뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
암호화폐 거래소 중 사상 최악의 해킹 피해로 기록된 바이비트(Bybit) 사태는 업계 보안 경각심을 다시 한 번 일깨웠다. 기술 수준이 아무리 높아도 투명성과 운영상 안전장치 없이는 '기업용' 보안 시스템이라 불릴 수 없다는 교훈을 남겼다.
이번 사고는 단순 스마트컨트랙트의 오류나 개인키 유실, 고의적인 자산 재활용 때문이 아니었다. 공격자는 정교한 사회공학적 수법을 사용해 운영 보안의 틈을 노렸다. 글로벌 거래소 가운데 보안과 준법 이슈에 특히 신중하다는 평가를 받아온 바이비트조차도 뚫렸다는 점에서, 지금까지의 '충분한 보안'이라는 개념은 사실상 의미 없었다는 평가가 나온다.
기술적으로 살펴보면 사건의 시작은 바이비트가 사용하던 이더리움 기반 멀티시그 지갑 서비스 '세이프(Safe)'의 개발자 컴퓨터가 해킹당하면서 시작됐다. 이 침투를 통해 해커는 세이프의 아마존웹서비스(AWS) 환경과 함께 S3 스토리지 버킷에 접근할 수 있게 됐다. 이후 해당 버킷에 악성 자바스크립트(JS) 파일을 심었고, 이 JS 파일은 세이프 사용자 인터페이스(UI)를 통해 유포되며 실제 사기 송금 과정을 유도했다. 이용자들은 정상 작업으로 착각하고 악성 주소로 자산을 보내게 된 것이다.
이 같은 방식은 멀티시그 같은 고급 보안조차도 올바르게 구현되지 않으면 오히려 사용자들에게 잘못된 '믿음'을 줄 수 있다는 점을 보여준다. 특히 이 공격은 기술이 아니라 인간과 운영시스템의 빈틈을 파고들었다는 점에서 디지털 자산 보안의 패러다임을 바꿔야 한다는 요구도 나오고 있다.
전통적으로 멀티시그는 암호화폐 보안의 금본위로 불린다. 하지만 이번 사건은 멀티시그 자체보다 그 구현 방식과 검증 체계에 더 많은 보완이 필요하다는 점을 드러냈다. 예를 들어 트리플 체크 시스템처럼 모바일 앱, 서버, 하드웨어 지갑이 서로 교차 검증하지 않으면, 하나가 해킹당했을 때 전체 보안이 무너질 수 있다. 또 자산 금고 접근 권한을 최소화하고, 송금·수신·서명자 관리 등 핵심 기능 외에는 제한하는 것이 공격 면을 줄이는 데 유리하다.
브라우저 기반 UI 대신 전용 모바일 앱을 통해 민감 작업을 처리하면 보안성이 크게 높아진다. 모바일 플랫폼은 스푸핑과 위조에 상대적으로 강하기 때문이다. 이러한 방식은 UI를 노리는 공격으로부터 훨씬 효과적으로 사용자를 보호할 수 있다.
한편, 책임 있는 커스터디 업체들은 보안 솔루션을 구현할 때 기술 수준뿐 아니라 그 설계 의도와 검증 시스템까지 외부에 투명하게 공개해야 한다는 지적도 나온다. 최근에는 프루프 오브 리저브(Proof-of-Reserve) 기술을 활용해 실제 지갑 소유와 자산 상태를 누구나 검증 가능하도록 설계하는 흐름도 잇따르고 있다. 이는 UI 조작 등 사기성 공격으로부터 사용자를 보호하는 실질적인 수단이다.
비트코인(BTC)은 인간의 시각으로 주소를 직접 확인하고 트랜잭션을 검증하도록 설계됐다. 반면 디파이 환경의 복잡한 스마트컨트랙트 기반 시스템은 시각적으로 검증이 어려워 추가적 보안 계층이 필수적이다. 비트코인의 단순성과 멀티시그 표준은 UX와 보안 측면에서 명확한 이점을 제공한다.
점차 비트코인과 디지털 자산에 대한 제도권 수용이 확대되고 있는 지금, 바이비트 해킹 사건은 다시 한 번 경계를 늦춰선 안 된단 사실을 상기시킨다. 비트코인이 상징하는 '금융 자유'는 단순한 기술 진보가 아닌, 지속적인 보안 의식과 투명성을 통해 지켜지는 가치다.
