참 안타까운 일이네요.
님 로그인 세팅과, 해커의 로그인 기록을 대조하여 어디에 문제가 있었는지 알아내는 과정이 필요하겠네요.
1
님이 폰 지문인식 인증을 썼는데 해킹됐다면, 코인베이스쪽 결함이 있을 수 있어요. 고객의 실수로 fingerprint 정보가 누설될 가능성은 매우 낮아요.
2
님이 폰번호 OTP 인증을 썼는데 해킹됐다면, 마찬가지로 코인베이스 쪽 결함이 있을 수 있지만, 폰이 해킹되어 OTP 코드가 누설됐을 가능성도 있기 때문에, 고객에게 책임이 없음을 주장하기 참 어렵죠.
폰 OTP 가 켜져 있었는데, 님은 OTP 코드를 받은 적이 없고 해킹이 됐다면, 큰 사고죠. 이 경우라면 언론에 제보할 준비도 하셔야 할 듯. 폰 OTP에 보안을 의지하는 수억 명의 다른 사람들이 있거든요.
3
님이 이메일 OTP 인증을 썼는데 해킹이 됐다면, 여기부터는 님 부주의 잘못이 확실히 더 큽니다. 이메일 계정이 해킹됐을 수 있어요. 님이 보는 OTP 코드를 해커도 같이 볼 수 있으니까요. 아주 높은 확률로 이메일과 password가 black market에 돌아다니고 있을 겁니다. 수억 개 이상의 레코드를 포함한 대규모 data breach가 전에 많이 일어났었고 지금도 일어나고 있거든요.
4
OTP 없이 패스워드 인증만 사용했다면 (코인베이스에서 이게 가능한지 모르지만요, 저는 OTP 없이 써본 적이 없어서), 이건 고객이 책임이 없음을 입증하는 거 불가능이에요. 패스워드는 거의 black market 에 공개된 정보나 마찬가지거든요.
5
credential stuffing 공격은 (패스워드 대입 공격) 금융기관 당 매일 수십만 건에서 수백만 건씩 시도되는 전형적인 공격이에요. 수억 개의 공격 끝에 몇 개는 뚫리기 마련인데 이거 보호하라고 OTP를 켜라고 안내해도 OTP 안 켜는 사람들이 아직은 더 많죠.
소잃고 외양간 고치는 격이지만 추가 피해를 막으려면, 잘 생각해보시고 같은 패스워드를 사용한 다른 금융 기관, 신용 관리 기관들 있으시면 그 패스워드라도 변경하시고요. 폰 OTP, 지문인증 있는 곳은 켜시고요.
Chrome에 내장된 password manager 사용하시면 Chrome에 저장된 패스워드가 black market에서 발견이 되는지 아닌지 쉽게 확인할 수 있으니 그것도 한 번 보시고요.