매월 첫째 목요일, 잇츠맨 X 다온기술의 <시큐언박싱 레터> 발행됩니다.
Bybit 해킹사고
최신 업데이트
2월 시큐언박싱 녹화이후 Bybit해킹과 관련한 많은 정보가 업데이트 되어 해당 내용을 다루고자 합니다. 후속 업데이트에 앞서 Bybit 해킹사고에 대해서 간단히 알아보겠습니다.
|
|
|
#Bybit 사고 개요
2025년 2월 21일, 세계 3위 암호화폐 거래소인 Bybit에서 약 15억 달러(한화 약 2조 원) 상당의 이더리움이 탈취당하는 사상 최대 규모의 해킹 사건이 발생했습니다. 이는 암호화폐 역사상 단일 사건으로는 가장 큰 규모의 해킹으로 기록되었으며, 2021년 폴리 네트워크에서 발생한 6억 달러 규모의 해킹을 넘어서는 규모입니다. Bybit은 해킹 이후 72시간 이내에 새로운 감사를 실시하고 1:1 비율의 예비 자산을 확보했으며 , 비트코인, 이더리움, 솔라나, 스테이블 코인 USDT 및 USDC와 같은 자산은 100%를 초과하는 담보 비율을 보유하고 있다고 발표했습니다.
|
|
|
#3rd-Party 사고조사 보고서 공개
Bybit은 Verichains와 Sygnia Labs를 포함한 제3자 포렌식 전문가를 고용하여 독립적인 검토를 실시했습니다. 두 포렌식 전문가 모두 SAFE가 자체 환경의 손상과 관련하여 발표한 성명 에서 확인된 바와 같이 Bybit 인프라 내에서 어떠한 손상 징후도 발견하지 못했습니다. |
|
|
해킹기법 상세 분석
- Safe 개발자 컴퓨터 탈취: 해커는 Bybit에서 사용하는 멀티시그 지갑 솔루션인 Safe의 개발자 컴퓨터에 침투했습니다 . 이를 통해 해커는 Bybit의 트랜잭션에 사용되는 Safe UI를 제어할 수 있게 되었습니다.
- 악성 자바스크립트 삽입: 해커는 Safe UI의 프런트엔드 코드에 악성 자바스크립트 스니펫을 삽입했습니다 . 이 악성 코드는 특정 유형의 트랜잭션, 즉 Bybit의 콜드 월렛에서 핫 월렛으로 ETH를 정기적으로 이체하는 트랜잭션을 찾도록 설계되었습니다.
- 트랜잭션 위장: Bybit 담당자가 콜드 월렛에서 핫 월렛으로 ETH를 이체하는 트랜잭션을 승인하려고 할 때, 해커가 삽입한 악성 코드가 실행되었습니다. 이 코드는 트랜잭션에 delegatecall 명령어를 추가하여 멀티시그 프록시 계약에서 악성 업그레이드를 수행했습니다 . 즉, 해커는 Bybit 담당자가 합법적인 트랜잭션에 서명하는 것처럼 보이게 하면서 실제로는 악성 트랜잭션을 실행하도록 속인 것입니다.
- 트랜잭션 승인 및 실행: Bybit 담당자는 Ledger 하드웨어 지갑을 사용하여 악성 트랜잭션에 서명했습니다. 이후 악성 트랜잭션은 블록체인에서 실행되어 해커가 콜드 월렛을 제어할 수 있게 되었습니다.
- 흔적 은폐: 악성 트랜잭션이 서명된 후, 악성 자바스크립트는 Safe UI 내에서 원래 버전으로 복원되었습니다 . 또한, Safe의 AWS 인스턴스에 호스팅된 악성 자바스크립트는 공격 직후 깨끗한 버전으로 교체되었습니다. 이는 해커가 자신의 흔적을 숨기고 발각 위험을 최소화하기 위한 조치였습니다.
|
|
|
#Bybit의 대응
Bybit는 빠른 대응, 자산 보장등으로 사고 수습에 적극적인 모습을 보였습니다. 2월 26일 이후로 업데이트된 내용을 업데이트 해보았습니다.
- 블랙리스트 업데이트 API 발표 : Bybit은 의심스러운 지갑 주소의 블랙리스트를 업데이트하는 새로운 API를 발표했습니다 1 . 이 API는 보안 전문가들이 피해 복구 작업을 보다 원활하고 신속하게 진행할 수 있도록 지원합니다.
