Bitrefill은 3월 1일에 발생한 보안 침해 사건에 대한 종합 보고서를 발표했으며, 이 사건이 북한 해킹 그룹인 라자루스 그룹의 소행이라고 보고 있습니다.
라자루스 그룹은 작년 초 바이비트(Bybit)를 공격해 10억 달러 이상을 훔치는 등 암호화폐 역사상 최대 규모의 단일 해킹 사건을
회사 측은dent 발생 경위에 대해서는 투명하게 공개했지만, 정확한 도난 금액은 밝히지 않았습니다. 비트리필은 직원의 해킹된 노트북을 통해 네트워크에 접근하여 여러 핫월렛에서 자금이 인출되었다고 주장했습니다.
Bitrefill은 해킹당했다는 사실을 숨겼나요?
Bitrefill은 3월 1일에 발생한 보안 침해 사고에 대한 종합적인 사후 분석 보고서를 발표했습니다. 회사는 사용된 악성 소프트웨어, 공격자들의 범행 수법, 탈취 자금의 온체인 trac, 그리고 이전에 북한 해킹 조직과 연관된 특정 IP 주소 및 이메일 주소의 재사용 등을 분석한 결과, 북한 해킹 그룹인 라자루스 그룹(Lazarus Group) 또는 블루노로프(Bluenoroff)를 공격의 배후로 공식 지목했습니다.
이번dent 직원의 노트북이 해킹당하면서 시작되었는데, 해커들은 이를 통해 기존dent정보에 접근했습니다. 이dent통해 공격자들은 회사 시스템의 스냅샷에 접근할 수 있었고, 여기에는 운영 기밀 정보가 포함되어 있었습니다.
이러한 비밀 정보를 손에 넣은 라자루스 그룹은 비트리필의 인프라 전반에 걸쳐 접근 권한을 확대할 수 있었습니다. 결국 그들은 회사 데이터베이스의 일부와 여러 암호화폐 핫월렛에 접근하게 되었습니다.
Bitrefill의 보안팀은 공급업체와 관련된 "의심스러운 구매 패턴"을 통해 처음으로 침해 사실을 발견했습니다. 공격자들은 회사의 기프트 카드 재고와 공급망을 악용했습니다.
동시에, 회사는 자금이 핫월렛에서 빠져나가 공격자들이 관리하는 지갑으로 옮겨지고 있다는 사실을 깨달았습니다.
이에 대응하여 Bitrefill은 위협 확산을 막기 위해 즉시 모든 시스템을 오프라인으로 전환했지만, 이 회사의 글로벌 전자상거래 네트워크에는 수천 개의 제품과 수십 개의 공급업체가 있기 때문에 인프라를 안전하게 종료하고 재부팅하는 데 2주 이상이 걸렸습니다.
Bitrefill 해킹 사건으로 얼마나 많은 금액이 도난당했습니까?
Bitrefill의 조사 결과, 해커들은 고객 데이터를 훔치는 데 큰 관심이 없었던 것으로 드러났습니다. 설령 훔쳤다고 하더라도 불가능했을 것입니다. Bitrefill은 자사의 비즈니스 모델이 개인 정보를 최소한으로 저장하도록 설계되었다고 강조했습니다. 대부분의 사용자에게는 의무적인 "고객 신원 확인(KYC)" 서류 제출이 필요하지 않으며, 상위 단계 인증을 위해 제공되는 데이터는 외부 업체에서 관리하고 있으며, 해킹당한 시스템에는 저장되지 않았습니다.
하지만 공격자들은 약 18,500건의 구매 기록에 접근했습니다. 이 기록에는 고객 이메일 주소, 암호화폐 결제 주소, IP 주소와 같은 메타데이터가 포함되어 있었습니다.
Bitrefill의 약 1,000명의 데이터가 암호화되었습니다. 해커들이 암호화 키에 접근했을 가능성이 있어 Bitrefill은 해당 데이터를 잠재적으로 유출된 데이터로 간주하고 있으며, 이미 영향을 받은 고객들에게 이메일을 발송했습니다.
재정적 손실과 관련하여 Bitrefill은 이번 사태의 영향을 자체적으로 감당하겠다고 발표했습니다. 핫월렛에서 자금이 인출되었지만, 회사는 여전히 충분한 자금을 보유하고 있으며 수년간 수익을 내왔다고 밝혔습니다. 모든 사용자 잔액은 안전하며 이번 사태의 영향을 받지 않았습니다.
Bitrefill은 Zeroshadow, SEAL Org, Recoveris Team 등 여러 유명 보안 기관과 협력하여 블록체인 상에서 도난 자금의 이동 경로를 추적했습니다. 또한, 이들은 Bitrefill 서버의 포렌식 복구 작업도 지원했습니다.
Bitrefill은 이후 내부 접근 제어를 강화하여 단일 침해로 전체 시스템 침해가 발생하는 것을 방지했습니다. 또한 의심스러운 데이터베이스 요청에 더 빠르게 대응할 수 있도록 종료 절차를 개선했습니다.
회사 측은 외부 전문가와 함께 철저한 침투 테스트(펜테스트)를 지속적으로 실시하여 남아있는 취약점을 찾아내고 있다고 밝혔습니다. 현재 결제, 재고 보충, 계정 기능 등 거의 모든 서비스가 정상적으로 복구되었습니다.
