코인베이스가 12단어 복구 구문을 평문으로 입력하도록 안내한 복구 도구를 보안 논란 이후 삭제했다고 전했다.

슬로우미스트와 ZachXBT 등은 공식 도메인 기반 설계가 피싱·사회공학에 악용될 수 있다며 시드 구문 보안 원칙과의 충돌을 지적했다고 밝혔다.

코인베이스, ‘복구 문구 입력’ 도구 삭제…시드 구문 보안 원칙 논란 재점화 / TokenPost.ai

코인베이스가 ‘복구 문구’ 입력을 요구하는 도구를 삭제했다. 온체인 조사자들이 보안 위험을 지적하면서, 플랫폼 설계가 기존 ‘시드 구문 보안 원칙’과 충돌할 수 있다는 논란이 다시 불거졌다.

코인베이스 복구 도구, 보안 논란 속 중단

이번 논란은 3월 18일 슬로우미스트 창업자 코스(Cos)가 문제를 제기하면서 시작됐다. 그는 코인베이스 도메인에 호스팅된 페이지가 사용자에게 ‘12단어 복구 구문’을 평문으로 입력하라고 요구하는 점을 지적했다. 해당 인터페이스는 구글 드라이브 백업에서 문구를 가져오라는 안내까지 포함하고 있었다.

온체인 조사자 잭엑스비티(ZachXBT) 역시 곧바로 문제를 제기했다. 그는 “공식 도메인에 있는 이 페이지가 공격자들의 ‘시드 구문 사회공학 공격’ 도구로 악용될 수 있다”고 경고했다. 실제로 공식 사이트라는 신뢰성이 피싱 설득력을 높일 수 있다는 점이 핵심 위험으로 꼽혔다.

슬로우미스트 연구원 23pds는 기술적 취약점도 지적했다. 해당 페이지는 사이트 구조가 부실해 ‘복제’가 쉬웠고, 유사 도메인을 활용한 피싱 공격에 악용될 가능성이 높다는 분석이다.

“복구 구문 요구 자체가 문제”…보안 원칙과 충돌

논란은 단순한 기술 문제가 아니라 ‘행동 유도 방식’에도 집중됐다. 사용자 케어런(Kieran)은 “암호화폐 기본 보안 원칙은 어떤 상황에서도 복구 구문을 입력하지 않는 것”이라며, 공식 페이지에서 이런 요구를 하는 것 자체가 피싱 공격을 정당화하는 효과를 낳는다고 지적했다.

실제로 복구 구문은 지갑 접근 권한을 완전히 통제하는 핵심 정보다. 이를 입력하도록 유도하는 설계는 이용자 교육과 반대되는 메시지를 줄 수 있다는 우려가 나온다.

코인베이스 측은 논란 이후 해당 도구를 즉시 삭제했다. 내부 팀원 알렉스(Alex)는 “문제를 제기해준 커뮤니티에 감사하며, 더 안전한 솔루션을 개발 중”이라고 밝혔다. 현재 해당 페이지는 ‘서비스 이용 불가’ 안내만 표시된다.

해킹보다 사용자를 노린다…공격 방식 변화

이번 사건은 최근 암호화폐 공격 트렌드 변화와도 맞닿아 있다. 온체인 보안 기업 노미니스(Nominis)에 따르면 올해 2월 암호화폐 관련 피해액은 약 87% 감소했지만, 공격 방식은 ‘코드 취약점’에서 ‘사용자 기만’으로 이동하고 있다.

노미니스는 최근 공격이 기술적 해킹보다 ‘피싱’, ‘오해를 유도하는 인터페이스’에 집중되고 있다고 분석했다. 즉, 시스템이 아니라 사람을 공략하는 방식이 늘고 있다는 의미다.

이런 흐름 속에서 코인베이스 사례는 단순한 해프닝을 넘어 중요한 시사점을 남긴다. 플랫폼 설계가 보안 인식을 약화시키면, 공격자에게 새로운 기회를 제공할 수 있기 때문이다. 업계 전반에서 ‘사용자 행동을 고려한 보안 설계’가 더욱 중요해지고 있다는 평가가 나온다.

기사요약 by TokenPost.ai