01. 가상자산 범죄의 중심 ‘북한‘

지난 2월 21일, 세계 2위 규모의 가상자산(암호화폐) 거래소인 바이비트(Bybit)가 역대 최대 규모의 해킹 피해를 입었다. 해킹으로 14억 6,000만달러(한화 약 2조 1,000억원) 상당의 가상자산을 탈취당했는데, 이는 역대 일어난 단일 가상자산 유출 사건 중 최대 규모인 것으로 파악됐다. 바이비트가 해킹 이전에 보유하고 있던 자산은 162억달러(한화 약 23조 1,200억원)로, 이번에 도난당한 금액은 바이비트 총자산의 약 9%에 해당한다. 해커들은 이더리움(ETH)과 이더리움 기반 가상자산을 탈취했으며, 도난된 자산은 자금세탁 과정을 거쳐 비트코인(BTC)으로 전환되었다.

사실 가상자산을 노리는 해커들의 공격 그리고 그 중에서 북한 해커들의 활약은 과거부터 지속되어 왔다. 그러나 이번 해킹 사건은 피해 규모와 함께 해킹 유형으로 인해 많은 이목을 끌었다. 바로 바이비트 해킹 사건이 콜드월렛(Cold Wallet)에서 핫월렛(Hot Wallet)으로 자산을 이체하는 과정에서 자산 탈취가 발생했기 때문이다.

통상 가상자산 거래소들은 보안성을 높이기 위한 오프라인 지갑(콜드월렛)과 입출금이 빠른 온라인 지갑(핫월렛)을 함께 사용한다. 콜드월렛은 인터넷에 연결되지 않은 상태에서 가상자산을 보관하기 때문에 온라인 해킹으로부터 안전하다. 웜월렛(Warm Wallet)은 이 둘의 장점을 결합한 중간 단계의 지갑이다. 통상 거래소들은 이용자들이 맡긴 자산의 약 80%를 상대적으로 보안성이 높은 콜드월렛에 보관하고 나머지는 입출금이 빠른 핫월렛에 담아 두는데, 해커들은 주로 지갑 사이에서 자금이 이동할 때를 노린다.

실제로 가상자산(플랫폼 포함)을 노리는 해킹 건수와 피해액은 지속적으로 증가하는 추세다. 블록체인 분석 기업인 체이널리시스(Chainalysis)에 따르면, ‘24년 한 해 동안 가상자산 해킹으로 도난당한 자금은 22억달러(한화 약 3억 1,000억원)로 전년 대비 21.7% 증가했으며, 해킹 건수도 282건에서 303건으로 늘어났다. 특히 중앙화 거래소(Centralized Exchange, 이하 CEX)가 해킹으로 가장 많은 피해를 입었다. ‘24년 5월 일본 가상자산 거래소 DMM 비트코인은 3억 500만달러(한화 약 4,500억원), ’24년 7월 인도 가상자산 거래소 와지르엑스는 2억 3,490만달러(한화 약 3,400억원)를 도난당한 바 있다.

가상자산 해킹에서 눈에 띄는 것은 단연 북한 연계 해커들이다. 북한 해커들이 탈취한 암호화폐 금액은 ‘23년 6억 6,050만달러(한화 약 9,552억원)에서 ‘24년 13억 4,000만달러(한화 약 1조 9,376억원)로 증가했는데, 이는 전년 대비 102.88% 증가한 수치이다. 지난해 전체 가상자산 해킹 피해액의 무려 61%를 차지하고 있다. 이들이 저지른 가상자산 해킹 사건 역시 20건에서 47건으로 2배 이상 늘어났는데, 문제는 공격의 빈도 뿐만 아니라 규모까지 확대되고 있다는 점이다. 공격 성공까지 소요되는 평균 시간은 꾸준히 감소하고 있으며, 1억 달러(한화 약 1,450억 원) 이상의 공격은 전보다 훨씬 더 잦아졌다.

북한 해커들은 믹서(Mixer), 브릿지(Bridge) 등 전문적인 자금세탁 기술을 사용해 탈취한 자금을 현금화한다. 믹서는 가상자산을 쪼개고 섞어 자금의 출처를 불투명하게 만드는 기술이다. 이는 소유하고 있는 자산의 익명성, 탈중앙성을 강화하려는 고객들을 위해 거래 정보 내역 대부분을 익명화하기 위한 목적으로 만들어졌지만, 현재는 자금출처와 송금처를 감추는 데 악용되고 있다. 브릿지는 서로 다른 종류의 가상자산 간 거래를 가능하게 해주는 기능이지만, 탈취한 가상자산을 다른 가상자산으로 바꾸어 자금추적을 어렵게 하기 위한 목적으로 악용되고 있다.

