DeFi 발전의 최대 장애물

핵심 관점

클로이

2026-04-08 21:31:59

수집

현재 DeFi가 직면한 가장 큰 위협은 단순히 시장이나 유동성만이 아니라, 보안 측면에서도 코드 취약점 방어만으로는 부족하다. 왜냐하면 스파이가 바로 곁에 숨어 있을 수 있기 때문이다.

저자: Chloe, ChainCatcher

지난주 솔라나 대출 프로토콜 드리프트가 해커의 공격을 받아 약 2.85억 달러의 사용자 자산이 도난당했습니다. 공식 설명에 따르면, 이는 전형적인 스마트 계약 취약점 공격이 아니라, 국가급 해커가 정교하게 계획한 사회 공학 공격으로 6개월에 걸쳐 진행된 것입니다.

조사 증거에 따르면, 같은 위협 행위자가 여러 DeFi 프로토콜의 개발 핵심에 이미 깊숙이 침투했을 가능성이 있으며, 공격자의 신분이 아니라 기여자의 역할로 활동하고 있습니다.

북한 해커의 초기 침투 목표는 흔하지만, 대규모 자금을 투입하는 경우는 드뭅니다.

드리프트 사건의 성명에 따르면, 공격자의 핵심 전략은 "생태계의 일부가 되는 것"입니다.

2025년 가을부터 그들은 양적 거래 회사로 가장하여 드리프트의 핵심 기여자와 접촉하기 시작했습니다. 이러한 접촉은 한 번이 아니라 여러 번, 다양한 국가와 여러 회의를 통해 6개월 동안 지속적으로 이루어졌습니다. 이들은 기술 전문성이 높고 배경이 확인 가능하며 드리프트의 운영 방식에 대해 잘 알고 있습니다.

그들은 드리프트 핵심 구성원과의 소통에 국한되지 않았습니다. 해당 팀은 드리프트 생태계 금고(Ecosystem Vault)의 개방 메커니즘을 활용하여 합법적인 거래 회사의 신분으로 자신의 금고를 성공적으로 상장하고, 100만 달러 이상의 자금을 예치하며 여러 작업 회의에 참여하고 심도 있는 제품 문제를 제기하여 프로젝트 측과의 신뢰를 강화했습니다.

블록체인 기술 전문가 스티븐은 ChainCatcher와의 인터뷰에서 "북한 해커는 초기부터 목표에 침투하기 시작하는 것이 일반적인 관행이지만, 대규모 자금을 신뢰 기반으로 투입하는 것은 드문 일입니다. 그러나 공격자에게 이 100만 달러는 사실상 무위험 투자입니다. 공격을 하지 않는 한 이 돈은 금고에 있는 정상 자금일 뿐이며 언제든지 회수할 수 있습니다. 실제로는 모집된 무지한 제3자가 작업을 수행하며 조직 자체에는 거의 경제적 손실이 없습니다."라고 말했습니다.

또한 드리프트와의 장기 협력 과정에서 해당 팀은 자사 개발 도구를 보여주겠다는 명목으로 GitHub에 저장된 코드 프로젝트와 애플리케이션을 공유했습니다. 당시 상황으로 보아 협력자 간에 서로의 코드를 확인하는 것은 매우 자연스러운 일이었습니다. 그러나 드리프트의 후속 조사에서 한 기여자가 복사한 GitHub 코드 프로젝트에 악성 코드가 포함되어 있었고, 다른 기여자는 지갑 제품으로 가장한 TestFlight 애플리케이션을 다운로드하도록 유도되었습니다.

코드 프로젝트 경로가 방어하기 어려운 이유는 그것이 개발자의 일상 작업 흐름에 완전히 내재화되어 있기 때문입니다. 개발자는 일상적으로 코드를 작성할 때 거의 항상 VSCode나 Cursor와 같은 코드 편집기를 사용하며, 이를 엔지니어의 워드 프로세서로 생각할 수 있습니다. 매일 열어 사용해야 합니다.

안전 연구 커뮤니티는 2025년 말 이러한 편집기에서 심각한 취약점이 발견되었다고 밝혔습니다. 개발자가 다른 사람이 공유한 코드 프로젝트를 열 때, 프로젝트에 숨겨진 악성 명령이 자동으로 백그라운드에서 실행되며, 이 과정은 완전히 은폐될 수 있습니다. 화면에 확인 창이 나타나지 않으며, 동의 버튼을 클릭할 필요도 없고 경고도 없습니다. 개발자는 단순히 "코드를 보고 있다"고 생각하지만, 실제로는 컴퓨터에 백도어가 심어져 있습니다. 공격자는 이 취약점을 이용하여 악성 소프트웨어를 개발자가 매일 수행하는 일상 작업에 숨겼습니다.

4월 1일 드리프트 공격 사건이 발생할 때까지 공격자 팀의 텔레그램 채팅 기록과 모든 악성 소프트웨어의 흔적은 완전히 삭제되었고, 2.85억 달러의 결핍만 남았습니다.

드리프트는 빙산의 일각일까요?

