바이비트 해킹 1주년: 15억 달러 ETH 증발과 더 위험해진 북한 위협의 진실

역사상 최대 암호화폐 해킹, 그 후 1년

2025년 2월 21일, 암호화폐 거래소 바이비트(Bybit)에서 약 401,347 ETH — 당시 시가 약 15억 달러(약 2조 원) 상당 — 가 콜드월렛에서 순식간에 빠져나갔습니다. 암호화폐 역사상 단일 사건 최대 규모의 해킹이었습니다. 미국 연방수사국(FBI)은 불과 며칠 만에 이 공격의 배후로 북한 정찰총국 산하 해킹 조직 트레이더트레이터(TraderTraitor), 통칭 **라자루스 그룹(Lazarus Group)**을 공식 지목했습니다. 1년이 지난 2026년 2월, 도난 자금의 대부분은 이미 세탁이 완료되었고, 북한의 암호화폐 위협은 오히려 한층 더 정교하고 위험해졌습니다.

공격의 전말: Safe{Wallet} 공급망 침투

이번 해킹은 단순한 스마트 컨트랙트 취약점 공격이 아니었습니다. 북한 해커들은 바이비트가 사용하던 멀티시그(다중서명) 지갑 솔루션인 **Safe{Wallet}**의 개발자를 표적으로 삼았습니다. 2025년 2월 4일, Safe{Wallet} 소속 macOS 개발자의 워크스테이션이 소셜 엔지니어링을 통해 침해되었고, 공격자들은 해당 개발자의 AWS 세션 토큰을 탈취하여 다중인증(MFA)을 우회했습니다.

핵심은 사용자 인터페이스 조작이었습니다. 해커들은 Safe{Wallet} UI에 악성 자바스크립트 코드를 주입하여, 바이비트 직원들이 콜드월렛에서 웜월렛으로 자산을 이동하는 정상적인 거래를 승인하는 것처럼 보이게 만들었습니다. 실제로 서명된 트랜잭션은 공격자가 통제하는 지갑으로 자금을 전송하는 것이었습니다. 사이버 보안 기업 시그니아(Sygnia)와 NCC 그룹의 기술 분석에 따르면, 이 공격은 "바이비트가 콜드월렛에서 거래를 실행할 때만" 작동하도록 설계된 극도로 정밀한 공격이었습니다.

자금 세탁: 86%가 비트코인으로 전환

해킹 발생 후 48시간 이내에 최소 1억 6,000만 달러가 불법 채널을 통해 유출되었고, 2025년 2월 26일까지 그 규모는 4억 달러를 돌파했습니다. 바이비트 CEO 벤 저우(Ben Zhou)는 2025년 3월 20일, 도난된 ETH의 86.29%가 비트코인(BTC)으로 전환되었다고 밝혔습니다. 이는 비트코인의 UTXO 트랜잭션 모델이 이더리움보다 추적이 어렵기 때문에 취한 전략적 선택으로 분석됩니다.

블록체인 분석 기업 엘립틱(Elliptic)과 체이널리시스(Chainalysis)에 따르면, 북한 해커들은 토네이도 캐시(Tornado Cash) 등 믹싱 프로토콜, 탈중앙화 거래소(DEX), 크로스체인 브릿지, 중국어권 장외거래(OTC) 브로커를 복합적으로 활용하여 자금 흐름을 은폐했습니다. 2025년 3월 12일에는 400 ETH가 토네이도 캐시로 전송된 사실이 블록체인 보안 기업 써틱(Certik)에 의해 포착되기도 했습니다. 체이널리시스의 2026년 보고서는 북한의 자금 세탁 주기가 대형 해킹 후 평균 45일임을 밝혔으며, 중국어권 자금 이동 서비스에 대한 의존도가 다른 범죄 집단 대비 355~1,000% 높다고 분석했습니다.

회수 실적은 실망스러운 수준입니다. 체이널리시스가 업계 협력을 통해 동결한 자금은 약 4,000만 달러 — 전체 도난액의 2.7%에 불과했습니다.

북한의 암호화폐 위협: 숫자로 보는 현실

바이비트 해킹은 단독 사건이 아닙니다. 체이널리시스의 2026년 보고서에 따르면, 2025년 전 세계 암호화폐 해킹 피해 총액은 34억 달러였으며, 이 중 북한 연계 해커가 탈취한 금액은 20억 2,000만 달러로 전년 대비 51% 증가했습니다. 북한의 누적 암호화폐 탈취 규모는 67억 5,000만 달러에 이릅니다.

더 주목해야 할 점은 효율성의 변화입니다. 북한은 공격 건수를 74% 줄이면서도 사상 최대의 피해액을 기록했습니다. 건당 피해 규모가 기하급수적으로 커지고 있다는 의미입니다. 2025년 상위 3건의 해킹이 전체 서비스 침해 피해액의 **69%**를 차지했고, 최대 해킹과 중간값의 비율이 사상 처음으로 1,000배를 초과했습니다.

38노스(38 North)의 2026년 1월 보고서는 북한을 **"세계 최초의 불량 암호화폐 초강대국(rogue crypto-superpower)"**이라 표현하며, 누적 탈취 비트코인 보유량 기준으로 미국과 중국에 이어 세계 3위 수준의 국가급 비트코인 보유자일 수 있다고 분석했습니다.

