어둠의 숲 속 "고객 서비스": 소셜 엔지니어링 사기가 코인베이스 사용자를 표적으로 삼을 때

저자: 리즈 & 리사

편집자: 셰리

배경

암호화폐 분야에서는 사회공학적 공격이 사용자 자금 보안에 큰 위협이 되고 있습니다. 2025년 이후, Coinbase 사용자를 표적으로 삼는 수많은 소셜 엔지니어링 사기가 계속해서 발생하면서 커뮤니티의 폭넓은 관심을 끌고 있습니다. 커뮤니티 토론 내용을 보면 이런 사건이 단발적인 사례가 아니라 지속적이고 조직적인 특징을 지닌 일종의 사기라는 것을 쉽게 알 수 있습니다.

5월 15일, 코인베이스는 코인베이스에 "유령"이 있다는 이전의 추측을 확인하는 발표를 발표했습니다. 미국 법무부(DOJ)가 데이터 유출 사건에 대한 조사에 착수했다고 전해졌습니다.

이 글에서는 여러 보안 연구원과 피해자가 제공한 정보를 종합하여 사기꾼이 사용하는 주요 수법을 밝히고, 플랫폼과 사용자 관점에서 이러한 사기에 효과적으로 대처하는 방법을 살펴봅니다.

 (https://x.com/coinbase/status/1922967576209998133)

역사적 분석

Chainalysis의 형사 Zach는 5월 7일 Telegram 업데이트에서 "지난주만 해도 소셜 엔지니어링 사기로 Coinbase 사용자들로부터 4,500만 달러 이상이 도난당했습니다."라고 적었습니다.

지난해 Zach는 자신의 Telegram 채널과 X 플랫폼을 통해 Coinbase 사용자 도난 사건을 여러 번 공개했으며, 일부 피해자는 수천만 달러를 손실했습니다. Zach는 2025년 2월에 자세한 조사 결과를 발표하면서 2024년 12월과 2025년 1월 사이에 비슷한 사기로 인해 도난당한 총 금액이 6,500만 달러를 넘었다고 밝혔고, Coinbase가 심각한 "소셜 엔지니어링 사기" 위기에 직면해 있다고 밝혔습니다. 이러한 공격은 연평균 3억 달러 규모의 사용자 자산 보안을 지속적으로 침해하고 있습니다. 그는 또한 다음과 같이 언급했습니다.

이런 종류의 사기를 주도하는 갱단은 크게 두 가지 범주로 나눌 수 있습니다. 하나는 COM 서클의 저수준 공격자(스키드)이고, 다른 하나는 인도에 기반을 둔 사이버 범죄 조직입니다.
사기 조직은 주로 미국 사용자를 표적으로 삼으며, 표준화된 수법과 성숙한 수사 과정을 사용합니다.
실제 손실액은 체인에 표시되는 통계보다 훨씬 더 높을 수 있습니다. 이는 코인베이스 고객 서비스 티켓이나 접근할 수 없는 경찰 보고서 기록과 같은 공개되지 않은 정보가 포함되지 않았기 때문입니다.

 (https://x.com/zachxbt/status/1886411891213230114)

사기 수법

이 사건에서 코인베이스의 기술 시스템은 해킹당하지 않았습니다. 사기꾼들은 내부 직원의 권한을 악용해 일부 사용자의 민감한 정보를 얻었습니다. 이 정보에는 이름, 주소, 연락처 정보, 계좌 데이터, 신분증 사진 등이 포함됩니다. 사기꾼의 궁극적인 목표는 소셜 엔지니어링을 사용하여 사용자가 돈을 이체하도록 유도하는 것입니다.

 (https://www.coinbase.com/blog/protecting-our-customers-standing-up-to-extortionists)

이러한 유형의 공격 방법은 기존의 "넓은 그물을 던지는" 피싱 방법을 바꾸어 "맞춤형" 사회 공학 사기라고 할 수 있는 "정밀 공격"으로 전환되었습니다. 범죄를 저지르는 일반적인 경로는 다음과 같습니다.

1. "공식 고객센터"로 문의하세요.

