"사이버 보안" 태그로 연결된 5 개 게시물 개의 게시물이 있습니다.

2025년 크리스마스 이브, 암호화폐 업계의 대부분이 휴가를 즐기고 있을 때 공격자들은 트러스트 월렛 (Trust Wallet)의 크롬 확장 프로그램에 악성 업데이트를 푸시했습니다. 48시간 만에 2,520개의 지갑에서 850만 달러가 사라졌습니다. 수천 명의 사용자 시드 구문 (seed phrases)이 일상적인 텔레메트리 데이터로 위장하여 조용히 수집되었습니다. 하지만 이것은 단독 사건이 아니었습니다. 이는 몇 주 동안 암호화폐 개발 생태계를 통해 확산되고 있었던 공급망 공격 (supply chain attack)의 정점이었습니다.

듄 (Dune)의 모래 벌레 이름을 딴 샤이 훌루드 (Shai-Hulud) 캠페인은 2025년 가장 공격적인 npm 공급망 공격을 상징합니다. 700개 이상의 npm 패키지를 오염시켰고, 27,000개의 GitHub 리포지토리를 감염시켰으며, 487개 조직에 걸쳐 약 14,000개의 개발자 비밀 정보 (developer secrets)를 노출시켰습니다. 총 피해액은 5,800만 달러 이상의 암호화폐 탈취로, 암호화폐 역사상 개발자를 대상으로 한 가장 막대한 피해를 입힌 공격 중 하나가 되었습니다.

공급망 웜의 해부​

사용자가 악성 소프트웨어를 다운로드하도록 유도하는 일반적인 맬웨어와 달리, 공급망 공격은 개발자가 이미 신뢰하고 있는 도구를 오염시킵니다. 샤이 훌루드 캠페인은 거의 모든 암호화폐 지갑, DeFi 프론트엔드 및 Web3 애플리케이션을 포함하여 대부분의 자바스크립트 (JavaScript) 개발을 구동하는 패키지 관리자인 npm을 무기화했습니다.

이 공격은 2025년 9월 첫 번째 물결로 시작되어 약 5,000만 달러의 암호화폐 도난을 초래했습니다. 그러나 작전의 진정한 정교함을 보여준 것은 11월의 "두 번째 강림 (The Second Coming)"이었습니다. 11월 21일부터 23일 사이, 공격자들은 Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase, Postman 등을 포함한 주요 프로젝트의 개발 인프라를 침해했습니다.

전파 메커니즘은 정교하면서도 치명적이었습니다. 샤이 훌루드가 정상적인 npm 패키지를 감염시키면, preinstall 스크립트에 의해 트리거되는 setup_bun.js와 bun_environment.js라는 두 개의 악성 파일을 주입합니다. 설치 후 활성화되는 전통적인 맬웨어와 달리, 이 페이로드는 설치가 완료되기 전, 심지어 설치가 실패하더라도 실행됩니다. 개발자가 무언가 잘못되었다는 것을 깨달을 때쯤에는 이미 자격 증명이 탈취된 상태입니다.

이 웜은 감염된 개발자가 관리하는 다른 패키지를 식별하여 악성 코드를 자동으로 주입하고 새로운 감염 버전을 npm 레지스트리에 게시합니다. 이러한 자동화된 전파를 통해 맬웨어는 공격자의 직접적인 개입 없이도 기하급수적으로 확산될 수 있었습니다.

개발자 비밀 정보에서 사용자 지갑까지​

오염된 npm 패키지와 트러스트 월렛 해킹 사이의 연결 고리는 공급망 공격이 어떻게 개발자로부터 최종 사용자에게 파급되는지 보여줍니다.

트러스트 월렛의 조사 결과에 따르면, 11월 샤이 훌루드 발생 기간 동안 개발자의 GitHub 비밀 정보가 노출된 것으로 나타났습니다. 이 노출로 인해 공격자는 브라우저 확장 프로그램 소스 코드와 중요하게는 크롬 웹 스토어 (Chrome Web Store) API 키에 접근할 수 있게 되었습니다. 이러한 자격 증명을 확보한 공격자들은 트러스트 월렛의 내부 릴리스 프로세스를 완전히 우회했습니다.

2025년 12월 24일, 트러스트 월렛 크롬 확장 프로그램의 2.68 버전이 크롬 웹 스토어에 등장했습니다. 이는 트러스트 월렛 개발자가 아닌 공격자에 의해 게시된 것이었습니다. 악성 코드는 확장 프로그램에 저장된 모든 지갑을 순회하며 각 지갑에 대해 니모닉 구문 (mnemonic phrase) 요청을 트리거하도록 설계되었습니다. 사용자가 비밀번호나 생체 인식으로 인증했는지 여부와 관계없이, 시드 구문은 정상적인 분석 데이터로 위장하여 공격자가 제어하는 서버로 조용히 유출되었습니다.

도난당한 자금의 내역은 다음과 같습니다: 비트코인 약 300만 달러, 이더리움 300만 달러 이상, 그리고 솔라나 및 기타 토큰의 소량 금액. 며칠 만에 공격자들은 중앙화 거래소를 통해 자금을 세탁하기 시작했습니다. ChangeNOW로 330만 달러, FixedFloat으로 34만 달러, 그리고 KuCoin으로 44만 7천 달러가 전송되었습니다.

