2조 탈취 사태로 본 제로트러스트의 현실 – 바이비트 해킹, 그 전말과 교훈
- amber lee
- 4월 24일
- 2분 분량
해킹은 Safe{Wallet} 개발자가 다운로드한 악성 도커 이미지로부터 시작되었습니다. 해당 이미지에 포함된 악성 코드로 인해 개발자 PC가 감염되었고, 이 PC가 AWS 인프라 접근 권한을 가지고 있던 점을 해커가 노렸습니다.
해커는 세션 토큰을 탈취해 VPN을 통해 S3 버킷에 접근, 악성 코드를 배포하는 데 성공했습니다. 이 과정에서 MFA 같은 보안 절차가 무력화되었고, 이는 지속적인 모니터링 부족과 엔드포인트 보안 미흡이 원인으로 지적됩니다. 특히 해커는 며칠간 개발자 활동을 면밀히 관찰한 뒤 정확한 타이밍에 공격을 감행한 것으로 분석됩니다.
#다시 제로트러스트
이번 사건은 다시 또 한번 제로트러스트 보안 모델의 중요성과 도입의 현실적인 어려움을 동시에 보여주었습니다. 제로트러스트는 모든 접근을 기본적으로 신뢰하지 않는다는 전제 아래, 내부·외부를 가리지 않고 정밀한 접근 제어와 정책 설계가 필요한 보안 전략입니다.
단순히 네트워크를 나누는 수준이 아니라, 아이덴티티, 디바이스, 로그 기반의 통합적인 접근이 요구됩니다. 하지만 조직 내 부서 간 관점 차이로 인해 실제 도입이 쉽지 않으며, 결국 기술이 아닌 기업 문화로 정착시키는 것이 핵심 과제로 떠오르고 있습니다.
#그래도 바이비트는 최선을 다했다
바이비트는 해킹 발생 2분 만에 이상 징후를 감지하고 신속히 대응했습니다. CEO 등 주요 인물이 서명에 참여해 빠르게 상황을 인지할 수 있었고, 곧바로 자산 복구와 조사를 진행했습니다. 피해 사실을 투명하게 공개하고 바운티 프로그램 등 재발 방지 노력도 이어가며, 기술·신뢰·전략 측면 모두에서 모범적인 대응을 보였습니다.
이번 해킹은 단순 실수가 아닌 공급망 전반의 보안 허점을 노린 정교한 공격이었습니다. 해커는 개발자 PC 감염부터 권한 탈취, 세션 토큰 및 다중 서명 악용까지 조직 내부의 신뢰를 악용했습니다.
바이비트가 만약
3rd Party 앱 검증을 강화하고,
트랜잭션·네트워크 모니터링을 확대하며,
엔드포인트 이상 행위 감지를 적용했다면,
사태를 막을 수 있었을 가능성이 제기됩니다.
Safe{Wallet} 측에서도 다음과 같은 조치가 있었다면 피해를 줄일 수 있었을 것으로 보입니다:
악성코드 활동에 대한 가시성 확보,
IoC 기반 외부 위협 모니터링,
S3 배포 권한 강화,
Identity 접근 기록에 대한 사전 모니터링
등이 부족했던 점이 보안의 취약점으로 작용했습니다.
바이비트 사태는 제로트러스트 보안 개념의 중요성을 재조명하는 계기가 되었습니다. 단순한 기술 보완을 넘어, 조직 문화와 전략 차원의 보안 접근이 필요하다는 점을 강조하고 있습니다.
댓글