바이빗 보안 조사 결과 발표: SAFE 프론트엔드 클라우드 서비스 공격 당해, 수천조 원 자산을 보유한 멀티시그 지갑의 보안은 어떻게 확보할 것인가
TechFlow 선정TechFlow 추천
바이빗 보안 조사 결과 발표: SAFE 프론트엔드 클라우드 서비스 공격 당해, 수천조 원 자산을 보유한 멀티시그 지갑의 보안은 어떻게 확보할 것인가
2월 27일, 바이비트는 해킹 디지털 포렌식 보고서를 발표하며 자금 유출 원인이 Safe 인프라의 취약점 때문이라고 지적했다. 그러나 Safe 측은 이러한 주장에 동의하지 않는 것으로 보인다.
Web3 심층 보도에 집중하고 흐름을 통찰저자: Frank, PANews
2025년 2월 21일, 암호화폐 거래소 바이비트(Bybit)가 북한 해커 그룹 라자루스(Lazarus)에 의해 14억 6천만 달러 상당의 자산을 탈취당하는 유례없는 해킹 공격을 당했다. 자산 회수 외에도 공격 경로를 명확히 규명하여 새로운 공격을 방지하는 것이 더욱 중요하다. 2월 27일 바이비트는 해킹 조사 보고서를 발표하며, 자금 유출의 원인이 Safe 인프라의 취약점 때문이라고 지적했다. 그러나 Safe 측은 이 주장에 동의하지 않는 모습이다. 성명을 통해 개발자 장비의 침해는 인정했지만, 주요 원인은 북한 해커의 정교한 수법과 바이비트의 운영 실수 때문이라고 주장했다. 누가 더 큰 책임이 있는지에 대한 논의 속에서 ‘라쇼몬’ 식 해석이 난무하며, 인프라 신뢰성, 보안 패러다임, 인간 심리 간의 복잡한 갈등을 둘러싼 업계 내 논쟁이 촉발되었다.
공격은 Safe{Wallet} 프론트엔드 클라우드 서비스 침투에서 비롯됨
바이비트가 발표한 두 건의 조사 보고서(바이비트 사건 초기 보고서 및 임시 조사 보고서)에 따르면, Safe{Wallet} 리소스에 대한 추가 분석을 통해 2025년 2월 19일에 캡처된 두 개의 JavaScript 리소스 스냅샷을 확인했다. 이 스냅샷 분석 결과, 첫 번째 스냅샷에는 원본의 정상적인 Safe{Wallet} 코드가 포함되어 있었으나, 두 번째 스냅샷에는 악성 JavaScript 코드가 삽입된 리소스가 있었다. 이는 악성 트랜잭션 생성 코드가 Safe{Wallet}의 AWS 인프라로부터 직접 유출되었음을 시사한다.
보고서의 결론은 다음과 같다. 바이비트의 서명 기기 조사 결과와 Wayback Archive에서 발견된 캐시된 악성 JavaScript 페이로드를 종합하면, Safe.Global의 AWS S3 또는 CloudFront 계정/API 키가 유출되었을 가능성이 매우 높다.
간단히 요약하면, 이번 공격의 발단은 해커가 Safe{Wallet} 개발자의 장비를 공격해 AWS S3 버킷 내 프론트엔드 JavaScript 파일을 변조하고, 바이비트 냉각 지갑 주소를 겨냥한 악성 코드를 삽입한 것이다. 이전에 Safe는 간략한 조사 보고서를 발표하며 코드 자체의 취약점이나 악성 의존성(즉, 공급망 공격)은 발견되지 않았다고 밝혔으며, 이후 전면 재검토를 실시하고 Safe{Wallet} 기능을 일시 중단했다. 이번 조사 결과는 Safe의 기존 주장과 배치되는 것으로 보인다.
Safe의 책임 회피 성명, 오히려 의혹 증폭
현재까지 바이비트는 이번 사건에서 Safe가 어느 정도 책임을 져야 하는지에 대해 공식 입장을 밝히지 않았으나, 보고서 발표 후 소셜 미디어에서는 Safe의 보안 취약점 문제를 두고 활발한 논의가 이루어졌으며, 일부에서는 Safe가 책임을 지고 배상해야 한다는 목소리도 나왔다.
Safe 공식 입장은 해당 보고서에 대해 명백히 반박하는 태도를 보였다. 공식 성명에서 Safe는 책임을 세 가지 차원으로 분리했다. 기술적 측면에서는 스마트 계약이 공격받지 않았으며 제품 자체의 보안성을 강조했다. 운영 측면에서는 개발자 장비 침해로 인한 AWS 키 유출은 인정하되, 이를 북한 해커 조직의 국가 차원 공격 탓으로 돌렸다. 사용자 측면에서는 “트랜잭션 서명 시 경계를 늦추지 말 것”을 권고하며, 바이비트가 거래 데이터를 충분히 검증하지 않았음을 암시했다.
그러나 이러한 대응은 핵심 책임을 회피했다는 비판을 받는다. 보고서에 따른 공격 절차를 살펴보면, Safe는 다음의 여러 가지 면에서 관리 소홀이 있었다.
1. 권한 통제 실패: 공격자가 개발자 장비를 침입해 AWS 접근 권한을 확보한 것은, Safe 팀이 최소 권한 원칙을 제대로 적용하지 않았음을 드러낸다. 예를 들어, 단 한 명의 개발자가 프로덕션 환경 코드를 직접 수정할 수 있었으며, 코드 변경에 대한 모니터링 메커니즘도 존재하지 않았다.
2. 프론트엔드 보안 소홀: SRI(서브리소스 무결성 검증) 등 기본적인 보호 조치를 도입하지 않았다.
