15억 달러 규모의 바이비트 해킹 사건의 내막: 북한이 어떻게 역사상 최대의 암호화폐 탈취를 성공시켰나
2025년 2월 21일, 북한 해커들이 두바이 기반 거래소 바이비트(Bybit)에서 약 30분 만에 15억 달러 상당의 암호화폐를 탈취했습니다. 이는 단순히 역사상 최대 규모의 암호화폐 해킹 사건에 그치지 않습니다. 바이비트가 은행이었다면 기네스 세계 기록에 등재된 역대 최대 규모의 은행 강도 사건으로 기록되었을 것입니다.
이번 공격은 스마트 컨트랙트의 버그를 악용하거나 프라이빗 키를 무차별 대입(brute-force)한 것이 아니었습니다. 대신 해커들은 제3자 지갑 제공업체의 개발자 노트북 한 대를 해킹한 후 몇 주 동안 인내심을 갖고 기다렸고, 바이비트 직원이 일반적인 내부 이체처럼 보이는 거래를 승인하는 순간을 노려 공격을 감행했습니다. 무언가 잘못되었다는 사실을 깨달았을 때는 이미 500,000 ETH가 북한 라자루스 그룹(Lazarus Group)이 관리하는 복잡한 지갑 네트워크 속으로 사라진 뒤였습니다.
다음은 이 사건이 어떻게 발생했는지, 왜 중요한지, 그리고 2025년 현재 암호화폐 보안의 실태에 대해 무엇을 시사하는지에 대한 이야기입니다.
공격: 인내와 정밀함의 정수
바이비트 해킹은 단순한 강도 사건이 아니었습니다. 몇 주에 걸쳐 전개된 정밀한 작전이었습니다.
1단계: 개발자 포섭
2025년 2월 4일, 바이비트가 고액 이체 보안을 위해 사용하던 널리 알려진 멀티시그(multi-signature) 지갑 플랫폼 Safe{Wallet}의 한 개발자가 "MC-Based-Stock-Invest-Simulator-main"이라는 합법적인 Docker 프로젝트처럼 보이는 파일을 다운로드했습니다. 이 파일은 채용 제안이나 투자 도구로 위장한 사회 공학적 공격(social engineering attack)을 통해 전달되었을 가능성이 높습니다.
악성 Docker 컨테이너는 즉시 공격자가 제어하는 서버와 연결을 설정했습니다. 그곳에서 해커들은 개발자의 워크스테이션으로부터 Safe{Wallet}의 클라우드 인프라에 접근할 수 있는 임시 자격 증명인 AWS 세션 토큰을 추출했습니다.
이 토큰들을 사용해 공격자들은 다요소 인증(MFA)을 완전히 우회했습니다. 이제 그들은 Safe{Wallet}의 핵심 시스템에 접근할 수 있는 열쇠를 손에 넣었습니다.
2단계: 잠복 코드
공격자들은 즉시 행동에 ��나서는 대신 Safe{Wallet}의 웹 인터페이스에 교묘한 자바스크립트(JavaScript) 코드를 삽입했습니다. 이 코드는 바이비트만을 위해 특별히 설계되었으며, 바이비트 직원이 Safe 계정을 열고 거래를 승인하려는 것을 감지할 때까지 잠복 상태를 유지했습니다.
여기서 주목할 점은 정교함입니다. 전체 Safe{Wallet} 애플리케이션은 다른 모든 사용자에게는 정상적으로 작동했습니다. 오직 바이비트만이 표적이 되었습니다.
3단계: 거액 탈취
2025년 2월 21일, 바이비트 직원들은 콜드 월렛(보안된 오프라인 저장소)에서 웜 월렛(활성 거래용)으로 통상적인 이체를 시작했습니다. 이를 위해서는 권한이 있는 인원들의 여러 서명이 필요한데, 이는 멀티시그라고 불리는 표준 보안 절차입니다.
서명자들이 거래를 승인하기 위해 Safe{Wallet}을 열었을 때, 인터페이스에는 올바른 목적지 주소가 표시되었습니다. 하지만 악성 코드는 이미 내부 명령을 다른 것으로 바꿔치기한 상태였습니다. 직원들은 자신도 모르게 바이비트의 콜드 월렛 전체를 비우는 거래를 승인하게 되었습니다.
불과 몇 분 만에 약 15억 달러 상당의 500,000 ETH가 공격자들이 관리하는 주소로 흘러 들어갔습니다.