데드맨 스위치 (Dead Man's Switch)​

아마도 가장 우려되는 점은 샤이 훌루드 맬웨어의 "데드맨 스위치" 메커니즘일 것입니다. 만약 웜이 GitHub이나 npm에 인증할 수 없게 되어 전파 및 유출 채널이 차단되면, 사용자 홈 디렉토리의 모든 파일을 삭제합니다.

이 파괴적인 기능은 여러 목적을 수행합니다. 탐지 시도를 방해하고, 공격자의 흔적을 감추는 혼란을 야기하며, 방어자가 명령 및 제어 (C&C) 인프라를 차단하려고 할 때 압박 수단이 됩니다. 적절한 백업을 유지하지 않은 개발자의 경우, 정화 시도가 실패하면 자격 증명 탈취에 더해 치명적인 데이터 손실을 입을 수 있습니다.

공격자들은 심리적인 정교함도 보여주었습니다. 트러스트 월렛이 침해 사실을 발표하자, 동일한 공격자들은 뒤따르는 패닉을 악용하여 피싱 캠페인을 시작했습니다. "지갑 확인"을 위해 사용자의 복구 시드 구문을 입력하라는 가짜 트러스트 월렛 브랜드 웹사이트를 만들었습니다. 일부 피해자들은 두 번이나 피해를 입었습니다.

내부자 소행 의혹​

바이낸스 (Binance)의 공동 창립자 창펑 자오 (CZ)는 트러스트 월렛 탈취가 내부자 또는 배포 권한에 이전에 접근했던 누군가에 의해 수행되었을 가능성이 "매우 높다"고 암시했습니다. 트러스트 월렛 자체 분석에 따르면 공격자들이 2025년 12월 8일 이전에 개발자 장치를 제어하거나 배포 권한을 획득했을 수 있다고 제안합니다.

보안 연구원들은 국가 차원의 개입 가능성을 시사하는 패턴에 주목했습니다. 크리스마스 이브라는 타이밍은 보안 팀의 인력이 부족한 연휴 기간에 공격하는 흔한 지능형 지속 위협 (APT) 수법을 따릅니다. 샤이 훌루드 캠페인의 기술적 정교함과 규모, 그리고 신속한 자금 세탁은 일반적인 범죄 조직을 넘어서는 자원이 투입되었음을 시사합니다.

브라우저 확장 프로그램이 유독 취약한 이유​

트러스트 월렛 (Trust Wallet) 사건은 암호화폐 보안 모델의 근본적인 취약점을 부각시킵니다. 브라우저 확장 프로그램은 웹 페이지를 읽고 수정하며, 로컬 스토리지에 접근하고, 암호화폐 지갑의 경우에는 수백만 달러의 자산에 접근할 수 있는 키를 보유하는 등 막대한 권한을 가지고 작동합니다.

공격 표면은 매우 넓습니다:

• 업데이트 메커니즘: 확장 프로그램은 자동으로 업데이트되며, 단 한 번의 오염된 업데이트가 모든 사용자에게 도달합니다.
• API 키 보안: Chrome 웹 스토어 API 키가 유출되면 누구나 업데이트를 게시할 수 있습니다.
• 신뢰 가정: 사용자는 공식 스토어에서 제공하는 업데이트가 안전하다고 가정합니다.
• 연휴 타이밍: 연휴 기간 동안 보안 모니터링이 줄어들어 공격자가 더 오랜 시간 탐지되지 않고 머물 수 있습니다.

이것은 암호화폐 사용자를 대상으로 한 최초의 브라우저 확장 프로그램 공격이 아닙니다. 이전의 사례로는 VS Code 확장 프로그램을 겨냥한 GlassWorm 캠페인과 FoxyWallet Firefox 확장 프로그램 사기 사건이 있었습니다. 하지만 트러스트 월렛 침해 사고는 금전적 규모 면에서 가장 컸으며, 공급망 침해가 어떻게 확장 프로그램 공격의 파급력을 증폭시키는지 입증했습니다.

바이낸스의 대응과 SAFU 선례​

바이낸스는 피해를 입은 트러스트 월렛 사용자들이 SAFU (사용자 안전 자산 펀드)를 통해 전액 보상받을 것이라고 확인했습니다. 이 펀드는 2018년 거래소 해킹 이후 설립되었으며, 보안 사고로 인한 사용자 손실을 보전하기 위해 거래 수수료의 일부를 예비비로 적립해 둡니다.

보상 결정은 중요한 선례를 남기며, 책임 할당에 대한 흥미로운 질문을 던집니다. 트러스트 월렛은 해당 기간에 단순히 지갑을 열었을 뿐인 사용자의 직접적인 잘못 없이 침해되었습니다. 하지만 근본 원인은 개발자 인프라를 무너뜨린 공급망 공격이었고, 이는 다시 npm의 광범위한 생태계 취약성으로 인해 가능했습니다.

