바이비트 해킹 분석 보고서 "해커 조직, 정교한 공격 구조 설계"

국내 가상자산 추적 분석 전문기업인 클로인트(Kloint)가 지난 2월 21일 발생한 바이비트(Bybit) 해킹 사고 분석 1차 보고서를 발행했다.

이번 사고는 북한 해킹 조직이 약 15억 달러(한화 약 2조 1천억 원) 규모의 이더리움(ETH)을 세계 2위 가상자산 거래소인 바이비트에서 탈취한 대규모 해킹 사건이다. 미국 FBI는 이번 공격이 북한과 연계된 해킹 조직 '트레이더 트레이터(TraderTraitor)'의 소행이라고 분석했으며, 글로벌 보안 업계에서는 이를 북한 정찰총국 산하의 해커 부대인 라자루스가 주도하는 가상자산 사이버 탈취 작전의 일환으로 보고 있다.

공격방식 분석

이번 바이비트 해킹의 공격 방식은 사회공학적 방식으로 조직되었으며, 복잡한 자금 세탁 방식을 사용해 도난당한 자금이 탐지되지 않게 이동하려는 시도를 보였다. 해커는 Safe{Wallet}이라는 지갑 솔루션 서비스의 개발자 컴퓨터에 침투하여 악성코드를 삽입하고, 거래 서명 과정 중 삽입된 악성코드가 거래 내용을 조작했다.

보다 자세히 보면 해커는 지갑 보안 솔루션 회사인 Safe{Wallet}의 개발 환경에 침투한 후 자바스크립트 코드를 변조했다. 변조된 코드는 특정 이더리움 수신주소가 입력될 때에만 작동하여 해당 수신주소를 본인들의 수신주소로 바꿔치기하는 기능을 가지고 있다. 이에 따라 바이비트의 승인자들이 app.safe.global을 사용해 거래에 서명할 때 사용자 인터페이스에는 정상적인 수신주소가 표시되었으나 실제 트랜잭션에서는 공격자가 변조한 수신주소로 이체되었다. 특히 Safe{Wallet}(구 Gnosis safe)은 전 세계에서 다수의 가상자산 기업들이 활용하고 있는 다중서명 지갑 솔루션이라는 점에서 피해가 더 확산될 여지가 있다.

또한 운영보안 측면에서 콜드월렛으로부터 핫월렛으로의 자금 전송을 승인하는 3명의 승인자를 원격 조정하여 불법 거래를 승인하도록 했다. 특히 이번 해킹은 특정한 2개의 이더리움 지갑을 선택하여 해킹 3일 전에 악성 코드를 삽입하는 기존보다 정교한 수법이 시도되었다.

가상자산 이전을 통제하는 프라이빗키의 보관 방식에 따라서 지갑을 분류하는데 온라인에 보관하면 핫월렛, 오프라인에 보관하면 콜드월렛으로 분류한다. 핫월렛은 빠르고 효율적인 입출금을 위해 사용되지만 인터넷에 노출되어 해킹에 상대적으로 취약하다. 반면 네트워크와 단절된 오프라인에 키를 보관하는 콜드월렛은 이론적으로 해킹으로부터 안전하다. 이번 바이비트의 해킹 사고는 콜드월렛의 프라이빗키 자체를 탈취한 것이 아니라 거래소가 콜드월렛을 관리하는 통제 체계의 취약점을 공격했다는 점에서 가상자산 산업의 새로운 취약점을 드러냈다.

클로인트의 서병완 소장은 “결국 이메일 악성코드로 침투한다. 라자루스 등 북한 해커들은 온라인에 노출되어 있는 타깃 기업 소속 직원들의 이메일을 수집하고, 이메일에 고도로 정교한 코드를 삽입하여 직원을 현혹한다. 어떤 직원이 감쪽같은 이메일에 속아 악성코드가 담긴 프로그램을 실행시키면, 직원의 PC에 악성코드가 설치되고 해커들은 이를 통해 내부 정보를 습득하고 다른 직원 또는 서버로 확산시킨 후 길게는 1년이 넘게 정교한 공격 구조를 설계하고 실행한다”라고 밝혔다.

