세계 최대의 암호화폐 거래소 중 하나인 Crypto.com이 Scattered Spider 해커 그룹에 의해 저질러진 보안 침해를 공개적으로 밝히지 않았다고 블룸버그의 조사에 따르면 밝혔다. 이 공격은 소셜 엔지니어링 전술을 포함하여 직원 자격 증명을 손상시켰으며, 암호화폐 산업에서의 거래소 투명성 관행과 규제 감독에 대한 새로운 우려를 제기하고 있다.
알아야 할 것들
- Scattered Spider는 주로 십대들로 구성된 그룹으로, 직원 자격 증명을 목표로 하는 소셜 엔지니어링 공격을 통해 Crypto.com을 성공적으로 침입했다.
- 이번 사건은 사용자 보호를 위해 그러한 투명성이 필수적이라고 주장하는 보안 전문가들의 의견에도 불구하고 공적으로 밝혀지지 않았다.
- 이 침해는 KYC 데이터 수집 요구 사항과 그로 인한 보안 영향을 둘러싼 계속되는 업계 논쟁을 강조한다.
직원 자격 증명을 목표로 하는 소셜 엔지니어링 공격
공격자들은 IT 직원을 사칭하여 Crypto.com 직원들이 로그인 자격 증명을 포기하도록 속였다. 조사에 친숙한 소식통들은 이 작업을 Scattered Spider의 방법으로 설명했다. 이 그룹은 정교한 기술적 활용이 아닌 심리적 전술을 통해 직원을 조작하는 데 중점을 두고 있다.
회사 시스템에 침입한 후, 해커들은 접근 권한을 확대하려고 했다. 그들의 목표는 플랫폼의 기반 구조에 대한 접근 권한을 확장하기 위해 특정 고위 관계자 계정을 목표로 하는 것이었다.
침해는 Crypto.com에서 "아주 적은 수의 개인"에 의해 영향을 받은 것으로 외부에서 표현한다.
Crypto.com 대변인은 블룸버그에 고객 자금이 사건 동안 안전하게 유지되었다고 밝혔다. 회사는 공격의 범위나 일정에 대한 추가 세부 사항 제공을 거부했다. 거래소 관계자들은 보안 실패에 관한 추가 코멘트 요청에 응답하지 않았다.
비공개 결정에 대한 업계 전문가들의 비판
보안 전문가들은 Crypto.com이 침해 정보를 숨기는 결정이 사용자 신뢰를 해친다고 주장한다. 사건 세부 정보를 공유하지 않음으로 인해 고객들은 잠재적인 데이터 노출 위험에 대한 불확실성을 겪고 있다. 이 불투명성은 잠재적인 후속 공격에 대해 적절한 보호 조치를 취하는 것을 방해한다.
이러한 비판은 이전의 거래소 보안 실패를 고려할 때 특히 의미가 있다. Coinbase는 시스템이 유출되어 연간 3억 달러 이상의 고객 손실을 초래한 비슷한 침해를 겪었다. 업계 관찰자들은 공개되지 않은 사건들이 암호화폐 생태계 전반의 체계적인 위험을 초래한다고 주목한다.
온체인 조사관 ZachXBT는 Crypto.com이 고의적으로 침해를 숨긴 것으로 공개적으로 비난했다.
그는 이 사건이 플랫폼에서 숨겨진 보안 실패 패턴을 대표한다며 강조했다. 그의 주장은 침해 공개를 최소화하여 기업 명성을 보호하려는 거래소들에 대한 업계의 광범위한 불만을 반영한다.
규제 프레임워크가 다시 검토를 받다
이번 사건은 대규모 데이터 수집을 요구하는 KYC 요구 사항에 대한 비판을 촉발시켰다. 가명 보안 연구원 Pcaversaccio는 KYC 시스템이 사이버 범죄자들에게 매력적인 대상으로 만든다고 주장했다. 연구원은 패스워드는 쉽게 변경할 수 있지만 개인 신원 문서는 그렇게 쉽게 교체할 수 없다고 지적했다.
"비밀번호는 쉽게 변경할 수 있지만, 여권은 쉽게 변경할 수 없고, 그들은 이를 잘 알고 있다"고 Pcaversaccio는 말했다. "우리는 기본적으로 그들의 감시 사업의 담보물이다."
이러한 관점은 현재의 암호화폐 규제 접근 방식에 대한 회의론이 증가하고 있는 상황과 일치한다. 금년 초, Coinbase CEO Brian Armstrong는 기존의 반자금 세탁 규정을 시대에 맞지 않고 효과적이지 않다고 비판했다. 그는 회사들이 사업 이익에 반하여 민감한 고객 데이터를 수집할 의무가 있다고 주장했다.
"우리는 수집을 원하지 않으며, 고객들도 이를 싫어한다"고 Armstrong는 설명했다. "우리의 의사에 반하여 수집해야 하며, 데이터 뒤를 보면 범죄를 막는 데 효과적이지도 않다."
주요 용어 이해하기
소셜 엔지니어링 공격은 보안 시스템의 기술적 취약점이 아닌 심리적 조작에 의존한다. 공격자들은 대개 IT 지원처럼 신뢰받는 인물로 가장해 목표를 민감한 정보를 노출하도록 설득한다. 이러한 전술은 소프트웨어 약점이 아닌 인간의 심리를 이용함으로써 특히 효과적이다.
Know Your Customer 규정은 고객의 신원을 확인하기 위해 금융기관이 광범위한 문서를 수집하도록 요구한다. 이러한 규정은 고객 계정 보유자의 기록을 상세히 만들어 자금 세탁 및 테러 자금 조달을 방지하는 것을 목표로 한다. 그러나 중앙화된 데이터 저장소가 범범 방지 이점보다 보안 위험을 초래한다고 비판하는 의견도 있다.
Scattered Spider는 기술적 정교함보다 사회적 조작을 우선시하는 새로운 세대의 사이버 범죄 조직을 나타낸다. 이 그룹의 성공은 인간 요인이 기업 보안 체인에서 가장 약한 고리를 대표한다는 사실을 보여준다.
마무리 생각
Crypto.com 사건은 암호화폐 거래소 보안 및 규제 준수에서 지속되는 과제들을 강조한다. 투명성 요구와 기업 명성 관리를 사이에 두고의 긴장은 침해 공개에 관한 업계 관행을 계속 형성하고 있다.