[비트리필(Bitrefill)] 북한 연계 해킹 조직 침투 정황…고객 데이터 1.85만건 접근 및 자산 유출_2026년 03월

직원 노트북 계정 탈취를 시작으로 내부 인프라까지 침투한 공격으로, 일부 고객 데이터와 암호화폐 자산이 유출된 정황이 확인됨.

□  개요 

   2026년 03월 01일, 글로벌 암호화폐 결제 플랫폼 비트리필(Bitrefill)은 사이버 공격을 탐지하고 시스템을 긴급 차단하였다. 조사 결과, 공격은 직원 노트북에서 탈취된 계정을 통해 시작되었으며, 내부 인프라 및 일부 데이터베이스와 암호화폐 지갑까지 접근이 이루어진 것으로 확인되었다. 공격 패턴, 악성코드, 온체인 흐름 등을 종합 분석한 결과 북한 연계 해킹 조직(라자루스)과 유사한 정황이 확인되었으나, 공식적으로 확정되지는 않은 상태이다.

 

□  사고내용 요약  

    1. 회사명 : 비트리필(Bitrefill)
    2. 사고유형 : 계정 탈취 기반 내부 침투 및 디지털 자산 탈취

    3. 유출규모
        - 약 18,500건 구매 기록 접근
        - 일부 암호화폐 자산 유출 (규모 미공개)
    4. 유출항목
        - 이메일 주소
        - 암호화폐 결제 주소
        - IP 주소 및 메타데이터
        - 일부(약 1,000건): 고객 이름 (암호화 저장, 키 접근 가능성 존재)

    5. 특이사항
        - 직원 노트북 → 계정 탈취 → 내부 인프라 확장 침투
        - 운영 서버 스냅샷(기밀정보 포함)에 접근
        - 핫월렛 자금 탈취 및 공급망(기프트카드 재고) 악용
        - 전체 DB 유출 증거는 없으나 일부 조회 확인
        - 고객 피해는 회사 운영자금으로 보전 예정

□  사고대응 타임라인  

    -  2026년 03월 01일 : 이상 거래 패턴 탐지 및 해킹 인지
    -  2026년 03월 01일 : 전체 시스템 오프라인 전환(긴급 차단)
    -  2026년 03월 초 : 외부 보안 전문가 및 수사기관 협력 조사 진행
    -  2026년 03월 중순 : 공격 수법 분석 결과 북한 연계 조직과 유사 정황 확인
    -  2026년 03월 18일 : 사고 내용 공개 및 고객 안내

□  개인정보 유출 관련 'X' 게시글(침해사고 보고서)   

 

□ 3월 1일 침해 사고 보고서
2026년 3월 1일, Bitrefill(비트리필)은 사이버 공격의 표적이 되었습니다. 조사 과정에서 관찰된 지표(범행 수법, 사용된 악성 코드, 온체인 추적, 재사용된 IP 및 이메일 주소(!) 등)를 바탕으로, 당사는 이번 공격이 과거 북한 라자루스(Lazarus) / 블루노로프(Bluenoroff) 그룹이 암호화폐 업계의 타 기업들을 상대로 감행했던 사이버 공격들과 많은 유사점이 있음을 확인했습니다.

최초의 접근은 해킹된 직원의 노트북을 통해 이루어졌으며, 이곳에서 과거 자격 증명(legacy credential)이 유출되었습니다. 이 자격 증명은 프로덕션 기밀(production secrets)이 포함된 스냅샷에 대한 접근 권한을 제공했습니다. 이를 통해 공격자들은 당사 데이터베이스의 일부와 특정 암호화폐 지갑을 포함한 광범위한 인프라로 권한을 확대할 수 있었습니다.
저희는 특정 공급업체에서 의심스러운 구매 패턴을 발견한 후 처음으로 이 사건을 인지했습니다. 당사의 기프트 카드 재고와 공급망이 악용되고 있다는 사실을 깨달았습니다. 이와 동시에 일부 핫월렛에서 자금이 빠져나가 공격자가 통제하는 지갑으로 이체된 것을 발견했습니다. 침해 사실을 확인한 즉시, 저희는 피해 확산을 막기 위한 조치의 일환으로 모든 시스템을 오프라인 상태로 전환했습니다.
Bitrefill은 수십 개의 공급업체, 수천 개의 제품, 전 세계 여러 국가에서 다양한 결제 방식을 지원하는 글로벌 이커머스 비즈니스를 운영하고 있습니다. 이 모든 시스템을 안전하게 차단하고 다시 온라인으로 복구하는 것은 결코 간단한 일이 아닙니다.