기술적 취약점 악용: Delegatecall
핵심 취약점은 이더리움의 delegatecall 함수였습니다. 이 함수는 스마트 컨트랙트가 자신의 저장소 컨텍스트 내에서 다른 컨트랙트의 코드를 실행할 수 있게 합니다. 공격자들은 바이비트의 서명자들을 속여 지갑의 컨트랙트 로직을 악성 버전으로 변경하게 만들었고, 결과적으로 해커들에게 전권을 부여하게 되었습니다.
이것은 이더리움 자체나 Safe{Wallet}의 핵심 프로토콜에 있는 버그가 아니었습니다. 신뢰받는 직원이 거래를 확인하고 승인하는 순간인 '인적 계층(human layer)'에 대한 공격이었습니다.
북한 라자루스 그룹: 세계에서 가장 많은 수익을 올리는 해커들
공격 후 24시간 이내에 블록체인 조사관 ZachXBT는 이번 해킹이 북한의 라자루스 그룹과 확실히 연결되어 있다는 증거를 Arkham Intelligence에 제출했습니다. FBI는 2025년 2월 26일에 이 사실을 공식 확인했습니다.
TraderTraitor 및 APT38로도 알려진 라자루스 그룹은 북한 정찰총국 산하에서 활동합니다. 이들은 개인적인 부를 축적하려는 범죄 조직이 아닙니다. 이들의 수익금은 북한의 핵무기 및 탄도 미사일 프로그램의 자금으로 사용되는 국가 차원의 작전 부대입니다.
수치는 놀라운 수준입니다:
- 2025년 한 해만: 북한 해커들이 탈취한 암호화폐는 20억 2,000만 달러에 달함
- 바이비트 비중: 15억 달러 (2025년 북한이 단일 공격으로 벌어들인 수익의 74%)
- 2017년 이후: 북한은 67억 5,000만 달러 이상의 암호화폐 자산을 탈취함
- 2024년 대비 2025년: 탈취 자산 가치 51% 증가
북한은 2025년 전 세계에서 도난당한 모든 암호화폐의 59%, 전체 거래소 해킹 사건의 76%를 차지했습니다. 다른 어떤 위협 행위자도 이 수치에 근접하지 못합니다.
암호화폐 절도의 산업화
북한이 다른 점은 단순히 규모뿐만이 아닙니다. 그들의 작전은 매우 정교합니다.
기술적 취약점보다 사회 공학적 기법 우선
2025년 주요 해킹 사건의 대부분은 기술적 취약점이 아닌 사회 공학적 기법을 통해 자행되었습니다. 이는 근본적인 변화를 의미합니다. 해커들은 더 이상 스마트 컨트랙트의 버그나 암호학적 약점만을 찾지 않습니다. 그들은 사람을 노립니다.
라자루스 그룹 요원들은 암호화폐 기업 내부에 IT 직원으로 위장 취업하기도 했습니��다. 임원을 사칭하거나 개발자들에게 악성코드가 포함된 채용 제안을 보내기도 했습니다. 바이비트 공격은 개발자가 가짜 주식 거래 시뮬레이터를 다운로드하는 것에서 시작되었으며, 이는 전형적인 사회 공학적 공격 경로입니다.
중국의 돈세탁 조직 (The Chinese Laundromat)
암호화폐를 훔치는 것은 도전의 절반에 불과합니다. 발각되지 않고 이를 사용할 수 있는 자금으로 전환하는 과정 또한 그만큼 복잡합니다.
북한은 직접 현금화하는 대신, 조사관들이 "중국의 돈세탁 조직(Chinese Laundromat)"이라 부르는 조직에 돈세탁을 외주화했습니다. 이들은 지하 뱅커, OTC(장외거래) 브로커, 무역 기반 세탁 중개인들로 구성된 광범위한 네트워크입니다. 이들은 여러 체인, 관할권 및 결제망을 가로질러 도난당한 자산을 세탁합니다.
Bybit 해킹 발생 후 한 달도 채 되지 않은 2025년 3월 20일, CEO 벤 저우(Ben Zhou)는 해커들이 이미 여러 중간 지갑, 탈중앙화 거래소(DEX) 및 크로스체인 브리지를 통해 도난당한 ETH 의 86.29% 를 비트코인(Bitcoin)으로 전환했다고 보고했습니다. 대규모 탈취 이후 45일간 이어지는 세탁 주기는 이제 예측 가능한 패턴이 되었습니다.
이러한 노력에도 불구하고, 저우는 도난당한 자산의 88.87% 가 추적 가능하다고 언급했습니다. 하지만 "추적 가능"이 곧 "회수 가능"을 의미하지는 않습니다. 자금은 미국이나 ��국제 법 집행 기관과 협력 관계가 없는 관할권으로 흘러 들어갑니다.
