바이비트 해킹 사건은 국내외 거래소 보안 체계를 크게 뒤흔든 역대급 사건으로 기록된다 [사진: 클로인트(Kloint)]

[디지털투데이 추현우 기자] 국내 가상자산 추적 분석 기업 클로인트(Kloint)가 최근 발생한 바이비트(Bybit) 해킹 사건에 대한 1차 보고서를 28일 발표했다.

<!-- -->

이번 해킹은 약 15억 달러(한화 약 2조1천억 원) 상당의 이더리움(ETH)이 탈취된 사상 최대 규모의 가상자산 해킹 사건으로, 미국 연방수사국(FBI)은 북한과 연계된 해킹 조직 ‘트레이더트레이터(TraderTraitor)’의 소행으로 분석했다. 이 조직은 북한의 대표적 해킹 그룹인 라자루스(Lazarus)와 동일 조직으로 간주되며, 글로벌 보안 업계는 이를 북한의 가상자산 사이버 해킹 캠페인의 연장선으로 보고 있다.

이번 공격은 사회공학적 해킹과 정교한 자금 세탁 방식이 결합된 형태로 진행됐다. 공격자는 지갑 보안 솔루션인 Safe{Wallet} 개발자의 컴퓨터에 악성 코드를 삽입한 후, 트랜잭션 서명 과정에서 거래 내용을 공격자의 주소로 변조했다.

특히, 바이비트의 멀티시그(Multi-Sig) 트랜잭션을 조작하는 방식이 활용됐으며, 서명 과정에서 UI에는 정상적인 주소가 표시되었으나, 실제 데이터는 조작되어 탈취가 이뤄졌다.

클로인트 보고서에 따르면, 이번 공격은 바이비트 내부 승인자 3명의 사용자 인터페이스(UI)를 원격 조정하여 불법 거래를 승인하도록 유도하는 방식이 포함됐다. 또한, 해킹 3일 전 특정 이더리움 지갑 두 개를 선별해 악성 코드를 심는 정교한 공격 패턴을 보였다. 자금 탈취 후에는 즉각적인 세탁 작업이 진행됐으며, 현재까지 약 6억 2천만 달러 규모가 세탁된 것으로 분석된다.

서병완 클로인트 소장은 “북한 해커들은 장기간에 걸쳐 타깃을 분석하고, 특정 직원에게 정교한 악성코드를 유포해 시스템을 장악한다”며 “일단 침투가 성공하면 내부 정보를 습득하고 장기적으로 공격을 설계하는 방식이 특징”이라고 설명했다.

특히 거래소가 핫월렛과 콜드월렛 간 자산 이동을 반복적으로 수행하는 과정에서 보안 취약점이 노출될 가능성이 큰 것으로 파악된다. 이번 사건을 계기로 바이비트는 해킹 자금 회수를 위한 바운티 프로그램을 운영하며, 해킹과 관련된 정보 제공자에게 전체 탈취 금액의 10%에 해당하는 1억4000만달러(약 2100억 원)의 보상을 제안했다.

전문가들은 북한 해킹 조직이 앞으로도 대형 거래소를 지속적으로 표적으로 삼을 가능성이 크다고 경고하고 있다. 클로인트는 북한 IT 노동자들의 불법 활동을 추적하며 조만간 관련 보고서를 추가 발표할 예정이다.

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)