작성자: Frank, PANews
2025년 2월 21일, 암호화폐 거래소 바이비트(Bybit)가 역사적인 해킹 공격을 당했고, 14억 6천만 달러 규모의 자산이 북한 해커 조직 라자루스에 의해 도난당했습니다. 자산 회수도 중요하지만, 공격 경로를 파악하여 새로운 공격 사건을 방지하는 것이 더 중요합니다. 2월 27일, 바이비트는 해커 조사 보고서를 발표했으며, 자금 도난이 Safe 기반 인프라의 취약점으로 인해 발생했다고 조사했습니다. 그러나 Safe는 이 지적에 동의하지 않는 것 같습니다. Safe는 개발자 계정이 침해되었음을 인정했지만, 주된 원인을 북한 해커의 정교한 기술과 바이비트의 운영 실수로 돌렸습니다. 누구의 책임이 더 큰지에 대한 논쟁이 벌어지면서, 기반 인프라에 대한 신뢰, 보안 패러다임, 그리고 인간의 역학에 대한 업계 내부의 큰 논쟁이 촉발되었습니다.
공격은 Safe{Wallet} 프론트엔드 클라우드 서비스 공격에서 시작
바이비트가 발표한 두 건의 조사 보고서(바이비트 사건 초기 보고서와 바이비트 임시 조사 보고서)에 따르면, Safe{Wallet} 리소스에 대한 추가 분석에서 2025년 2월 19일에 촬영된 두 개의 JavaScript 리소스 스냅샷이 발견되었습니다. 이 스냅샷을 검토한 결과, 첫 번째 스냅샷에는 원래의 합법적인 Safe{Wallet} 코드가 포함되어 있었지만, 두 번째 스냅샷에는 악성 JavaScript 코드가 포함된 리소스가 있었습니다. 이는 악성 거래를 생성하는 악성 코드가 Safe{Wallet}의 AWS 인프라에서 직접 유래했음을 나타냅니다.
보고서의 결론은 다음과 같습니다: 바이비트의 서명자 기계에 대한 조사 결과와 Wayback Archive에서 발견된 악성 JavaScript 페이로드 캐시를 바탕으로, Safe.Global의 AWS S3 또는 CloudFront 계정/API 키가 유출되었을 가능성이 매우 높습니다.
간단히 요약하면, 이번 공격 사건의 최초 출처는 해커가 Safe{Wallet} 개발자의 장치를 공격하여 AWS S3 저장소의 프론트엔드 JavaScript 파일을 조작하고 바이비트 콜드 지갑 주소를 대상으로 하는 악성 코드를 삽입한 것입니다. 이전에 Safe는 코드 취약점과 악성 종속성(공급망 공격)이 없다는 간단한 조사 보고서를 발표했었지만, 이번 조사 결과는 Safe의 이전 조사 결과를 뒤집는 것 같습니다.
Safe의 회피성 성명으로 더 많은 의문이 제기
바이비트는 현재까지 Safe가 이번 사건에서 어떤 책임을 져야 하는지 표명하지 않았지만, 소셜 미디어에서는 보고서 발표 후 Safe의 보안 취약점 문제가 활발히 논의되고 있으며, 일부 의견에서는 Safe가 책임을 지고 배상해야 한다고 주장하고 있습니다.
Safe 측의 이 보고서에 대한 태도는 명백히 인정하지 않는 것 같습니다. 공식 성명에서 Safe는 책임을 세 가지 수준으로 구분했습니다: 기술적으로는 스마트 계약이 공격받지 않았고 제품의 안전성을 강조했습니다. 운영 측면에서는 개발자 장치 침해로 인한 AWS 키 유출을 인정했지만, 이를 북한 해커 조직의 국가 수준 공격 탓으로 돌렸습니다. 사용자 측면에서는 "거래 서명 시 주의를 기울일 것"을 제안하며, 바이비트가 거래 데이터를 충분히 검증하지 않았음을 암시했습니다.
그러나 이러한 대응은 핵심을 회피하는 것 같습니다. 보고서에 따르면 Safe에는 다음과 같은 책임 소재가 있습니다:
1. 권한 관리 실패: 공격자가 개발자 장치를 침해하여 AWS 권한을 얻었다는 것은 Safe 팀이 최소 권한 원칙을 실행하지 않았음을 보여줍니다. 예를 들어, 개발자 한 명이 바로 운영 환경 코드를 수정할 수 있었고, 코드 변경 모니터링 메커니즘도 없었습니다.