트러스트 월렛의 즉각적인 대응에는 2주 동안 새로운 버전 출시를 차단하기 위한 모든 릴리스 API 만료 처리, 악성 데이터 유출 도메인을 등록 기관에 신고(즉시 정지 처리), 깨끗한 버전인 2.69 버전 배포 등이 포함되었습니다. 12월 24일에서 26일 사이에 확장 프로그램 잠금을 해제했던 사용자들에게는 즉시 새로운 지갑으로 자금을 옮길 것이 권고되었습니다.

크립토 생태계를 위한 교훈​

Shai-Hulud 캠페인은 트러스트 월렛을 넘어 확장되는 시스템적 취약성을 드러냅니다:

개발자를 위한 제언​

의존성을 명시적으로 고정하십시오. npm install 시 임의의 코드가 실행될 수 있기 때문에 사전 설치 스크립트 악용이 가능해집니다. 알려진 안전한 버전으로 고정하면 자동 업데이트를 통해 오염된 패키지가 도입되는 것을 방지할 수 있습니다.

비밀 정보가 노출된 것으로 간주하십시오. 2024년 11월 21일에서 12월 25일 사이에 npm 패키지를 가져온 모든 프로젝트는 자격 증명이 노출되었다고 가정해야 합니다. 이는 npm 토큰, GitHub PAT, SSH 키 및 클라우드 서비스 제공업체 자격 증명을 취소하고 재생성해야 함을 의미합니다.

적절한 비밀 관리 시스템을 구현하십시오. 앱 스토어 게시와 같은 중요 인프라를 위한 API 키는 프라이빗 레포지토리라 할지라도 절대 버전 관리 시스템에 저장해서는 안 됩니다. 하드웨어 보안 모듈(HSM)이나 전용 비밀 관리 서비스를 사용하십시오.

피싱 방지 MFA를 강제하십시오. 표준 2단계 인증은 정교한 공격자에 의해 우회될 수 있습니다. YubiKey와 같은 하드웨어 키는 개발자 및 CI / CD 계정에 대해 더 강력한 보호를 제공합니다.

사용자를 위한 제언​

지갑 인프라를 다각화하십시오. 모든 자금을 브라우저 확장 프로그램에 보관하지 마십시오. 하드웨어 지갑은 소프트웨어 취약점으로부터 격리 환경을 제공하며, 잠재적으로 침해된 브라우저에 시드 구문을 노출하지 않고도 트랜잭션에 서명할 수 있습니다.

업데이트가 악성일 수 있다고 가정하십시오. 소프트웨어를 편리하게 만드는 자동 업데이트 모델은 소프트웨어를 취약하게 만들기도 합니다. 보안이 중요한 확장 프로그램의 경우 자동 업데이트를 비활성화하고 새 버전을 수동으로 확인하는 것을 고려해 보십시오.

지갑 활동을 모니터링하십시오. 비정상적인 트랜잭션을 알리는 서비스를 사용하면 침해 사실을 조기에 인지하여 공격자가 지갑 전체를 비우기 전에 손실을 제한할 수 있습니다.

업계를 위한 제언​

npm 생태계를 강화하십시오. npm 레지스트리는 Web3 개발의 핵심 인프라임에도 불구하고 웜(worm)과 같은 확산을 방지할 수 있는 많은 보안 기능이 부족합니다. 필수적인 코드 서명, 재현 가능한 빌드, 패키지 업데이트에 대한 이상 탐지 등은 공격자의 진입 장벽을 크게 높일 수 있습니다.

브라우저 확장 프로그램 보안을 재고하십시오. 확장 프로그램이 자동 업데이트되고 광범위한 권한을 갖는 현재의 모델은 막대한 자산을 보유하기 위한 보안 요구 사항과 근본적으로 양립할 수 없습니다. 샌드박스 실행 환경, 사용자 검토를 거친 지연 업데이트, 권한 축소 등이 도움이 될 수 있습니다.

사고 대응을 공조하십시오. Shai-Hulud 캠페인은 크립토 생태계 전반의 수백 개 프로젝트에 영향을 미쳤습니다. 더 나은 정보 공유와 조율된 대응이 있었다면 오염된 패키지가 식별됨에 따라 피해를 제한할 수 있었을 것입니다.

크립토 공급망 보안의 미래​

암호화폐 산업은 역사적으로 스마트 컨트랙트 감사, 거래소 콜드 스토리지, 사용자 대상 피싱 방지에 보안 노력을 집중해 왔습니다. Shai-Hulud 캠페인은 가장 위험한 공격이 크립토 사용자가 직접 상호작용하지는 않지만 그들이 사용하는 모든 애플리케이션의 기반이 되는 개발자 도구 및 인프라에서 올 수 있음을 보여줍니다.

Web3 애플리케이션이 복잡해짐에 따라 의존성 그래프도 커지고 있습니다. 각 npm 패키지, 각 GitHub 액션, 각 CI / CD 통합은 잠재적인 공격 경로를 나타냅니다. Shai-Hulud에 대한 업계의 대응은 이것이 일회성 경고로 끝날지, 아니면 크립토 인프라에 대한 공급망 공격 시대의 시작이 될지를 결정할 것입니다.

