사상 최대 암호화폐 해킹 사건: Bybit 해킹과 운영 보안의 위기
1. 사건 개요: 15억 달러 규모의 Bybit 해킹
2025년 2월 21일, 암호화폐 거래소 Bybit에서 사상 최대 규모의 해킹 사건이 발생했습니다. 해커들은 Bybit의 다중 서명(multisig) 콜드 월렛에서 약 15억 달러 상당의 암호화폐를 탈취했습니다. 이번 공격은 단순한 스마트 컨트랙트 취약점을 노린 것이 아니라, 운영 보안(Operation Security, OpSec) 허점을 악용한 것이 특징입니다.
이번 사건은 암호화폐 거래소 및 기업들이 운영 보안의 중요성을 간과할 경우, 기술적 보안 강화만으로는 해킹을 막을 수 없다는 현실을 보여준 사례입니다.
2. 해킹 방법: 운영 보안의 취약점을 노리다
Bybit 해킹 사건은 단순한 시스템 취약점 공격이 아니라 사용자의 기기와 인터페이스를 조작하여 서명을 가로챈 정교한 수법을 사용했습니다.
🔎 공격 과정 분석
- 다중 서명(signers) 기기 해킹
- 해커들은 다중 서명 관리자의 기기를 악성코드로 감염시켰습니다.
- 이를 통해 거래 승인 요청 시 관리자가 확인하는 화면을 조작할 수 있었습니다.
- 거래 조작 및 서명 수집
- 관리자는 정상적인 거래라고 믿고 승인했으나, 실제로는 해커가 조작한 지갑 주소로 서명을 보냈습니다.
- 다중 서명 방식이라도 서명을 충분히 확보하면 해킹이 가능했습니다.
- 암호화폐 탈취
- 최종적으로 해커들은 서명이 완료된 트랜잭션을 실행하여 자금을 탈취했습니다.
이러한 공격 방식은 단순한 스마트 컨트랙트 취약점이 아닌 운영 보안(Operational Security)과 사용자 인터페이스(UI) 조작 기법을 악용한 사례로 평가됩니다.
3. 반복되는 대규모 해킹: 북한 해커 조직과의 연관성
이번 사건은 단발적인 공격이 아니라 북한의 국가 지원 해커 조직이 주도한 지속적인 공격 패턴의 일부로 분석됩니다.
🔗 최근 대규모 해킹 사례
사건명 피해 금액 발생 시기 주요 특징
| WazirX 해킹 | 2.3억 달러 | 2024년 7월 | 중앙화 거래소 해킹 |
| Radiant Capital 해킹 | 5천만 달러 | 2024년 10월 | 스마트 컨트랙트 취약점 |
| Bybit 해킹 | 15억 달러 | 2025년 2월 | 운영 보안 취약점 악용 |
Bybit 해킹 사건은 암호화폐 보안의 초점이 코드 취약점에서 운영 보안으로 이동했음을 시사합니다.
📌 북한 해커 조직의 해킹 방식
미국 및 글로벌 보안 연구 기관들은 Bybit 해킹이 북한 정찰총국(RGB) 산하 해커 조직에 의해 수행된 것으로 보고 있습니다.
이들은 다음과 같은 방식으로 공격을 수행합니다.
- 정교한 소셜 엔지니어링: 거래소 및 암호화폐 기업 종사자들을 타겟으로 한 스피어 피싱 및 위장 채용 제안
- 멀웨어 감염: 특정 인물의 기기를 감염시켜 시스템 내부 접근 권한 확보
- 트랜잭션 조작: 인터페이스를 변조하여 서명된 거래를 공격자의 주소로 변경
이러한 공격은 반복적으로 진화하고 있으며, 기존 보안 솔루션만으로는 방어하기 어려운 수준까지 발전하고 있습니다.
4. 암호화폐 보안의 새로운 현실: 운영 보안 강화가 필수
이번 사건은 기술적 보안만으로는 해킹을 방어할 수 없으며, 운영 보안이 더욱 중요해졌음을 보여줍니다.
✅ 암호화폐 기업이 반드시 도입해야 할 운영 보안 조치
- 에어갭(Air-gapped) 서명 시스템 도입
- 인터넷이 연결되지 않은 독립적인 하드웨어에서 트랜잭션을 서명해야 합니다.
- 다중 계층 검증 시스템 구축
- 중요한 트랜잭션은 물리적으로 분리된 여러 검증 단계를 거쳐야 합니다.
- 최신 보안 솔루션 도입
- EDR(Endpoint Detection & Response) 솔루션(CrowdStrike, SentinelOne 등)을 활용하여 공격 징후 탐지
- 정기적인 보안 교육 및 침해 대응 훈련
- 직원들에게 소셜 엔지니어링 공격을 인식하고 대응하는 방법을 교육해야 합니다.
- 철저한 인프라 분리
- 트랜잭션 승인용 시스템과 일반 업무용 시스템을 물리적으로 분리해야 합니다.
이러한 조치를 취하지 않는 기업은 향후 동일한 유형의 공격에 노출될 위험이 높습니다.
5. 암호화폐 보안의 패러다임 전환이 필요하다
Bybit 해킹 사건은 단순한 기술적 보안이 아니라 운영 보안의 허점을 노린 공격이 더욱 위협적임을 보여줍니다.
🔴 "코드가 안전하면 거래소도 안전하다"는 생각은 더 이상 통하지 않습니다.
🔴 운영 보안이 취약하면, 아무리 안전한 코드도 무용지물이 될 수 있습니다.
암호화폐 기업들은 이제 운영 보안 강화를 최우선 과제로 삼아야 하며, 공격자가 조직 내부로 침투하는 것을 원천 차단할 방법을 고민해야 합니다.
💡 앞으로 필요한 변화
✅ 암호화폐 기업들은 보안 프로토콜을 전면 개편해야 합니다.
✅ 전통적인 금융기관 수준의 보안 프로세스를 도입해야 합니다.
✅ 운영 보안에 대한 지속적인 투자와 보안 교육이 필수적입니다.
Bybit 해킹 사건은 암호화폐 보안의 새로운 시대가 도래했음을 알리는 경고입니다.
이제 암호화폐 업계가 보다 강력한 운영 보안 체계를 구축하지 않는다면, 이와 같은 대규모 해킹은 반복될 것입니다.
The $1.5B Bybit Hack: The Era of Operational Security Failures Has Arrived - The Trail of Bits Blog
Two weeks ago at the DeFi Security Summit, Trail of Bits’ Josselin Feist (@Montyly) was asked if we’d see a billion-dollar exploit in 2025. His response: “If it happens, it won’t be a smart contract, it’ll be an operational security issue.” Tod
blog.trailofbits.com