- 해커 추적 플랫폼 개발 : Bybit은 해커 추적을 위한 'HackBounty' 플랫폼을 개발 중입니다 1 . 해당 플랫폼은 업계 전반에서 해커 추적을 지원하고 보안을 강화하기 위해 설계되었습니다.
|
|
|
#해커의 추가 작업
코인 세탁 시도: Bybit 해커는 지난 28일 최소 209,384 ETH(약 $480백만)를 비트코인으로 이동했으며, 이 대부분은 토르체인을 사용하여 전송된것으로 파악 되었습니다. 그리고 3월 1일부터 자금세탁을 재개하여 62,200 ETH(약 2,000억 원)를 세탁한 것으로 파악 되었습니다.
이에 따라 현재 해커들은 Bybit에서 탈취한 총 499,000 ETH(당시 약 2조원) 중 156,000 ETH(약 5,000억원)만 남아있는 상태이며 일주일내 모든 ETH에 대한 세탁을 완료할것으로 예상하고 있습니다. |
|
|
#결론 및 향후 전망
Bybit 해킹 사건은 암호화폐 거래소 보안의 중요성을 다시 한번 일깨워주는 사건입니다. 콜드 월렛조차 완벽하게 안전하지 않다는 사실이 드러났으며, 거래소는 보안 시스템을 강화하고 사용자들에게 보안 교육을 제공해야 할 필요성이 더욱 강조되었습니다. Bybit은 해킹 사건 이후 신속하고 투명한 대응으로 고객 자산을 보호하고 시장 안정화에 기여했습니다. 또한, 업계 전체가 협력하여 해커 추적 및 자금 동결에 나서는 등 암호화폐 생태계 보호를 위한 공동의 노력이 필요함을 보여주었습니다.
하지만 이번 사건은 암호화폐 시장의 성장과 함께 해킹 위협 또한 증가하고 있음을 보여줍니다. 앞으로도 암호화폐 거래소는 보안 시스템 강화, 사용자 교육, 규제 당국과의 협력 등을 통해 해킹 위협에 적극적으로 대응해야 할 것입니다. 특히, 이번 사건을 통해 드러난 콜드 월렛의 취약성을 보완하고, 다중 서명, 온라인 연결 해제 등의 기술을 적용하여 보안을 강화해야 합니다.
이번 사건은 암호화폐 업계의 협력과 연대의 중요성을 보여주는 사례이기도 합니다. Bybit은 해킹 사건 이후 업계의 지원을 받아 자금을 동결하고, 해커를 추적하는 등 피해를 최소화하기 위해 노력했습니다. 앞으로도 암호화폐 업계는 정보 공유, 공동 대응 시스템 구축 등을 통해 해킹 위협에 공동으로 대응해야 할 것입니다. |
|
|
사이버 위협에 대한 더 많은 정보가 필요하신가요?
다온기술 또는 시큐언박싱 문의하기를 통해 연락 주세요. 사이버 위협 전문가가 여러분의 고민을 함께 해결해 드립니다.
지금 바로 문의하세요! ➡️ (다온기술 문의하기 클릭) |
|
|
DPRK가 Google Drive 및 DropBox를 통한
데이터 유출 시도하는 새로운 악성코드 발견
최근 다온기술에서 새로운 DPRK 악성코드와 공격 기법을 발견하여 분석 중입니다. 해당 기법에 대한 상세한 정보를 공유합니다.
지금 블로그 바로가기 ➡️ (다온기술 블로그 바로가기 클릭) |
|
|
AI 탈옥 성공률 63%… 딥시크, 보안 위협 경고
- 딥시크가 사용자 데이터를 과도하게 수집한다는 논란이 커지고 있다. 한국 정부는 이에 대한 대응으로 딥시크 다운로드를 차단했는데 특히, 개인정보보호법 위반 가능성이 제기되었으며, 개인을 특정할 수 있는 다양한 정보까지 저장하고 있어 우려가 크다.
- 딥시크 모델의 AI 탈옥 성공률이 63%에 달하는 것으로 나타났다. 이는 다른 AI 모델 대비 매우 높은 수치로, 마약 제조, 폭탄 제작, 해킹 툴 개발 등의 불법적인 정보 제공이 가능하다는 점에서 큰 문제로 지적되고 있다. 특히, 한국어 공격에는 더욱 취약한 것으로 분석됐다.
- 딥시크는 사용자의 입력 기록뿐만 아니라 타이핑 속도, 음성 데이터, 시스템 성능 로그까지 저장하는 것으로 밝혀졌다. 중국 서버로 전송된 정보가 악용될 가능성이 있다는 우려가 제기되면서, 기업 및 정부 차원의 보안 검토가 필수적인 상황이다.
- 또한 딥시크가 틱톡의 모회사인 바이트댄스와 사용자 데이터를 공유했다는 의혹이 제기되었다. 한국 사용자 정보가 바이트댄스로 전달되었다는 보도가 나오면서, 데이터의 잠재적 악용 가능성에 대한 경각심이 커지고 있다.
