Subscribe to Our Newsletter

Success! Now Check Your Email

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Ok, Thanks
세이프 월렛, 바이비트 해킹 사건 보고서 공개…북한 해커 조직의 최신 공격 수법

세이프 월렛, 바이비트 해킹 사건 보고서 공개…북한 해커 조직의 최신 공격 수법

2025년 2월 21일, 바이비트(Bybit)에서 약 15억 달러 상당의 가상자산이 도난당하는 사건이 발생했다. 이번 사건은 북한 연계 해킹 조직이 Safe{Wallet}의 개발자 기기를 해킹하여 다중 인증을 우회하고 자산을 탈취한 것으로 확인되었다.

CryptoTerminal profile image
작성자 CryptoTerminal

바이비트 거래소 해킹 사건에 대한 Safe{Wallet}의 포렌식 조사가 글로벌 사이버 보안 기업 Mandiant(현재 Google Cloud 소속)과 협력하여 진행 중이다.

현재까지의 조사 결과 이번 공격은 국가 지원을 받은 북한측 해커의 고도화된 해킹 공격으로 확인되었다. 수백 시간에 걸친 분석이 진행되었으나, 공격자가 악성 코드 제거 및 Bash 히스토리 삭제 등 증거 인멸을 시도하면서 일부 데이터 복구가 어려운 상황이다.

Safe{Wallet} 팀은 서비스 복구 및 보안 강화를 위해 최선을 다하고 있으며, 아래 초기 보고서를 통해 구체적인 대응책을 발표했다.

공격 배후: 북한 연계 해커 조직 'TraderTraitor'

미국 연방수사국(FBI) 은 이번 공격이 북한의 해킹 그룹 'TraderTraitor'(Mandiant의 추적명: UNC4899)에 의해 수행되었다고 밝혔다.

이들은 여러 차례의 암호화폐 탈취 공격을 감행한 전력이 있으며, 이번 해킹 역시 Safe{Wallet}의 개발자 한 명(Developer1)의 노트북을 감염시켜 AWS 세션 토큰을 탈취하는 방식으로 다중 인증(MFA)을 우회한 것으로 나타났다.

해커들은 이를 통해 Safe{Wallet} 서버에 대한 코드 커밋 접근 권한을 확보한 후 추가적인 침투를 시도한 것으로 확인되었다. 현재 공격 이후의 구체적인 해커 활동 분석이 진행 중이다.

Safe{Wallet} 팀은 기존 보안 수준을 대폭 강화하는 조치를 시행 중이며, 스마트 컨트랙트(Smart Contract)에는 영향을 미치지 않은 것으로 확인되었다.

공격 방식 분석

Mandiant의 조사에 따르면, Safe{Wallet}의 보안 체계를 뚫기 위해 사용된 공격 방식은 다음과 같다.

  • 개발자의 노트북 감염 → AWS 세션 토큰 탈취
  • 다중 인증(MFA) 우회 → Safe{Wallet} 내부 시스템 접근
  • 코드 커밋 권한 확보 → 인프라 접근 시도
  • Bash 히스토리 삭제 및 악성 코드 제거 → 증거 인멸

Safe{Wallet} 측은 보안 체계를 다층적으로 유지해 왔음에도 불구하고 공격자들이 이를 우회했다는 점을 강조하며, 보안 강화를 위한 추가 조치를 발표했다.

Safe{Wallet}의 보안 강화 조치

사고 발생 이후, Safe{Wallet} 팀은 신속한 대응을 통해 인프라 전체를 재설정하고 보안 체계를 강화했다. 주요 조치는 다음과 같다.

  • 인프라 재구축: 모든 자격 증명 업데이트, 클러스터 재설정, 키 및 보안 비밀 변경, 개발자 시스템 재설치
  • 외부 접근 차단: 트랜잭션 서비스에 대한 외부 접근을 일시적으로 차단하고 방화벽 규칙을 강화
  • 악성 트랜잭션 감지 강화: Blockaid와 협력하여 악성 트랜잭션 탐지 시스템을 업그레이드
  • 모니터링 확대: 실시간 위협 탐지 및 로깅 강화
  • 대기 중인 트랜잭션 초기화: 데이터베이스 내 모든 대기 트랜잭션을 제거하여 잠재적 인적 오류 방지
  • 하드웨어 지갑 지원 일시 중단: eth_sign 방식과 서드파티 의존성 문제로 인해 기본 하드웨어 지갑 지원을 일시 중단하고 월렛 커넥트를 통한 접근만 허용
  • UI 보안 강화: Safe{Wallet} 사용자가 독립적으로 트랜잭션 해시를 검증할 수 있도록 Safe Utils 기능 추가

이와 함께, Safe{Wallet} 팀은 Mandiant와 긴밀히 협력하여 보안 시스템을 지속적으로 개선하고 있다. 내부 인프라 보호를 위해 모든 세부 사항을 공개할 수는 없으나, 오픈 소스 코드 관련 변경 사항은 공개된 변경 로그를 통해 확인할 수 있다.

커뮤니티의 대응 필요성

이번 사건은 웹3 보안이 직면한 새로운 위협 수준을 보여주며, 업계 전반에 걸쳐 보안 인프라를 강화해야 한다는 필요성을 강조하고 있다.

현재 웹3 보안의 가장 큰 문제 중 하나는 사용자가 서명하는 트랜잭션이 원하는 결과를 초래하는지 검증하는 과정이 복잡하고 어렵다는 점이다. 이 문제는 단순히 사용자 교육의 문제가 아니라, 웹3 전반의 시스템적 개선이 요구되는 과제이다.

  • 플랫폼 차원의 보호 조치 필요: 자율 보안이 강조되는 웹3 환경에서도, 악성 트랜잭션을 탐지하고 차단하는 도구 개발이 중요
  • UX 개선 필요: 사용자 경험을 단순화하여 안전한 트랜잭션 검증이 용이하도록 시스템 설계
  • 트랜잭션 서명 과정 개선: 사용자가 이해할 수 있는 방식으로 트랜잭션 정보를 제공하고, 사전 검증 시스템 도입

Safe{Wallet}은 사용자 보호 강화를 위해 트랜잭션 서명 전 검증 가이드를 공개하였으며, 향후 보안 절차를 보다 직관적이고 원활한 방식으로 개선할 계획이다.

뉴스레터 구독하기

지금 크립토터미널을 구독하고 최신 웹3 마켓 트렌트와 인사이트를 받아보세요!

Success! Now Check Your Email

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Ok, Thanks

Read More