솔라나 블록체인의 공동 창업자인 라지 고칼이 유명인의 소셜 미디어 계정 해킹을 통해 민감한 개인 데이터가 온라인상에 유출되는 주요 디지털 보안 사고가 발생했습니다.
5월 25일, 힙합 그룹 미고스의 공식 인스타그램 페이지가 해킹 되면서, 해커들은 이 플랫폼의 1,300만 팔로워를 대상으로 고칼의 민감한 신분증 문서(여권 및 운전 면허증 이미지)를 포함한 자료를 공유했습니다. 이들은 40 비트코인(약 270만 달러)을 요구하는 갈취 계획의 일환으로 이를 시도한 것입니다.
공격자들은 고칼과 그의 아내의 개인 이미지가 포함된 최소 7개의 게시물을 업로드했으며, 암호화폐 거래소에서 일반적으로 사용하는 본인 확인(알고있는 고객, KYC) 확인 자료들을 노출했습니다. 게시물에는 “40 BTC를 지불해야 했어” 같은 위협적인 메시지가 포함되어 있었고, 개인 연락처 정보로 보이는 것들이 포함되어 있었습니다.
한 게시물에서는 고칼의 휴대전화 번호가 유출되었고, 해커들은 팔로워들에게 그 번호로 스팸을 보내라고 촉구했습니다. 다른 게시물에서는 "아르빈드"라는 이름의 개인이 언급되었는데, 이는 고칼의 블록체인 자산과 관련 있거나 간접적으로 관련된 것으로 추측됩니다.
이런 공격적인 게시물들은 메타, 즉 인스타그램의 모회사에서 콘텐츠를 제거하고 계정에 대한 통제권을 회복하기 전까지 약 90분 동안 유지되었습니다. 해킹 동안 미고스의 인스타그램 약력은 밈 코인을 홍보하도록 변경되었고, 텔레그램 그룹의 미공개 음악 광고 링크가 공유되었습니다. 이는 이번 침해의 뒤에 금융적 및 프로모션적 동기가 혼재되어 있음을 시사합니다.
타겟 공격 또는 더 광범위한 데이터 침해?
블록체인 조사관 ZachXBT는 이번 사건에 대해 논평하며, 이번 공격은 고칼의 개인 계정을 대상으로 한 지속적인 소셜 엔지니어링 노력의 결과일 가능성이 높다고 말했습니다. ZachXBT에 따르면, 해커들은 처음에는 고칼을 직접 공략하려 했으나 실패하자 유명한 제3의 인스타그램 계정을 해킹하여 최대한 대중의 관심을 끌기 위해 노출을 확대시켰습니다.
이는 고칼 본인이 소셜 플랫폼 X에서 이메일, 소셜 미디어, 기술 서비스 계정에 대한 여러 침입 시도를 공개하며 자신에게서 기원할 수 있는 의심스러운 커뮤니케이션을 무시하라고 공개 경고한 것과 일치합니다.
유출된 KYC 자료의 직접적인 출처는 아직 확인되지 않았지만, 고해상도 및 정부 발행 ID, 셀피 등이 포함된 이미지 성격으로 인해 데이터가 중앙화된 암호화 플랫폼에서 유출된 것일 수 있다는 추측을 낳고 있습니다. 관측자들은 최근 보고된 코인베이스 데이터 침해 사건과의 잠재적인 연관성을 제기하고 있으며, 이는 거래소의 월간 활성 사용자 기준 약 1%에 영향을 미친 것으로 보고되었습니다.
코인베이스는 이전에 고객 데이터 도난에 대한 2천만 달러의 몸값이 요구된 보안 사건을 인정했지만, 이 요구에 응하지 않았습니다. 그러나 현재로서는 코인베이스 데이터 침해와 고칼의 데이터 유출을 연결짓는 확인된 증거는 없습니다. 코인베이스나 메타는 어떤 중복성에 관해 언급하지 않았습니다.
KYC 데이터
이번 사건은 암호화 에코시스템 내 KYC 데이터의 보관 및 취약성에 대한 우려를 더욱 부각시킵니다. 규제 요구 사항에 따라 플랫폼이 사용자의 온보딩을 위해 민감한 신분증을 수집하게 되면서 정교한 공격자에게 매력적인 목표가 됩니다. KYC 데이터 유출은 비밀번호 유출보다 더 파괴적일 수 있으며, 관련된 문서 - 여권, 운전 면허증, 셀피 - 는 쉽게 변경되거나 취소될 수 없습니다.
분석가 중 한 명은 이번 유출 사건이 일반적인 KYC 사건보다 더 극단적인 개인정보 침해를 나타낸다고 언급했습니다. "이것은 단순한 주소 유출이 아닙니다. 사기, 딥페이크 또는 갈취에 재사용될 수 있는 생체학적 신분 증명이 유출된 것입니다."며 덧붙였습니다.
