코인베이스 고객 데이터 유출 사건
코인베이스는 로이터의 월요일 보도에 따르면, 사건을 공개하기 몇 달 전인 1월에 고객 데이터 유출 사고가 제3자 계약업체인 TaskUs와 관련되어 있음을 이미 인지하고 있었다고 전했다. 사건에 정통한 다수의 소식통에 따르면, 이 유출은 인도에 본사를 둔 TaskUs의 지원 직원이 자신의 업무 컴퓨터 화면을 휴대폰으로 촬영한 것에 기인한다고 한다.
“해당 직원은 공모자로 의심되는 인물과 함께 코인베이스 사용자 정보를 해커에게 판매하는 대가로 뇌물을 받은 것으로 보인다.”
TaskUs는 로이터에 “우리는 즉시 고객에게 이 활동을 보고했다”며, 불법 접근으로 두 명의 직원을 해고했으며, 이 유출 사건이 코인베이스 및 다른 서비스 제공업체를 겨냥한 조직적 범죄의 일환이라고 밝혔다. 디크립트는 코인베이스와 TaskUs에 의견을 요청했으나, 코인베이스는 5월 14일 SEC에 이 유출 사건을 신고하였고, 5월 15일에는 블로그를 통해 후속 조치를 취한 것으로 알려졌다.
회사는 해커들이 고객의 이름, 주소, 마스킹된 은행 세부 정보 및 신분증을 유출된 지원 직원을 통해 확보했다고 밝혔다. 그러나 자금이나 비밀번호는 유출되지 않은 것으로 확인되었다. 5월 11일, 코인베이스는 2천만 달러 상당의 비트코인 랜섬 요구를 받았고, 이에 따라 정보를 공개하기로 결정했다.
해당 위협 세력이 코인베이스 내부 시스템에 대한 정보에 접근하기 위해 여러 계약업체나 직원들에게 비용을 지불한 것으로 보이며,
“해당 직원이 비즈니스 필요 없이 데이터에 접근하는 사례는 회사 보안 모니터링에 의해 독립적으로 감지되었다”
고 설명했다. 로이터에 따르면, 유출 사건의 일부는 미국 아웃소싱 업체인 TaskUs와 관련된 12개국에 61,000명 이상의 직원과 연결되어 있다고 한다.
“그들은 이후 이 사건을 은폐하기 위해 코인베이스에 2천만 달러를 갈취하려고 했다. 우리는 이를 거부했다”
CEO 브라이언 암스트롱은 공격자를 체포하기 위한 정보 제공에 대해 2천만 달러의 현상금을 제안했다.
“우리는 당신의 랜섬 금액에 대해 지급하지 않을 것”
이라고 그는 동영상 성명에서 말했다.
회사는 이 유출 사건이 사용자 1% 미만에 영향을 미쳤다고 전했다. 코인베이스는 이후 TaskUs 및 이번 사건에 연루된 다른 해외 대리인들과의 계약을 종료하고 내부 통제를 강화했다고 주장했다.
이 유출 사건은 5월 22일 펜실베니아 연방법원에 제기된 주주 소송을 촉발했다. 투자자 브레이디 네슬러는 코인베이스가 유출 사건을 신속하게 공개하지 않아 증권법을 위반했다고 주장하며, 회사가 이전의 규제 문제를 숨겼다고도 지적했다. 코인베이스 주가는 유출 사실이 공개된 뒤 7% 하락했으나, 이후 S&P 500에 포함되어 반등했다.
