GN⁺: 2조원 규모 Bybit 해킹: 운영 보안 실패의 시대가 도래하다

• 2025년 2월 21일, Bybit 거래소에서 멀티시그 콜드월렛이 해킹되어 약 15억 달러 상당의 암호화폐가 유출
• 해커들은 다중 서명자의 기기를 해킹하여, 지갑 인터페이스에서 서명자들이 보게 되는 내용을 조작
• 서명자들은 일반적인 거래를 수행하는 것으로 착각한 채 해커가 원하는 서명 데이터를 제공
• 이는 최근 중앙화 거래소 해킹 방식이 코드 취약점이 아닌 운영 및 인적 보안 취약점을 공략하는 방향으로 변화하고 있음을 시사함

최근 유사 해킹 사례

• WazirX 거래소(2024년 7월): 2억 3천만 달러 손실
• Radiant Capital(2024년 10월): 5천만 달러 손실
• Bybit 거래소(2025년 2월): 15억 달러 손실

북한 해킹 조직 연관성

• Arkham Intelligence 및 ZachXBT의 분석에 따르면, 이번 공격은 북한 해커 조직과 연관된 것으로 확인
• 북한의 정찰총국(RGB) 산하 TraderTraitor, Jade Sleet, UNC4899, Slow Pisces 등의 국가 지원 해킹 그룹이 연루됨
• RGB 해커 조직의 공격 방식
  • 소셜 엔지니어링 캠페인을 통해 시스템 관리자, 개발자, 재무팀 직원을 표적으로 삼음
  • 맞춤형 채용 사기 및 피싱 공격으로 주요 인력을 감염시킴
  • 다중 플랫폼 악성코드를 활용해 Windows, MacOS, 다양한 암호화폐 지갑을 감염
  • 사용자가 보는 거래 화면을 조작하여 서명을 유도

기존 보안 시스템이 무력화되는 이유

• 공격자들은 반복적인 공격을 통해 도구와 기법을 지속적으로 개선
• 일반적인 보안 조치로는 방어가 어려운 이유:
  • 운영 보안이 미흡한 조직은 큰 위험에 노출됨
  • 다중 서명 시스템조차 조작 가능
  • 기존의 전통적인 보안 솔루션(EDR, 방화벽 등)으로 탐지하기 어려운 형태의 공격 기법 사용

암호화폐 보안의 새로운 현실

• 기존의 스마트 컨트랙트 보안 강화만으로는 충분하지 않음
• 운영 보안 실패가 가장 큰 위협 요소가 됨
• 기업들은 해킹 가능성을 전제로 한 보안 전략을 구축해야 함

기업이 반드시 도입해야 할 보안 전략

• 인프라 분리
  • 거래 서명 시스템은 일반 운영 네트워크와 물리적/논리적으로 분리해야 함
  • 전용 하드웨어 및 네트워크, 엄격한 접근 통제 적용
• 다층 방어(Defense-in-Depth)
  • 하드웨어 지갑, 다중 서명, 거래 검증 도구를 결합하여 복합적인 보안 시스템 구축
  • 단일 보안 조치가 아닌 중첩된 보안 전략이 필수
• 조직 차원의 대비책
  • 운영 및 기술적 위협 모델링 수행
  • 외부 보안 감사 및 평가 정기적으로 실시
  • 보안 훈련 및 해킹 대응 시뮬레이션 주기적으로 진행
  • 구체적인 사고 대응 계획 수립 및 정기 테스트

Trail of Bits의 보안 가이드

• 주요 보안 가이드:
  • 암호화폐 하드웨어 지갑 보안 10가지 규칙(2018)
  • 블록체인 배포 운영 리스크 관리(2022)
  • 기본 보안 점검 가이드 - Rekt Test(2023)
  • 암호화폐 거래소 계정 탈취 방지(2025)

결론: 더 이상 기존 보안으로는 방어 불가능

• Bybit 해킹 사건은 암호화폐 보안이 새로운 국면으로 진입했음을 보여줌

• 운영 보안 강화 없이는 대형 해킹을 피할 수 없음

• 보안 연구자 Tayvano의 강경한 발언이 현재 상황을 단적으로 설명함:

  "한 번 기기가 감염되면 끝장이다. 만약 키가 핫월렛이나 AWS에 있다면 즉시 해킹당한다. 키가 콜드월렛에 있어도 해커는 단지 조금 더 노력할 뿐이다. 어쨌든 결국 해킹당할 것이다."

기업이 당장 해야 할 조치

• 운영 보안 리스크 평가 실시
• Air-Gapped 서명 인프라 도입
• 국가 지원 해킹 조직 대응 경험이 있는 보안팀과 협력
• 사고 대응 계획 수립 및 정기 테스트

"다음 10억 달러 해킹은 시간 문제, 대비하지 않으면 피해는 불가피함"