한국디지털자산수탁의 김민수 대표는 “고객별로 별도의 지갑주소에 자산을 보관하는 가상자산 수탁사와는 달리, 가상자산 거래소는 모든 고객의 자산을 여러 개의 지갑에 집금하여 운영한다. 거래소는 핫월렛과 콜드월렛을 일정 비율로 유지해야 하기 때문에, 두 지갑 사이에서는 기계적이고 반복적인 자산 이동이 빈번하게 발생할 수밖에 없는 구조적 어려움이 있다. 이번 사고는 이와 같은 반복작업을 효율화하기 위해 콜드월렛 운영을 반자동화시킨 영역에서 발생한 것이다”라고 분석했다.

탈취자금 세탁 진행상황

루이 구 클로인트 가상자산 추적 분석 센터장은 “바이비트 해킹 사건이 발생한 지 일주일이 지난 현재 약 6억 2천만 달러 규모의 자금이 세탁되고 있으며, 전체 탈취 금액의 약 55%가 이미 세탁된 것으로 분석된다”라고 밝혔다.

이번 자금 세탁 과정에서 북한 해커 조직이 다수의 지갑 주소를 활용하고 있으며, 소규모로 분산된 자금은 기존 사례와 마찬가지로 북한 노동자들에게 전달돼 외화 획득에 이용될 가능성이 크다고 설명했다.

북한의 가상자산 주요 해킹사건
북한 정찰총국 소속의 해커 부대들은 과거에도 다수의 국제적 가상자산 해킹 사건에 연루된 것이 확인된 바 있다.

2022년 6월 하모니 호라이즌 브리지(Harmony Horizon Bridge) 해킹 - 1억 달러
2023년 3월 스카이 마비스 로닌 브리지(Sky Mavis' Ronin Bridge) 해킹 - 6억 달러
2023년 6월 아토믹 월렛(Atomic Wallet) 해킹 - 1억 달러
2023년 7월 알파포(Alphapo) 해킹 - 6천만 달러
2023년 7월 코인스페이드(Coinspaid) 해킹 - 3천7백만 달러
2024년 와지르엑스(WazirX) 거래소 해킹 - 2억 3천5백만 달러
2024년 DMM 비트코인(DMM Bitcoin) 거래소 해킹 - 3억 5백만 달러

글로벌 가상자산 추적 분석 기업인 체인널리시스에 따르면, 2024년 한 해 북한 해커 그룹들이 13억 4천만 달러(한화 약 1조 9천억 원)의 가상자산을 탈취했다고 분석했다. 이번 사건 하나의 탈취 규모가 2024년 탈취 규모 전체를 상회할 정도로 사상 초유의 규모이다.

기타 주요 관점

북한이 이번에 탈취한 가상자산을 모두 현금화할 경우, 단거리 탄도 미사일(SRBM)을 최소 292기에서 최대 487기 정도를 제작할 수 있으며, 미국을 겨냥 가능한 대륙간 탄도미사일(ICBM)은 최소 49기에서 최대 73기를 만들 수 있다.

또한 해킹한 이더리움 전체를 스테이킹(Staking)할 경우 매년 약 4천7백65만 달러(690억 원)의 추가 수익을 지속적으로 확보할 수 있을 것으로 예상된다.

바이비트는 탈취 자금을 회수하는 데 직접적인 도움이나 중요 단서를 제공하는 사람에게 전체 해킹 규모의 100%인 1억 4천만 달러(한화 약 2천100억 원) 규모의 현상금을 거는 바운티(Bounty) 프로그램 운영을 개시했다.

클로인트는 본 사건과 관련하여 바이비트 바운티 프로그램에 협조하고 있으며, 북한의 가상자산 해킹 범죄와 밀접한 관련이 있는 북한 IT 위장 취업자들의 실태를 면밀히 조사하고 있다.