Bybit의 대응: 위기 속의 위기 관리
침해 사실을 발견한 지 30분 만에 CEO 벤 저우는 지휘권을 잡고 X (구 트위터)를 통해 실시간 업데이트를 제공하기 시작했습니다. 그의 메시지는 직설적이었습니다. "이 해킹 피해가 복구되지 않더라도 Bybit 은 지급 능력이 있으며 (Solvent), 모든 고객 자산은 1 : 1 로 담보되어 있으므로 우리가 손실을 감당할 수 있습니다."
거래소는 12시간 이내에 35만 건 이상의 출금 요청을 처리했습니다. 이는 치명적인 손실에도 불구하고 운영이 정상적으로 계속될 것이라는 신호를 사용자들에게 보낸 것입니다.
긴급 자금 조달
72시간 이내에 Bybit 은 Galaxy Digital, FalconX, Wintermute를 포함한 파트너들로부터 긴급 자금을 확보하여 447,000 ETH 를 보충했습니다. Bitget 은 출금이 중단 없이 이어질 수 있도록 40,000 ETH 를 대여해 주었으며, Bybit 은 이를 3일 이내에 상환했습니다.
사이버 보안 기업 해큰 (Hacken)은 Bybit 의 주요 자산이 100% 이상의 담보로 뒷받침되고 있음을 확인하는 보유 자산 증명 (PoR) 감사를 실시했습니다. 이러한 투명성은 이 정도 규모의 위기 상황에서 전례 없는 일이었습니다.
바운티 프로그램 (The Bounty Program)
저우는 "라자루스와의 전쟁"을 선포하고, 동결된 자산으로 이어지는 정보에 대해 최대 10% 의 보상을 제공하는 글로벌 바운티 프로그램을 시작했습니다. 연말까지 Bybit 은 자금 추적이나 회수를 도운 기여자들에게 218만 달러 상당의 USDT 를 지급했습니다.
시장의 판결
2025년 말까지 Bybit 은 전 세계 사용자 8,000만 명을 돌파했고, 일일 거래대금 71억 달러를 기록하며 암호화폐 현물 거래소 중 5위를 차지했습니다. 이들의 위기 대응은 치명적인 해킹에서 살아남는 방법에 대한 사례 연구 (Case Study)가 되었습니다.
2025년: 암호화폐 도난액이 34억 달러에 달한 해
Bybit 해킹이 헤드라인을 장식했지만, 이는 더 큰 패턴의 일부였습니다. 2025년 전체 암호화폐 도난액은 34억 달러에 달하며 새로운 기록을 세웠고, 3년 연속 증가세를 보였습니다.
주요 통계:
- 2023년: 20억 달러 도난
- 2024년: 22억 달러 도난
- 2025년: 34억 달러 도난
전체 암호화폐 도난에서 북한이 차지하는 비중은 약 절반에서 거의 60% 로 늘어났습니다. 북한 (DPRK)은 더 적은 사건으로 더 큰 규모의 탈취를 달성하며 점차 효율성과 정교함이 증가하고 있음을 입증했습니다.
교훈: 보안이 실패한 지점
Bybit 해킹은 단일 거래소를 넘어선 치명적인 취약점들을 노출했습니다.
제3자 리스크는 실존적 위협이다
Bybit 자체의 보안 실패가 아니었습니다. Safe{Wallet} 의 문제였습니다. 하지만 그 결과는 Bybit 이 짊어져야 했습니다.
암호화폐 산업은 거래소가 지갑 제공업체에 의존하고, 지갑 제공업체는 클라우드 인프라에 의존하며, 클라우드 인프라는 개별 개발자의 워크스테이션에 의존하는 복잡한 종속성 체인을 구축해 왔습니다. 이 체인의 어느 한 곳이라도 침해되면 치명적인 연쇄 반응을 일으킬 수 있습니다.
콜드 스토리지만으로는 충분하지 않다
업계는 오랫동안 콜드 월렛을 보안의 황금 표준으로 여겨왔습니다. 하지만 Bybit 의 자금은 도난당할 당시 콜드 스토리지에 있었습니다. 취약점은 자금을 이동시키는 과정, 즉 멀티시그 (Multisig)가 보호하도록 설계된 '인간의 승인 단계'에 있었습니다.
이체가 일상화되면 서명자들은 승인을 비판적인 보안 결정이 아닌 형식적인 절차로 취급하며 거짓 보안 실감에 빠지게 됩니다. Bybit 공격은 바로 이러한 행동 패턴을 악용했습니다.
UI는 단일 장애점 (SPOF)이다
멀티시그 보안은 서명자가 자신이 승인하는 내용을 확인할 수 있다는 점을 전제로 합니다. 하지만 트랜잭션 세부 정보를 표시하는 인터페이스가 침해되면 확인은 무의미해집니다. 공격자들은 서명자들에게는 한 가지를 보여주면서 실제로는 다른 명령을 실행했습니다.