- AI 서비스 활용 시 불필요한 개인정보 업로드를 피하는 것이 중요하고 특히 기업들은 AI 모델의 보안 정책, 데이터 관리 방식, 폐기 절차, AI 탈옥 대응책 등을 철저히 검토가 필요한 상황이다.
- 하이라이트 영상 바로 가기
|
|
|
바이비트 2조원 해킹, 가상자산 보안의 강력한 위협
- 2025년 2월 21일, 가상자산 거래소 바이비트에서 약 2조 원 규모의 해킹 사고가 발생했다. 공격자는 이더리움을 탈취해 특정 월렛에 보관하고 있으며, 이번 공격은 다중 서명 시스템을 무력화한 정교한 APT 공격으로 분석됐다. 특히, 콜드월렛이 온라인 상태로 전환되는 순간을 노려 해킹이 이루어졌다는 점에서 기존 보안 시스템의 한계를 드러냈다.
- 이번 공격의 주범으로는 북한의 해킹 조직 라자누스가 지목되었으며, 과거 워너크라이, 데리빗 해킹 등과 연관성이 제기되고 있다. 또한, 최근 북한은 가상자산 탈취 및 돈세탁을 위해 거래소뿐만 아니라 개인을 표적으로 한 공격도 증가시키고 있으며, IT 근로자를 해외 기업에 위장 취업시키는 방식으로 보안 시스템을 무력화하고 있는 것으로 나타났다.
- 바이비트는 해킹 발생 즉시 SNS를 통해 사실을 공개했고, 사용자들의 대규모 출금 요청(뱅크런)을 정상적으로 처리하면서 신뢰를 어느 정도 유지하는 데 성공했다. 하지만 이번 사건을 계기로 가상자산 거래소 전반의 보안 프로세스가 재검토될 필요성이 제기되고 있으며, 보안 위협이 더욱 정교해지는 만큼 기업들의 대응 전략이 강화되어야 한다는 지적이 이어지고 있다.
- 하이라이트 영상 바로 가기
|
|
|
• 바이비트 해킹, 15억 달러 탈취
가상화폐 거래소 바이비트가 약 15억 달러(한화 약 2조 원)의 이더리움과 파생상품을 해킹당했다. 해커는 콜드월렛에서 핫월렛으로의 이체 과정에서 스마트 컨트랙트를 조작해 자금을 빼돌린 것으로 분석된다. 전문가들은 북한 라자루스 그룹의 소행으로 추정하며, 바이비트는 고객 자금은 안전하다고 발표했다. 이번 사건은 가상화폐 역사상 최대 해킹 사건으로 기록될 가능성이 높다.
• 딥시크, 개인정보보호 이슈로 국내 접속 차단
개인정보보호위원회는 개인정보 과도 수집 우려로 딥시크 서비스의 국내 접속을 잠정 차단했다. 위원회는 개인정보처리 미흡과 제3사업자와의 통신 문제를 확인했으며, 딥시크가 보완 조치를 완료할 때까지 차단을 유지할 예정이다. 일부 정부 기관과 기업들도 자체적으로 사용을 금지했다.
• 랜섬웨어 및 데이터 탈취 공격 증가
아토스, 카시오, 슈나이더일렉트릭 등 글로벌 기업들이 랜섬웨어 및 데이터 탈취 공격을 받았다. 카시오는 직원 및 고객 정보가 유출되었고, HPE는 러시아 해커 그룹 코지베어의 공격을 받아 직원 데이터가 유출되었다. 또한, 마이크로소프트 팀즈를 악용한 랜섬웨어 유포 사례가 등장하며 보안 위협이 더욱 정교해지고 있다.
• 바이든 정부, 마지막 사이버 보안 행정명령 발표
바이든 정부는 국가사이버보안 강화 및 혁신 촉진을 위한 행정명령을 발표했다. 연방 계약업체와 공급업체의 보안 기준을 강화하며, 다단계 인증, 엔드포인트 탐지 및 대응, 데이터 암호화 등을 의무화했다. 또한, AI를 활용한 보안 강화를 강조했으나 차기 트럼프 행정부에서 유지될지는 불확실하다. |
|
|
🚀 GTI Hands-On Work Shop | 3월 25일 화요일
Google Threat Intelligence, 직접 경험하고 결정하세요!
➡️ 사전 신청 하러 가기 |
|
|
날짜 : 3월 28일 (금) 오후 2시~3시, 라이브 | 경품 : 치킨 세트 (좋은 질문)
|
|
|
(주) 채널온티비 help@chontv.com
서울특별시 강남구 신사동 593-10, 지하 1층 / 02-6949-4298
|
|
|
|
|