02. 바이비트, 최대 규모 가상자산 탈취 사건

특이하게도 바이비트 해킹 사건은 콜드월렛에서 핫월렛으로 자금을 옮기는 도중 해커로 인해 스마트 컨트랙트가 조작되면서 발생했다. 앞서 소개한 것 처럼 가상자산 지갑은 인터넷 연결 유무에 따라 핫월렛과 콜드월렛으로 구별된다. 여기서 ‘지갑(월렛)’이라는 단어 때문에 지갑에 가상자산이 들어있다고 생각할 수 있지만, 가상자산은 블록체인 네트워크에 존재하고 이에 대한 소유권만 개인키 형태로 지갑에 보유하는 구조다.

핫월렛은 온라인에 연결되어 있어 언제 어디서나 접근이 가능하다는 것이 강점이지만, 개인키가 온라인에 연결되어 있으므로 보안에 취약할 수 있다. 콜드월렛은 오프라인 상태에서 보관되는 지갑으로 인터넷이 차단된 하드웨어 장치에 개인키를 보관하기 때문에 보안성 면에서 핫월렛 대비 우수하다는 평가를 받는다. 일반적으로 거래소들은 자산의 약 80%를 콜드월렛에 보관하고 나머지는 핫월렛에 담아 두는데, 해커들은 주로 자금이 이동할 때를 노린다.

이번 해킹은 약 15억 달러(한화 약 2조1천억 원) 상당의 이더리움(ETH)이 탈취된 사상 최대 규모의 가상자산 해킹 사건으로, 美 연방수사국(Federal Bureau of Investigation, 이하 FBI)은 북한과 연계된 해킹 조직 ‘트레이더트레이터(TraderTraitor)’의 소행으로 분석했다. DMM 비트코인 해킹 사고와 마찬가지로 배후에는 북한의 대표적 해킹 그룹인 라자루스(Lazarus)가 존재했으며, 글로벌 보안 업계는 이를 북한의 가상자산 사이버 해킹 캠페인의 연장선으로 보고 있다.

① 해킹 기법, 지갑 보안 솔루션의 취약점 악용

디지털자산 분석 기업인 클로인트에 따르면, 공격자(트레이더트레이터)는 지갑 보안 솔루션 회사 Safe{Wallet}의 개발 환경을 악용해 프론트엔드 코드를 변조한 뒤 바이비트의 멀티시그 트랜잭션을 조작했다. 이 과정에서 바이비트의 멀티시그(다중 서명) 트랜잭션이 변조되었으며, 거래소 운영자가 app.safe.global을 이용해 트랜잭션을 서명할 때 UI에는 정상적인 주소가 표시됐으나, 실제 전송된 트랜잭션 데이터는 공격자의 주소로 변경되는 방식이 사용됐다. 또한 해커들은 바이비트의 승인 시스템을 조작해 자금 전송을 담당하는 승인자의 UI(사용자 인터페이스)를 원격 조작했다. 이를 통해 승인자가 의도치 않게 불법 거래를 승인하도록 만들었다. 특히, 이번 해킹은 특정한 두 개의 이더리움 지갑을 사전에 타깃으로 정한 후, 해킹 발생 3일 전부터 악성 코드를 삽입하는 정교한 방식으로 진행됐다.

② 콜드 월렛이 아닌 콜드 월렛의 운영 체계를 공격

특이하게도 이번 사건은 콜드월렛 자체의 프라이빗 키(Private Key)를 탈취한 것이 아니라, 거래소의 콜드월렛 관리 체계를 공격한 것으로 분석된다. 클로인트는 “콜드월렛 운영을 효율화하기 위해 반자동화된 시스템이 적용되면서 보안 취약점이 발생한 것으로 보인다.”라고 설명했다.
또한 한국디지털자산수탁은 “수탁 서비스는 고객별로 개별 지갑 주소를 사용해 자산을 보관하는 반면, 거래소는 모든 고객의 자산을 하나의 핫월렛과 하나의 콜드월렛에 집금하여 운영하는 방식이다.”라며 “이 때문에 거래소에서는 두 지갑 간 반복적인 자산 이동이 필수적이고, 이 과정에서 해커가 자동화된 프로세스를 악용했을 가능성이 크다.”라고 분석했다.

