안녕하세요.
AI 기반의 아이덴티티 플랫폼, 아르고스 아이덴티티 코리아(ARGOS Identity Korea)입니다.
글로벌 최대 가상자산 거래소 중 하나인 코인베이스(Coinbase)가 최근 보안 침해로 사용자 데이터를 탈취당하는 사고를 겪었습니다. 암호화폐를 지키기 위한 기본은 강력한 인증 시스템이지만, 여전히 많은 기업들이 단순한 해킹 그 이상의 문제를 겪고 있습니다. 오늘 코인베이스의 유출 사례와 아르고스의 해답을 소개해드리고자 합니다.
코인베이스 정보 유출 사례
1. 이메일 스팸 및 피싱 사기
암호화폐 투자자들은 코인베이스를 사칭한 사기 이메일이 잇따라 발송되고 있다고 신고한 사례가 있는데요, 이 이메일은 사용자들에게 4월 1일 마감일 전에 자산을 사기성 자체 관리 지갑으로 이체하라고 내용이었습니다.
피해자들은 X에서 최근 발생한 사기 이메일 사례를 공유했습니다.
위의 이미지에서 볼 수 있듯 Coinbase의 사용자들에게 대량 피싱 이메일 또는 문자가 전달되었는데요, 하나는 가짜 지원 번호로 전화를 걸게 하는 가짜 확인 문자이고, 다른 하나는 돈을 빼낼 수 있는 진짜 지갑을 설정하게 하는 이메일이었습니다.
문자 또는 이메일을 통해 해킹된 지갑으로 전송된 모든 암호화폐 자산은 사기꾼에게 즉시 접근이 허용되어 이체된 모든 자금이 도난당하게 됩니다.
사기 이메일에는 "Coinbase는 등록된 브로커로 운영되어 구매는 허용하지만 모든 자산은 Coinbase Wallet으로 옮겨야 합니다."라는 내용이 포함되어 있습니다.
거래소는 X에서 이러한 사기 이메일에 공식적으로 대응했습니다. 최근 게시물에서 거래소는 사기꾼들의 피싱 이메일을 인지하고 있다고 밝히며, "저희는 절대 복구 문구를 보내드리지 않으며, 다른 사람이 제공한 복구 문구는 절대 입력하지 마십시오."라고 경고하기도 했습니다.
2. 대규모 데이터 침해 사건
Coinbase는 데이터 침해로 최소 69,000명의 고객이 영향을 받았다고 밝혔습니다. 코인베이스는 지난주에 공개한 수개월간의 데이터 침해로 최소 69,461명의 고객의 개인 및 금융 정보가 도난당했다고 밝혔습니다. 암호화폐 거대 기업은 메인주 검찰총장에 제출한 서류에서 주 데이터 침해 신고법이 요구하는 대로 영향을 받은 고객 수를 확인했습니다.
해당 침해는 2024년 12월 26일로 거슬러 올라가며, 이달 초까지 계속되었다고 합니다. 해커는 데이터 삭제 대가로 2천만 달러의 몸값을 요구했지만, 코인베이스는 이를 지불하지 않았습니다.
해커는 수개월에 걸쳐 코인베이스 고객 지원팀에 뇌물을 제공하여 고객 데이터에 접근했으며, 부유한 고객을 표적으로 삼아 이름, 이메일 주소, 우편 주소, 전화번호, 정부 발행 신분증, 계좌 잔액, 거래 내역 등을 훔쳤습니다.
기존 보안 수단의 한계
생성형 AI를 이용한 KYC 우회
사이버보안 기업 이뮤니웹(ImmuniWeb)의 CEO 일리야 콜로첸코는 "누구나 가짜 미국 여권이나 유명 로스쿨 졸업장을 만들 수 있다. 그리고 신원 확인 절차가 적용된 기업의 50%는 생성형 AI로 우회가 가능하다"고 밝혔습니다. 2024년 2월에는 AI를 이용해 가짜 여권을 생성해 디지털자산 거래소의 KYC 검증을 우회할 수 있다는 사례가 보고됐고, 같은 해 10월에는 영상 생성 AI 서비스가 등장해 디지털자산 KYC 우회 도구로 활용됐습니다.
그는 "KYC는 계속 유지될 것이며, 규제 당국이 오히려 기준을 더 강화할 가능성이 높다. KYC 없이 디지털자산은 모든 종류의 범죄 도구로 악용될 위험이 있다"고 지적했습니다. 또한 그는 이번 사건을 기술적 취약점이나 시스템 해킹에 의한 데이터 유출이 아닌, 내부자의 뇌물 수수로 인한 정보 탈취로 정의했습니다.
기존의 KYC 인증 절차는 디지털 자산 시장에서 필수적인 보안 수단으로 자리 잡고 있지만, 최근 사례들을 통해 그 한계가 명확히 드러나고 있습니다. 더욱이 이번 코인베이스 사례처럼 내부자의 뇌물 수수로 인한 데이터 유출까지 발생하면서, 단순 서류 기반의 본인 확인은 더 이상 신뢰하기 어렵다는 인식이 확산되고 있습니다.
따라서 기존 KYC 방식만으로는 점점 더 정교해지는 위·변조 기술과 내부 보안 리스크에 대응하기에는 근본적인 한계가 있으며, 이를 보완할 수 있는 추가 인증 등 디테일한 보안 기술의 도입이 시급한 상황입니다.
노출 가능성이 높은 PIN!