현재로서는 공격자들의 신원이 밝혀지지 않았습니다. 도난당한 트러스트 월렛 자금 중 약 280만 달러가 공격자의 지갑에 남아 있으며, 나머지는 중앙화 거래소와 크로스체인 브릿지를 통해 세탁되었습니다. 더 넓은 Shai-Hulud 캠페인의 초기 탈취액인 5,000만 달러 이상의 자금은 블록체인의 가명성 속으로 대부분 사라졌습니다.

샌드웜(sandworm)은 크립토의 기반 깊숙이 파고들었습니다. 이를 뿌리 뽑으려면 업계가 초창기부터 당연하게 여겨왔던 보안 가정들을 근본적으로 재고해야 할 것입니다.

---

안전한 Web3 애플리케이션을 구축하려면 견고한 인프라가 필요합니다. BlockEden.xyz는 모니터링 및 이상 탐지 기능이 내장된 엔터프라이즈급 RPC 노드와 API를 제공하여 개발자가 사용자에게 영향을 미치기 전에 비정상적인 활동을 식별할 수 있도록 돕습니다. 보안 중심의 기반 위에서 구축을 시작하려면 API 마켓플레이스를 살펴보세요.

2025년 개인 지갑 보안 침해 사고는 158,000건으로 급증하여 80,000명의 개별 피해자가 발생했으며, 개인 지갑에서만 7억 1,300만 달러가 도난당했습니다. 이는 거래소 해킹이나 프로토콜 취약점 공격이 아닙니다. 단순한 피싱 이메일을 훨씬 뛰어넘는 수준으로 진화한 공격자들에게 일상적인 암호화폐 사용자들이 저축한 자산을 잃고 있는 것입니다. 개인 지갑 보안 침해는 현재 전체 암호화폐 도난 가치의 37%를 차지하며, 이는 2022년의 7.3%에서 크게 증가한 수치입니다. 메시지는 분명합니다. 암호화폐를 보유하고 있다면 당신은 공격 대상이며, 과거의 보호 전략은 더 이상 충분하지 않습니다.

2025년 상반기에만 공격자들은 암호화폐 프로토콜에서 23억 달러 이상을 탈취했으며, 이는 2024년 전체 피해액을 합친 것보다 많은 수치입니다. 이 중 액세스 제어(Access control) 취약점으로 인한 피해액만 16억 달러에 달했습니다. 2025년 2월에 발생한 14억 달러 규모의 바이비트(Bybit) 해킹 사건은 공급망 공격(Supply chain attack)을 통해 대형 거래소조차 얼마나 취약할 수 있는지를 보여주었습니다. 2026년에 접어들면서 스마트 컨트랙트 보안 감사 업계는 중대한 기로에 서 있습니다. 진화하지 않으면 수십억 달러가 공격자의 지갑으로 사라지는 것을 지켜봐야만 할 것입니다.

2025년 2월 21일, 북한 해커들이 두바이 기반 거래소 바이비트(Bybit)에서 약 30분 만에 15억 달러 상당의 암호화폐를 탈취했습니다. 이는 단순히 역사상 최대 규모의 암호화폐 해킹 사건에 그치지 않습니다. 바이비트가 은행이었다면 기네스 세계 기록에 등재된 역대 최대 규모의 은행 강도 사건으로 기록되었을 것입니다.

이번 공격은 스마트 컨트랙트의 버그를 악용하거나 프라이빗 키를 무차별 대입(brute-force)한 것이 아니었습니다. 대신 해커들은 제3자 지갑 제공업체의 개발자 노트북 한 대를 해킹한 후 몇 주 동안 인내심을 갖고 기다렸고, 바이비트 직원이 일반적인 내부 이체처럼 보이는 거래를 승인하는 순간을 노려 공격을 감행했습니다. 무언가 잘못되었다는 사실을 깨달았을 때는 이미 500,000 ETH가 북한 라자루스 그룹(Lazarus Group)이 관리하는 복잡한 지갑 네트워크 속으로 사라진 뒤였습니다.

다음은 이 사건이 어떻게 발생했는지, 왜 중요한지, 그리고 2025년 현재 암호화폐 보안의 실태에 대해 무엇을 시사하는지에 대한 이야기입니다.

공격: 인내와 정밀함의 정수​

바이비트 해킹은 단순한 강도 사건이 아니었습니다. 몇 주에 걸쳐 전개된 정밀한 작전이었습니다.

1단계: 개발자 포섭​

2025년 2월 4일, 바이비트가 고액 이체 보안을 위해 사용하던 널리 알려진 멀티시그(multi-signature) 지갑 플랫폼 Safe{Wallet}의 한 개발자가 "MC-Based-Stock-Invest-Simulator-main"이라는 합법적인 Docker 프로젝트처럼 보이는 파일을 다운로드했습니다. 이 파일은 채용 제안이나 투자 도구로 위장한 사회 공학적 공격(social engineering attack)을 통해 전달되었을 가능성이 높습니다.

악성 Docker 컨테이너는 즉시 공격자가 제어하는 서버와 연결을 설정했습니다. 그곳에서 해커들은 개발자의 워크스테이션으로부터 Safe{Wallet}의 클라우드 인프라에 접근할 수 있는 임시 자격 증명인 AWS 세션 토큰을 추출했습니다.

