멤버십
뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
2
비트코인(BTC) 등 암호화폐 결제·기프트카드 플랫폼 비트리필(Bitrefill)이 지난 3월 1일(현지시간) 발생한 사이버 공격의 배후로 북한 연계 해킹 조직 라자루스(Lazarus)를 지목했다. 이번 침해로 일부 인프라와 암호화폐 지갑이 손상됐고, 구매 기록 1만8,500건이 외부에 노출된 것으로 파악됐다.
비트리필은 X(옛 트위터)에 공개한 상세 보고서에서 공격자가 ‘프로덕션 키’에 접근한 뒤 핫월릿 자금을 외부 주소로 전송했으며, 이메일·결제 주소·IP 주소가 포함된 구매 데이터 일부가 유출됐다고 밝혔다. 회사는 영향을 받은 이용자에게 개별 통지했으며, 운영 자금으로 손실을 전액 보전하겠다고 설명했다. 현재 결제·재고·계정 등 핵심 시스템은 대부분 정상화됐고, 판매량도 정상 수준으로 회복 중이라고 덧붙였다.
라자루스 전술과 유사…“악성코드·온체인 추적 활용”
비트리필은 이번 공격의 전술이 라자루스 산하로 알려진 블루노로프(Bluenoroff) 등 과거 사례와 유사하다고 강조했다. 악성코드 감염을 시작점으로 내부 접근 권한을 확대하고, 온체인(블록체인 상 거래) 추적과 재사용된 IP·이메일 주소 등 흔적을 남기는 방식이 이전 공세와 닮았다는 설명이다.
라자루스는 과거에도 크립토 프로젝트를 상대로 대형 사고를 일으킨 전력이 있다. 로닌 네트워크(Ronin Network), 하모니(Harmony)의 ‘호라이즌 브리지(Horizon Bridge)’, 와지르엑스(WazirX), 아토믹 월릿(Atomic Wallet) 등이 대표적 표적으로 거론된다. 업계에서는 라자루스가 거래소·브리지·지갑 등 ‘핵심 인프라’와 운영 키를 노리는 경향이 강하다고 본다.
공격은 ‘직원 노트북’에서 시작…레거시 자격증명 노출
비트리필에 따르면 사건의 출발점은 특정 직원의 노트북이 침해된 정황이다. 이 과정에서 과거에 사용하던 ‘레거시(구형) 자격증명’이 노출됐고, 공격자는 이를 발판으로 비트리필의 더 넓은 인프라에 접근했다. 결과적으로 데이터베이스 일부와 암호화폐 지갑 영역까지 침투가 이어졌다는 게 회사의 판단이다.
침해는 공급사 쪽에서 비정상적인 구매 패턴이 포착되면서 수면 위로 떠올랐다. 공격자가 기프트카드 재고와 공급망을 악용해 물량을 빼가거나, 핫월릿에서 자금을 인출해 자신들의 주소로 옮기고 있다는 신호가 나타났다는 설명이다. 비트리필은 피해 확산을 막기 위해 시스템을 오프라인으로 전환해 긴급 차단 조치를 취했다.
비트리필은 “전 세계 전자상거래를 운영하며 수십 개 공급사, 수천 개 상품, 여러 국가의 다양한 결제 수단을 다루고 있다. 이를 안전하게 모두 끄고 다시 정상화하는 일은 결코 단순하지 않다”고 밝혔다.
구매 기록 1만8,500건 접근…이메일·IP 등 메타데이터 포함
고객 데이터 측면에서 비트리필은 전체 DB가 대량 유출된 정황은 없다고 선을 그었다. 내부 로그를 보면 공격자의 질의는 고객 전체 데이터 덤프보다 ‘암호화폐 보유 및 기프트카드 재고’ 같은 운영 핵심 정보에 집중됐다는 것이다.