2. 프론트엔드 보안 태만: SRI(부분 리소스 무결성 검증) 등 기본적인 보호 조치를 취하지 않았습니다.
3. 공급망 의존성 위험: 공격 경로(개발자 장치 → AWS → 프론트엔드 코드)는 Safe가 중앙화된 클라우드 서비스에 과도하게 의존하고 있어 블록체인의 탈중앙화 보안 이념과 충돌한다는 것을 보여줍니다.
또한 업계에서는 Safe의 성명에 대해 많은 의문을 제기하고 있습니다. 바이낸스 창립자 CZ는 5가지 기술적 의문(개발자 장치 침해 방식, 권한 관리 실패 원인 등)을 연이어 제기하며 Safe 성명의 정보 투명성을 직접 지적했습니다. Safe가 공격 경로 세부 사항을 공개하지 않아 업계가 대응할 수 없다는 것입니다.
토큰 가격 이상 상승, 일일 활성 사용자 70% 감소
커뮤니티의 또 다른 큰 논란은 Safe가 바이비트의 이번 사건 손실을 배상해야 하는지 여부입니다. 일부 사용자는 Safe의 기반 인프라 취약점으로 인해 공격이 발생했으므로 Safe가 배상 책임이 있다고 생각합니다. 더 나아가 Safe의 전신인 Gnosis도 연대 책임을 져야 한다는 의견도 있습니다. Safe는 2017년 Gnosis 팀이 개발한 다중 서명 프로토콜 Gnosis Safe에서 2022년 독립 운영되었고, Gnosis는 2017년 25만 ETH의 ICO 자금을 모금했으며 현재 15만 ETH의 재무 자산을 보유하고 있는 ETH 고래입니다.
그러나 일부는 이번 사건의 주된 책임은 바이비트 자체에 있다고 생각합니다. 수십억 달러 규모의 콜드 지갑을 관리하면서도 자체 보안 인프라 개발에 투자하지 않은 바이비트의 과실이 크다는 것입니다. 또한 바이비트가 Safe 서비스를 무료로 사용했기 때문에 Safe에게 배상 의무가 없다는 주장도 있습니다.
조사 보고서 공개 후 바이비트는 Safe에게 재정적 보상을 요구하지 않았습니다.
업계가 책임 소재를 두고 논쟁하는 동안 자본 시장에서는 기이한 일이 벌어졌습니다. Safe의 공식 토큰 가격이 이번 사건으로 인해 특별한 관심을 받은 것 같습니다. 2월 27일 SAFE 토큰은 0.44달러에서 0.69달러로 10시간 만에 약 58% 급등했습니다. 그러나 투자 논리 측면에서 이 사건은 Safe의 브랜드에 주로 부정적인 영향을 미쳤을 것이며, 가격 상승은 단기적인 시장 심리일 가능성이 높습니다.
2월 27일 데이터에 따르면 Safe의 총 관리 자산이 1000억 달러를 넘었지만, 취약점 세부 사항에 대한 침묵으로 인해 업계 기반 인프라로서의 신뢰가 흔들리고 있습니다.
일일 활성 사용자 데이터를 보면 Safe가 이번 사건으로 상당한 타격을 받은 것을 확실히 알 수 있습니다. 2월 12일 1,200개의 일일 활성 주소 수가 2월 27일에는 379개로 약 70% 감소했습니다.
또한 프론트엔드의 중앙화 위험이 드러난 후, 커뮤니티는 프론트엔드 보안 메커니즘에 다시 주목하고 있습니다. ICP 창립자 Dominic Williams는 최근 북한 해커 조직이 Safe{Wallet}의 웹 인터페이스 취약점을 이용해 바이비트에서 15억 달러를 훼손했다고 지적했습니다. 그는 일부 Web3 프로젝트가 "가짜 온체인"(fake onchain)에서만 작동하여 보안 위험이 있다고 비판하며, Safe{Wallet}을 ICP(Internet Computer)로 마이그레이션하고 암호화 인증 및 다중 합의 거버넌스(SNS DAO 등)를 도입하여 보안을 강화할 것을 제안했습니다.
전체 사건을 돌이켜보면, 북한 해커의 정교한 계획에 의한 고립된 사건으로 보이지만, 그 이면에는 Safe의 다중 서명 지갑에 존재하는 권한 설계, 공급망 등의 보안 취약점이 드러났습니다. 브랜드 발전 관점에서 볼 때, 안전 신화를 의도적으로 유지하려는 태도는
