저자: Frank, PANews
2025년 2월 21일, 암호화폐 거래소 바이비트(Bybit)가 대규모 해커 공격을 받았고, 북한 해커 그룹 라자루스(Lazarus)에 의해 14억 6천만 달러 상당의 자산이 도난당했습니다. 자산을 복구하는 것보다 더 중요한 것은 새로운 공격이 발생하지 않도록 공격 경로를 식별하는 것입니다. 2월 27일, Bybit은 해커 포렌식 보고서를 발표했으며, 조사 결과 자금 도난은 Safe 인프라의 취약점으로 인해 발생했다는 점이 직접적으로 지적되었습니다. 하지만 세이프는 이 비난을 받아들이고 싶어하지 않는 듯합니다. 성명에서 개발자들이 해킹을 당한 것은 인정했지만 주된 이유는 북한 해커들의 정교한 수법과 Bybit의 운영상의 실수라고 밝혔습니다. 누가 더 큰 책임을 져야 하는지에 대한 논의에서 "라쇼몽"이 펼쳐졌고, 이는 업계 내에서 인프라 신뢰, 보안 패러다임, 인간 본성의 게임에 대한 주요 토론을 촉발했습니다.
공격은 Safe{Wallet} 프런트엔드 클라우드 서비스에 대한 공격에서 시작되었습니다.
Bybit에서 발표한 두 가지 조사 보고서(Bybit 사고 예비 보고서 및 Bybit 중간 조사 보고서)에 따르면 Safe{Wallet} 리소스에 대한 추가 분석 결과 2025년 2월 19일에 촬영된 JavaScript 리소스 스냅샷 두 개가 발견되었습니다. 이러한 스냅샷을 검토한 결과, 첫 번째 스냅샷에는 원래의 합법적인 Safe{Wallet} 코드가 포함되어 있는 반면 두 번째 스냅샷에는 악성 JavaScript 코드가 있는 리소스가 포함되어 있음이 밝혀졌습니다. 이는 악성 거래를 생성하는 데 사용된 악성 코드가 Safe{Wallet}의 AWS 인프라에서 직접 유래되었음을 시사합니다.
보고서의 결론은 다음과 같습니다. Bybit의 서명자 머신에 대한 조사 결과와 Wayback Archive에서 발견된 악성 JavaScript 페이로드를 바탕으로, Safe.Global의 AWS S3 또는 CloudFront 계정/API 키가 손상되었을 가능성이 크다고 강력히 결론 내립니다.
요약하자면, 이 공격의 초기 원인은 해커가 Safe{Wallet} 개발자의 기기를 공격하고, AWS S3 버킷의 프런트엔드 JavaScript 파일을 변조하고, Bybit 콜드 지갑 주소를 표적으로 삼는 악성 코드를 이식했다는 것입니다. 이전에 Safe는 코드 취약성과 악성 종속성(즉, 공급망 공격)이 발견되지 않았다는 간단한 조사 보고서도 발표했습니다. 그런 다음 Safe는 포괄적인 검토를 수행하고 Safe{Wallet} 기능을 중단했습니다. 이번 조사 결과는 Safe의 이전 조사 결과를 뒤집는 것으로 보입니다.
세이프의 회피적 발언은 더 많은 의문을 제기한다
Bybit은 아직 이 사건에서 Safe가 어떤 책임을 져야 하는지 밝히지 않았지만, 보고서가 발표된 후 소셜 미디어에서 사람들은 Safe의 보안 취약성에 대해 논의하기 시작했으며 일부는 Safe가 책임을 져야 하고 보상을 해야 한다고 생각했습니다.
안전 담당자들은 분명히 이 보고서를 승인하지 않았습니다. Safe는 공식 성명에서 책임을 세 가지 수준으로 구분했습니다. 기술적 측면, 스마트 계약이 공격받지 않도록 하는 것, 제품의 보안을 강조하는 것입니다. 운영 및 유지관리 측면에서는 개발자의 기기가 해킹당해 AWS 키가 유출된 것은 인정했지만, 이를 북한 해커 조직의 국가적 차원의 공격으로 돌렸다. 사용자 측면에서는 "거래에 서명할 때 주의를 기울이십시오"라는 권고가 있었는데, 이는 Bybit이 거래 데이터를 완전히 검증하지 않는다는 것을 의미합니다.
그러나 이 대응은 회피적인 듯합니다. 보고서에 나와 있는 프로세스에 따르면 Safe는 이 프로세스에서 다음과 같은 과실이 있습니다.
1. 권한에 대한 제어 상실: 공격자는 개발자의 장치를 해킹하여 AWS 권한을 얻었으며, 이를 통해 안전 팀이 최소 권한의 원칙을 구현하지 않았다는 사실이 드러났습니다. 예를 들어, 개발자는 코드 변경 모니터링 메커니즘 없이도 프로덕션 환경 코드를 직접 수정할 수 있습니다.
2. 프런트엔드 보안 실패: SRI(서브리소스 무결성 검증)와 같은 기본적인 보호 조치가 활성화되지 않았습니다.
3. 공급망 종속성 위험: 공격 경로(개발자 장치 → AWS → 프런트엔드 코드)는 Safe가 중앙 집중형 클라우드 서비스에 지나치게 의존한다는 것을 증명하는데, 이는 블록체인의 분산형 보안 개념과 충돌합니다.