직원들이 승인 전 트랜잭션의 실제 목적지를 미리 볼 수 있게 하는 '서명 전 시뮬레이션 (Pre-signing simulations)'이 있었다면 이 공격을 방지할 수 있었을 것입니다. 대규모 출금에 대한 지연 시간을 두어 추가 검토 시간을 확보하는 것도 방법이 될 수 있었습니다.
사회 공학적 기법은 기술적 보안을 능가한다
세계에서 가장 정교한 암호화 보안을 갖추고 있더라도, 단 한 명의 직원이 잘못된 파일을 다운로드하는 것만으로 모든 보안을 우회할 수 있습니다. 암호화폐 보안의 취약점은 점차 기술적인 문제가 아닌 인간의 문제가 되고 있습니다.
규제 및 업계에 미치는 영향
Bybit 해킹은 이미 규제 환경을 재편하고 있습니다.
다음과 같은 항목들에 대한 의무 요구 사항이 예상됩니다:
- 키 관리를 위한 하드웨어 보안 모듈 (HSM) 도입
- 실시간 트랜잭션 모니터링 및 이상 징후 탐지
- 정기적인 제3자 보안 감사
- 강화된 AML 프레임워크 및 대규모 이체에 대한 트랜잭션 지연
보안과 컴플라이언스는 이제 시장 진입을 위한 필수 조건이 되고 있습니다. 강력한 키 관리, 권한 설계 및 신뢰할 수 있는 보안 프레임워크를 입증하지 못하는 프로젝트는 뱅킹 파트너 및 기관 사용자로부터 고립될 것입니다.
업계에 시사하는 �점
바이비트 (Bybit) 해킹은 불편한 진실을 드러냅니다. 암호화폐의 보안 모델은 가장 취약한 운영 링크만큼만 강력할 뿐이라는 점입니다.
업계는 영지식 증명 (zero-knowledge proofs), 임계값 서명 (threshold signatures), 보안 인클레이브 (secure enclaves) 와 같은 암호학적 보안에 막대한 투자를 해왔습니다. 하지만 공격자가 사람을 속여 악성 트랜잭션을 승인하게 만들 수 있다면, 아무리 정교한 암호화 기술도 무용지물입니다.
거래소들에게 주는 메시지는 분명합니다. 보안 혁신은 기술을 넘어 운영 프로세스, 제3자 위험 관리, 지속적인 직원 교육까지 확장되어야 합니다. 정기적인 감사, 협력적인 위협 인텔리전스 공유, 사고 대응 계획 수립은 더 이상 선택 사항이 아닙니다.
사용자들에게 주는 교훈 또한 냉혹합니다. 가장 정교한 보안 시스템을 갖춘 최대 규모의 거래소라도 침해될 수 있다는 것입니다. 셀프 커스터디 (Self-custody), 하드웨어 월렛, 분산된 자산 보관은 다소 불편하더라도 여전히 가장 안전한 장기 전략입니다.
결론
북한의 라자루스 그룹 (Lazarus Group) 은 암호화폐 절도를 산업화했습니다. 이들은 2017년 이후 67억 5천만 달러 이상을 탈취했으며, 2025년은 그들에게 역대 최고의 성과를 거둔 해로 기록되었습니다. 단 한 번의 작전으로 15억 달러를 탈취한 바이비트 해킹은 어떤 정보 기관도 부러워할 만한 ��능력을 보여줍니다.
암호화폐 업계는 무한한 인내심과 정교한 기술력을 갖추고 결과에 대한 두려움이 없는 국가 지원 해커들과 군비 경쟁을 벌이고 있습니다. 바이비트 공격이 성공한 이유는 새로운 익스플로잇 덕분이 아니라, 공격자들이 코드가 아닌 사람이 가장 취약한 고리라는 점을 이해했기 때문입니다.
업계가 암호학적 보안에 적용하는 것과 동일한 엄격함으로 운영 보안을 다루지 않는 한, 이러한 공격은 계속될 것입니다. 문제는 또 다른 10억 달러 규모의 해킹이 발생할지 여부가 아니라, 언제 발생할 것인가, 그리고 대상이 바이비트만큼 효과적으로 대응할 수 있는가 하는 점입니다.
본 기사는 교육적인 목적으로만 제공되며 재무적 조언으로 간주되어서는 안 됩니다. 암호화폐 거래소 및 지갑을 사용할 때는 항상 스스로 조사하고 보안을 최우선으로 하십시오.