북한 라자루스 연계 의심 공격에 비트리필 침해…구매 기록 1만8500건 노출

2026년 3월 18일 21:46:40 | 민태윤 기자

스웨덴 기반 암호화폐 전자상거래 플랫폼 비트리필이 북한 해킹 조직 ‘라자루스’ 연계로 추정되는 사이버 공격을 받아 자금 유출과 일부 고객 데이터 노출이 발생했다.

이번 사건은 3월 1일(현지시각) 발생했으며, 비트리필은 18일 공격 경위를 담은 사후 보고서를 공개했다. 공격은 직원 노트북이 침해되면서 시작됐고, 내부 계정 자격증명이 탈취되며 시스템 전반으로 확산됐다.

1만8500건 구매 기록 유출…핫월렛 자금도 탈취

비트리필에 따르면 공격 방식은 과거 북한 해킹 조직 ‘라자루스’ 및 ‘블루노로프’의 패턴과 유사한 특징을 보였다. 공격자는 탈취한 자격증명을 통해 생산 환경 접근 권한을 획득했고, 데이터베이스와 지갑 시스템까지 침투했다.

이상 징후는 ‘비정상적인 구매 패턴’에서 처음 포착됐다. 조사 결과 기프트카드 재고가 악용됐고, 일부 핫월렛 자금이 공격자 지갑으로 이동한 사실이 확인됐다.

고객 정보와 관련해 비트리필은 전체 데이터베이스가 유출된 정황은 없다고 밝혔다. 다만 약 1만8500건의 구매 기록이 노출됐으며, 여기에는 이메일 주소, 암호화폐 결제 주소, IP 등 메타데이터가 포함됐다.

약 1000건의 구매에서는 상품 배송을 위해 고객 이름이 입력됐으며 해당 정보는 암호화돼 있었지만, 공격자가 암호화 키에 접근했을 가능성도 배제할 수 없는 상태다.

보안 전면 강화…외부 전문가·수사기관 협력

비트리필은 사건 이후 보안 체계를 대폭 강화하고 있다. 외부 전문가를 통한 침투 테스트와 보안 점검을 진행 중이며, 접근 권한 관리와 모니터링 시스템도 개선하고 있다.

또한 사고 대응 프로토콜과 자동 차단 시스템을 고도화하는 한편, 온체인 분석가와 보안팀, 사법당국과 협력해 공격 경로와 자금 흐름을 추적하고 있다.

현재 서비스는 정상화 단계에 접어든 상태다. 결제 처리와 재고 운영, 계정 기능은 점차 안정되고 있으며, 회사 측은 “운영 자금으로 손실을 충분히 흡수할 수 있는 상태”라고 밝혔다.

이번 사건은 암호화폐 업계에서 지속적으로 제기되는 ‘내부 단말 보안’ 리스크를 다시 부각시키고 있다. 특히 국가 단위 해킹 조직의 정교한 공격이 이어지는 만큼, 플랫폼 전반의 보안 체계뿐 아니라 개인 단말 관리의 중요성도 커지고 있다는 분석이다.

기사요약 by TokenPost.ai

🔎 시장 해석

이번 비트리필 해킹은 단순 외부 침입이 아니라 내부 단말(직원 노트북)에서 시작된 ‘자격증명 탈취형 공격’으로, 암호화폐 기업의 구조적 취약점이 다시 드러난 사례다. 특히 라자루스 계열로 추정되는 정교한 공격은 플랫폼 보안보다 ‘사람-단말’이 더 큰 리스크가 될 수 있음을 보여준다.

💡 전략 포인트

거래소·결제 플랫폼 이용자는 2FA, 로그인 알림, 고유 이메일 사용 등 개인 보안 강화를 병행해야 한다.

기업 입장에서는 내부 계정 권한 최소화, 하드웨어 기반 인증, 실시간 이상 탐지 시스템이 필수다.

핫월렛 운용 비중을 줄이고 콜드월렛 분리 전략 강화 필요성이 재확인됐다.

📘 용어정리

핫월렛: 인터넷에 연결된 상태에서 운영되는 지갑으로, 사용 편의성은 높지만 해킹 위험이 상대적으로 큼.

자격증명 탈취: 로그인 ID, 비밀번호, 인증 토큰 등을 빼앗아 정상 사용자처럼 시스템에 접근하는 공격 방식.

라자루스: 북한과 연계된 것으로 알려진 대표적인 사이버 해킹 조직으로, 암호화폐 탈취 공격에 적극 관여.