이 토큰들을 사용해 공격자들은 다요소 인증(MFA)을 완전히 우회했습니다. 이제 그들은 Safe{Wallet}의 핵심 시스템에 접근할 수 있는 열쇠를 손에 넣었습니다.

2단계: 잠복 코드​

공격자들은 즉시 행동에 나서는 대신 Safe{Wallet}의 웹 인터페이스에 교묘한 자바스크립트(JavaScript) 코드를 삽입했습니다. 이 코드는 바이비트만을 위해 특별히 설계되었으며, 바이비트 직원이 Safe 계정을 열고 거래를 승인하려는 것을 감지할 때까지 잠복 상태를 유지했습니다.

여기서 주목할 점은 정교함입니다. 전체 Safe{Wallet} 애플리케이션은 다른 모든 사용자에게는 정상적으로 작동했습니다. 오직 바이비트만이 표적이 되었습니다.

3단계: 거액 탈취​

2025년 2월 21일, 바이비트 직원들은 콜드 월렛(보안된 오프라인 저장소)에서 웜 월렛(활성 거래용)으로 통상적인 이체를 시작했습니다. 이를 위해서는 권한이 있는 인원들의 여러 서명이 필요한데, 이는 멀티시그라고 불리는 표준 보안 절차입니다.

서명자들이 거래를 승인하기 위해 Safe{Wallet}을 열었을 때, 인터페이스에는 올바른 목적지 주소가 표시되었습니다. 하지만 악성 코드는 이미 내부 명령을 다른 것으로 바꿔치기한 상태였습니다. 직원들은 자신도 모르게 바이비트의 콜드 월렛 전체를 비우는 거래를 승인하게 되었습니다.

불과 몇 분 만에 약 15억 달러 상당의 500,000 ETH가 공격자들이 관리하는 주소로 흘러 들어갔습니다.

기술적 취약점 악용: Delegatecall​

핵심 취약점은 이더리움의 delegatecall 함수였습니다. 이 함수는 스마트 컨트랙트가 자신의 저장소 컨텍스트 내에서 다른 컨트랙트의 코드를 실행할 수 있게 합니다. 공격자들은 바이비트의 서명자들을 속여 지갑의 컨트랙트 로직을 악성 버전으로 변경하게 만들었고, 결과적으로 해커들에게 전권을 부여하게 되었습니다.

이것은 이더리움 자체나 Safe{Wallet}의 핵심 프로토콜에 있는 버그가 아니었습니다. 신뢰받는 직원이 거래를 확인하고 승인하는 순간인 '인적 계층(human layer)'에 대한 공격이었습니다.

북한 라자루스 그룹: 세계에서 가장 많은 수익을 올리는 해커들​

공격 후 24시간 이내에 블록체인 조사관 ZachXBT는 이번 해킹이 북한의 라자루스 그룹과 확실히 연결되어 있다는 증거를 Arkham Intelligence에 제출했습니다. FBI는 2025년 2월 26일에 이 사실을 공식 확인했습니다.

TraderTraitor 및 APT38로도 알려진 라자루스 그룹은 북한 정찰총국 산하에서 활동합니다. 이들은 개인적인 부를 축적하려는 범죄 조직이 아닙니다. 이들의 수익금은 북한의 핵무기 및 탄도 미사일 프로그램의 자금으로 사용되는 국가 차원의 작전 부대입니다.

수치는 놀라운 수준입니다:

• 2025년 한 해만: 북한 해커들이 탈취한 암호화폐는 20억 2,000만 달러에 달함
• 바이비트 비중: 15억 달러 (2025년 북한이 단일 공격으로 벌어들인 수익의 74%)
• 2017년 이후: 북한은 67억 5,000만 달러 이상의 암호화폐 자산을 탈취함
• 2024년 대비 2025년: 탈취 자산 가치 51% 증가

북한은 2025년 전 세계에서 도난당한 모든 암호화폐의 59%, 전체 거래소 해킹 사건의 76%를 차지했습니다. 다른 어떤 위협 행위자도 이 수치에 근접하지 못합니다.

암호화폐 절도의 산업화​

북한이 다른 점은 단순히 규모뿐만이 아닙니다. 그들의 작전은 매우 정교합니다.

기술적 취약점보다 사회 공학적 기법 우선​

2025년 주요 해킹 사건의 대부분은 기술적 취약점이 아닌 사회 공학적 기법을 통해 자행되었습니다. 이는 근본적인 변화를 의미합니다. 해커들은 더 이상 스마트 컨트랙트의 버그나 암호학적 약점만을 찾지 않습니다. 그들은 사람을 노립니다.

라자루스 그룹 요원들은 암호화폐 기업 내부에 IT 직원으로 위장 취업하기도 했습니다. 임원을 사칭하거나 개발자들에게 악성코드가 포함된 채용 제안을 보내기도 했습니다. 바이비트 공격은 개발자가 가짜 주식 거래 시뮬레이터를 다운로드하는 것에서 시작되었으며, 이는 전형적인 사회 공학적 공격 경로입니다.

중국의 돈세탁 조직 (The Chinese Laundromat)​

암호화폐를 훔치는 것은 도전의 절반에 불과합니다. 발각되지 않고 이를 사용할 수 있는 자금으로 전환하는 과정 또한 그만큼 복잡합니다.

