14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

TinTinLand ｜2025-02-27 20:53

베이징 시간으로 2025년 2월 21일 저녁, 암호화폐 세계는 전 세계를 충격에 빠뜨린 보안 위기에 직면했습니다. 중앙집중형 거래 플랫폼인 Bybit은 신중하게 계획된 공격을 받아 14억 6천만 달러 상당의 자산이 도난당했습니다. 이는 암호화 분야에서 가장 큰 단일 손실 기록을 세웠을 뿐만 아니라, 2003년에 이라크 중앙은행에서 발생한 10억 달러 규모의 도난 사건을 능가하며 세계 금융 역사상 가장 큰 도난 사건이 되었습니다.

베이징 시간으로 2025년 2월 21일 저녁, 암호화폐 세계는 전 세계를 충격에 빠뜨린 보안 위기에 직면했습니다. 중앙집중형 거래 플랫폼인 Bybit은 신중하게 계획된 공격을 받았으며, 그로 인해 14억 6천만 달러 상당의 자산이 도난당했습니다. 이는 암호화 분야에서 가장 큰 단일 손실 기록을 세웠을 뿐만 아니라, 2003년에 이라크 중앙은행에서 발생한 10억 달러 규모의 도난 사건을 능가하며 세계 금융 역사상 가장 큰 도난 사건이 되었습니다.

이러한 위기에 직면하여 Bybit은 일련의 비상 조치를 취했습니다. 즉, 개인 투자자에게 출금 우선권을 부여하고, 기관 고객의 출금에 단계적 제한을 부과하며, Bitget과 같은 거래소 및 OTC 서비스 제공업체의 유동성 지원에 의존했습니다. 단 12시간 만에 Bybit은 출금 기능을 완전히 복구했고 은행 폭주 사태를 피할 수 있었습니다. 2월 24일, Bybit의 CEO 벤 저우(Ben Zhou)는 ETH 부족분을 완전히 메웠다고 발표했지만, 업계에 정말 큰 충격을 준 것은 "깨지지 않는다"고 여겨졌던 콜드 월렛 방어선이 실제로 깨졌다는 사실이었습니다.

이 보안 사고는 콜드 월렛이 절대적으로 안전하다는 통념을 깨뜨렸을 뿐만 아니라, 암호화폐 산업 전체에 경각심을 일깨웠습니다. 가장 진보된 기술적 방어수단조차도 인간의 약점을 표적으로 삼아 신중하게 설계된 사회 공학적 공격을 완벽하게 막을 수 없습니다. 이번 공격이 악명 높은 북한 해커 그룹인 라자루스 그룹으로부터 이뤄졌다는 사실이 확인되자 상황은 더욱 복잡해졌습니다. 훔친 자금을 회수할 가능성은 매우 낮았습니다.

그렇다면 거래소는 사용자 자산을 어떻게 저장할까요? 콜드 월렛을 "궁극적인 방어선"으로 간주하는 이유는 무엇입니까? 공격자들은 어떻게 이 방어선을 돌파했을까? 이 전례 없는 디지털 자산 도난의 배후에 있는 기술적 세부 사항과 보안 위험을 자세히 살펴보겠습니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

디지털 볼트를 위한 두 가지 방어선: 거래소의 자산 보관

암호 자산 저장 기본 사항:

핫 월렛과 콜드 월렛

암호화폐 거래소가 자금을 저장하는 방식은 기존 은행의 예금 관리와 비교할 수 있습니다. 은행은 매일 수많은 고객의 입출금 요구를 처리해야 합니다. 그들은 카운터에서 일정 금액의 현금을 준비하지만("유동성"에 해당), 대부분의 돈은 금고에 보관됩니다("예비 자금"에 해당). 암호화폐 거래 플랫폼도 비슷한 방식으로 운영됩니다.

거래소는 사용자의 암호화폐를 두 부분으로 저장합니다. 한 부분은 "핫 월렛"에, 다른 부분은 "콜드 월렛"에 저장합니다. 핫 월렛은 인터넷에 직접 연결된 은행 카운터와 같아서 사용자가 빠르게 접근하여 거래할 수 있게 해줍니다. 거래소는 사용자의 일일 거래 수요를 충족하기 위해 약 5~10%의 자금을 핫 월렛에 보관합니다. 하지만 핫 월렛은 항상 온라인 상태이기 때문에 도로변에 돈을 놔두는 것과 마찬가지로 해커의 주요 타겟이 되기 쉽습니다. 공격자는 일반적으로 피싱 공격, 맬웨어 등을 통해 핫 월렛을 공격합니다. 예를 들어, 2019년에는 API 키 유출로 인해 Binance의 핫 월렛에서 7,000 BTC가 도난당했습니다.