사기꾼은 가짜 전화 시스템(PBX)을 사용해 Coinbase 고객 서비스를 사칭한 후 사용자에게 전화를 걸어 "계정에 불법 로그인이 발생했습니다" 또는 "비정상적인 출금이 감지되었습니다"라고 말하여 비상 상황을 조성합니다. 그런 다음 가짜 작업 주문 번호나 "복구 프로세스" 링크가 포함된 모의 피싱 이메일이나 문자 메시지를 보내고 사용자에게 조치를 취하도록 안내합니다. 이러한 링크는 복제된 Coinbase 인터페이스를 가리킬 수 있으며 공식 도메인에서 보낸 것처럼 보이는 이메일을 보낼 수도 있습니다. 이 중 일부는 보안 보호 기능을 우회하기 위해 리디렉션 기술을 사용합니다.

2. 사용자에게 Coinbase Wallet을 다운로드하도록 안내합니다.

사기꾼은 "자산 보호"라는 명목으로 사용자에게 "안전한 지갑"으로 자금을 이체하도록 유도합니다. 또한 사용자가 Coinbase Wallet을 설치하도록 돕고 원래 Coinbase에 호스팅된 자산을 새로 만든 지갑으로 이체하도록 지시합니다.

3. 사기꾼이 제공한 니모닉 문구를 사용하도록 사용자를 유도합니다.

기존의 "사기성 니모닉 문구"와는 달리, 사기꾼은 직접 생성한 니모닉 문구 세트를 제공하여 사용자가 이를 "공식적인 신규 지갑"으로 사용하도록 유도합니다.

4. 사기꾼은 자금을 훔칩니다.

피해자들은 긴장하고 불안한 상태로 "고객 서비스"를 신뢰하게 되면 쉽게 함정에 빠지게 됩니다. 피해자들의 관점에서 보면 "공식적으로 제공된" 새 지갑은 "해킹당한 것으로 의심되는" 기존 지갑보다 당연히 더 안전합니다. 결과적으로 자금이 이 새로운 지갑으로 이체되면 사기꾼은 즉시 자금을 이체할 수 있습니다. 열쇠도 아니고 동전도 아닙니다. —— 이 개념은 사회 공학적 공격에서 다시 한번 피비린내 나는 검증을 받았습니다.

또한 일부 피싱 이메일은 "집단 소송의 판결로 인해 코인베이스가 자체 호스팅 지갑으로 완전히 이전될 것"이라고 주장하며 사용자에게 4월 1일 이전에 자산 이전을 완료할 것을 요구합니다. 촉박한 시간 압박과 "공식 지침"이라는 심리적 암시로 인해 사용자는 작업에 협조할 가능성이 더 높습니다.

 (https://x.com/SteveKBark/status/1900605757025882440)

@NanoBaiter에 따르면, 이러한 공격은 종종 조직적인 방식으로 계획되고 실행됩니다.

사기 도구 체인은 완성되었습니다. 사기꾼은 PBX 시스템(FreePBX 및 Bitrix24 등)을 사용하여 수신 전화번호를 위조하고 공식적인 고객 서비스 전화를 가장합니다. 피싱 이메일을 보낼 때 이들은 Telegram에서 @spoofmailer_bot을 사용하여 공식 Coinbase 이메일 주소를 사칭하고, 이체 방법을 안내하는 "계정 복구 가이드"를 첨부합니다.
정확한 타겟팅: 사기꾼은 Telegram 채널과 다크 웹(예: "5k COINBASE US2", "100K_USA-gemini_sample")에서 구입한 도난된 사용자 데이터를 이용해 미국 Coinbase 사용자를 주요 타겟으로 삼습니다. 이들은 ChatGPT를 사용해 도난당한 데이터를 처리하고, 전화번호를 분할 및 재구성하고, 일괄적으로 TXT 파일을 생성한 다음, 발파 소프트웨어를 통해 SMS 사기를 보냅니다.
사기 수사는 일관적입니다. 전화 통화, 문자 메시지, 이메일 등 사기 수사의 경로는 대개 원활하고 일관적입니다. 피싱 사기의 흔한 문구로는 "계정에 출금 요청이 들어왔습니다", "비밀번호가 재설정되었습니다", "계정에 비정상적인 로그인이 있습니다" 등이 있으며, 이는 피해자가 지갑 이체가 완료될 때까지 계속해서 "보안 확인"을 수행하도록 유도합니다.