3. 공급망 의존 위험: 공격 경로(개발자 장비 → AWS → 프론트엔드 코드)는 Safe가 중앙집중형 클라우드 서비스에 과도하게 의존하고 있음을 보여주며, 이는 블록체인의 탈중앙화 보안 이념과 정면으로 충돌한다.
또한 업계 내에서도 Safe의 성명에 대한 의문이 계속 제기되고 있다. 바이낸스 창립자 CZ는 개발자 장비 침해 방식, 권한 통제 실패의 구체적 원인 등 5개의 기술적 질문을 연이어 제기하며, Safe 성명의 정보 비공개 문제를 직격했다. Safe가 공격 사슬의 세부 내용을 공개하지 않아 업계 전체가 유사한 공격에 대비하기 어렵게 되었다.
토큰 이상 급등, 일일 활성 사용자 수 70% 가까이 감소
커뮤니티 내 또 다른 논란은 Safe가 이번 사건으로 인한 바이비트의 손실을 배상해야 하는지 여부다. 일부 사용자는 공격이 Safe 인프라의 결함에서 비롯된 만큼, Safe가 책임을 지고 배상해야 한다고 주장한다. 더 나아가, Safe의 전신인 Gnosis가 공동 책임을 지고 손실을 보상해야 한다는 제안도 나왔다. Safe는 원래 2017년 Gnosis 팀이 개발한 다중 서명 프로토콜인 Gnosis Safe로서 시작되었으며, 2022년 Gnosis 생태계에서 독립해 별도 운영되고 있다. Gnosis는 2017년 25만 ETH 규모의 ICO로 자금을 조달했으며, 현재 재무 자산으로 15만 ETH를 보유하고 있어 ETH 웨일(대규모 보유자)로 분류된다.
그러나 이번 사건의 주요 책임은 결국 바이비트 자신에게 있다는 의견도 있다. 수십억 달러 규모의 자산을 관리하는 냉각 지갑을 운용한다면, 자체적으로 보안 인프라를 연구·개발할 책임이 있다고 보는 것이다. 또한 바이비트는 무료로 제공되는 Safe 서비스를 사용했으며, 구독료를 지불하지 않았기 때문에 Safe는 법적 책임을 질 의무가 없다는 주장도 있다.
한편, 당사자인 바이비트는 조사 보고서 발표 후 Safe에 재정적 보상을 요구하지는 않았다.
업계가 책임 소재를 두고 논쟁을 벌이는 사이, 자본 시장에서는 어이없는 장면이 펼쳐졌다. Safe의 공식 토큰은 이번 사건으로 오히려 주목받으며, 2월 27일 SAFE 토큰은 0.44달러에서 0.69달러로 반등했고, 10시간 만에 최대 58% 상승했다. 그러나 투자 논리 측면에서 본다면, 이번 사건은 Safe 브랜드에 부정적 영향을 미쳤으며, 상승세는 단기적인 시장 심리에 불과할 가능성이 크다.
2월 27일 기준 데이터에 따르면, Safe가 관리하는 총 자산은 1,000억 달러를 초과한다. 그러나 취약점 세부 정보를 공개하지 않은 채 침묵을 지키는 태도는, Safe가 업계 인프라로서 갖춰야 할 신뢰성을 훼손하고 있다.
일일 활성 사용자 수(DAU) 데이터에서도 이번 사건 이후 Safe가 상당한 타격을 입었음을 알 수 있다. 2월 12일 1,200개였던 일일 활성 주소 수가 2월 27일에는 379개로 줄어들며, 거의 70% 가까이 감소했다.
또한 프론트엔드의 중앙집중화 리스크가 노출된 이후, 커뮤니티는 다시 한번 프론트엔드 보안 메커니즘에 주목했다. ICP 창립자 도미닉 윌리엄스(Dominic Williams)는 최근 북한 해커 조직이 바이비트로부터 15억 달러를 성공적으로 탈취한 것은 주로 Safe{Wallet}의 웹 기반 인터페이스 취약점을 이용한 것이라며, 이 인터페이스는 스마트 계약이 아닌 클라우드에 호스팅되어 있다고 지적했다. 윌리엄스는 일부 Web3 프로젝트들이 '가짜 온체인(fake onchain)'에서만 작동하고 있어 보안 위험이 크다고 비판하며, ICP(Internet Computer)를 활용해 체인 상에서 컴퓨팅, 데이터 저장, 사용자 경험 검증을 수행할 것을 제안했다. 그는 Safe{Wallet}이 ICP로 마이그레이션하고, 암호화 인증 메커니즘과 다자간 합의 거버넌스(SNS DAO 등)를 도입해 보안성을 강화할 것을 권고했다.
이번 사건 전후를 되짚어보면, 일견 북한 해커의 정교한 음모처럼 보이지만, 여전히 Safe의 다중 서명 지갑이 갖고 있는 권한 설계 및 공급망 측면의 보안 취약점을 적나라하게 드러냈다. 브랜드 발전 측면에서 보면, 보안에 대한 신화를 유지하려는 욕심에 책임을 회피하려는 태도는 오히려 역효과를 낳았고, 여론의 추가적인 의심을 샀다. 아마도 Safe가 실수를 시인하고 이에 맞는 구체적인 조치를 내놓는 것이야말로 암호화 보안 분야의 선두 기업다운 자세를 보여주는 길일 것이다. 동시에 조속히 취약점 세부 정보를 공개함으로써 업계가 유사한 결함을 스스로 점검하고 방어할 수 있도록 지원하는 것도 중요하다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
PANews