또한 Safe의 성명에 대해 업계에서는 많은 의문이 제기되었습니다. Binance 설립자 CZ는 연달아 5개의 기술적 의문을 제기했습니다(개발자의 기기가 침해된 구체적인 방식, 권한 제어 상실 이유 등). Safe의 성명의 정보 불투명성을 직접적으로 지적한 것입니다. Safe는 공격 체인의 세부 정보를 공개하지 않아 업계가 집중적인 방어를 제공하는 것이 불가능해졌습니다.
토큰은 이상하게 상승했고 일일 활동은 거의 70% 감소했습니다.
커뮤니티에서 가장 큰 논쟁거리는 Safe가 이 사건으로 인한 Bybit의 손실을 보상해야 하는지 여부입니다. 일부 사용자는 이 공격이 Safe 인프라의 취약점으로 인해 발생했으며 Safe가 보상을 책임져야 한다고 생각합니다. 게다가 Safe의 전신인 Gnosis가 손실을 배상하기 위해 연대책임을 져야 한다고 제안되었습니다. Safe는 원래 2017년 Gnosis 팀이 Gnosis Safe로 개발한 다중 서명 프로토콜이었으며, 2022년에 Gnosis 생태계에서 분리되어 독립적으로 운영되었습니다. Gnosis는 2017년에 250,000 ETH의 ICO 자금 조달을 완료했으며, 현재 금고에 150,000 ETH가 있어 ETH 고래라고 불립니다.
하지만 일부 사람들은 이 사건의 주요 책임이 Bybit 자체에 있다고 믿습니다. 한편으로는 10억 개가 넘는 자산을 보유한 콜드 월렛을 관리하기 때문에 연구 개발에 투자하고 일련의 보안 인프라를 스스로 개발하는 것이 전적으로 필요합니다. 반면, Bybit은 무료 Safe 서비스를 이용하고 있고, 가입비를 지불하지 않았기 때문에 Safe에서는 이 측면에서 책임을 질 의무가 없습니다.
Bybit은 조사 보고서를 발행한 후 Safe 측에 금전적 보상을 요구하지 않았습니다.
업계에서는 아직도 누가 책임을 져야 할지에 대한 논쟁이 진행 중인 가운데, 자본시장에서는 터무니없는 드라마가 전개되고 있다. Safe의 공식 토큰은 이 사건으로 인해 특별한 주목을 받은 듯합니다. 2월 27일, SAFE 토큰은 0.44달러에서 0.69달러로 추세에 반하여 상승했으며, 10시간 만에 최대 약 58% 상승했습니다. 하지만 투자 논리의 관점에서 볼 때, 이 사건은 Safe의 브랜드에 주로 부정적인 영향을 끼쳤고, 이번 상승은 단기적인 시장 심리 때문일 수도 있습니다.
2월 27일 자료에 따르면 Safe의 총 관리 자산은 1,000억 달러를 넘었으며, 취약성에 대한 세부 정보에 대한 침묵으로 인해 업계 인프라로서의 신뢰도가 흔들리고 있습니다.
일일 활성 사용자 데이터에서 Safe가 이 사건 이후 상당한 영향을 받았다는 것을 분명히 알 수 있습니다. 2월 12일의 1,200개 일일 활성 주소와 비교했을 때, 데이터는 2월 27일 379개 일일 활성 주소로 감소하여 약 70% 감소했습니다.
또한 프런트엔드의 중앙집중화 위험이 노출된 이후, 커뮤니티는 다시 한번 프런트엔드 보안 메커니즘에 주의를 기울였습니다. ICP 창립자 도미닉 윌리엄스는 북한 해커 그룹이 최근 Bybit에서 15억 달러를 성공적으로 훔쳤다고 밝혔습니다. 훔친 주요 목적은 스마트 계약이 아닌 클라우드에서 호스팅되는 인터페이스인 Safe{Wallet}의 웹 기반 취약성을 악용하는 것이었습니다. 윌리엄스는 일부 Web3 프로젝트가 보안 위험을 초래하는 "가짜 온체인"에서만 실행된다는 점을 비판하고, 보안을 강화하기 위해 온체인 컴퓨팅, 데이터 저장 및 사용자 경험 검증에 ICP(인터넷 컴퓨터)를 사용할 것을 제안했습니다. 그는 Safe{Wallet}을 ICP로 이전하고 암호화 인증 메커니즘과 다자간 합의 거버넌스(예: SNS DAO)를 도입하여 보안을 강화할 것을 제안했습니다.
전체 사건을 돌이켜보면 북한 해커들이 치밀하게 계획한 고립된 사건인 듯하지만, 여전히 Safe의 현재 다중 서명 지갑이 갖는 권한 설계와 공급망 측면에서의 보안 취약성을 드러냈습니다. 브랜드 개발의 관점에서 볼 때, 의도적으로 안전 신화를 유지하기 위해 문제에서 벗어나려고 서두르는 관행은 역효과를 낳고 오히려 대중의 의심을 더 증폭시켰습니다. 아마도 Safe가 자신의 실수를 시의적절하게 인정하고 해당 조치를 도입한 것은 암호화 보안 분야에 대한 거대 기업의 태도를 더 잘 반영할 수 있을 것입니다. 동시에, 취약점에 대한 세부 정보를 가능한 한 빨리 공개하면 업계가 자체 검사를 강화하고 유사한 취약점이 발생하지 않도록 예방하는 데 도움이 될 수 있습니다.