대부분의 자금(보통 90-95%)은 콜드 월렛에 저장됩니다. 콜드 월렛은 인터넷에서 완전히 고립된 은행의 지하 금고와 같으며, 자금을 인출하려면 엄격한 여러 검증 및 승인이 필요합니다. 콜드 월렛에 있는 자금을 사용하려면 여러 관리자의 검증이 필요합니다. 금고의 문을 열려면 여러 개의 열쇠가 필요한 것과 마찬가지입니다. 이러한 물리적 격리 및 다중 인증 보안 조치로 인해 콜드 월렛은 가장 안전한 저장 방법으로 간주됩니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

콜드 월렛은 100% 안전할까요?

콜드 월렛은 가장 안전한 저장 방법으로 여겨지지만 절대적인 보안은 없습니다. 금고와 마찬가지로 튼튼하지만 여전히 침입당할 수 있고, 콜드 월렛에도 약점이 있습니다. 이러한 위험은 주로 세 가지 측면에서 발생합니다.

인적 요인: 콜드 월렛을 관리하는 사람이 피싱이나 사회 공학적 공격에 성공적으로 노출되면 공격자는 관리자의 자격 증명이나 정보를 얻어 콜드 월렛에 접근할 수 있습니다.
기술적 취약점: 거래에 서명하는 데 사용되는 장치에 트로이 목마가 이식되거나, 이체를 위해 네트워크에 연결할 때 해커가 이를 하이재킹하는 경우 자금도 위험에 처하게 됩니다.
다중 서명 메커니즘의 실패: 이론상 다중 서명(멀티시그)은 거래를 승인하기 위해 여러 키 보유자가 필요하지만, 공격자가 모든 서명자를 속이거나 다중 서명 임계값에 필요한 충분한 수의 키를 제어할 수 있는 경우 보안 메커니즘이 우회됩니다.

Bybit 해킹: 소셜 엔지니어링 공격 방법 분석

Bybit 콜드 월렛은 어떻게 해킹당했나요?

Bybit은 현재 암호화폐 업계에서 가장 안전한 자산 보관 솔루션인 Safe 다중 서명 지갑과 하드웨어 콜드 지갑을 결합했습니다. 이 방식은 3/3 서명 임계값을 설정합니다. 즉, 자산 이전 작업을 수행하려면 세 명의 개인 키 보유자가 모두 동시에 승인을 받아야 합니다. 더 중요한 점은 이러한 개인 키가 완전히 오프라인 하드웨어 지갑에 저장된다는 것입니다. 이는 이론적으로 거의 깨지지 않는 보안 장벽을 구축한 셈입니다.

하지만 해커들은 이러한 기술적 방어수단을 직접 공격하지 않고, 좀 더 은밀한 방법인 사회공학적 공격을 선택했습니다. 그들은 먼저 세 서명국의 컴퓨터 시스템을 어떻게든 성공적으로 해킹하고, 어둠 속에서 그들의 운영 습관, 내부 의사소통 방법, 전송 프로세스를 인내심 있게 관찰하고 기록했습니다.

해커는 일정 기간 동안 충분히 관찰한 후 콜드 월렛에서 핫 월렛으로 자금을 이체하는 과정을 표적으로 삼았습니다. 벤 저우 CEO에 따르면, 이러한 이체 작업은 보통 2~3주마다 이뤄지며, 매번 엄청난 양의 자금이 관련되는데, 주로 핫 월렛의 일일 거래 요구 사항을 충족하기 위한 것입니다. 그래서 공격자는 3일 전에 백도어가 포함된 악성 계약을 배포했습니다. 서명자들이 일상 업무를 수행하는 동안 공격자는 조용히 정상적인 거래 요청을 사전에 배포한 악성 계약으로 바꿔 놓았습니다. 서명자는 서명할 때 정상적인 이체 거래를 보았기 때문에 이를 알지 못했지만 실제로는 해커가 지갑을 장악할 수 있는 거래에 서명하고 있었습니다. 공격자는 직원의 컴퓨터를 완전히 통제했기 때문에 그들이 본 거래 정보는 가짜였지만 서명은 진짜였습니다.

