비트코인(BTC) 결제 및 기프트카드 플랫폼 비트리필(Bitrefill)이 북한과 연계된 해킹 집단인 라자루스(Lazarus)에 의해 사이버 공격을 받았다고 3월 1일(현지시간) 발표했다. 이번 사이버 침해로 인해 비트리필의 일부 인프라와 암호화폐 지갑이 손상되었으며, 무려 1만8500건에 달하는 구매 기록이 외부에 유출된 것으로 확인됐다.

비트리필은 최초 공격자의 접근 경로가 ‘프로덕션 키’에 이르렀고, 이로 인해 핫월릿 자금이 외부 주소로 유출되었다고 설명했다. 또한 이 과정에서 이메일 주소와 결제 정보, IP 주소가 포함된 고객 구매 데이터 일부가 유출되었다. 비트리필 측은 소식통을 통해 영향을 받은 고객들에게 개별 통지를 실시하고 운영 자금을 통해 손실을 보전하겠다고 밝혔다. 현재는 결제 및 계정 시스템이 대부분 정상화된 상태로 회복되고 있는 상황이다.

회사 측은 이번 공격의 전술이 과거 라자루스 산하의 해킹 그룹 블루노로프(Bluenoroff)와 유사하다고 언급하며, 악성코드 감염을 시작으로 내부 접근 권한을 확대하며 온체인 추적을 활용한 것이라고 분석했다. 라자루스는 이전에도 크립토 프로젝트를 대상으로 수차례 대규모 공격을 감행해왔으며, 공격 대상에는 로닌 네트워크, 하모니의 호라이즌 브리지, 와지르엑스, 아토믹 월릿 등이 포함된다. 이들 해킹 사건에서 보안 인프라와 운영 키를 지속적으로 노린 것으로 알려져 있다.

비트리필의 조사에 따르면 공격 사건의 시작은 특정 직원의 노트북 침해로 지목되었다. 과거 사용하던 레거시 자격증명이 노출되면서 해커는 비트리필의 인프라에 더욱 쉽게 접근할 수 있는 조건을 마련했다. 이로 인해 고객 데이터베이스와 암호화폐 지갑에 대한 침해가 일어났다고 비트리필 측은 판단하고 있다.

비트리필이 공격 발생 후 시스템 내 비정상적인 구매 패턴을 감지하였고, 이로 인해 공격의 징후를 발견하게 되었다. 해커는 기프트카드 재고와 공급망을 악용해 불법적으로 물량을 빼돌리거나, 핫월릿에서 자금을 인출하는 방법으로 활동하고 있었다. 이에 따라 비트리필은 피해를 확산 방지하기 위해 시스템을 오프라인으로 전환하는 긴급 조치를 취한 것으로 드러났다.

고객 데이터 측면에서 비트리필은 전체 데이터베이스가 대량으로 유출된 것은 아니라고 분명히 하였다. 로그 분석 결과 공격자의 질의는 전체 고객 데이터가 아닌 운영과 관련된 핵심 정보에 집중되었다. 그러나 약 1만8500건의 구매 기록이 노출된 사실을 확인하였고, 해당 정보에는 이메일 주소, 암호화폐 결제 주소, IP 주소 등이 포함되어 있다. 이 중 약 1,000건에는 특정 상품과 연결된 암호화된 사용자명이 포함되어 있어 고객에게 직접 안내가 이루어졌다.

비트리필은 최소한의 개인정보만 저장하는 정책을 유지하고 있으며, 고객신원확인(KYC)을 요구하지 않는 구조라고 주장했다. 현시점에서 고객들이 별도로 추가 조치를 취할 필요는 적다고 여기는 한편, 비트리필 또는 암호화폐 결제와 관련된 예기치 않은 연락에 대해 주의를 당부하고 있다. 이는 피싱 시도가 뒤따를 가능성을 염두에 둔 것으로 해석된다.

사건 이후 비트리필은 보안 체계를 전면적으로 재정비하고 있으며, 외부 전문가와 함께 광범위한 침투 테스트를 진행하고 있다. 내부 접근 통제를 강화하고 로깅 및 모니터링 체계를 개선해 위협 탐지 속도를 높이며, 자동으로 서비스 셧다운을 수행하는 프로토콜도 구체화할 예정이다. 비트리필은 이번 사건을 통해 온체인 보안뿐만 아니라 운영 키 관리, 엔드포인트 보안 및 공급망 모니터링의 중요성을 다시 한 번 강조하였다.

비트리필은 "정교한 공격을 당하는 것은 참으로 끔찍한 일"이라면서도 고객의 신뢰를 계속해서 유지할 수 있도록 최선을 다하겠다고 밝혔다. 이번 공격은 비트리필이 10년 이상 운영한 역사 속에서 첫 대형 공격으로, 충분한 자금력과 수익성 덕분에 운영 손실을 흡수할 수 있다는 자신감을 나타냈다.