웹3 에코시스템이 여전히 중앙화된 거래소 및 규제 중개자에 의존하여 접근성 및 유동성을 제공함에 따라 사용자와 창립자 모두 KYC 데이터 노출과 관련된 리스크에 직면해 있습니다. 탈중앙화된 프로토콜은 오랜 기간 동안 프라이버시와 자신이 데이터의 보관을 주장하였지만, 규제된 객체와의 통합은 전통적인 실패 지점을 다시 소개합니다.
유명 인사의 해킹
미고스의 인스타그램 해킹 사건은 고프로 확산을 위한 악성 콘텐츠 배포, 가상 화폐 사기, 민감한 데이터 유출을 위해 활용된 고프로 유명 소셜 미디어 계정을 악용하는 더 광범위한 패턴의 일부입니다. 많은 경우, 해커는 대규모 노출을 통해 토큰 펌프 또는 사기를 촉진하려 합니다. 그러나 이 사건은 금전 몸값 요구가 충족되지 않았을 때 있을 수 있는 공적 보복 도구로 사용되며 다소 변칙적입니다.
최근 몇 달간 암호화와 관련된 소셜 미디어 위반은 다음과 같은 공격을 포함했습니다:
- 1월 미국 SEC 공식 X 계정이 해킹되어 비트코인 ETF 승인 공지가 잘못 게시된 사건.
- 3월 마이크로스트래티지의 X 계정 해킹, 가짜 토큰을 홍보하여 몇 분 안에 6자리 수익을 올린 사건.
- 밈 코인 펌프-덤프를 시작하기 위한 여러 인플루언서의 인스타그램 해킹.
보안 연구원들은 많은 이 공격이 SIM 스와핑, 피싱, 악성 소프트웨어의 결합을 포함한다고 지적했습니다. 소셜 엔지니어링은 개인 비서, 이메일 전달 서비스 또는 기업 계정이 관련될 때 기술적으로 능숙한 개인조차도 가장 효과적으로 손상할 수 있는 도구로 남아 있습니다.
법적 공백
이와 같은 사건의 규모와 여파에도 불구하고 실행 및 법적 구제책은 여전히 미미합니다. 블록체인의 분산된 특성은 거래 추적을 가능하게 하지만 자산 회수는 어려운 편입니다. 한편 인스타그램이나 X와 같은 플랫폼은 특정 관할권의 데이터 보호법에 따라 추가적인 개인 데이터가 유출된 경우를 제외하고, 계정 손상 후 팔로워에게 알리거나 피해자에게 보상하는 데 제한된 의무가 있습니다.
블록체인 창립자의 KYC 데이터 유출은 거버넌스와 네트워크 보안에 영향을 미칠 수 있습니다. 솔라나 자체는 직접 연관되지 않았지만, 이번 사건은 대중 인물을 겨냥한 타겟 공격 및 프로토콜에 도입되는 잠재적 명성과 운영 리스크에 대한 우려를 불러일으킵니다.
인스타그램을 소유한 메타는 이번 사건에 대한 공공 성명을 발표하지 않았습니다. 이는 고프로 성격과 수백만 명의 사용자에게 개인 식별 정보(PII)가 유출될 가능성 때문입니다. 고칼 역시 보도 시점까지 상세한 공개 발언을 하지 않았습니다.
중앙화된 플랫폼의 투명성은 불규칙하며, 대다수 주요 기술 회사는 법적으로 강제되거나 여파가 공공에 명백히 나타날 때만 침해 사실을 공개합니다. 조정된 공개가 없는 경우, 사용자는 ZachXBT와 같은 제3자 조사관 및 독립 저널리스트의 통찰에 의존해야 합니다.
최종 생각
라지 고칼의 개인 정보가 관련 없는 유명인 인스타그램을 통해 유출된 사건은 암호화 공간의 더 넓은 위협 경관을 강조합니다: 소셜 미디어 취약성, 중앙화된 KYC 데이터 저장 및 갈취 전술의 융합.
고칼이 40 비트코인의 몸값을 지불하지 않았더라도, 그의 민감한 신원 자료의 대중 노출은 장기적인 개인 및 전문적 책임을 나타냅니다.
이 사건은 블록체인 부문에서 데이터 중심의 공격 리스트에 추가되며, 프로젝트 리더 및 투자자들이 디지털 ID와 보안 관행을 어떻게 관리할지를 재평가하게 할 수 있습니다. 또한 제3의 KYC 스토리지에 대한 더 엄격한 통제의 필요성과 사용자 데이터를 처리하는 플랫폼의 더 강력한 사건 공개 관행을 강화합니다.
업계가 성숙해짐에 따라, 문제는 블록체인 악용을 방지하는 방법뿐만 아니라 디지털 자산 소유와 점점 교차하는 오프체인 리스크를 어떻게 완화할지에 대한 것입니다.