기존 KYC 인증 방식 이외에도 PIN(Personal Identification Number)은 대표적인 지식 기반 인증 방식으로, 사용자가 알고 있는 정보를 바탕으로 본인 여부를 판단합니다. 그러나 이러한 방식은 정보가 유출되면 누구나 인증을 통과할 수 있다는 치명적인 한계를 갖고 있습니다. 예를 들어, PIN은 타인에게 쉽게 노출 될 가능성이 있으며 디바이스 해킹(예: 화면 리더나 로그 기록), 또는 여러 서비스에서 동일한 PIN을 사용하는 재사용 습관 등을 통해 쉽게 탈취될 수 있습니다. 또한 PIN은 보통 4~6자리의 짧은 숫자 조합으로 구성되어 있어 브루트포싱 공격(무작위 대입 추측)에 매우 취약합니다. 몇 초 내로 정답을 맞힐 수도 있을 정도로 보안성이 낮은 것이 현실입니다.
SIM 스와핑부터 피싱까지, OTP의 취약성
2FA 코드(One-Time Password, OTP) 역시 보안을 강화하기 위한 수단이지만, 완벽하지는 않습니다. 가장 흔한 형태인 SMS 기반 OTP는 SIM 스와핑(SIM swapping)이라는 공격에 노출될 수 있습니다. 이 공격은 공격자가 피해자의 번호를 자신의 SIM 카드로 옮긴 후 OTP를 가로채는 방식입니다. 또 다른 방식인 인증 앱(Google Authenticator 등)은 기기 자체가 탈취될 경우 의미를 잃게 됩니다. 게다가 OTP는 중간자 공격(Man-in-the-Middle)의 대상이 되기 쉽습니다. 예를 들어 피싱 사이트에 사용자가 OTP를 입력하면, 이 값을 공격자가 실시간으로 서버에 전달하여 인증을 통과하는 방식입니다.
심지어 시간 기반으로 생성되는 OTP(TOTP, Time-based OTP)는 알고리즘과 생성 로직이 예측 가능하기 때문에, 시계 오차 등을 감안하면 몇 초 차이의 OTP를 추측해내는 것도 불가능하지 않습니다. 결국, PIN이나 OTP는 모두 디바이스나 사용자 환경에 의존적이며, 강력한 보안 수단이라고 보기엔 부족한 측면이 있습니다.
ARGOS ID check를 통한 해결책 제안
셀피 기반 실시간 본인 확인 기능
아르고스는 무엇이 다를까요?
안전한 사용자 인증 흐름을 구축하기 위해서는 단계별로 신뢰 기반의 절차를 적용하는 것이 중요합니다. 우선, 사용자는 ARGOS의 ID check 서비스를 통해 최초 1회의 신원 인증을 진행하게 됩니다. 이는 글로벌 표준에 부합하는 전자문서 인증 및 eKYC 방식을 기반으로 하며, 신원 정보 등록과 검증의 출발점이 됩니다.
이후, 거래 전송(Tx)이나 계정 변경 등 민감한 행동이 발생하는 시점에는 ARGOS의 Face Auth 기능을 활용한 생체 기반 추가 인증을 적용할 수 있습니다. 이 과정에서는 사용자의 실시간 얼굴을 캡처하여 최초 등록된 얼굴 정보와 비교하는 방식으로 인증이 진행되며, 디바이스나 세션에 구애받지 않고 사용자의 실재 여부를 정확하게 확인할 수 있습니다.
그렇다면 왜 생체 기반 인증이 중요한 걸까요? 기존의 PIN 번호나 2FA 코드는 디바이스 탈취나 세션 하이재킹 공격에 상대적으로 취약합니다. 반면, ARGOS의 Face Auth는 사용자의 생체 정보를 기반으로 하기 때문에, 중간자 공격이나 인증 정보 재사용이 원천적으로 불가능하며, 탈취된 이미지나 영상으로도 위변조가 어렵습니다.
이러한 추가 인증 절차를 통해, ARGOS는 보안성과 사용자 편의성을 모두 갖춘 안전한 인증 환경을 제공합니다.
위에서 살펴본 PIN/ 2FA CODE와 아르고스의 ID check에 있는 Face Auth 기능은 무엇이 다를까요?
FACE AUTH와의 비교
요소 | PIN / 2FA CODE | FACE AUTH |
인증 기준 | 기억 / 디바이스 소유 | 실시간 얼굴 (생체) |
탈취 가능성 | 높음 | 거의 없음 |
중간자 공격 대응 | 취약 | 방어 가능 |
인증 주체 증명력 | 낮음 | "진짜 본인" 확인 가능 |
ARGOS의 비대면 신원 인증과 라이브니스 검증 기술
즉, ID check로 등록된 본인 정보를 기반으로 계정 도용이나 사기 행위로부터 사용자를 보호하여 거래 전반의 신뢰를 확보하고, 사용자의 신원을 다시 한 번 확인함으로써, 보다 안전한 거래 환경을 구축할 수 있습니다. 기업 고객에게는 보다 신뢰도 높은 인증 환경을 제공하는 것이죠.
ARGOS의 ID check는 단순히 얼굴을 인식하는 기술을 넘어, 실제 사람인지 여부를 판별하는 라이브니스(liveness) 기술까지 적용되어 있어, 정교하게 조작된 사진이나 영상으로는 인증을 우회할 수 없습니다.
이번 사건은 단순한 해킹이 아닌 내부자의 뇌물 그리고 AI를 활용한 인증 우회 등 복합적인 요소가 얽힌 사례였는데요, 기존의 문서 기반 KYC만으로는 더 이상 사용자의 신원을 안전하게 보호할 수 없다는 점을 보여줍니다.
ARGOS는 이러한 한계를 극복하기 위해 ID check 시스템을 통해 보다 강력하고 신뢰할 수 있는 신원 인증 환경을 제공합니다. 많은 사용자들이 이용하고있는 신뢰 기반의 디지털 거래가 중요한 만큼 안전한 거래를 위해 인증 시스템도 더 주의를 기울여야 합니다.
