급했습니다.
특히, Lunglhofer는 Match Group, Meta, Kraken, Ripple, Gemini와 같은 산업 플레이어와의 파트너십인 “Tech Against Scams” 이니셔티브를 지적했습니다.
Lunglhofer는 또한 코인베이스가 도난 주소를 표시할 때 유사한 접근 방식을 취한다고 덧붙였습니다.
코인베이스, 도난 주소를 다르게 처리하는 이유
BeInCrypto가 코인베이스에 왜 인기 있는 준수 도구에 도난 주소를 게시하지 않는지 물었을 때, Lunglhofer는 이러한 시나리오에 대한 다른 절차가 있다고 설명했습니다.
“우리는 다른 거래소와 직접 소통하여 자산이 인출된 주소를 알려줍니다.”라고 그는 말하며, “사실상 사기 활동이 있을 때, 우리는 사기와 관련된 모든 지갑을 회수하고, 소통하는 다른 거래소에 이를 전달합니다.”라고 덧붙였습니다.
Lunglhofer는 또한 코인베이스가 다양한 다른 암호화폐 거래소 및 조직과 협력하여 사기와 관련된 정보를 배포하기 위해 설립한 정보 공유 그룹인 Crypto ISAC을 언급했습니다.
스푸핑 이메일, 전화번호, 피싱 사이트에 관해서는 코인베이스가 외부 서비스 제공업체에 책임을 위임합니다.
코인베이스, 스푸핑 콘텐츠 홍수와의 싸움
Lunglhofer는 코인베이스가 식별하거나 보고서 형태로 받는 스푸핑 이메일의 수가 거래소가 이를 제거할 수 있는 용량을 훨씬 초과한다고 인정했습니다.
“안타깝게도, 그것들은 흔합니다. 5분 안에 10개를 열 수 있습니다. 매우 쉽게 할 수 있습니다. 그래서 우리가 할 수 있는 일이 많지 않습니다. 하지만, 우리가 그것들을 식별하거나 고객이 보고할 때, 우리는 그것들을 제거합니다.”라고 그는 말했습니다.
코인베이스는 이러한 경우에 유통 중인 스푸핑이나 피싱 캠페인을 제거하기 위해 공급업체를 사용합니다.
“우리는 제거를 위해 여러 공급업체를 사용합니다. 사기 전화번호가 나타날 때마다, 사기 URL이나 사기 웹사이트가 생성될 때마다, 우리는 그것들을 제거하기 위해 발행합니다. 우리는 DNS 제공업체 및 다른 업체와 협력하여 가능한 한 빨리 그것들을 제거하기 위해 공급업체를 사용할 것입니다.”라고 Lunglhofer는 BeInCrypto에 말했습니다.
이러한 예방 조치는 미래에 필수적이지만, 이미 수백만 달러를 사기에 잃은 사용자에게는 최소한의 구제책을 제공합니다.
책임은 누구? 사용자 vs 거래소
코인베이스는 사회 공학 사기로 인해 저축을 잃은 사용자를 위한 보험 정책 개발에 대한 BeInCrypto의 문의에 응답하지 않았으며, 이 분야에서의 접근 방식은 불분명합니다.
그러나 사회 공학 사기는 복잡합니다. 신뢰를 구축하기 위해 상당한 감정적 조작에 의존합니다. 이 복잡성은 사용자 취약성에 대한 책임의 정도와 중앙화된 거래소의 사용자 보호 조치의 잠재적 결함에 대한 질문을 제기합니다.
더 넓은 암호화폐 커뮤니티는 일반적으로 사용자가 합법적인 커뮤니케이션과 사기 시도를 구별하는 데 도움이 되는 더 많은 교육 자료가 필요하다는 데 동의합니다.
이 문제에 관해, Lunglhofer는 코인베이스가 갑자기 사용자를 호출하지 않을 것이라고 명확히 했습니다. 그는 또한 코인베이스가 최근에 사용자가 사기와 상호 작용할 가능성이 있는 경우 경고로 작용하는 다양한 기능을 구현했다고 언급했습니다.
또한, CISO는 사용자가 거래소에 의해 의심스러운 것으로 표시된 거래를 수행하려고 할 때 실시간 배너로 나타나는 교육 도구인 ‘사기 퀴즈’를 언급했습니다.
이 기능은 장점이 있지만, 사용자를 보호하는 능력을 정량화하기 어렵습니다. 특히 의심스러운 활동을 얼마나 효율적으로 표시하는지에 관해서는 더욱 그렇습니다. 코인베이스는 BeInCrypto가 사회 공학 사기와 관련된 데이터를 내부적으로 추적하는지 물었을 때 응답하지 않았습니다.
코인베이스의 ‘허용 목록’과 관련하여 유사한 문제가 발생합니다.
사용자 ‘안전 목록’ 도입 시도했지만…그 뒤에도 85만달러 손실
코인베이스는 사용자가 승인된 수신자 주소의 안전 목록을 만들어 낯선 또는 검증되지 않은 주소로의 거래를 방지할 수 있는 기능을 제공합니다. 룽글로퍼는 코인베이스 사용자에게 이 조치를 채택할 것을 강력히 권장합니다.
“우리는 모든 소매 고객에게 자산을 전송할 수 있는 지갑의 ‘허용 목록’을 만들 수 있는 기능을 제공합니다. 제 개인 코인베이스 계정에서는 ‘허용 목록’ 기능을 켜 두었고, 허용된 지갑은 세 개뿐입니다.” 룽글로퍼가 설명했습니다.
그러나 잭XBT가 밝힌 바에 따르면, 1월에 코인베이스 사용자가 입은 85만 달러의 사기 손실은 안전 목록의 중요한 한계를 보여줍니다.
피해자가 도난 주소를 추가한 후에도, 이 추가를 유도하는 조작이 여전히 발생할 수 있어 의도된 보호가 무력화될 수 있습니다.
코인베이스, 사용자 보호 더 할 수 있나?
정교한 사회 공학 사기는 증가하는 위협으로, 암호화폐 사용자에게 큰 도전을 안겨줍니다. 코인베이스 사용자와 중앙화 거래소가 특히 영향을 받습니다.
코인베이스의 노력에도 불구하고, 상당한 재정적 손실은 결심한 사기꾼에 대한 현재 산업 표준 조치의 한계를 강조합니다.
협력이 전반적으로 중요하지만, 코인베이스는 선도적인 플랫폼으로서 사용자 교육에 더 많은 노력을 기울여야 합니다.
사회 공학은 주로 사용자 주도의 문제이며, 거래소의 보안 실패가 아닙니다. 그러나 코인베이스와 같은 플랫폼은 이러한 위협을 해결하기 위한 산업 전반의 이니셔티브를 주도할 중요한 책임이 있습니다.
잃어버린 수백만 달러는 이러한 점점 더 정교하고 빈번한 공격으로부터 사용자를 보호하는 데 있어 경계와 집단적 행동이 필수적임을 상기시킵니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