이후 분석 결과, 공격자는 위조된 서명 공격을 단 한 번만 사용하여 Safe 지갑의 소유자 권한을 탈취했으며, 이는 두 대 이상의 기기가 손상되었을 가능성이 높고 공격자가 오랫동안 Bybit 인트라넷에 숨어 있었으며 충분한 내부 정보를 수집했을 가능성이 크다는 것을 보여줍니다. 가장 진보된 기술적 방어수단조차도 인간 본성을 표적으로 삼는, 신중하게 고안된 사회 공학적 공격에는 대응할 수 없습니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

인간의 약점: 사회 공학적 공격이란 무엇인가?

사회 공학적 공격은 비용이 많이 들고 복잡하지만 매우 효과적인 공격 유형입니다. 기술적 공격과 달리 사회 공학적 공격은 주로 사람들의 심리와 행동을 조작하여 기밀 정보를 얻거나 통제 권한을 얻습니다. 공격자는 시스템을 직접 공격하지 않고, 사람들의 신뢰, 부주의, 습관을 이용해 타겟이 적극적으로 정보를 공개하거나 특정 행동을 취하도록 유도합니다.

일반적인 공격 방법으로는 피싱 이메일 발송, 악성 소프트웨어 이식, 개인 보안 습관의 허점 악용(예: 취약한 비밀번호, 2단계 인증 실패 등) 등이 있습니다. 공격자는 회사 내 프로젝트 당사자나 동료인 척하고, 전화, 이메일 또는 소셜 미디어를 통해 직원에게 연락해 악성 링크를 클릭하거나 계정 정보를 공개하도록 속일 수 있습니다. 예를 들어, 공격자는 개발자의 코드 디버깅에 도움이 필요하다고 가장하고, 신뢰를 얻기 위해 선불로 돈을 지불하겠다고 약속할 수도 있습니다.

사회 공학적 공격의 가장 큰 위협은 기존의 기술적 보안 보호 기능을 우회할 수 있다는 것입니다. 공격자는 대개 감정, 호기심, 두려움 등 인간의 약점을 악용해 매우 은밀한 공격을 감행합니다. 바이러스나 맬웨어와 달리 이러한 공격은 즉시 나타나지 않습니다. 공격자는 오랜 시간 동안 배경에 숨어서 조용히 정보를 수집하고 침투하여 적절한 순간을 노릴 수 있습니다.

라자로의 끔찍한 기록: 60억 달러 도난

북한 해커 그룹인 라자루스 그룹은 2009년부터 활동을 시작해 2016년에 암호화 분야에 관심을 돌렸습니다. Chainalysis 보고서에 따르면 2016년부터 2024년까지 Lazarus Group이 도난한 총 금액은 46억 달러를 넘었습니다. 이 중 2024년에는 13억 4천만 달러, 2023년에는 6억 6천만 달러, 2022년에는 11억 달러가 도난당했습니다. 2025년 바이비트(Bybit) 사건을 포함해 라자루스 그룹이 암호화폐 분야에서 지금까지 훔친 총 금액은 60억 달러를 돌파했습니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

🔍 해당 조직에 대한 더 자세한 정보를 원하시면 615페이지 분량의 UN 보고서를 확인하세요.

한국어: https://documents.un.org/doc/undoc/gen/n24/032/68/pdf/n2403268.pdf

로닌 사건: 가짜 제안으로 6억 2천만 달러 도난

2022년 3월 23일, 암호화폐 게임 거대 기업 Axie Infinity의 Ethereum 사이드체인 Ronin은 암호화폐 역사상 가장 큰 해커 공격 중 하나를 겪었습니다. 북한 해커 그룹인 라자루스는 신중하게 계획된 사회 공학적 공격을 통해 무려 6억 2천만 달러 상당의 디지털 자산을 훔치는 데 성공했습니다. 놀랍게도, 공격 후 6일이 지나서야 한 사용자가 5,000 ETH를 인출할 수 없다고 보고했을 때 프로젝트는 금고가 비어 있는 사실을 발견했습니다.

