암호화폐 전자상거래 플랫폼 Bitrefill은 이달 초 사이버 공격의 표적이 되었으며, 이로 인해 자금이 도난당하고 고객 데이터의 제한적인 노출이 발생했다고 밝혔습니다. 공격의 주범으로 북한과 연관된 Lazarus Group이 지목되고 있습니다.
이 침해 사건은 3월 1일에 시작되었으며, 회사의 사고 보고서에 따르면, 타격은 손상된 직원 노트북에서 발생했습니다.
공격자들은 생산 시스템과 연결된 레거시 자격 증명을 추출할 수 있었으며, 이를 통해 Bitrefill의 인프라 전반에 걸쳐 접근 권한을 확대할 수 있었습니다. 여기에는 내부 데이터베이스의 일부와 특정 암호화폐 핫 월렛이 포함됩니다.
Bitrefill은 공격자들이 핫 월렛에서 공개되지 않은 금액의 자금을 빼내고, 공급업체와의 의심스러운 구매를 위해 기프트 카드 재고 시스템을 악용했다고 밝혔습니다. 회사는 총 재정적 영향을 구체적으로 밝히지는 않았지만, 운영 자본을 사용하여 손실을 흡수할 것이라고 전했습니다.
침입은 비정상적인 구매 패턴과 공급업체 활동의 이상 징후를 통해 처음 감지되었습니다.
이에 따라 Bitrefill은 전 세계 운영에서 침해를 차단하기 위해 시스템을 일시적으로 오프라인 상태로 전환했습니다. 회사는 결제 및 계정 접근을 포함한 서비스가 이후 정상 수준으로 돌아왔다고 밝혔습니다.
공격의 일환으로 약 18,500개의 구매 기록이 접근되었습니다. 노출된 데이터에는 이메일 주소, 암호화폐 결제 주소 및 IP 주소와 같은 메타데이터가 포함됩니다.
그 중 약 1,000개의 기록은 암호화된 고객 이름을 포함하고 있으며, 공격자가 암호화 키에 접근했을 가능성으로 인해 잠재적으로 노출된 것으로 간주되고 있습니다. Bitrefill은 영향을 받은 사용자에게 직접 통지했다고 밝혔습니다.
침해에도 불구하고, 회사는 최소한의 개인 데이터를 저장하며 대부분의 거래에 대해 의무적인 고객 확인(KYC) 절차를 요구하지 않는다고 강조했습니다. KYC 관련 정보는 외부 제공업체에 의해 처리되며 Bitrefill의 시스템 내에 저장되지 않습니다. 회사는 전체 데이터베이스가 유출되었거나 고객 데이터가 주요 표적이었다는 증거는 없다고 덧붙였습니다.
“우리의 조사와 로그에 따르면, 고객 데이터가 목표였다고 생각할 이유가 없습니다.”라고 회사는 말하며, 공격자들이 암호화폐 보유 및 기프트 카드 재고와 같은 귀중한 자산을 탐색하기 위한 제한된 쿼리를 수행한 것으로 보인다고 언급했습니다.
북한의 Lazarus Group이 관련되어 있음
Bitrefill은 공격과 Lazarus Group을 연결하는 여러 지표를 인용했으며, 여기에는 악성 코드의 유사성, IP 주소 및 이메일 계정과 같은 재사용된 인프라, 온체인 거래 패턴이 포함됩니다.
이 그룹은 종종 북한과 연관되어 있으며, 최근 몇 년간 Bluenoroff라는 전문 하위 그룹을 통해 가장 큰 암호화폐 도난 사건과 관련이 있습니다.
zeroShadow, SEAL911 및 RecoverisTeam과 같은 사이버 보안 회사들이 대응 및 조사에 도움을 주었으며, 온체인 분석가 및 법 집행 기관과 함께 작업했습니다. 회사는 유사한 사건을 방지하기 위해 확대된 모니터링 시스템 및 내부 통제를 포함한 추가 보안 조치를 시행하고 있다고 밝혔습니다.
이번 공격은 디지털 자산 분야에서 국가 지원 사이버 위협에 대한 지속적인 우려를 강조합니다.
블록체인 분석 회사 Chainalysis에 따르면, 북한과 연관된 그룹은 2025년 동안 20억 달러 이상의 암호화폐 도난 사건에 책임이 있으며, 이는 이 분야의 전체 불법 활동에서 상당한 비중을 차지합니다.
Bitrefill은 사건 이후 운영이 안정화되었으며, 고객 활동 및 판매량이 일반 수준으로 돌아왔다고 자신감을 표명했습니다.