다만 구매 기록 약 1만8,500건이 접근된 사실은 인정했다. 해당 기록에는 이메일 주소, 암호화폐 결제 주소, IP 주소 등 메타데이터가 포함돼 있다. 이 중 약 1,000건에는 특정 상품과 연동된 ‘암호화된 사용자명’이 들어 있었으며, 비트리필은 이를 잠재적 침해 대상으로 보고 영향을 받은 고객에게 이메일로 직접 안내했다.
플랫폼은 ‘최소한의 개인정보만 저장’하며, 의무 KYC(고객신원확인)를 요구하지 않는 구조라고 강조했다. 현시점에서 고객이 별도의 추가 조치를 취할 필요는 낮다고 보면서도, 비트리필 또는 암호화폐 결제와 관련된 예기치 않은 연락에는 각별한 주의를 당부했다. 피싱(사칭) 시도가 뒤따를 가능성을 염두에 둔 경고로 해석된다.
보안 강화 조치…외부 침투 테스트·접근 통제·자동 차단 개선
비트리필은 사고 이후 보안 체계를 전면 재정비하고 있다고 밝혔다. 외부 전문가와 함께 포괄적인 침투 테스트를 진행하고, 내부 접근 통제를 더 엄격히 조정하는 한편, 로깅·모니터링을 강화해 위협 탐지 속도를 끌어올리겠다는 계획이다. 또한 사고 대응 절차를 고도화하고, 필요 시 자동으로 서비스를 ‘셧다운’하는 프로토콜도 정교하게 다듬고 있다고 설명했다.
이번 사건은 크립토 결제·상거래 사업자가 ‘온체인 보안’뿐 아니라 운영 키 관리, 엔드포인트(직원 단말) 보안, 공급망 모니터링까지 함께 챙겨야 한다는 점을 다시 부각시켰다. 블록체인 상 거래는 흔적이 남지만, 일단 키가 탈취되면 자금 회수는 극도로 어렵다는 점에서 핫월릿 관리와 키 운영 체계가 리스크의 중심에 놓인다는 평가가 나온다.
비트리필은 “정교한 공격을 당하는 건 정말 끔찍한 일”이라면서도 “우리는 살아남았고, 고객의 신뢰를 받을 자격을 계속 증명하겠다”고 밝혔다. 10년이 넘는 운영 기간 동안 ‘첫 대형 공격’이었다는 점을 언급하며, 충분한 자금력과 수익성을 바탕으로 운영 손실을 흡수할 수 있다고 덧붙였다.
🔎 시장 해석
- 비트리필이 3월 1일 사이버 공격의 배후로 북한 연계 해킹 조직 ‘라자루스’를 지목하면서, 크립토 결제·상거래 분야가 거래소/브리지뿐 아니라 ‘결제 인프라’로도 공격 범위가 확장되고 있음을 확인시켰습니다.
- 침해는 온체인(블록체인)에서 흔적이 남더라도 ‘운영 키(프로덕션 키)’가 탈취되는 순간 자금 회수가 매우 어려워지는 구조적 리스크를 재부각합니다.
- 이번 이슈는 투자 심리보다도 업계 전반의 운영 리스크(키 관리, 엔드포인트 보안, 공급망 모니터링) 프리미엄을 키워, 보안 성숙도가 낮은 사업자에 대한 신뢰/거래 감소로 번질 수 있습니다.
💡 전략 포인트
- 사용자 관점: 비트리필/기프트카드/암호화폐 결제 관련 ‘예기치 않은 이메일·DM·링크’는 피싱 가능성이 높으므로, 링크 클릭 대신 공식 도메인 직접 접속으로 확인하고 2FA·비밀번호 재설정 등 기본 위생을 점검하세요.
- 사업자 관점: ‘직원 노트북 → 레거시 자격증명 → 프로덕션 키 → 핫월릿’ 경로는 전형적 킬체인입니다. 엔드포인트 EDR, 자격증명 수명 관리, 프로덕션 키의 HSM/다중승인(MPC·멀티시그), 핫월릿 한도·자동 차단 룰을 함께 설계해야 합니다.
