사이버 공격과 보안: 사후 보고서를 통해 본 백만 달러 해킹의 진실
2025년 3월 6일, SafeWallet 팀은 바이비트 해킹 사건에 관련된 포스트 모텀 보고서를 발표하였습니다. 이번 사건은 1.4억 달러 규모의 해킹 사고로, 사이버 보안 업계에 큰 충격을 주었습니다. 이 글에서는 SafeWallet의 분석을 통해 밝혀진 해킹 과정과 이를 방지하기 위한 교훈에 대해 살펴보도록 하겠습니다.
SafeWallet의 분석: 어떻게 Bybit가 해킹당했는가?
SafeWallet과 사이버 보안 전문 업체인 Mandiant는 Bybit 해킹 사건을 자세히 분석하여 그 경로를 밝혔습니다. 해커들은 Safe 개발자의 Amazon Web Services (AWS) 세션 토큰을 탈취하여, 회사에서 마련한 다중 인증 보안 조치를 우회하는 방식으로 침입에 성공했습니다. AWS 설정에 따르면 세션 토큰은 12시간마다 재인증이 필요했으며, 해커들은 이를 악용하여 다중 인증(MFA) 장치를 등록하려는 시도를 하였습니다.
여러 차례 실패한 후, 해커들은 개발자의 MacOS 시스템에 악성 소프트웨어를 설치하여 세션 토큰 사용을 감행했습니다. 이를 통해 AWS 환경에 접근할 수 있었고, 그곳에서 해킹 계획을 실행에 옮길 수 있었습니다.
북한 해커들의 치밀한 준비와 공격
보고서에 따르면, Mandiant의 조사 결과 해커들은 북한 정부와 연관이 있는 것으로 밝혀졌습니다. 이들은 이번 공격을 위해 19일이라는 시간을 투자했습니다. 중요한 것은 Safe의 스마트 계약에는 아무런 영향을 주지 않았다는 점이며, Safe 팀은 이후에도 추가 방어 조치를 구현하였다고 밝혔습니다.
FBI의 대처와 자금 추적
이번 사건의 일환으로, 미국 연방수사국(FBI)은 경고를 발령하였습니다. 해커들이 훔친 자금의 세탁을 시도하면서 이를 차단하기 위해 노드 운영자들에게 해당 암호화폐 지갑 주소로의 거래를 차단할 것을 요청했습니다. 북한 해커들은 암호화폐를 법정 화폐로 환전하는 과정을 계속 시도하고 있으며, 이미 상당한 양의 자금이 세탁된 것으로 보고되었습니다.
Bybit의 CEO Ben Zhou는 약 77%의 자금, 즉 10억 7천만 달러 상당의 자금이 여전히 추적 가능하다고 밝혔습니다. 하지만 2억 8천만 달러 가량의 자금은 이미 암흑으로 사라졌습니다. 그럼에도 불구하고, Cyvers 사이버 보안 회사의 CEO Deddy Lavid는 일부 자금을 추적하고 동결할 수 있는 여지가 있다고 주장했습니다.
주의해야 할 교훈과 미래 대응
이와 같은 사건을 통해 기술 업계가 얻어야 할 교훈은 무엇일까요? 가장 먼저, 다중 인증 시스템과 같은 보안 조치도 명확한 취약점을 가지고 있다는 것을 인식해야 합니다. 이에 따라 팀에서는 시스템 모니터링 및 보안을 강화할 필요가 있습니다.
SafeWallet의 보고서는 보안 사고의 예방뿐 아니라, 사용자 경험 및 인터페이스 개선의 필요성도 강조합니다. 사건 발생 후, Safe 팀은 보다 강력한 보안 절차를 초임했으며, 지속적으로 사용자 교육 및 훈련 프로그램을 운영하여 사이버 공격의 위험을 줄이는 것을 목표로 하고 있습니다.
결론
Bybit 해킹 사건은 큰 악영향을 미쳤지만, 동시에디지털 보안의 중요성을 재조명했습니다. 이번 사건을 통해 기업과 사용자 모든 사람들이 사이버 보안의 중요성을 새롭게 인식하고, 앞으로의 보안 정책을 효율적으로 재조정하는 계기가 되기를 바랍니다. 이러한 노력은 모두 스마트 계약과 블록체인 세계의 안녕을 위한 필수적인 조치라고 할 수 있습니다.
이번 사건이 보여준 교훈을 되새기며, 모두가 강화된 보안 조치를 수행하여 다가올 사이버 위협으로부터 자신을 보호할 수 있기를 기대합니다.