매월 첫째 목요일, 잇츠맨 X 다온기술의 <시큐언박싱 레터> 발행됩니다.
어떻게 2조나 탈취 당했나?
지난 2월 21일, 바이비트 거래소에서 발생한 약 14억 달러(한화 약 2조 원) 규모의 이더리움 탈취 사건은 암호화폐 업계는 물론 사이버 보안 업계 전반에 큰 충격을 주었습니다. 한 달여 지닌 지금, <시큐언박싱> 에서는 다온기술 고성종 이사, 크리밋 (Cremit) 김동현 대표와 함께 바이비트 해킹 사태를 깊이 분석해 보고, 제로트러스트 관점에서 어떤 보안 대책이 필요한지 살펴 봤습니다.
|
|
|
#바이비트는 어떻게 당했나
공격은 Safe{Wallet}이라는 유명한 다중 서명 지갑 서비스의 취약점을 악용한 공급망 공격 형태로 진행되었으며, 배후로는 북한 해킹 조직인 라자루스 그룹이 강력하게 지목되었습니다.
Safe{Wallet}은 다수의 서명자가 자산 이체를 승인해야 하는 보안 중심 지갑으로, 4천만 건 이상의 트랜잭션과 800만 개 이상의 계정을 보유한 가장 유명한 가상화폐 월렛 서비스 중 하나였습니다. 바이비트 역시 Safe{Wallet}의 신뢰성을 믿고 사용하였으며, 고위 임원까지 서명자에 포함되어 있었던 것으로 알려졌습니다. 해커는 이 점을 노려 Safe{Wallet} 개발자의 PC를 감염시키고, AWS S3 버킷을 통해 악성 자바스크립트 파일을 배포한 후, 임원진의 서명을 유도해 자금을 탈취한 것으로 이번 사태를 파악하고 있습니다.
|
|
|
#공급망 해킹의 실체
해킹의 시작점은 Safe{Wallet}의 한 개발자가 다운로드한 도커 이미지였습니다. 해당 도커 프로젝트(MC-based stock-invest simulation main)는 악성 IoC와 통신 기록을 갖고 있었으며, 이를 통해 개발자의 PC가 감염되었습니다.
감염된 개발자 PC는 AWS 인프라에 접근 가능한 권한을 보유하고 있었는데, 해커는 세션 토큰을 가로채고 이를 활용해 VPN을 통해 S3 버킷에 접근, 악성 코드를 배포하는 데 성공했습니다. 이 과정에서 MFA 등 기존 보안 절차도 무력화된 것으로 확인되었는데, 이는 지속적인 모니터링과 엔드포인트 보안의 부재가 주요 원인으로 지목되었습니다. 특히 해커는 며칠간의 테스트와 모니터링을 통해 개발자의 활동을 예의주시해 왔고, 정교한 타이밍으로 공격을 실행한 것으로 분석되었습니다.
|
|
|
#다시 제로트러스트
이번 사태를 통해 제로트러스트 보안 모델의 필요성과 현실적인 적용의 어려움이 함께 부각되었다고 볼 수 있는데요. 제로트러스트는 내부자와 외부자를 구분하지 않고, 모든 접근을 ‘기본적으로 신뢰하지 않는다’는 전제를 바탕으로 정책을 설계하는 보안 전략이라고 말할 수 있죠.
일부에서는 이를 네트워크 세그멘테이션으로 단순화하지만, 실제로는 아이덴티티, 디바이스, 로그 분석 등을 기반으로 정밀한 정책 설계와 접근 제어가 필요한 것이 제로트러스트입니다. 특히 각 조직 부서(보안팀, 개발팀, 비즈니스팀) 간의 관점 차이로 인해 제로트러스트 도입이 어려운 경우도 많으며, 이를 ‘기업 문화’로 정착시키는 접근이 장기적인 해법이라고 보여집니다.
|
|
|
#그래도 바이비트는 최선을 다했다
바이비트는 이번 해킹 사건 발생 후 단 2분 만에 이상 징후를 인지하고 즉각적인 대응을 시작하였습니다. CEO를 포함한 주요 결정권자가 직접 서명에 참여했기 때문에 이상 징후를 빠르게 알아차릴 수 있었고, 이를 통해 즉시 자산 복구 및 조사 절차에 착수할 수 있었습니다.
바이비트는 피해 사실을 투명하게 공개하고, 리포트를 발간하며, 신고 보상금을 건 바운티 프로그램을 운영하는 등 모범적인 대응을 보여드렸습니다. 단순히 기술적 대응에 그치지 않고, 고객 신뢰 회복과 재발 방지를 위한 전략적 접근이 이루어진 점에서 바이비트에게 긍정적인 평가를 줄 수 있을 것 같습니다.
|
|
|
#What if (만약에 이랬었다면)
이번 바이비트 사건은 단순한 개발자 부주의가 아니라, 공급망 전체에 걸친 보안 체계의 허점을 겨냥한 치밀한 공격으로 확인되었습니다. Safe{Wallet} 개발자 PC 감염, 권한 탈취, 세션 토큰 악용, 그리고 다중 서명의 악용까지 일련의 과정을 통해 해커는 조직 내부의 ‘신뢰’를 파고들었습니다. 만약 이랬다면 이번과 같은 사태는 막을 수 있지 않았을까요?
하나, 바이비트 What if
- 3rd Party 애플리케이션에 대한 검증을 강화했었다면
- 트랜젝션, 네트워크에 대한 모니터링 확대했었다면
- 엔드포인트에서 애플리케이션의 이상 변화를 체크할 수 있었다면
|
|
|
둘, Safe{Wallet} What if
- 악성코드의 활동 및 프로세스에 대한 가시성을 더 확보할 수 있었다면
- IoC에 대한 모니터링을 통해 외부 위협을 더 체크할 수 있었다면
- S3 배포에 대한 개발자 권한을 더욱 강화했더라면
- Identity 접근 모니터링 강화로 사고 이전에 있었던 해커의 기록을 미리 확인할 수 있었더라면
|
|
|
이번 바이비트 사태는 ‘제로트러스트’라는 보안 개념을 다시 한 번 깊이 있게 되짚어보게 하는 계기가 되지 않았나 싶네요. 무엇보다 단순한 기술적 보완을 넘어 조직 차원의 문화와 전략으로 보안 전략을 새롭게 접근하는 시각이 중요하다는 시사점을 던지고 있습니다.
|
|
|
[하이라이트] 가상화폐거래소 바이비트가 2조를 털린 이유는? (바로보기) |
|
|
🚀 RSCA2025 참관단 모집
- 일정 : 2025년 4월 28일 ~ 5월 1일
- 장소 : Moscone Center, San Francisco, USA
- 숙소 : Hyatt House Belmont / Redwood Shores
- 프로그램 (현지 상황에 따라 변경 가능)
- RSAC 2025 참관
- Google 캠퍼스 투어
- Google Customer Executive Briefing
- 실리콘벨리 IT 기업 방문
|
|
|
- 과기부, 제로트러스트 보안 강화에 100억 투자
- GitHub 공급망 공격 당해
|
|
|
날짜 : 4월 25일 (금) 오후 2시~3시, 라이브 | 경품 : 치킨 세트 (좋은 질문)
|
|
|
(주) 채널온티비 help@chontv.com
서울특별시 강남구 신사동 593-10, 지하 1층 / 02-6949-4298
|
|
|
|
|
