비트리필 해킹에 라자루스 연루 정황…직원 노트북서 지갑까지 뚫렸다

비트코인(BTC) 결제 플랫폼 비트리필(Bitrefill)이 해킹 공격으로 암호화폐 자산이 유출된 가운데, 배후로 북한 연계 해커 조직 ‘라자루스 그룹’이 지목됐다. 공격 수법과 흔적이 기존 사례와 일치한다는 분석이다.

비트리필은 3월 1일 발생한 사이버 공격 조사 결과, 라자루스/블루노로프 조직과 연관된 다수의 ‘공격 패턴’을 확인했다고 밝혔다. 악성코드 유형, 온체인 추적 방식, IP 및 이메일 재사용 등에서 기존 공격과 높은 유사성이 나타났다는 설명이다.

비트리필 해킹 경로 드러나

회사에 따르면 이번 침해는 직원 노트북이 먼저 손상되면서 시작됐다. 해당 기기에서 과거 인증 정보가 탈취됐고, 이를 통해 운영 비밀 정보가 담긴 스냅샷에 접근이 이뤄졌다.

이후 공격자는 시스템 내부 접근 권한을 확장해 데이터베이스 일부와 암호화폐 지갑에까지 도달했다. 동시에 기프트카드 재고와 공급 흐름이 비정상적으로 활용되는 ‘이상 거래 패턴’이 포착되면서 공격이 처음 감지됐다.

비트리필은 일부 핫월렛에서 자금이 빠져나와 공격자 주소로 이동한 사실도 확인했다. 침해가 확인되자 즉시 전체 시스템을 중단해 추가 피해를 막았다.

회사 측은 사고 이후 외부 보안 전문가, 블록체인 분석가, 수사 기관과 협력해 대응에 나섰다고 밝혔다.

고객 데이터가 주요 타깃은 아니었던 것으로 보인다. 로그 분석 결과 공격자는 제한적인 데이터베이스 조회만 수행했으며, 이는 정보 탈취 가능성을 탐색하는 수준이었다.

다만 약 1만8,500건의 구매 기록에는 접근이 이뤄졌다. 여기에는 이메일, 암호화폐 결제 주소, IP 정보가 포함된다. 일부 고객 이름 정보는 암호화돼 있었지만, 키 노출 가능성을 고려해 잠재적 유출로 간주됐다. 해당 이용자 약 1,000명에게는 별도 통보가 진행됐다.

비트리필은 현재로선 이용자가 취해야 할 즉각적인 조치는 없다고 밝혔지만, 암호화폐 관련 ‘의심스러운 메시지’에 대한 주의를 당부했다.

또한 보안 강화를 위해 접근 권한 통제, 모니터링 시스템 개선, 침투 테스트 확대 등 조치를 시행했으며, 피해 금액은 자체 운영 자금으로 충당할 계획이다.

라자루스, 크립토 업계 최대 위협

암호화폐 업계 전반의 보안 수준이 강화되고 있음에도 라자루스 그룹의 위협은 여전히 지속되고 있다. 이들은 2025년 2월 바이비트(Bybit)에서 약 14억 달러(약 2조1,070억 원)를 탈취하며 사상 최대 규모 해킹 기록을 세운 바 있다.

온체인 분석가 잭XBT(ZachXBT)는 바이비트, DMM 비트코인, 와지르엑스(WazirX) 등 주요 사건에서 탈취 자금 세탁이 비교적 쉽게 이뤄졌다고 지적했다. 그는 “자금 세탁 조직이 사실상 단속을 압도하고 있는 상황”이라고 평가했다.

이번 비트리필 사건 역시 라자루스의 전형적인 ‘다단계 침투 후 자산 탈취’ 구조를 따르고 있다는 점에서, 업계 전반의 보안 체계가 여전히 시험대에 올라 있음을 보여준다.

기사요약 by TokenPost.ai

🔎 시장 해석

비트리필 해킹은 단순한 개별 사고가 아니라, 라자루스 그룹의 전형적인 침투·자금 탈취 패턴이 반복되고 있다는 점에서 산업 전반의 구조적 취약성을 드러냅니다.

특히 내부 직원 기기를 통한 초기 침입 → 권한 확대 → 핫월렛 탈취로 이어지는 흐름은 여전히 유효한 공격 방식임을 보여줍니다.

💡 전략 포인트

거래소 및 서비스 기업은 핫월렛 접근 통제, 내부 계정 보안, 이상 거래 탐지 시스템을 더욱 강화해야 합니다.

이용자는 의심스러운 메시지, 피싱 공격, 이메일 사칭 등 2차 공격 가능성에 대비하는 것이 중요합니다.

또한 기업의 보상 능력(자체 자금 충당 여부)도 서비스 신뢰도 판단 기준으로 작용할 수 있습니다.

📘 용어정리

라자루스 그룹: 북한 연계로 알려진 국가 지원 해킹 조직으로, 암호화폐 탈취 공격에 특화됨.

핫월렛: 인터넷에 연결된 상태의 암호화폐 지갑으로, 사용은 편리하지만 보안 위험이 상대적으로 큼.

온체인 분석: 블록체인 상의 거래 데이터를 추적해 자금 흐름과 공격자 지갑을 식별하는 분석 기법.

💡 자주 묻는 질문 (FAQ)

Q.

비트리필 해킹은 어떻게 시작됐나요?

이번 공격은 직원 노트북이 먼저 해킹되면서 시작됐습니다. 탈취된 인증 정보를 통해 내부 시스템에 접근한 공격자는 권한을 확장하며 데이터베이스와 암호화폐 지갑까지 침투했습니다.

Q.

고객 정보는 얼마나 위험한 상태인가요?

약 1만8,500건의 구매 기록이 조회됐으며 이메일, 결제 주소, IP 정보 등이 포함됐습니다. 일부 이름 정보는 암호화 상태였지만 잠재적 유출 가능성이 있어 일부 사용자에게는 개별 통보가 이루어졌습니다.

Q.

이용자가 지금 당장 해야 할 조치는 있나요?

회사 측은 즉각적인 조치는 필요 없다고 밝혔지만, 암호화폐 관련 피싱 메시지나 의심스러운 이메일에는 각별히 주의해야 합니다. 계정 보안 점검과 2단계 인증 설정도 권장됩니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.