- 운영 관점: 공급사(벤더)에서 ‘이상 구매 패턴’이 최초 탐지 신호가 된 만큼, 재고/주문/지갑 유출을 한 화면에서 상관분석하는 모니터링(로깅·알림) 체계를 갖추는 것이 사고 조기 차단의 핵심입니다.
📘 용어정리
- 라자루스(Lazarus): 북한 연계로 알려진 해킹 조직. 크립토 인프라(거래소·브리지·지갑·운영 키)를 반복적으로 노린 사례가 많습니다.
- 프로덕션 키(운영 키): 서비스 운영에 쓰이는 핵심 비밀키/서명키. 탈취되면 지갑 자금 이동이나 시스템 조작이 가능해집니다.
- 핫월릿(Hot Wallet): 인터넷에 연결된 지갑. 편의성은 높지만 공격 표면이 커 탈취 시 피해가 즉각적입니다.
- 레거시 자격증명: 과거에 쓰던 계정/키/토큰 등 오래된 인증정보. 방치 시 침투의 발판이 됩니다.
- 온체인 추적: 블록체인 상 거래 흐름(주소 간 이동)을 분석해 자금 이동 경로를 추적하는 것.
💡 자주 묻는 질문 (FAQ)
Q.
비트리필 해킹은 어떤 방식으로 시작됐고, 무엇이 털렸나요?
비트리필 발표에 따르면 특정 직원의 노트북 침해가 시작점으로 지목됐고, 이 과정에서 ‘레거시(구형) 자격증명’이 노출되며 내부 접근이 확대된 것으로 추정됩니다.
결과적으로 일부 인프라와 암호화폐 지갑이 손상됐고, 핫월릿 자금이 외부 주소로 전송됐습니다.
또 구매 기록 약 1만 8,500건이 접근돼 이메일·결제 주소·IP 등 메타데이터가 포함된 정보가 노출됐습니다.
Q.
내 개인정보가 위험한가요? 지금 이용자가 할 일은 뭔가요?
비트리필은 전체 DB 대량 유출 정황은 없고, 의무 KYC를 요구하지 않는 구조라 민감정보 유출 위험이 상대적으로 낮다고 설명했습니다.
다만 이메일·IP·결제주소가 포함된 구매 기록이 노출된 만큼, 비트리필/암호화폐 결제를 사칭한 피싱이 늘 수 있습니다.
따라서 의심스러운 링크/첨부파일을 피하고, 서비스는 공식 사이트로 직접 접속해 확인하며, 비밀번호 변경·2단계 인증(2FA) 점검을 권장합니다.
Q.
왜 ‘프로덕션 키’나 ‘핫월릿’이 탈취되면 피해가 커지나요?
프로덕션 키(운영 키)는 지갑 송금 승인 등 핵심 권한을 가진 인증 수단이라, 해커가 확보하면 정상 운영자처럼 자금을 이동시킬 수 있습니다.
특히 핫월릿은 온라인에 연결돼 있어 공격자가 침투에 성공했을 때 자금 인출이 즉시 일어날 수 있고, 한 번 블록체인으로 전송된 자금은 되돌리기 매우 어렵습니다.
그래서 사업자는 키 보관(HSM/MPC), 다중 승인, 한도 설정, 이상 징후 시 자동 셧다운 같은 설계가 중요합니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
![[칼럼] 미국 SEC의 토큰 분류체계 발표와 국내 시사점](https://f1.tokenpost.kr/2026/03/ub5upjlp4b.jpg)
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 555회차](https://f1.tokenpost.kr/2026/03/pb2ersru2t.jpg)
![[토큰포스트] 기사 퀴즈 554회차](https://f1.tokenpost.kr/2026/03/xxc7c1h373.jpg)
![[토큰포스트] 기사 퀴즈 553회차](https://f1.tokenpost.kr/2026/03/50g8sb8el4.jpg)
![[토큰포스트] 기사 퀴즈 552회차](https://f1.tokenpost.kr/2026/03/j7ggotbpdp.jpg)