 (https://x.com/NanoBaiter/status/1923099215112057010)

MistTrack 분석

우리는 Zach가 공개하고 우리가 양식을 통해 받은 사기꾼의 주소 중 일부를 분석하기 위해 온체인 자금세탁 방지 및 추적 시스템인 MistTrack(https://misttrack.io/)을 사용했고, 이러한 사기꾼이 강력한 온체인 운영 역량을 보유하고 있다는 것을 발견했습니다. 다음은 몇 가지 주요 정보입니다.

사기꾼의 공격 대상은 Coinbase 사용자가 보유한 다양한 자산입니다. 이들 주소의 활동 기간은 2024년 12월에서 2025년 5월 사이에 집중되어 있으며, 대상 자산은 주로 BTC와 ETH입니다. 현재 사기의 주요 대상은 BTC이며, 여러 주소를 통해 한 번에 최대 수백 BTC의 이익을 냈으며, 단일 거래로 수백만 달러의 가치가 발생했습니다.

사기꾼은 자금을 확보한 후 재빨리 일련의 자금세탁 절차를 거쳐 자산을 교환하고 이전합니다. 주요 모드는 다음과 같습니다.

ETH 자산은 종종 Uniswap을 통해 DAI 또는 USDT로 빠르게 전환된 후 여러 개의 새로운 주소로 분산되어 전송되며, 일부 자산은 중앙 집중식 거래 플랫폼으로 들어갑니다.

BTC는 주로 THORChain, Chainflip 또는 Defiway Bridge를 통해 Ethereum으로 전송된 다음 추적 위험을 피하기 위해 DAI 또는 USDT로 변환됩니다.

여러 사기 주소는 DAI 또는 USDT를 받은 후에도 여전히 "휴면" 상태에 있으며 아직 전송되지 않았습니다.

의심스러운 주소와 귀하의 주소가 상호 작용하여 자산이 동결되는 위험을 피하기 위해, 사용자는 온체인 자금세탁 방지 및 추적 시스템인 MistTrack(https://misttrack.io/)을 사용하여 거래 전에 대상 주소에 대한 위험 감지를 수행하여 잠재적 위협을 효과적으로 피하는 것이 좋습니다.

대책

플랫폼

현재 주류 보안 대책은 주로 '기술적 계층'에 기반한 보호에 중점을 두고 있지만, 사회 공학적 사기는 종종 이러한 메커니즘을 우회하여 사용자의 심리적, 행동적 허점을 직접 공격합니다. 따라서 플랫폼에서는 사용자 교육, 보안 훈련, 사용성 설계를 통합하여 "사람 중심" 보안 방어선을 구축하는 것이 좋습니다.

정기적으로 사기 방지 교육 콘텐츠를 홍보합니다. 앱 팝업, 거래 확인 인터페이스, 이메일 등을 통해 사용자의 피싱 방지 역량을 개선합니다.
위험 관리 모델을 최적화하고 "대화형 비정상 동작 식별"을 도입합니다. 대부분의 소셜 엔지니어링 사기는 사용자가 짧은 시간 내에 일련의 작업(예: 전송, 허용 목록 변경, 장치 바인딩 등)을 완료하도록 유도합니다. 플랫폼은 행동 체인 모델을 기반으로 의심스러운 상호작용 조합(예: "빈번한 상호작용 + 새로운 주소 + 대규모 출금")을 식별하고 쿨링오프 기간 또는 수동 검토 메커니즘을 적용해야 합니다.
고객 서비스 채널과 검증 메커니즘을 표준화하세요. 사기꾼은 종종 고객을 혼란스럽게 하기 위해 고객 서비스를 사칭합니다. 이 플랫폼은 전화, SMS, 이메일 템플릿을 통합하고, 혼란을 피하기 위해 유일한 공식 커뮤니케이션 채널을 명확히 하기 위해 "고객 서비스 확인 입구"를 제공해야 합니다.