북한은 직접 현금화하는 대신, 조사관들이 "중국의 돈세탁 조직(Chinese Laundromat)"이라 부르는 조직에 돈세탁을 외주화했습니다. 이들은 지하 뱅커, OTC(장외거래) 브로커, 무역 기반 세탁 중개인들로 구성된 광범위한 네트워크입니다. 이들은 여러 체인, 관할권 및 결제망을 가로질러 도난당한 자산을 세탁합니다.

Bybit 해킹 발생 후 한 달도 채 되지 않은 2025년 3월 20일, CEO 벤 저우(Ben Zhou)는 해커들이 이미 여러 중간 지갑, 탈중앙화 거래소(DEX) 및 크로스체인 브리지를 통해 도난당한 ETH 의 86.29% 를 비트코인(Bitcoin)으로 전환했다고 보고했습니다. 대규모 탈취 이후 45일간 이어지는 세탁 주기는 이제 예측 가능한 패턴이 되었습니다.

이러한 노력에도 불구하고, 저우는 도난당한 자산의 88.87% 가 추적 가능하다고 언급했습니다. 하지만 "추적 가능"이 곧 "회수 가능"을 의미하지는 않습니다. 자금은 미국이나 국제 법 집행 기관과 협력 관계가 없는 관할권으로 흘러 들어갑니다.

Bybit의 대응: 위기 속의 위기 관리​

침해 사실을 발견한 지 30분 만에 CEO 벤 저우는 지휘권을 잡고 X (구 트위터)를 통해 실시간 업데이트를 제공하기 시작했습니다. 그의 메시지는 직설적이었습니다. "이 해킹 피해가 복구되지 않더라도 Bybit 은 지급 능력이 있으며 (Solvent), 모든 고객 자산은 1 : 1 로 담보되어 있으므로 우리가 손실을 감당할 수 있습니다."

거래소는 12시간 이내에 35만 건 이상의 출금 요청을 처리했습니다. 이는 치명적인 손실에도 불구하고 운영이 정상적으로 계속될 것이라는 신호를 사용자들에게 보낸 것입니다.

긴급 자금 조달​

72시간 이내에 Bybit 은 Galaxy Digital, FalconX, Wintermute를 포함한 파트너들로부터 긴급 자금을 확보하여 447,000 ETH 를 보충했습니다. Bitget 은 출금이 중단 없이 이어질 수 있도록 40,000 ETH 를 대여해 주었으며, Bybit 은 이를 3일 이내에 상환했습니다.

사이버 보안 기업 해큰 (Hacken)은 Bybit 의 주요 자산이 100% 이상의 담보로 뒷받침되고 있음을 확인하는 보유 자산 증명 (PoR) 감사를 실시했습니다. 이러한 투명성은 이 정도 규모의 위기 상황에서 전례 없는 일이었습니다.

바운티 프로그램 (The Bounty Program)​

저우는 "라자루스와의 전쟁"을 선포하고, 동결된 자산으로 이어지는 정보에 대해 최대 10% 의 보상을 제공하는 글로벌 바운티 프로그램을 시작했습니다. 연말까지 Bybit 은 자금 추적이나 회수를 도운 기여자들에게 218만 달러 상당의 USDT 를 지급했습니다.

시장의 판결​

2025년 말까지 Bybit 은 전 세계 사용자 8,000만 명을 돌파했고, 일일 거래대금 71억 달러를 기록하며 암호화폐 현물 거래소 중 5위를 차지했습니다. 이들의 위기 대응은 치명적인 해킹에서 살아남는 방법에 대한 사례 연구 (Case Study)가 되었습니다.

2025년: 암호화폐 도난액이 34억 달러에 달한 해​

Bybit 해킹이 헤드라인을 장식했지만, 이는 더 큰 패턴의 일부였습니다. 2025년 전체 암호화폐 도난액은 34억 달러에 달하며 새로운 기록을 세웠고, 3년 연속 증가세를 보였습니다.

주요 통계:

• 2023년: 20억 달러 도난
• 2024년: 22억 달러 도난
• 2025년: 34억 달러 도난

전체 암호화폐 도난에서 북한이 차지하는 비중은 약 절반에서 거의 60% 로 늘어났습니다. 북한 (DPRK)은 더 적은 사건으로 더 큰 규모의 탈취를 달성하며 점차 효율성과 정교함이 증가하고 있음을 입증했습니다.

교훈: 보안이 실패한 지점​

Bybit 해킹은 단일 거래소를 넘어선 치명적인 취약점들을 노출했습니다.

제3자 리스크는 실존적 위협이다​

Bybit 자체의 보안 실패가 아니었습니다. Safe{Wallet} 의 문제였습니다. 하지만 그 결과는 Bybit 이 짊어져야 했습니다.

암호화폐 산업은 거래소가 지갑 제공업체에 의존하고, 지갑 제공업체는 클라우드 인프라에 의존하며, 클라우드 인프라는 개별 개발자의 워크스테이션에 의존하는 복잡한 종속성 체인을 구축해 왔습니다. 이 체인의 어느 한 곳이라도 침해되면 치명적인 연쇄 반응을 일으킬 수 있습니다.

