보도자료 ‘Bybit, Claude Code를 검색하는 사용자를 노린 AI 지원 macOS 악성코드 캠페인 적발’(배포일: 2026년 4월 21일, PR Newswire 배포)과 관련해, 회사 측의 정정 안내에 따라 제목과 아홉 번째 문단이 수정되었습니다. 아래는 정정된 전체 보도자료입니다.
AI 역량을 강화한 Bybit 보안팀, Claude Code 검색 사용자를 노린 macOS 악성코드 캠페인 적발
아랍에미리트 두바이, 2026년 4월 21일 /PRNewswire/ -- Bybit은(는) 거래량 기준 전 세계 2위 암호화폐 거래소로, 자사 보안 운영 센터(SOC)가 Anthropic의 AI 기반 개발 도구인 “Claude Code”를 검색하는 macOS 사용자를 겨냥한 정교한 다단계 악성코드 캠페인에 대한 조사 결과를 공개했다고 밝혔다.
이번 보고서는 중앙화 암호화폐 거래소(CEX)가 개발자를 겨냥해 AI 도구 검색 채널을 악용하는 실시간 위협 캠페인을 공식적으로 공개한 첫 사례 중 하나로, 암호화폐 업계가 최전선 사이버 보안 인텔리전스에서 차지하는 역할이 점차 커지고 있음을 보여준다.
이 캠페인은 2026년 3월 처음 식별됐으며, 검색 엔진 최적화(SEO) 중독 기법을 활용해 악성 도메인을 구글 검색 결과 상단으로 끌어올렸다. 사용자는 합법적인 문서 페이지를 정교하게 모방한 설치 페이지로 리디렉션되었고, 이를 통해 자격 증명 탈취, 암호화 자산 공격, 지속적인 시스템 접근에 초점을 맞춘 2단계 공격 체인이 촉발됐다.
초기 페이로드는 Mach-O 드로퍼를 통해 전송되었고, AMOS 및 Banshee 계열로 알려진 변종과 유사한 특성을 보이는 osascript 기반 정보 탈취 프로그램을 배포했다. 이 악성코드는 브라우저 자격 증명, macOS 키체인 항목, 텔레그램 세션, VPN 프로필, 암호화폐 지갑 정보를 포함한 민감 데이터를 추출하기 위해 다단계 난독화 시퀀스를 수행했다. Bybit 연구진은 250개가 넘는 브라우저 기반 지갑 확장 프로그램과 다수의 데스크톱 지갑 애플리케이션을 대상으로 한 접근 시도를 확인했다.
2단계 페이로드에서는 C++ 기반 백도어가 투입되었으며, 샌드박스 탐지 및 암호화된 런타임 설정 등 고급 회피 기능을 갖추고 있었다. 이 악성코드는 시스템 수준 에이전트를 통해 지속성을 확보했으며, HTTP 기반 폴링을 이용한 원격 명령 실행을 가능하게 해 공격자가 감염된 기기에 지속적으로 접근할 수 있게 했다.
Bybit SOC는 악성코드 분석 라이프사이클 전반에 걸쳐 AI 지원 워크플로를 활용해 분석 깊이를 유지하는 동시에 대응 시간을 크게 단축했다. Mach-O 샘플의 초기 분류 및 트리아지는 수분 내에 완료됐으며, 모델은 이미 알려진 악성코드 계열과의 행위 기반 유사성을 신속히 탐지했다.
AI 지원 리버스 엔지니어링 및 제어 흐름 분석을 통해 2단계 백도어에 대한 심층 분석에 소요되는 예상 시간이 6~8시간에서 40분 미만으로 줄었다. 동시에 자동화된 추출 파이프라인이 명령·제어(C2) 인프라, 파일 시그니처, 행위 패턴 등 침해 지표(IOC)를 식별하고, 이를 기존 위협 프레임워크에 매핑했다.
이러한 역량을 바탕으로 같은 날 탐지 조치가 배포될 수 있었다. AI 지원 규칙 생성 기능을 활용해 위협 시그니처 및 엔드포인트 탐지 규칙이 작성됐고, 분석가 검증을 거친 후 실제 운영 환경에 반영되었다. AI가 작성한 보고 초안을 기반으로 위협 인텔리전스 산출물이 최종 확정되기까지 걸리는 시간도 전통적 워크플로 대비 약 70% 단축됐다.