사건 발생 이후 당사의 팀은 업계 최고의 보안 연구원, 침해 사고 대응 전문가, 온체인 분석가 및 수사 기관과 긴밀히 협력하여 사건의 경위를 파악하고 재발 방지 대책을 마련하고 있습니다. 이 힘든 시간 동안 신속하게 대응하고 지원해 주신 @zeroshadow_io, @SEAL_Org, @RecoverisTeam, @fearsoff 님께 진심으로 감사드립니다.
고객 데이터 관련 안내
조사 결과와 로그를 종합해 볼 때, 고객 데이터가 이번 침해 사고의 표적이었다고 볼 만한 근거는 없습니다. 공격자가 전체 데이터베이스를 유출했다는 증거는 없으며, 암호화폐나 Bitrefill 기프트 카드 재고 등 탈취할 수 있는 항목을 파악하기 위해 탐색 목적으로 제한된 횟수의 쿼리만 실행한 것으로 확인되었습니다.
Bitrefill은 개인 데이터를 거의 저장하지 않도록 설계되었습니다. 저희는 암호화폐 서비스 제공업체가 아닌 상점이며, 의무적인 KYC(고객 신원 확인)를 요구하지 않습니다. 고객이 더 높은 구매 등급이나 특정 제품에 접근하기 위해 계정 인증을 선택하는 경우, 해당 데이터는 당사 시스템에 백업되지 않고 외부 KYC 제공업체에만 독점적으로 보관됩니다.
그럼에도 불구하고 데이터베이스 로그에 따르면 일부 구매 기록에 접근한 정황이 확인되었으며, 이에 대해 투명하게 말씀드리고자 합니다.

공격자는 약 18,500건의 구매 기록에 접근했습니다. 해당 기록에는 이메일 주소, 암호화폐 결제 주소, 그리고 IP 주소를 포함한 메타데이터 등 제한적인 고객 정보가 포함되어 있었습니다.
약 1,000건의 구매와 관련하여, 특정 제품의 경우 고객의 이름 제공이 필요했습니다. 이 정보는 당사 데이터베이스에 암호화되어 있습니다. 하지만 공격자가 암호화 키에 접근했을 가능성이 있으므로, 당사는 이 데이터 역시 유출 가능성이 있는 것으로 간주하고 있습니다. 이 범주에 해당하는 고객에게는 이미 이메일을 통해 개별적으로 안내해 드렸습니다.
현재 확보된 정보를 바탕으로 볼 때, 고객 여러분께서 별도로 취하셔야 할 특정 조치는 없는 것으로 판단하고 있습니다. 다만 예방 차원에서 Bitrefill이나 암호화폐와 관련된 예기치 않은 연락에 주의를 기울이시길 권장합니다. 이러한 판단에 변동 사항이 생길 경우, 즉시 영향을 받는 분들께 알려드리겠습니다.

□ 당사의 조치 사항
당사는 이미 사이버 보안 관행을 대폭 개선했으나, 사용자와 회사의 자산 및 데이터를 최대한 안전하게 보호하기 위해 이번 경험을 교훈 삼아 지속적으로 노력할 것을 약속드립니다. 구체적인 조치는 다음과 같습니다:
다수의 외부 전문가와 함께 철저한 사이버 보안 검토 및 모의 해킹(pentest)을 지속적으로 수행하고 권고사항 이행내부 접근 통제 추가 강화더 빠른 탐지와 효과적인 대응을 위해 로깅 및 모니터링 시스템 추가 개선침해 사고 대응 절차 및 자동 차단 절차 지속적 개선 및 테스트

□ 결론
고도화된 공격을 당하는 것은 (매우) 끔찍한 일입니다. 저희는 10년 넘게 사업을 해왔지만, 이렇게 큰 타격을 입은 것은 이번이 처음입니다. 하지만 저희는 이겨냈습니다.
Bitrefill은 이와 같은 일이 발생하더라도 그 영향을 최소화하도록 설계되었습니다. 당사는 여전히 든든한 자본력을 갖추고 있으며, 수년간 수익을 내고 있어 이번 손실을 운영 자본 내에서 충분히 흡수할 수 있습니다.
결제, 재고, 계정 등 거의 모든 것이 정상화되었습니다. 판매량 역시 평소 수준을 회복했으며, 저희에 대한 고객 여러분의 변함없는 신뢰에 깊은 감사를 드립니다.
앞으로도 여러분의 신뢰에 보답할 수 있도록 최선을 다하겠습니다.

감사합니다!

□  대응내역  

    -  전 시스템 즉시 오프라인 전환 (Containment)
    -  침해 범위 분석 및 온체인 자금 추적 진행
    -  외부 보안업체 및 포렌식 전문가 협력
    -  고객 피해 비용을 회사 운영자금으로 보전 결정
    -  단계적 서비스 복구 및 정상화 완료

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       - 엔드포인트 보안 강화(EDR/XDR 필수 적용)
       - 계정·자격증명 보호 강화(Privileged Access 관리, MFA 의무화)
       - 중요 시스템 스냅샷 접근 통제 및 암호화 키 분리
       - 지갑(Hot wallet) 접근 통제 및 이상 거래 탐지(FDS) 고도화
       - 실시간 이상행위 탐지(SIEM + UEBA) 강화

    2. 관리적 조치
       - 직원 단말 보안 정책 강화 및 계정 재사용 금지
       - 침해사고 대응훈련 및 Red Team 운영
       - 공급망 및 외부 파트너 보안 점검 강화
       - 보안 인식 교육(피싱·사회공학 대응) 정례화

□  관련기사(출처)  

• "직원 노트북이 통로였다" 북한 해커 조직에 뚫린 글로벌 코인 결제 플랫폼 - 디지털포커스
• 비트리필, 이메일·IP·코인지갑 주소 1.85만건 노출..."북한 해킹 의심" - 디지털애셋

 

감사합니다.