이더리움의 핵심 개발자이자 이더리움 재단의 전 멤버인 에릭 코너는 최근 트위터에서 코인베이스 계정이 비정상적으로 잠긴 것에 대해 공개적으로 불만을 표시하고 직접적으로 불만을 표명했습니다. 그는 친구에게 ETH를 보내고 싶었는데, 사용자 인터페이스에 거래에 대한 무작위 질문이 떴어요. 당연히 제 답변은 통과하지 못했고, 비밀번호를 재설정해야 했고, 제 계정이 잠겼어요??? 농담이에요?라고 말하며 계정이 제한된 스크린샷을 첨부했습니다.
거래 작업을 제출할 때 페이지에 팝업되는 질문을 작성한 후 플랫폼에서 거래 취소에 대한 경고가 팝업되었습니다. Coinbase에서 제시한 이유는 사기꾼이 Coinbase 계정에 액세스하려고 할 수 있다고 생각했기 때문입니다. 계정 보안을 보호하기 위해 플랫폼은 이 거래를 취소하고 일부 계정 활동을 일시적으로 제한했습니다. 동시에 사용자는 비밀번호를 재설정해야 합니다. 에릭은 자신의 암호화폐 이체가 제한되어 있다는 것을 알게 되었습니다.
왼쪽: 거래 취소, 비밀번호 변경 경고, 오른쪽: 이체 제한 알림
아마도 Coinbase로 인해 오랜 시간 동안 피해를 입었기 때문에 사용자들은 에릭의 트윗을 보고 불평하기 시작했을 것입니다. Nansen CEO Alex Svanevik은 Coinbase 지옥에 오신 것을 환영합니다.라고 말했습니다. 경영 컨설턴트이자 Ethereum 투자자인 DCinvestor.eth는 Coinbase를 통해 본인 소유가 아닌 주소로 자금을 보내지 말고, 먼저 온체인 지갑으로 보낸 다음 원하는 곳으로 보내시기를 권장합니다.라고 말했습니다.
사용자가 개인 키에 대한 완전한 통제권을 가지고 있다고 주장하는 비보관형 지갑인 Coinbase Wallet은 높은 수준의 분산화를 갖춰야 합니다. 그러나 이 사건은 플랫폼의 기본 논리에 대한 모순을 드러냈습니다. 사용자 우위를 강조하지만, 여전히 중앙 집중형 서버에 의존하여 위험 관리 전략을 구현하고 사용자가 검증을 통과하지 못하면 계정을 직접 잠급니다. 이러한 움직임은 의심할 여지 없이 암호화폐 커뮤니티에서 폭넓은 관심과 논의를 불러일으켰습니다. Coinbase가 위험을 과도하게 통제하고 있는 것일까요? 아니면 현재 산업 환경이 거래 플랫폼이 보안 조치를 강화하도록 강요하고 있는 것일까요?
보안 조치는 모두에게 동일하게 적용되며 계정 관리에 대한 논란은 오랫동안 있어 왔습니다.
Coinbase의 공격적인 보안 접근 방식이 논란을 불러일으킨 것은 이번이 처음이 아닙니다. 2025년 1월, 전직 코인베이스 직원이 자신의 계정이 아무런 이유 없이 2개월 동안 동결되어 결혼 비용을 지불할 수 없게 되었다고 공개적으로 주장했습니다. 그는 해당 계좌가 오랫동안 임금을 받고 암호화폐 거래를 하는 데 사용되었으며, 이전에는 비정상적인 활동이 없었다고 말했습니다. 하지만 코인베이스는 사용자 보호를 이유로 동결에 대한 구체적인 이유를 밝히기를 거부했으며, 효과적인 항소 채널을 제공하지 않았습니다. 이 사건은 빠르게 확산되었고, Coinbase의 계정 관리 메커니즘에 대한 시장의 의심은 더욱 커졌습니다.
최근 몇 년 동안 Coinbase는 사용자 계정 관리에서 신중한 위험 관리 전략을 채택했습니다. 이 엄격한 조치는 실제로 거래소가 해킹당할 위험을 어느 정도 줄일 수 있지만, 자동화된 위험 관리 시스템에 대한 과도한 의존과 운영 모델의 투명성 부족은 많은 무고한 사용자에게 문제를 일으켰습니다. 특히 분산화와 자율적 제어를 강조하는 Web3 환경에서 이러한 중앙집중적인 위험 관리 조치의 합리성은 비판을 받아왔습니다.
타사 서비스 취약점은 보안 체인의 약점이 될 수 있습니다.
