국내 가상자산 추적분석 전문기업인 클로인트(Kloint)가 지난 2월 21일 발생한 바이비트(Bybit) 해킹 분석 1차 보고서를 발행하였다. 바이비트 해킹 사고는 약 15억 달러 (한화 약 2조1천억원)상당의 이더리움(ETH)을 가상화폐 거래소에서 탈취한 대규모 해킹 사건이다. 미국 FBI는 이번 공격이 북한과 연계된 해킹 조직 ‘트레이더트레이터(TraderTraitor)’의 소행이라고 분석하였고 트레이더트레이터는 북한의 라자루스 그룹과 동일한 조직으로 간주되고, 글로벌 보안 업계에서는 이를 북한이 주도하는 가상자산 사이버 해킹 캠페인의 일환으로 보고 있다. 

바이비트 해킹의 공격방식은 사회공학적 방식으로 공격을 조직하고 복잡한 자금 세탁 방식을 사용하여, 도단 당한 자금이 탐지되지 않게 이동하려는 시도를 보이고 있다. 이는 Safe{Wallet} 이라는 지갑 솔루션 개발자의 컴퓨터에 악성 코드를 삽입하고, 삽입된 코드는 거래 서명 과정 중 거래 내용을 변경하도록 조정하였다. 

이번 해킹 수법을 자세히 분석해 보면 지갑 보안 솔루션 회사인 Safe{Wallet}의 개발 환경을 정밀하게 악용하여 프론트엔드 코드를 변조했고, 바이비트의 멀티시그 트랜잭션을 조작하는 방식으로 해킹을 실행했으며, 바이비트의 멀티시그 Owner가 app.safe.global을 사용해 트랜잭션을 서명할 때 UI에는 정상적인 주소가 표시되었으나, 실제 트랜잭션 데이터는 제출 전에 변조되어 공격자의 주소로 변경하는 수법을 사용하였다. 

또한 운영보안 측면에서 자금 전송을 확인하는 바이비트의 3명의 승인자 UI (사용자 인터페이스)를 원격 조정하여 불법 거래를 승인하도록 하였다. 특히 이번 해킹은 특정한 2개의 이더리움 지갑을 선택하여 해킹 3일전에 악성 코드를 삽입하는 치밀한 수법을 사용하였다.

또한 가상자산 이전을 통제하는 프라이빗키의 보관 방식에 따라서 온라인에 보관하면 핫월렛, 오프라인에 보관하면 콜드월렛으로 분류하는데, 핫월렛은 빠르고 효율적인 입출금을 위해 사용되지만 인터넷에 노출되어 해킹에 상대적으로 취약하다. 반면 오프라인에 키를 보관하는 콜드월렛은 이론적으로 해킹으로부터 안전하다. 금번 바이비트의 해킹사고는 콜드월렛의 프라이빗키 자체를 탈취한 것이 아니라, 거래소가 콜드월렛을 관리하는 통제 체계의 취약점을 공격한 것이다. 

클로인트의 서병완 소장은 “결국 악성코드로 침투한다. 라자루스 등 북한 해커들은 타깃이 되는 직원들의 노출되어 있는 이메일을 수집하고, 이메일에 고도로 정교한 코드를 삽입하여 직원들에게 침투한다. 해커는 담당 직원이 어떤 식으로 든 악성코드가 담긴 프로그램을 실행시키게 하고, 이렇게 직원의 PC에 설치된 악성코드를 통해 내부 정보를 습득하고 다른 직원 또는 서버로 확산시킨 후 길게는 1년이 넘게 정교한 공격구조를 설계하고 실행한다”고 밝혔다.

또한 한국디지털자산수탁의 김민수 대표는 “고객별로 별도의 지갑주소에 자산을 보관하는 수탁사와는 달리, 가상자산 거래소는 모든 고객의 자산을 하나의 핫월렛과 하나의 콜드월렛에 집금하여 운영한다. 거래소는 핫월렛과 콜드월렛을 일정 비율로 유지해야 하기 때문에, 두 지갑 사이에서는 기계적이고 반복적인 자산 이동이 빈번하게 발생할 수밖에 없는 구조적 어려움이 있다. 금번 사고는 이와 같은 반복작업을 효율화 시키기 위해 콜드월렛 운영을 반자동화시킨 영역에서 발생한 것이다.”라고 분석하였다.