사용자

신원 분리 전략을 구현하세요. 여러 플랫폼에서 동일한 이메일 주소나 휴대전화 번호를 공유하지 않도록 하여 공동 위험을 줄이세요. 유출 쿼리 도구를 사용하면 이메일 주소가 유출되었는지 정기적으로 확인할 수 있습니다.

 (https://haveibeenpwned.com/)

송금 허용 목록과 출금 쿨링 메커니즘을 활성화합니다. 신뢰할 수 있는 주소를 미리 설정하여 비상 상황에서 자금 손실 위험을 줄입니다.
계속해서 보안 정보에 주의를 기울이세요. 보안 회사, 미디어, 거래 플랫폼 및 기타 채널을 통해 공격 방법의 최신 동향에 대해 알아보고 항상 경계하세요. 현재 SlowMist, @DeFiHackLabs, @realScamSniffer가 만든 Web3 피싱 드릴 플랫폼이 출시될 예정입니다. 이 플랫폼은 소셜 엔지니어링 포이즈닝, 서명 피싱, 악의적인 계약 상호 작용 등 다양한 일반적인 피싱 기법을 시뮬레이션하고, 과거 논의에서 수집한 실제 사례를 결합하여 시나리오 콘텐츠를 지속적으로 업데이트합니다. 사용자가 위험 없는 환경에서 식별 및 대응 역량을 향상시킬 수 있도록 합니다.
오프라인 위험과 개인정보 보호에 주의하세요. 개인정보 유출은 개인의 안전 문제를 야기할 수도 있습니다.

이는 근거 없는 걱정이 아닙니다. 올해 초부터 암호화폐 실무자/사용자들은 개인의 안전을 위협하는 많은 사건을 경험했습니다. 유출된 데이터에는 이름, 주소, 연락처 정보, 계정 정보, 신분증 사진 등이 포함되어 있으므로 관련 사용자도 주의를 기울이고 오프라인에서도 안전에 유의해야 합니다.

간단히 말해서, 회의적인 태도를 갖고 계속 확인하세요. 긴급 상황이 발생할 경우, 상대방에게 신원 증명을 요청하고 공식적인 채널을 통해 독립적으로 검증하여 압박 하에서 돌이킬 수 없는 결정을 내리는 일이 없도록 하세요. 보안에 대한 추가 조언과 새로운 공격 방법에 대해서는 Blockchain Dark Forest Self-Guard Handbook(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/)을 참조하세요.

요약하다

이번 사건은 점점 더 정교해지는 소셜 엔지니어링 공격 방법에도 불구하고 업계가 고객 데이터와 자산을 보호하는 데 여전히 부족한 점이 있다는 사실을 다시 한번 드러냈습니다. 플랫폼의 관련 직책에 재정적 권한이 없고 충분한 보안 인식과 역량이 부족하더라도 의도치 않은 유출이나 전복으로 인해 심각한 결과가 발생할 수 있다는 점에 유의해야 합니다. 플랫폼이 계속 확장됨에 따라 인사 안전 관리의 복잡성도 증가하고 있으며, 이는 업계에서 극복하기 가장 어려운 위험 중 하나가 되었습니다. 따라서 플랫폼은 온체인 보안 메커니즘을 강화하는 동시에 내부 인력과 아웃소싱 서비스를 포괄하는 "사회 공학적 방어 시스템"을 체계적으로 구축하여 인적 위험을 전반적인 보안 전략에 통합해야 합니다.

또한 해당 공격이 고립된 사건이 아니라 조직적이고 대규모이며 지속적인 위협이라는 것이 발견되면 플랫폼은 즉시 대응하고 잠재적인 취약점을 사전에 확인하고 사용자에게 예방 조치를 취하도록 상기시키며 피해 범위를 통제해야 합니다. 점점 더 복잡해지는 보안 환경에서 우리가 진정한 신뢰와 수익을 유지하려면 기술적, 조직적 수준에서 두 가지 조치를 취해야 합니다.