Coinbase와 다른 거래 플랫폼이 내부 위험 관리 메커니즘을 강화하고 있지만 외부 종속성이 여전히 보안 체인의 가장 큰 허점이 될 수 있습니다. 대표적인 사례가 바이낸스의 최근 보안 사고입니다.
2월 25일, 해커들이 레드 엔벨로프를 통해 자산을 이체했다고 비난하는 게시물이 트위터에 널리 퍼졌습니다. 이 트윗은 사용자의 바이낸스 계정, 이메일, 구글 인증기가 모두 해킹당했다고 설명했습니다. 해커는 정상적으로 돈을 인출할 수 없었고 비밀번호를 변경한 후에도 24시간을 기다려야 했지만, 바이낸스의 레드 엔벨로프 기능은 해커가 레드 엔벨로프를 통해 자산을 즉시 이체할 수 있는 버그처럼 정상적으로 사용할 수 있었습니다.
사진은 도난당한 사용자의 바이낸스 계정의 붉은 봉투 이체 내역을 보여준다.
더욱 우려되는 점은 그로부터 하루 후에 보안 회사 SlowMist CISO 23 pd가 트위터를 통해 일부 사용자가 가짜 바이낸스 공식 문자 메시지를 받았으며, 해당 문자 메시지가 바이낸스의 이전 공식 알림과 동일한 대화 스레드에 나타났다고 경고했다는 것입니다. 이러한 정밀한 위조 공격 방법은 해커가 타사 SMS 서비스 공급망의 일부에 침투했을 수 있음을 의미하며, 그로 인해 공격의 은밀성과 성공률이 높아집니다.
반면, 코인베이스는 이와 유사한 공격을 받지는 않았지만 최근 암호화폐 대출 서비스에서 지연과 성능 저하가 발생하여 플랫폼의 기술 아키텍처에 잠재적인 위험이 있을 수 있음을 시사했습니다. 거래소의 경우, 자체 시스템 방어를 강화하는 것 외에도 해커가 외부 링크를 뚫고 들어오는 것을 막기 위해 타사 서비스(이메일, 문자 메시지, 인증기 등)의 보안 모니터링 기능도 개선해야 합니다.
2025년 1분기 현재 Coinbase의 글로벌 사용자 수는 5,600만 명을 넘어섰습니다. 그러나 사용자 기반의 급속한 확대로 인해 플랫폼의 고객 서비스 지원 및 계정 관리 측면에서의 단점이 점차 드러났습니다.
Coinbase는 불투명한 토큰 감사 기준으로 오랫동안 비판을 받아 왔으며, 규정 준수에 대한 이러한 극단적인 신중함은 계정 관리에도 반영되어 많은 사용자가 계정이 차단된 후 명확한 설명을 받는 데 어려움을 겪고 있습니다. 전직 직원의 계정이 동결된 경우, 사용자들은 Coinbase가 2개월 동안 효과적인 지원을 제공하지 않았다고 주장하면서 고객 서비스 대응이 부족하다는 문제를 더욱 부각시켰습니다.
반면, 해커 공격에 대응할 때 바이낸스는 사용자에게 생체 인식 로그인을 활성화하도록 권고했을 뿐, 대규모 검사 조치를 적극적으로 취하지 않았습니다. 이는 주요 거래소의 현재 보안 전략이 여전히 적극적인 모니터링과 위험 경고보다는 수동적인 방어에 치우치는 경향이 있음을 보여줍니다. 사용자 입장에서 이는 계정 문제가 발생하더라도 명확하고 예측 가능한 해결책 메커니즘이 아닌 플랫폼의 선의에만 의지할 수 있는 경우가 많다는 것을 의미합니다.
코인베이스 계정 잠금 사건이든 바이낸스 사용자들의 피싱 공격 사건이든, 이러한 사건들은 모두 거래소가 현재 직면하고 있는 딜레마를 드러냅니다. 즉, 과도한 위험 통제로 인해 무고한 사용자가 연루되어 거래 경험에 영향을 미칠 수 있고, 지나치게 느슨한 보안 정책은 해커에게 기회를 제공할 수 있습니다. 급속한 산업 발전을 배경으로, 거래 플랫폼은 보다 건전한 위험 관리 시스템을 구축해야 할 뿐만 아니라 투명성, 사용자 경험, 고객 서비스 대응력을 지속적으로 최적화해야 합니다. 그렇지 않으면 보안 사고가 자주 발생하고 사용자의 신뢰가 떨어지면, 아무리 엄격한 위험 관리 조치를 취하더라도 사용자 손실을 되돌릴 수 없습니다.