공격은 겉보기에 평범한 모집 미끼로 시작되었습니다. 라자루스 그룹은 가짜 회사의 정체성을 위조하고 LinkedIn을 통해 Axie Infinity의 모회사인 Sky Mavis의 수석 엔지니어에게 매력적이고 고소득의 직책을 제안하며 연락했습니다. 매력적인 급여 조건에 끌린 엔지니어는 여러 차례의 "면접" 과정에 적극적으로 참여했고, 면접 중 하나에서는 겉보기에 공식적인 PDF 파일에 "채용 제안"이 적혀 있었습니다.

엔지니어는 회사 컴퓨터에 문서를 다운로드하여 열었지만, 이 간단한 작업으로 공격자가 Ronin 블록체인 네트워크에 접근할 수 있는 문이 열렸다는 사실을 알지 못했습니다. 악성 파일은 감염 체인을 통해 조용히 침투하여 결국 공격자는 Ronin 네트워크의 4개 검증 노드와 1개 Axie DAO 노드를 제어할 수 있게 되었습니다. 로닌은 9개 검증자 노드 중 5개가 승인하면 자금을 이체할 수 있도록 설정되어 있습니다. 해커는 이 5개 노드를 제어함으로써 보안 메커니즘을 쉽게 우회하여 막대한 양의 자금을 이동시켰습니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

지불된 코인:

6개월 동안 잠복해 있던 정교한 공격

2023년 7월 22일, 암호화폐 결제 플랫폼인 코인스페이드의 핫 월렛이 라자루스 조직의 공격을 받아 약 3,730만 달러의 자금이 도난당했습니다. 해커는 놀라운 인내심을 보여주며 거의 6개월 동안 CoinsPaid를 주의 깊게 추적하고 연구하면서 회사의 내부 운영에 대한 정보를 점차 축적했습니다.

2023년 3월부터 CoinsPaid는 소셜 엔지니어링 공격, DDoS 공격, 무차별 대입 공격을 포함하여 회사를 상대로 한 여러 차례의 공격 시도를 기록했습니다. 공격자들은 기술 컨설팅 요청부터 직원에게 뇌물 제공, 유명 암호화폐 회사의 채용 담당자로 가장하여 월급 16,000~24,000달러에 달하는 등 수법을 계속해서 확대하고 있습니다.

6개월간 여러 차례의 시도 끝에, 한 직원이 마침내 Crypto.com으로 위장한 채용 제안에 응답하고 "기술 테스트 과제"에 대한 "면접" 중에 악성 코드가 포함된 애플리케이션을 설치했습니다. 공격자는 구성 파일과 키를 얻고 회사 인프라에 연결한 후 궁극적으로 CoinsPaid의 핫 월렛에서 자금을 훔치는 데 성공했습니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

산업의 성찰과 미래의 과제

콜드 월렛 보안 신화 폭로

이 기록적인 도난 사건은 암호화폐 산업 전체에 경각심을 일깨우는 계기가 되었습니다. 우선, 이 사건은 콜드 월렛이 절대적으로 안전하다는 통념을 깨뜨렸습니다. 콜드 월렛이 암호화폐 자산을 보호하는 가장 안전한 방법으로 여겨지지만, 이번 공격은 콜드 월렛에도 취약점이 있다는 것을 증명했습니다.

CEO 벤 저우의 사후 회고에 따르면, "저희의 콜드 시그니처는 모든 이더리움을 하나의 지갑에 넣는 대신 여러 지갑에 분산될 수 있습니다." 이는 사고방식의 변화를 나타냅니다. 도난당하지 않는 방법에 대해 생각하는 대신, 도난당하더라도 손실이 거래소에 아무것도 남지 않고 허용 범위 내에서 유지되도록 하는 방법에 중점을 둡니다. 앞으로 거래소와 지갑 개발자들은 제로 지식 증명과 같은 고급 암호화 기술을 채택하고, 다중 서명 메커니즘을 최적화하고, 심지어 물리적 격리와 생체 인식 기술을 결합하는 솔루션을 고려하는 등 더 높은 수준의 보안 대책을 모색해야 합니다. 보안은 더 이상 단순한 방어선이 아니라 다단계, 3차원적 보호 시스템이 필요합니다.