콜드 스토리지만으로는 충분하지 않다​

업계는 오랫동안 콜드 월렛을 보안의 황금 표준으로 여겨왔습니다. 하지만 Bybit 의 자금은 도난당할 당시 콜드 스토리지에 있었습니다. 취약점은 자금을 이동시키는 과정, 즉 멀티시그 (Multisig)가 보호하도록 설계된 '인간의 승인 단계'에 있었습니다.

이체가 일상화되면 서명자들은 승인을 비판적인 보안 결정이 아닌 형식적인 절차로 취급하며 거짓 보안 실감에 빠지게 됩니다. Bybit 공격은 바로 이러한 행동 패턴을 악용했습니다.

UI는 단일 장애점 (SPOF)이다​

멀티시그 보안은 서명자가 자신이 승인하는 내용을 확인할 수 있다는 점을 전제로 합니다. 하지만 트랜잭션 세부 정보를 표시하는 인터페이스가 침해되면 확인은 무의미해집니다. 공격자들은 서명자들에게는 한 가지를 보여주면서 실제로는 다른 명령을 실행했습니다.

직원들이 승인 전 트랜잭션의 실제 목적지를 미리 볼 수 있게 하는 '서명 전 시뮬레이션 (Pre-signing simulations)'이 있었다면 이 공격을 방지할 수 있었을 것입니다. 대규모 출금에 대한 지연 시간을 두어 추가 검토 시간을 확보하는 것도 방법이 될 수 있었습니다.

사회 공학적 기법은 기술적 보안을 능가한다​

세계에서 가장 정교한 암호화 보안을 갖추고 있더라도, 단 한 명의 직원이 잘못된 파일을 다운로드하는 것만으로 모든 보안을 우회할 수 있습니다. 암호화폐 보안의 취약점은 점차 기술적인 문제가 아닌 인간의 문제가 되고 있습니다.

규제 및 업계에 미치는 영향​

Bybit 해킹은 이미 규제 환경을 재편하고 있습니다.

다음과 같은 항목들에 대한 의무 요구 사항이 예상됩니다:

• 키 관리를 위한 하드웨어 보안 모듈 (HSM) 도입
• 실시간 트랜잭션 모니터링 및 이상 징후 탐지
• 정기적인 제3자 보안 감사
• 강화된 AML 프레임워크 및 대규모 이체에 대한 트랜잭션 지연

보안과 컴플라이언스는 이제 시장 진입을 위한 필수 조건이 되고 있습니다. 강력한 키 관리, 권한 설계 및 신뢰할 수 있는 보안 프레임워크를 입증하지 못하는 프로젝트는 뱅킹 파트너 및 기관 사용자로부터 고립될 것입니다.

업계에 시사하는 점​

바이비트 (Bybit) 해킹은 불편한 진실을 드러냅니다. 암호화폐의 보안 모델은 가장 취약한 운영 링크만큼만 강력할 뿐이라는 점입니다.

업계는 영지식 증명 (zero-knowledge proofs), 임계값 서명 (threshold signatures), 보안 인클레이브 (secure enclaves) 와 같은 암호학적 보안에 막대한 투자를 해왔습니다. 하지만 공격자가 사람을 속여 악성 트랜잭션을 승인하게 만들 수 있다면, 아무리 정교한 암호화 기술도 무용지물입니다.

거래소들에게 주는 메시지는 분명합니다. 보안 혁신은 기술을 넘어 운영 프로세스, 제3자 위험 관리, 지속적인 직원 교육까지 확장되어야 합니다. 정기적인 감사, 협력적인 위협 인텔리전스 공유, 사고 대응 계획 수립은 더 이상 선택 사항이 아닙니다.

사용자들에게 주는 교훈 또한 냉혹합니다. 가장 정교한 보안 시스템을 갖춘 최대 규모의 거래소라도 침해될 수 있다는 것입니다. 셀프 커스터디 (Self-custody), 하드웨어 월렛, 분산된 자산 보관은 다소 불편하더라도 여전히 가장 안전한 장기 전략입니다.

결론​

북한의 라자루스 그룹 (Lazarus Group) 은 암호화폐 절도를 산업화했습니다. 이들은 2017년 이후 67억 5천만 달러 이상을 탈취했으며, 2025년은 그들에게 역대 최고의 성과를 거둔 해로 기록되었습니다. 단 한 번의 작전으로 15억 달러를 탈취한 바이비트 해킹은 어떤 정보 기관도 부러워할 만한 능력을 보여줍니다.

암호화폐 업계는 무한한 인내심과 정교한 기술력을 갖추고 결과에 대한 두려움이 없는 국가 지원 해커들과 군비 경쟁을 벌이고 있습니다. 바이비트 공격이 성공한 이유는 새로운 익스플로잇 덕분이 아니라, 공격자들이 코드가 아닌 사람이 가장 취약한 고리라는 점을 이해했기 때문입니다.

업계가 암호학적 보안에 적용하는 것과 동일한 엄격함으로 운영 보안을 다루지 않는 한, 이러한 공격은 계속될 것입니다. 문제는 또 다른 10억 달러 규모의 해킹이 발생할지 여부가 아니라, 언제 발생할 것인가, 그리고 대상이 바이비트만큼 효과적으로 대응할 수 있는가 하는 점입니다.

