북한 해커, 바이비트 거래소 해킹, 15억 달러 탈취 사건 분석

[초점] “해킹으로 암호화폐 2조 원 갈취”…전 세계 뻗치는 北 라자루스 ‘마수’ - 아이티데일리

[초점] “해킹으로 암호화폐 2조 원 갈취”…전 세계 뻗치는 北 라자루스 ‘마수’ - 아이티데일

 

북한 해커, 사상 최대 규모의 가상자산 해킹…바이비트 15억 달러 탈취 사건 분석 - 데일리시큐

북한 해커, 사상 최대 규모의 가상자산 해킹…바이비트 15억 달러 탈취 사건 분석 - 데일리시큐

 

• 해킹 개요
  • 2025년 2월 21일, 가상자산 거래소 바이비트(Bybit) 해킹 발생
  • 북한 해커 조직 ‘트레이더트레이터(TraderTraitor, 라자루스 그룹)’가 배후로 지목됨
  • 약 15억 달러(한화 약 2조 1천억 원) 상당의 이더리움(ETH) 탈취
  • 단일 해킹 사건으로는 사상 최대 규모 기록 예상
• 공격 기법 및 해킹 방식
  • 사회공학적 기법을 활용해 바이비트 내부 시스템 접근
  • 지갑 보안 솔루션 Safe{Wallet}의 개발 환경을 악용
  • 프론트엔드 코드 변조 후 멀티시그(다중 서명) 트랜잭션 조작
  • 승인자의 UI(사용자 인터페이스)를 원격 조작해 불법 거래 승인 유도
  • 사전에 특정한 이더리움 지갑을 타깃으로 설정한 후 악성 코드 삽입
• 콜드월렛 관리 체계 공격
  • 기존 핫월렛(온라인)과 콜드월렛(오프라인) 보관 방식 병행 운영
  • 이번 사건은 콜드월렛의 프라이빗 키(Private Key) 탈취가 아닌 콜드월렛 운영 체계 자체를 공격
  • 반자동화된 콜드월렛 관리 시스템의 보안 취약점 악용
  • 승인 시스템을 조작하여 정당한 승인자로 하여금 무의식적으로 불법 거래 승인 유도
• 자금 세탁 및 북한의 외화 확보
  • 해킹 자금 중 약 6억 2천만 달러(약 55%)가 이미 세탁된 것으로 분석
  • 다수의 가상자산 지갑을 활용해 자금을 분산, 은닉 시도
  • 북한 IT 노동자들에게 전달될 가능성이 높으며, 군사 자금으로 활용될 우려
  • 과거 북한의 주요 가상자산 해킹 사건
    • 2022년 하모니 호라이즌 브리지 해킹(1억 달러)
    • 2023년 스카이 마비스 로닌 브리지 해킹(6억 달러)
    • 2024년 와지르엑스 거래소 해킹(2억 3천 5백만 달러)
    • 2024년 DMM 비트코인 거래소 해킹(3억 5백만 달러)
• 북한의 해킹 자금 활용 가능성
  • 탈취한 자금을 미사일 개발과 같은 군사적 목적에 활용 가능
  • 15억 달러로 단거리 탄도미사일(SRBM) 292,487기 제작 가능
  • 대륙간탄도미사일(ICBM) 4,973기 제작 가능
  • 이더리움 스테이킹을 활용할 경우 연간 4,765만 달러(약 690억 원)의 추가 수익 창출 가능
• 바이비트의 대응 및 조치
  • 해킹 자금 회수에 기여한 자에게 1억 4천만 달러(한화 약 2,100억 원) 보상금 지급
  • 클로인트(Kloint) 등 가상자산 분석 기업과 협력해 해킹 경로 추적
  • 북한 IT 노동자들의 불법 활동 조사 및 차단 계획 발표
• 보안 권고
  • 콜드월렛 관리 체계의 철저한 보안 검토 및 강화 필요
  • 거래소의 승인 시스템 다중 검증 및 사용자 인터페이스 보호
  • 다단계 인증(MFA) 적용 및 승인 프로세스의 독립성 유지
  • 가상자산 거래소의 자금 이동 모니터링 및 의심 거래 차단 기술 도입
  • 북한 해커 그룹의 지속적인 감시 및 국제적 대응 협력 강화