③ 가상자산 해킹의 선도주자 ‘라자루스(Lazarus)’

이번 바이비트 해킹 사고의 중심에는 수많은 해커 조직 중 가장 활발한 행보를 보이는 北 라자루스(Lazarus)가 존재했다. 이와 관련해 美 FBI는 트레이더트레이터 수법이 공격에 동원된 것으로 파악했다. 라자루스 하위 조직의 명칭이기도 한 트레이더트레이터는 고소득 일자리 제안 등으로 위장해 악성코드가 숨겨진 암호화폐 애플리케이션 등을 다운로드하도록 유도하는 해킹 수법이다. FBI는 구체적으로 51개의 이더리움 주소를 공개하고 업계 전반에 조치를 취할 것을 촉구했다. 특히 가상자산 서비스와 관련된 민간 기관들은 도난당한 자금을 세탁하는 데 사용된 주소를 통한 거래를 차단해야 한다고 강조했다.

그리고 블록체인 데이터 분석 기업 일립틱(Elliptic)은 라자루스가 믹서를 통해 자금을 세탁할 것으로 예상했다. 라자루스는 중앙 기관이 자금을 동결하지 못하도록 도난된 토큰을 이더리움과 같은 네이티브 블록체인 자산으로 변환한다. 그리고 여러 단계의 세탁을 거쳐 자금 추적을 어렵게 만드는 ‘계층화(layer)’ 기법을 사용하는데, 일립틱은 현재 라자루스가 이 단계에 돌입했다고 밝혔다. 라자루스는 믹싱 플랫폼 eXch에서 7,500만달러(한화 약 1,072억 원) 상당의 자금을 세탁한 것으로 보인다. eXch는 공식 성명을 통해 해킹된 자금 중 일부가 eXch 지갑으로 유입된 것은 사실이나, 이는 제한적인 사례라며 라자루스의 자금세탁을 지원했다는 의혹을 부인했다.

바이비트 해킹 사건이 발생한 지 일주일이 지난 현재, 탈취된 자금 중 약 6억 2천만 달러(한화 약 9,000억 원)가 이미 세탁된 것으로 파악됐다. 클로인트는 “현재까지 전체 탈취 금액의 약 55%가 자금 세탁된 것으로 분석된다.”라며 “북한 해커 조직이 다수의 지갑 주소를 활용해 자금을 분산시키고 있으며, 세탁된 자금이 북한 IT 노동자들에게 전달돼 외화 확보에 이용될 가능성이 크다.”라고 설명했다.

03. 역대급 해킹에 대한 업계의 대응

바이비트의 해킹 사실이 알려지자 가상자산 업계는 즉각적으로 바이비트 지원에 나섰다. 이는 해킹 사고로 인해 투자자들이 대거 자금을 인출하는 ‘뱅크런(BankRun)’이 발생하는 것을 막기 위한 조치로 보인다. 지난 24일, 바이비트는 토르체인, 비트겟, 아발란체, 서클 등 여러 파트너와 협력해 4,289만달러(한화 약 617억 원) 상당의 자금을 동결했다고 밝혔다. 벤 조우 바이비트 CEO는 해킹으로 인한 손실을 복구하지 못하더라도 모든 고객의 자산은 1대1로 보장된다고 강조했다. 실제로 바이비트는 대출, 대형 투자자의 예치, 직접 구매를 통해 총 44만 6,870이더리움(ETH)을 확보하면서 해킹으로 탈취된 금액의 대부분을 복구한 것으로 알려졌다.

또한 바이비트는 지난 25일, 라자루스와의 전쟁을 선포하고 현상금 1억 4,000만달러(약 2,000억원)를 내걸었다. 조우 CEO는 자신의 X(옛 트위터) 계정을 통해 라자루스의 자금세탁 경로를 추적하는 사이트 ‘라자루스바운티(LazarusBounty)’를 개설했다고 밝혔다. 사용자들은 자신의 가상화폐 지갑을 연결해 자금 추적에 참여할 수 있으며, 제출한 정보가 자금 동결로 이어질 경우 해당 자산의 5%가 즉시 지급된다. 26일 기준, 웹사이트에서는 라자루스 그룹과 관련된 6,338개의 지갑 주소를 추적하고 있으며, 탈취된 자금의 3%에 해당하는 4,230만 달러(한화 약 604억 원)는 이미 동결된 상태다. 조우 CEO는 라자루스와 업계의 악한 행위자들이 사라질 때까지 웹사이트 운영을 멈추지 않을 것이라고 전했다.