---

본 기사는 교육적인 목적으로만 제공되며 재무적 조언으로 간주되어서는 안 됩니다. 암호화폐 거래소 및 지갑을 사용할 때는 항상 스스로 조사하고 보안을 최우선으로 하십시오.

2023년 가장 정교한 사이버 공격 중 하나에서, 레이어제로 위에 구축된 탈중앙화 크로스체인 대출 프로토콜인 라디언트 캐피털이 해커에게 약 5천만 달러를 잃었습니다. 이 공격의 복잡성과 정밀함은 국가 지원을 받는 북한 해커들의 고급 역량을 드러냈으며, 암호화폐 보안 침해에서 많은 이들이 가능하다고 생각했던 한계를 뛰어넘었습니다.

완벽한 사회공학 공격​

2023년 9월 11일, 라디언트 캐피털 개발자는 무해해 보이는 텔레그램 메시지를 받았습니다. 발신자는 전직 계약업체 직원으로 가장하며, 스마트 계약 감사를 위해 경력을 전환했으며 프로젝트 보고서에 대한 피드백을 원한다고 주장했습니다. 이러한 요청은 암호화폐 개발의 원격 근무 문화에서 흔히 볼 수 있어 사회공학 전술로 특히 효과적이었습니다.

공격자들은 가짜 웹사이트를 만들어 해당 계약업체의 정식 도메인을 거의 그대로 모방함으로써 사기의 신뢰성을 한층 높였습니다.

트로이 목마​

개발자가 파일을 다운로드하고 압축을 풀었을 때, 이는 일반 PDF 문서처럼 보였습니다. 그러나 실제로는 PDF 아이콘으로 위장된 악성 실행 파일 INLETDRIFT였습니다. 파일을 열면 macOS 시스템에 백도어를 조용히 설치하고 공격자들의 명령 서버(atokyonews[.]com)와 통신을 시작했습니다.

감염된 개발자는 피드백을 구하기 위해 악성 파일을 팀원들에게 공유했으며, 이로 인해 조직 내에 악성코드가 무심코 퍼졌습니다.

정교한 중간자 공격​

악성코드가 설치된 상태에서 해커들은 정밀하게 목표를 잡은 “미끼‑전환” 공격을 수행했습니다. 팀원들이 Gnosis Safe 다중 서명 지갑을 사용할 때 거래 데이터를 가로챘습니다. 웹 인터페이스에서는 거래가 정상적으로 보였지만, 악성코드는 Ledger 하드웨어 지갑에 도달했을 때 거래 내용을 교체했습니다.

Safe 다중 서명 거래에서 사용되는 블라인드 서명 메커니즘 때문에 팀원들은 실제로는 lending pool의 소유권을 공격자에게 넘기는 transferOwnership() 함수 호출에 서명하고 있다는 사실을 감지하지 못했습니다. 이로써 해커들은 프로토콜 계약에 승인된 사용자 자금을 탈취할 수 있었습니다.

신속한 정리​

도난이 발생한 직후, 공격자들은 놀라운 운영 보안을 보여주었습니다. 단 3분 만에 백도어와 브라우저 확장 프로그램을 모두 제거하여 흔적을 완전히 지웠습니다.

업계를 위한 핵심 교훈​

1. 파일 다운로드를 절대 신뢰하지 말 것: 팀은 Google Docs나 Notion과 같은 온라인 문서 도구를 표준화하고 파일 다운로드를 피해야 합니다. 예를 들어 OneKey의 채용 프로세스는 Google Docs 링크만 허용하고 다른 파일이나 링크는 열지 않도록 명시하고 있습니다.

2. 프론트엔드 보안은 핵심: 이번 사건은 공격자가 프론트엔드에서 거래 정보를 쉽게 위조할 수 있음을 보여주며, 사용자는 악성 거래에 서명하게 됩니다.

3. 블라인드 서명의 위험: 하드웨어 지갑은 종종 거래 요약을 과도하게 단순화하여 복잡한 스마트 계약 상호작용의 실제 성격을 확인하기 어렵게 합니다.

4. DeFi 프로토콜 안전: 대규모 자본을 다루는 프로젝트는 타임락 메커니즘과 견고한 거버넌스 프로세스를 구현해야 합니다. 이는 의심스러운 활동을 감지하고 대응할 수 있는 완충 기간을 제공합니다.

라디언트 캐피털 해킹은 하드웨어 지갑, 거래 시뮬레이션 도구, 업계 모범 사례를 갖추고 있더라도 정교한 공격자는 여전히 보안을 침해할 방법을 찾을 수 있음을 상기시켜 줍니다. 이는 암호화폐 보안 조치에 대한 지속적인 경계와 진화가 필요함을 강조합니다.

산업이 성숙해짐에 따라 우리는 이러한 사건들로부터 교훈을 얻어 점점 더 정교한 공격 벡터를 견딜 수 있는 강력한 보안 프레임워크를 구축해야 합니다. DeFi의 미래는 이에 달려 있습니다.