"이러한 유형의 악성코드 캠페인을 공개적으로 문서화한 최초의 암호화폐 거래소 중 하나로서, 관련 발견 내용을 공유하는 것이 업계 전반의 집단 방어를 강화하는 데 매우 중요하다고 믿습니다."라고 **Bybit 그룹 리스크 관리 및 보안 총괄 데이비드 종(David Zong)**은 말했다. "AI 지원 SOC를 통해 우리는 단일 운영 윈도 내에서 탐지 단계에서 전체 킬 체인 가시성 단계까지 도달할 수 있게 되었습니다. 과거에는 여러 교대조에 걸친 분석가 팀이 수행해야 했던 디컴파일, IOC 추출, 보고서 작성, 규칙 작성 작업이 이제는 하나의 세션에서, AI가 대부분의 무거운 작업을 맡고 분석가가 판단과 검증을 담당하는 방식으로 완료됩니다. 앞으로 우리는 AI 전쟁의 시대에 직면하게 될 것입니다. AI를 AI 방어에 활용하는 것은 필연적인 흐름입니다. Bybit은 보안 분야에서 AI 투자를 더욱 확대해, 분 단위 위협 탐지와 자동화·지능형 비상 대응을 실현해 나갈 것입니다."
조사 과정에서는 사회 공학 기법도 드러났다. 여기에에는 사용자 자격 증명을 검증·캐시하기 위해 사용된 가짜 macOS 비밀번호 프롬프트가 포함된다. 일부 사례에서는 공격자가 Ledger Live, Trezor Suite와 같은 합법적인 암호화폐 지갑 애플리케이션을 악성 인프라에 호스팅된 트로이 목마 버전으로 교체하려 시도한 정황도 확인됐다.
이 악성코드는 크로미움 기반 브라우저, 파이어폭스 계열, 사파리 데이터, Apple 메모, 그리고 금융 정보나 인증 데이터를 저장하는 데 일반적으로 사용되는 로컬 파일 디렉터리 등 광범위한 환경을 표적으로 삼았다.
Bybit은 해당 캠페인과 연관된 여러 도메인 및 명령·제어 엔드포인트를 식별했으며, 공개를 위해 이들 주소는 모두 비활성화된 형태로 처리했다. 분석 결과 공격자는 지속 연결 대신 간헐적인 HTTP 폴링에 의존한 것으로 나타났으며, 이로 인해 탐지가 한층 더 어려워졌다.
이번 사건은, 특히 AI 도구가 대중적으로 확산됨에 따라 공격자가 조작된 검색 결과를 통해 개발자를 노리는 추세가 커지고 있음을 반영한다. 코드베이스, 인프라, 금융 시스템에 대한 접근 권한을 보유한 개발자는 계속해서 고가치 표적이 되고 있다.
Bybit은 3월 12일 악성 인프라를 식별했으며, 같은 날 전체 분석, 완화 조치, 탐지 체계를 모두 마련했다고 밝혔다. 이후 3월 20일, 상세 탐지 가이던스와 함께 대외 공개가 이뤄졌다.
#Bybit / #CryptoArk / #NewFinancialPlatform
Bybit 소개
Bybit은(는) 거래량 기준 세계 2위 암호화폐 거래소로, 전 세계 8,000만 명이 넘는 사용자를 보유한 글로벌 커뮤니티를 지원하고 있다. 2018년에 설립된 Bybit은(는) 모두를 위한 더 단순하고 개방적이며 공평한 생태계를 구축함으로써 탈중앙화 세계에서의 개방성을 재정의하고 있다. Bybit은 Web3에 중점을 두고 선도적인 블록체인 프로토콜과 전략적 파트너십을 구축해 견고한 인프라를 제공하고 온체인 혁신을 촉진하고 있다. 안전한 커스터디, 다양한 마켓플레이스, 직관적인 사용자 경험, 고급 블록체인 도구로 잘 알려진 Bybit은 전통 금융(TradFi)과 탈중앙 금융(DeFi)의 격차를 해소해 빌더, 크리에이터, 애호가들이 Web3의 잠재력을 최대한 활용하도록 돕고 있다. 탈중앙화 금융의 미래는 Bybit.com에서 확인할 수 있다.
Bybit에 대한 자세한 내용은 Bybit Press를 참조해 주시기 바란다.
미디어 문의: [email protected]
최신 소식은 Bybit's Communities and Social Media를 통해 확인할 수 있다.
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