다중 서명 지갑의 보안 위험

Bybit 해킹 사건은 다중 서명 지갑의 보안에 대한 깊은 반성을 불러일으켰습니다. 다중 서명 거래에서 첫 번째 거래가 제출된 후 후속 서명자는 첫 번째 사람의 거래 데이터를 맹목적으로 신뢰하고 직접 서명할 수 있으며, 독립적인 교차 검사의 중요성을 무시할 수 있습니다. 이러한 관행은 실제로 다중 서명 메커니즘의 원래 설계 의도에 어긋납니다.

이 사건은 기존 다중 서명 방식의 주요 결함을 드러냈습니다. 독립적인 거래 검증 계층이 없기 때문에 공격자가 인터페이스나 계약 논리를 조작하여 서명자를 속일 수 있다는 것입니다. 유사한 보안 사고를 피하기 위해 업계에서는 다중 서명 메커니즘에 대한 검토와 규제를 강화하여 각 단계가 독립적으로 검증되도록 해야 합니다. 업계에서는 주요 하드웨어 지갑 제조업체와 긴밀한 협력을 촉진하고, 원래 보안 솔루션을 유지하는 동시에 독립적인 제3자 서명 검토 채널을 구축해야 합니다. 현재 체인상의 총 잠금 가치(TVL)를 가진 대부분의 자산은 크로스 체인 브리지와 DeFi 프로토콜과 같은 핵심 인프라를 포함하여 다중 서명 관리 계약에 호스팅됩니다. 계약 관리 프로세스에서 엄격한 검토 및 운영 기준이 부족할 경우 유사한 보안 사고가 다시 발생할 가능성이 높습니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

규제 변경 및 산업 투명성

이번 공격 이후, 전 세계 규제 기관은 거래소에 대한 보안 검토를 강화하고, 거래소가 자산 준비금과 보안 조치가 기준을 충족한다는 것을 증명하기 위해 정기적으로 감사 보고서를 공개하도록 요구할 가능성이 높습니다. 이 사고로 Bybit은 역대 최다 출금 건수를 경험했으며, 총 35만 건이 넘는 출금 요청을 받았습니다. 하지만 은행 인출 사태는 발생하지 않았고, 입금 및 출금 수준은 약 12시간 만에 정상으로 돌아왔습니다.

Bybit의 감사 회사인 Hacken도 현금과 토큰 준비금으로 15억 달러의 손실을 충분히 메울 수 있다고 확인했습니다. 자산 보유량이 부족한 플랫폼을 만나면, 그 결과는 재앙이 될 수 있습니다. 따라서 감독을 강화하는 것은 보안의식이 약한 플랫폼을 퇴치할 수 있을 뿐만 아니라, 업계 전체의 투명성과 신뢰를 향상시키고, 업계가 더욱 건강하고 안전한 방향으로 발전하도록 촉진할 수 있습니다.

해커 기술의 진화: AI

그리고 자동화된 공격의 위협

더욱 우려되는 것은 북한의 라자루스 그룹과 같은 조직의 기술이 급속히 발전하고 있다는 것입니다. 그들의 공격 방법은 보다 은밀하고 정확해졌으며, 심지어 인공지능 기술을 공격 체인에 통합하기 시작할 수도 있습니다. 미래에는 AI 기반 정밀 피싱 공격, 구별하기 어려운 딥페이크 영상, Web3 개발 툴 체인 침투 등 더 복잡하고 자동화된 공격 방법에 직면하게 될 수 있습니다. 이러한 기술의 발전은 보안 보호 조치가 더 큰 도전에 직면하게 됨을 의미합니다. 업계는 항상 경계하고 기술 업데이트와 방어 시스템 구축을 강화해야 합니다.

14억 6천만 달러! 역사상 가장 큰 금융 도난 사건: 북한 해커들은 어떻게 Bybit 콜드 월렛 방어선을 뚫었을까?

결론: Web3 보안은 지속적인 게임입니다.

Web3의 보안은 단순한 과제가 아니라 끝이 없는 마라톤과도 같습니다. 기술이 계속 발전함에 따라 공격자와 방어자 간의 경쟁도 더욱 치열해질 것입니다. 코드 작성부터 사용자 운영까지 업계 모든 측면에 보안 인식을 통합해야만 진정으로 신뢰할 수 있는 암호화폐 생태계를 구축하고 업계의 장기적 발전을 보장할 수 있습니다.