2026년, 진화하는 위협: 직접 프로젝트를 만든다

1년이 지난 2026년, 북한의 위협은 근본적으로 달라졌습니다. 엘립틱의 2026년 2월 보고서에 따르면, 2026년 1월의 암호화폐 공격 건수는 전년 동월 대비 2배에 달했습니다.

가장 충격적인 변화는 자체 암호화폐 프로젝트 구축입니다. 2026년 1월 1일, 비텐서(Bittensor/TAO) 네트워크에서 출시된 트레이딩 프로토콜 **테넥시움(Tenexium)**은 북한 IT 인력이 프로젝트 리더로 위장하여 처음부터 기획한 것으로 추정됩니다. 해당 프로젝트는 유동성을 확보한 뒤 웹사이트가 갑자기 다운되면서 250만 달러가 비정상적으로 인출되었습니다. 엘립틱은 "기존 프로젝트에 침투하는 것을 넘어, 처음부터 프로젝트를 만드는 방식으로 진화하고 있다"고 경고했습니다.

동시에 **데인저러스패스워드(DangerousPassword)**와 컨테이저스인터뷰(Contagious Interview) 두 가지 소셜 엔지니어링 캠페인이 활발하게 진행 중입니다. 전자는 소셜 미디어 계정을 해킹하고 화상 통화 중 가짜 소프트웨어 오류를 유도하여 악성코드를 설치하는 방식이고, 후자는 가짜 취업 기회를 미끼로 악성코드가 포함된 코딩 테스트를 보내는 수법입니다. 2026년 1월 1일부터 2월 20일까지 이 두 캠페인을 통해 탈취된 금액만 3,750만 달러에 달합니다.

지정학적 맥락: 핵 프로그램의 그림자

이 모든 것은 단순한 사이버 범죄를 넘어 국가 안보 문제입니다. 2024년 바이든 행정부 관계자는 북한 외화 수입의 약 50%가 사이버 범죄에서 나온다고 경고했으며, 유엔 보고서 역시 북한의 대량살상무기(WMD) 개발이 사이버 작전 수익에 상당 부분 의존하고 있음을 문서화했습니다. CNN은 "북한 미사일 프로그램의 절반이 사이버 공격과 암호화폐 탈취로 자금을 조달한다"는 백악관 발표를 보도한 바 있습니다.

미국 재무부는 2025~2026년에 걸쳐 북한 자금 세탁에 관여한 은행가와 위장 기업에 대한 제재를 강화했습니다. 그러나 탈중앙화 금융의 특성상, 규제 사각지대를 이용한 세탁은 여전히 효과적으로 이루어지고 있습니다.

업계 대응과 규제 변화

바이비트 사건은 암호화폐 업계의 커스터디(수탁) 보안 패러다임을 근본적으로 바꾸었습니다. CSIS 분석에 따르면, 주요 거래소들은 기존 스마트 컨트랙트 기반 멀티시그에서 MPC(다자간 연산) 기술로 빠르게 전환하고 있습니다. MPC는 암호키 파편을 여러 당사자에게 분산하여 단일 서명자의 침해가 전체 자산을 위험에 빠뜨리지 않도록 합니다.

FBI의 인터넷 범죄 신고 센터(IC3)는 RPC 노드 운영자, 거래소, 브릿지, 블록체인 분석 기업, DeFi 서비스 등 민간 부문에 트레이더트레이터 관련 주소의 거래를 차단할 것을 공식 권고했습니다. 그러나 법률 사무소 폴 헤이스팅스(Paul Hastings)의 분석이 지적하듯, 대부분의 국가에서 암호화폐 환경은 여전히 규제가 미비한 상태이며, 탈중앙화 거래소는 의심 거래로 발생하는 수수료 수입을 포기할 경제적 인센티브가 부족합니다.

트럼프 행정부가 미국을 "암호화폐의 수도"로 만들겠다는 행정명령과 전략적 비트코인 비축 계획을 추진하는 가운데, CSIS는 "보안 우려가 투자 확대를 지연시킬 수 있다"고 경고하며, "암호화폐의 단점을 규제함으로써 투자자가 장점을 누릴 수 있도록 하는 것이 신뢰를 높이는 최선의 방법"이라고 분석했습니다.

전망: 2026년을 대비하는 자세

북한의 암호화폐 위협은 줄어들 기미가 없습니다. 오히려 공격의 정교함과 규모는 매년 확대되고 있으며, 자체 프로젝트 구축이라는 새로운 전술까지 등장했습니다. 38노스는 북한이 "2,000대 이상의 컴퓨터와 그래픽 카드를 구매"하여 해커 양성 파이프라인을 확장하고 있다는 정보를 전했습니다.

투자자와 업계 관계자에게 핵심 시사점은 명확합니다. 기술적 보안만으로는 충분하지 않습니다. 바이비트 해킹이 증명했듯, 가장 정교한 콜드월렛 시스템도 인간의 실수와 공급망 취약점 앞에서는 무력할 수 있습니다. MPC 도입, AI 기반 실시간 트랜잭션 모니터링, 대규모 이체 시 시간 지연 메커니즘(time-lock) 적용, 그리고 무엇보다 소셜 엔지니어링에 대한 조직적 경계가 2026년의 필수 보안 과제입니다. 바이비트 해킹 1주년은 단순한 회고가 아닌, 아직 끝나지 않은 — 어쩌면 더 치열해진 — 전쟁의 중간 보고서입니다.