링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

암호화폐

세이프 월렛, 바이비트 해킹 조사 결과 북한 연계 그룹 트레이더트레이터 배후 확인

김하린 기자

2025.03.07 (금) 21:36

세이프 월렛과 맨디언트의 포렌식 조사 결과 2월 21일 발생한 바이비트 해킹의 배후로 북한 연계 해킹 그룹 트레이더트레이터가 확인되었으며, 도난된 14억 달러 중 77%가 추적 가능한 상태로 남아있고 FBI와 보안 기업들이 공조하여 악성 자금 흐름을 추적 중이다.

세이프 월렛, 바이비트 해킹 조사 결과 북한 연계 그룹 트레이더트레이터 배후 확인 / 셔터스톡

세이프 월렛(Safe Wallet)이 구글 클라우드 산하 사이버보안 기업 맨디언트(Mandiant)와 협력하여 최근 바이비트(Bybit) 해킹에 대한 포렌식 조사 결과를 새롭게 공개했다.

6일(현지시간) 크립토뉴스에 따르면, 미국 연방수사국(FBI)은 2월 21일 발생한 바이비트 해킹 사건의 배후로 북한(DPRK) 연계 위협 그룹 트레이더트레이터(TraderTraitor)를 지목했다. 맨디언트는 이 그룹을 UNC4899로 추적하며 예비 보고서에서 이 귀속을 확인했다.

세이프 월렛은 최신 발표에서 조사가 중요한 이정표에 도달했으며, 2월 21일 발생한 보안 침해에 대한 주요 통찰력을 공유할 수 있게 되었다고 밝혔다. 증거에 따르면 이번 공격은 고도로 정교한 국가 지원 공격이었다. 회사는 투명성을 위해 이러한 조사 결과를 공개하여 다른 조직들이 유사한 위협에 대한 방어를 강화하는 데 도움이 되기를 바란다고 전했다.

이미 수백 시간의 포렌식 분석이 수행되었지만, 세이프 월렛은 아직 해야 할 작업이 남아 있다고 강조했다. 공격자들은 악성 소프트웨어를 제거하고 배시(Bash) 기록을 지우는 등 자신들의 흔적을 감추기 위한 조치를 취했다. 이러한 어려움에도 불구하고, 세이프 월렛과 맨디언트는 공격에 대한 상당한 정보를 수집했으며 조사는 계속 진행 중이다.

바이비트 CEO 벤 저우(Ben Zhou)는 2월 21일 도난당한 14억 달러 규모의 이더리움(ETH)에 대한 업데이트를 제공했다. 77%가 여전히 추적 가능하며, 이번 주가 남은 10억 달러를 확보하는 데 중요하다고 밝혔다.

조사에 따르면, 공격은 세이프 월렛 개발자("Developer1"로 지칭)의 노트북을 침해하고 AWS 세션 토큰을 탈취하여 다중 인증(MFA) 제어를 우회하는 방식으로 이루어졌다. 이 개발자는 높은 접근 권한을 가지고 있었으며, 공격자들은 이를 이용해 더 많은 통제권을 얻었다.

개발자의 워크스테이션을 침해한 후 공격자들이 정확히 어떤 행동을 취했는지 파악하기 위한 조사가 계속 진행 중이다. 세이프 월렛의 서버에 대한 커밋 접근 권한을 어떻게 얻었는지 이해하는 것이 포렌식 분석가들의 우선 과제로 남아 있다.

공격에 대응하여 세이프 월렛은 인프라 전반에 걸쳐 보안 조치를 구현하여 사고 이전 수준을 훨씬 넘어서는 방어력을 강화했다고 밝혔다.

맨디언트의 포렌식 분석과 함께, 블록체인 분석 기업 엘립틱(Elliptic)이 도난된 자금을 추적하는 데 중요한 역할을 했다. 이 회사의 실시간 스크리닝 기술은 침해가 확인된 직후 지갑과 거래소에 걸쳐 도난 자산의 이동을 모니터링할 수 있게 했다. 이러한 추적 능력으로 바이비트와 다른 업계 관계자들은 자산이 완전히 세탁되기 전에 동결할 수 있었다.

엘립틱의 공동 창립자이자 수석 과학자인 톰 로빈슨(Tom Robinson)은 도난된 자금이 세탁되는 방식에 대한 추가 통찰력을 제공했다. 도난된 암호화폐는 이제 출처를 모호하게 하기 위해 비트코인 믹서를 통해 전달되고 있다.

로빈슨은 "우리가 예측했듯이, 바이비트에서 도난당한 암호화폐가 이제 비트코인 믹서를 통해 보내지고 있다. 이미 수십만 달러가 와사비 월렛(Wasabi Wallet)과 크립토믹서(Cryptomixer)와 같은 플랫폼으로 이전되었다"고 설명했다.

중앙화된 믹싱 서비스인 크립토믹서는 사용자의 비트코인을 함께 모은 다음 재분배하여 자금의 원래 출처를 추적하기 어렵게 만든다. 반면, 와사비 월렛은 중앙화된 관리자 없이 코인조인(CoinJoin) 거래를 사용하여 자금을 혼합하는 방식으로 다르게 운영된다.

로빈슨은 "이것은 매우 느린 과정일 수 있다. 이러한 믹서들은 제한된 용량을 가지고 있다"고 지적하며, 도난당한 자금을 추적하고 회수하는 것이 지속적인 과제가 될 것이라고 시사했다.

바이비트 해킹은 암호화폐 산업을 대상으로 하는 국가 지원 사이버 위협의 증가하는 정교함을 다시 한번 상기시키는 사례다. 세이프 월렛은 더 넓은 암호화폐 커뮤니티에 엄격한 접근 제어 시행, 비정상적인 활동 모니터링, 강력한 사고 대응 계획 구현 등 보안 관행을 강화하기 위한 적극적인 조치를 취할 것을 촉구하고 있다.

조사가 계속됨에 따라, 세이프 월렛은 추가 업데이트를 공유하고 보안 기업, 법 집행 기관 및 업계 파트너와 협력하여 미래의 위협을 완화하는 데 최선을 다할 것이라고 밝혔다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기

뉴스를 실시간으로...토큰포스트 텔레그램 가기

광고문의 기사제보 보도자료

#세이프 #SAFE #바이빗 #Bybit #북한

많이 본 기사