여기에 더해 바이비트는 현재까지 확인된 의심스러운 지갑 주소의 블랙리스트(BlackList)를 업데이트하는 새로운 API를 발표했다. 해당 API는 보안 전문가들이 피해 복구 작업을 보다 원활하고 신속하게 진행할 수 있도록 지원하는 것을 목표로 하며, 업계 화이트 해커 및 조사팀의 협력으로 작성됐다. 바이비트 내부 및 외부 보안팀이 공동으로 조사를 진행한 결과, 악성 주소 목록이 확인되었으며, 해당 목록은 자동화된 인터페이스를 통해 검증된 파트너에게 제공될 예정이다. 바이비트는 블랙리스트 목록을 지속적으로 업데이트하여 사이버 보안 관계자가 사기 행위를 효과적으로 차단할 수 있도록 지원할 계획이며, 성공적인 차단이 이루어질 경우 10%의 보상금을 지급한다.

이러한 적극적인 대응에는 바로 바이비트 해킹 직후 가상자산 시장이 출렁였기 때문이다. 사고 발생 후 5일이 지난 2월 26일, 비트코인(BTC) 1개당 가격이 한때 8만 2,000달러(한화 약 1억 2천만 원)까지 떨어졌는데, 비트코인 가격이 9만 달러(한화 약 1억 3천만 원) 아래로 떨어진 것은 지난해 11월 중순 이후 3개월여 만이다. 가상자산의 가격이 하락하면 그만큼 거래량이 감소되어 거래소의 이익에 영향을 미치기 때문이다.

04. 마무리

바이비트 해킹 사건은 가상자산 업계와 사용자들에게 경종을 울렸다. 그간 핫월렛에 비해 안전하다고 여겨졌던 콜드월렛에서 피해가 발생한 데다가, 다중서명 방식까지 적용했음에도 불구하고 공격을 피할 수 없었기 때문이다. 전문가들은 다수가 참여하는 승인 절차도 해커에게 악용될 수 있는 만큼 서명 시 세부 내용을 꼼꼼히 확인해야 한다고 당부했다. 또한 거래소 해킹 소식을 접하면 신속하게 자산을 다른 곳으로 인출해야 한다고 조언했다. 거래소와 가상자산 관련 기업들은 다중서명 검증 체계를 개선하고, 사고가 발생했을 때 즉각적으로 대응할 수 있는 시스템을 도입해야 한다.

또한 북한의 사이버 공격 방식이 점점 정교해지고 있다는 점을 고려할 때 개별적 대응을 넘어서는 국제적 공조 체계 구축이 필수적이다. 지난 1월, 한국·미국·일본 3국은 ‘북한 암호화폐 탈취 및 민관 협력에 대한 한미일 공동성명’을 발표했다. 3국 정부가 공동성명 형식으로 여러 사건을 종합하여 발표한 것은 처음으로, 이는 북한이 무기 개발 자금을 마련하기 위해 가상자산 해킹에 의존하고 있는 상황을 경계하고 있는 것으로 분석된다. 3국 정부는 민간업계 등을 대상으로 북한의 암호화폐 탈취를 예방하고 해당 자금을 회수하기 위해 함께 노력 중이라고 전했다.

결국 북한의 가상자산 탈취 위협에 대응하기 위해서는 기술적 보안을 강화하는 것과 더불어 국제 사회의 공조가 반드시 필요하다. 이를 위해 각국 정부와 기업은 더욱 긴밀한 정보 공유 체계를 구축하고, 의심스러운 거래를 실시간으로 탐지할 수 있는 감시 시스템을 도입해야 한다. 또한 해킹을 통해 탈취된 가상자산이 자금세탁을 거쳐 불법적으로 유통되지 않도록 규제를 강화해야 한다. 일반 사용자들 역시 개인 보안을 철저히 관리하고, 보안성이 검증된 플랫폼을 이용하는 것이 바람직하다. 정부와 기업, 개인이 협력하여 다층적인 방어망을 구축할 때 가상자산 시장의 신뢰를 지킬 수 있을 것이다.