클로인트 가상자산 추적•분석 센터장은 “바이비트 해킹 사건이 발생한 지 일주일이 지난 현재, 약 6억 2천만 달러 규모의 자금이 세탁되고 있으며, 전체 탈취 금액의 약 55%가 이미 자금세탁된 것으로 분석된다”고 밝혔다. “이번 자금세탁 과정에서 북한 해커 조직이 다수의 지갑 주소를 활용하고 있으며, 소규모로 분산된 자금은 기존 사례와 마찬가지로 북한 노동자들에게 전달돼 외화 획득에 이용될 가능성이 크다”고 설명했다.

북학 정찰총국 소속의 해킹 단체들은 과거에도 다수의 국제적 가상자산 해킹 사건에 연루된 것이 확인된 바 있다.

• 2022년 6월 하모니 호라이즌 브리지(Harmony Horizon Bridge) 해킹 – 1억달러

• 2023년 3월 스카이 마비스로닌 브리지(Sky Mavis’ Ronin Bridge) 해킹 – 6억달러

• 2023년 6월 아토믹 월렛(Atomic Wallet) 해킹 – 1억달러

• 2023년 7월 알파포(Alphapo) 해킹 – 6천만달러

• 2023년 7월 코인스페이드(Coinspaid) 해킹 – 3천7백만달러

• 2024년 와지르엑스(WazirX) 거래소 해킹 – 2억 3천5백만달러

• 2024년 DMM 비트코인(DMM Bitcoin) 거래소 해킹 – 3억 5백만달러

미국의 추적분석 기업인 체인널리시스는 2024년 한 해 북한 해커 그룹들이 13억4천만달러(한화 약 1조 9억천억원)의 가상화폐를 탈취를 하였다고 분석하였는데, 이번 사건은 1회의 가상화폐 탈취 규모가 2024년 한 해 전체 금액보다 상회하는 사상 초유의 규모이다. 이렇듯 북한 해커로 추정되는 가상화폐 범죄는 세계 2위의 대형 가상화폐 거래소를 대상으로 하는 등 대형 거래소에 관계없이 범죄 대상을 선정하고, 범죄의 대담성과 규모 측면에서 점점 커지고 있다는 것을 보여 준다.

특히 이번 해킹 규모는 북한이 주로 생산하는 단거리 탄도 미사일(SRBM)을 최소 292기에서 최대 487개 정도를 제작할 수 있는 금액이며, 미국을 겨냥 가능한 대륙간 탄도미사일(ICBM)은 약 49기~73기를 만들 수 있는 역대급 규모이다. 

또한 해킹 사건 탈취금 약 15억 달러를 전액 이더리움 스테이킹(Staking)에 활용할 경우, 연간 약 4,765만 달러 (한화 약 690억원)의 추가 수익이 지속적으로 해커 그룹에 전달될 수 있을 것으로 예상된다. 이더리움 스테이킹이란 이더리움 네트워크에 일정량의 금액을 예치하고, 트랜잭션 검증자로 활동하여 예치한 금액에 비례하여 일정량의 보상을 받는, 일종의 이자와 같은 메커니즘이다.

뿐만 아니라, 이러한 해킹 자금 규모는 탈취 자금을 회수하지 못한다면, 해당 자금을 세탁하는 데만 3~4년 긴 시간이 걸릴 수 있는 점을 감안하면, 이를 지속적으로 추적 감시하는 체계가 필요하다. 이에 이번 해킹사건이 발생한 바이비트는 탈취자금을 회수하는데 직접적인 도움이나 중요 단서를 제공하는 사람에게 전체 해킹 규모의 10%인 1억4천만 달러 (한화 약 2,100억원) 규모의 현상금을 거는 바운티 (Bounty) 프로그램을 운영하고 있다. 

이번 바이비트 해킹 사건에 대한 1차 리포트를 발간한 클로인트는 북한의 가상자산 해킹 활동을 추적하기 위해 블록체인 데이터 분석을 지속적으로 진행하고 있다. 지난해 8월 발간한 ‘가상화폐 해킹 사건에 대한 북한 중심의 조사 분석 리포트(2022-2024.06)’에서는 2022년부터 2024년 6월까지 발생한 주요 가상자산 해킹 사건을 분석하며, 북한 정찰총국 및 관련 해킹 단체들의 자금 흐름과 세탁 방식에 대한 연구를 진행한 바 있다. 클로인트는 본 사건 추적분석한 내용을 바이비트 바운티 프로그램에 협조하고 있으며, 해킹 사건 뿐만 아니라 북한 IT 노동자들의 실태를 면밀히 조사하고 있어 조만간 관련 내용을 대외적으로 공개해 이들의 불법 활동을 차단하는데 적극 나설 계획이다.

출처: K BENCH