바이비트서 해킹 사건 발생, 역대 최대 규모
해킹 범인으로 북한 '라자루스 그룹' 지목
콜드월렛·멀티시그도 뚫어 '충격'

주말 사이 역대 최대 규모의 해킹 사고가 발생한 가상자산 거래소 바이비트에서 5조원이 넘는 뱅크런(대규모 인출 사태)이 발생했다. 반복되는 가상자산 거래소 해킹은 중앙화된 거래소의 취약함을 드러낸 동시에 가상자산 투자자들에게 경각심을 일깨우고 있다.

해킹 공격 받은 바이비트, 15억 달러 규모

26일 가상자산업계에 따르면 바이비트에서 지난 21일(현지시간) 15억 달러(약 2조1,570억원)를 탈취하는 해킹 사건이 발생했다. 벤 저우 바이비트 최고경영자는 “해커가 바이비트의 지갑 중 하나를 공격했다”며 “이더리움(ETH) 및 다른 ERC-20(이더리움 토큰 발행 표준) 계열 암호화폐를 탈취당했다”고 밝혔다.

이번 해킹은 역대 최대 규모의 가상자산 탈취 사건으로, 2014년 마운트곡스(4억7,000만 달러), 2021년 폴리 네트워크(6억1,100만 달러) 사건을 훨씬 넘어선다. 중앙화 가상자산 거래소의 해킹 사건은 상당히 빈번하게 발생한다. 지난해에는 DMM비트코인이 3억 달러, 2018년에는 코인체크에서 3,400만 달러 등이 해킹 당했으며 국내에서는 2019년 업비트, 2017년 빗썸이 해킹 사고를 당했다.

두바이에 본사를 둔 바이비트는 수탁규모로 세계 2위까지 기록했던 거대 거래소다. 바이비트는 해킹 이전 162억 달러(약 23조1,700억원)의 자산을 보유하고 있었던 것으로 알려졌다. 이 덕에 이용객들의 피해는 없었고 앞서 마운트곡스 사태처럼 거래소가 문을 닫을 일도 없으나, 거래소의 안전성에 불안을 느낀 바이비트 이용자들은 전날 약 40억 달러(약 5조7,500억원)를 거래소에서 인출했다. 바이비트는 이번 사건으로 총 55억 달러(약 7조8,600억원)의 손실을 보게 됐다.

北 라자루스 소행, 자산 이동 중 지갑 공격

이번 해킹은 북한의 해킹그룹 라자루스의 소행으로 추정된다. 라자루스는 이미 여러 번 가상자산 거래소를 해킹한 전력이 있다. 바이비트의 발표에 따르면 해커들은 바이비트의 이더리움 지갑 중 하나를 공격했으며, 이더리움과 ERC-20(이더리움 토큰 발행 표준) 계열 가상자산을 빼앗았다. 또 이들은 바이비트가 사용하는 여러 개의 지갑 중 ‘콜드월렛’에서 ‘웜월렛’으로 거래소 자금을 옮기는 과정에서 이를 공격하고 탈취했다.

가상자산 거래소들은 보안성을 높이기 위한 오프라인 지갑(콜드월렛)과 입출금이 빠른 온라인 지갑(핫월렛)을 함께 사용한다. 콜드월렛은 인터넷에 연결되지 않은 상태에서 가상자산을 보관하기 때문에 온라인 해킹에서 안전하다. 웜월렛은 이 둘의 장점을 결합한 중간 단계의 지갑이다. 통상 거래소들은 이용자들이 맡긴 자산의 약 80%를 상대적으로 보안성이 높은 콜드월렛에 보관하고 나머지는 입출금이 빠른 핫월렛에 담아 두는데, 해커들은 주로 지갑 사이에서 자금이 이동할 때를 노린다.

이와 관련해 블록체인 탐정 잭XBT(ZachXBT)는 "바이비트 해킹 사건을 조사한 결과, 북한 라자루스 그룹의 공격 수법이 과거보다 정교해진 것으로 나타났다"고 밝혔다. 이어 "해킹 그룹은 우선 소셜 엔지니어링을 이용해 한 명의 서명자를 속이고 딜리게이트콜(delegatecall)을 이용해 악성 컨트랙트를 실행, 이후 SSTORE 명령어로 슬롯 0(Slot 0)의 값을 변경한 뒤 바이비트의 멀티시그 월렛 주소를 공격자 주소로 바꿔치기했다"며 "끝으로 공격자는 자금을 탈취해 다른 주소로 전송했다"고 전했다. 즉, 단 한 명의 서명자만 속여도 자금 탈취가 가능했던 셈이다.

거래소 보안 비상, 업비트·빗썸 '긴장 모드'

이번 해킹 사건을 통해 드러난 것은 콜드월렛도 안전하지 않다는 점이다. 일반적으로 네트워크에 연결돼 있지 않은 콜드월렛은 해킹이 불가능한 것으로 알려져 왔다. 또 복수의 서명자가 서명에 참여해야만 열 수 있는 멀티시그도 서명을 속임으로써 해킹할 수 있다는 것을 입증했다.

안심했던 콜드월렛도 핫월렛과 연결되는 순간 해킹될 수 있다는 것이 입증되자 거래소들의 보안에도 비상이 걸렸다. 특히 업비트는 과거 라자루스 그룹에 의해 580억원 규모의 해킹 피해를 입은 바 있어, 고객들 사이에서 불안감이 높아지고 있다. 이에 업비트는 현재 글로벌 수준의 보안 인증을 획득하고 자산 보호를 위한 기술적 조치를 강화하는 등 보안에 만전을 기하고 있다. 또한 투자자 피해 보상을 위한 다양한 정책도 시행 중이다.

반면 빗썸의 경우 해킹 대응 전략이 구체적으로 공개돼 있지 않아 투자자들의 우려를 받고 있다. 전문가들은 이번 사건을 계기로 모든 암호화폐 거래소가 보안 시스템을 재점검하고 강화해야 한다고 조언한다. 특히 멀티시그 서명자의 기기 보안과 서명 프로세스 전반에 대한 보호 조치가 필요하다는 지적이다.