코인베이스 공식 서브도메인에 있는 한 페이지에서 사용자가 암호화 자산을 복구하기 위해 니모닉 시드 구문을 평문으로 입력하도록 유도하는 내용이 블록체인 보안 전문가들에 의해 문제점으로 지적되었습니다.
그들이 코인베이스 페이지 설정에 대해 가장 불만을 갖는 부분은 사용자들이 전형적인 사회공학적 공격에 노출될 위험이 있으며, 이미 범죄자들이 해당 정보를 입수했을 가능성이 있다는 점입니다.
해당 페이지는 코인베이스 커머스가 3월 31일 마감일을 앞두고 진행하는 서비스 종료 절차의 일환으로 게시되었습니다.
코인베이스, 고객을 피싱 위협에 노출시켜 비난받아
블록체인 보안 회사 SlowMist의 설립자이자 온라인에서 Evilcos로 알려진 Yu Xian은 2026년 3월 19일 Coinbase 페이지를 공개적으로 신고했습니다.
Xian 은 X에 스크린샷을 공유하며 "Coinbase가 자산 복구를 위해 사용자에게 평문 니모닉 구문을 직접 입력하도록 요구하는 이런 페이지를 만든 이유가 정말 이해가 안 갑니다. 이렇게 안전하지 않은 방식은 정말 믿을 수 없네요… 서브도메인이 해킹당한 줄 알았습니다."라고 썼습니다.
이번 경고는 코인베이스와 일부 사용자들에게 매우 민감한 시기에 나왔습니다. 코인베이스의 커머스 플랫폼이 서비스 종료를 앞두고 있어 수천 명의 판매자들이 긴급히 자금을 되찾아야 하는 상황이기 때문입니다.
바로 이런 마감 기한 압박 때문에 사용자들이 서두르고dent증명을 입력하는 위치를 덜 신중하게 선택하게 되는 것입니다.
사용자는 구글 드라이브와 같은 클라우드 스토리지 서비스에 저장한 문구를 복사할 수도 있습니다.
코인베이스의 도움말 문서에는 회사가 사용자의 복구 문구를 절대 요구하거나 접근할 수 없다고 명시되어 있는데, 상거래 페이지는 이 원칙과 정면으로 배치되는 것처럼 보입니다.
공격자들은 어떻게 이를 악용할 수 있을까요?
연구원들의 우려는 코인베이스가 해당 데이터를 어떻게 활용할지에 대한 것 이상입니다. 그들은 해당 페이지의 디자인이 사기 행위의 청사진을 제공한다고 말합니다.
SlowMist의 최고 정보 보안 책임자인 23pds는 "링크가 공식 Coinbase 웹사이트에서 온 것이기는 하지만, 사용자에게 자산 확인을 위해 니모닉 구문을 직접 전송하도록 요청하는 것은 매우 어리석은 일입니다." 라고 말했습니다
23pds는 또한 해당 페이지의 또 다른 문제점으로 "링크된 웹사이트의 사이트맵에 결함이 있다"고 지적했습니다. 공격자는 ResourcesSaver와 같은 도구를 사용하여 프런트엔드 코드를 쉽게 다운로드하고 유사한 웹사이트를 배포할 수 있습니다. 만약 여기에 Coinbase와 같은 유사한 도메인을 이용한 피싱 공격이 더해진다면, 사용자들은 쉽게 사기에 속아 넘어갈 수 있습니다
소셜 엔지니어링과 관련된 수억 달러 규모의 암호화폐 도난 사건을 기록해 온 온체인 조사관 ZachXBT는
"그러니까 기본적으로 코인베이스는 공격자들이 원한다면 시드 구문을 이용한 소셜 엔지니어링으로 코인베이스 사용자를 공격할 수 있는 공식 페이지를 운영하고 있다는 말인가요?"라고 그는 썼습니다. 이어지는 댓글에서 그는 "팀에서 최대한 빨리 이 문제를 해결하고 페이지를 삭제해주길 바랍니다."라고 덧붙였습니다
이 글이 발행될 시점까지 코인베이스는 해당 문제에 대해 어떠한 입장도 밝히지 않았으며, 해당 페이지도 삭제하지 않았습니다.
코인베이스나 그 사용자들이 이전에 피해를 입은 적이 있습니까?
코인베이스는 과거 고객을 대상으로 한 소셜 엔지니어링 공격
2025년 2월, ZachXBT는 사용자들이 단 두 달 만에 이러한 공격으로 6,500만 달러 이상을 잃었다고 보고했으며, 이는 연간 3억 달러에 달하는 손실 규모라고 추산했습니다. 조사관은 코인베이스 고객 지원 직원을 사칭 하고 복제된 관리자 패널을 사용하여 실시간으로 공격을 자동화하는 패턴을 발견 dent
몇 달 후인 2025년 5월, 일부 사용자의 개인 정보가 유출되는 데이터 유출 사고가 코인베이스는 해외 지원 담당자에게 뇌물을 준 범죄자들의 소행임을 확인했습니다.
해당 회사는 관련 직원을 해고하고 규제 당국에 통보했으며, 피해 사용자들에게 1년간 신용 모니터링 서비스를 제공했습니다. 또한, 피해 복구 비용과 고객 자발적 보상금으로 1억 8천만 달러에서 4억 달러를 따로 마련해 두었고, 체포로 이어지는 정보에 대해 2천만 달러의 포상금을 발표했습니다.
현재 상거래 페이지는 악의적인 행위자들이 손쉽게 공격할 수 있는 대상으로 여겨질 수 있으며, 최근 Evilcos의 경고는 거래소가 향후 발생할 수 있는 악용을 완화하기 위한 긴급 조치를 취하도록 촉구해야 합니다.