암호화폐 산업 긴급 안전 대응 조직 SEAL 911의 조사에 따르면, 이번 공격은 2024년 10월 라디언트 캐피탈 해킹 사건과 동일한 위협 행위자에 의해 발생했습니다. 연관 근거로는 체인 상의 자금 흐름(이번 작전을 준비하고 테스트하는 데 사용된 자금이 라디언트 공격자에게서 추적 가능함)과 행동 패턴(이번 작전에서 배치된 인물과 알려진 북한 관련 활동 간의 식별 가능한 중복)이 포함됩니다. 드리프트가 고용한 유명한 보안 포렌식 회사인 만디언트(현재 구글 소속)는 이전에 라디언트 사건을 북한 국가 관련 조직 UNC4736에 귀속시켰지만, 만디언트는 아직 드리프트 사건에 대한 공식적인 귀속을 하지 않았으며, 완전한 장비 포렌식이 진행 중입니다.

특히 회의에 직접 참석한 개인은 북한 국민이 아닙니다. 스티븐은 "북한 해커를 일반 해커 조직으로 보아서는 안 되며, 정보 기관으로 간주해야 합니다. 이는 수천 명이 조직적으로 분업화된 대규모 조직입니다. 북한 해커 라자루스는 국제 안전 분야에서 공식 코드명이 APT38이며, 북한의 또 다른 관련 조직 킴수키의 코드명은 APT43입니다."라고 말했습니다.

이것은 그들이 오프라인에서 실제 사람을 배치할 수 있는 이유를 설명합니다. 그들은 다양한 명목으로 해외에 회사를 설립하고 현지 인력을 모집하며, 이들은 자신이 누구를 위해 일하고 있는지 전혀 모를 수도 있습니다. "그는 자신이 정상적인 원격 근무 회사에 가입했다고 생각할 수 있으며, 1년 후 고객을 만나기 위해 파견되었을 때 모든 것이 정상적으로 보이지만, 그 뒤에는 해커 조직이 있습니다. 사법 기관이 조사하러 오면 그 사람은 아무것도 모릅니다."

현재 드리프트는 빙산의 일각일 수 있습니다.

드리프트 사건이 단일 프로토콜의 취약점을 드러냈다면, 이후 조사 결과는 더 큰 문제를 지적합니다. 같은 방식이 이미 전체 DeFi 생태계에서 수년간 운영되었을 가능성이 있습니다.

블록체인 연구원 타이바노의 조사에 따르면, 2020년 DeFi의 급속한 확장 이후 북한 IT 작업자와 관련된 코드 기여가 여러 유명 프로젝트에 퍼져 있습니다. 여기에는 SushiSwap, THORChain, Harmony, Ankr 및 Yearn Finance가 포함됩니다.

이들의 수법은 드리프트 사건과 유사합니다: 위조 신분을 사용하여 자유 계약 플랫폼과 직접 연락을 통해 개발 역할을 얻고, Discord 채널, 개발자 커뮤니티에 들어가거나 개발자 회의에 참석합니다. 일단 프로젝트 내부에 들어가면, 그들은 코드를 기여하고 개발 주기에 참여하며 팀과 신뢰를 구축하여 전체 프로토콜 구조를 파악하고 기회를 엿봅니다.

스티븐은 전통적인 정보 기관에서는 그들이 평생 잠복할 수 있으며, 다음 세대가 이전 세대의 미완성 임무를 계속 수행할 수 있다고 생각합니다. Web3 프로젝트는 그들에게 시간은 짧고 수익은 크며, 원격 근무의 특성으로 인해 한 사람이 여러 프로젝트에서 여러 역할을 동시에 수행할 수 있습니다. 이는 Web3 산업에서 매우 흔하며 전혀 의심을 불러일으키지 않습니다.

"북한 해커 조직은 모든 Web3 프로젝트를 공격 범위에 포함시키고, 각 프로젝트를 면밀히 선별하며 팀 구성원의 정보를 수집합니다. 그들은 프로젝트에 대한 이해가 프로젝트 측보다 더 깊습니다."라고 스티븐은 말했습니다. Web3가 주요 목표가 되는 이유는 이 생태계의 자금 규모가 크고, 전 세계적으로 통일된 규제가 부족하며, 원격 근무가 일반화되어 협력자와 직원의 실제 신원을 검증하기 어려운 점, 그리고 종사자들이 대체로 젊고 사회 경험이 부족한 특성이 북한 정보 기관에 이상적인 침투 환경을 제공하기 때문입니다.

해킹 사건은 빈번하게 발생하고, 프로젝트 측은 수동적으로 대처할 수밖에 없을까요?

최근 몇 년간의 주요 사건을 돌아보면, 사회 공학은 항상 북한 해커 그룹의 핵심 수단이었습니다. 최근 바이낸스 창립자 CZ의 회고록 《바이낸스 인생》이 출간되었는데, 이 책에서는 2019년 5월 바이낸스가 7000 비트코인을 도난당한 과정을 회고하고 있습니다. CZ에 따르면, 해커는 먼저 고급 바이러스를 통해 여러 직원의 노트북에 침투한 후, 출금 프로세스의 마지막 단계에서 악성 명령을 심어 새벽 1시에 핫 월렛에서 모든 7000 비트코인을 도난당했습니다(당시 가치는 약 4000만 달러). CZ는 책에서 공격 수법을 보아 해커가 바이낸스 네트워크에 일정 기간 잠복해 있었으며, 북한 라자루스의 소행일 가능성이 높고, 내부 직원에게 뇌물을 제공했을 수도 있다고 의심했습니다.

2022년의 로닌 네트워크 사건도 전형적인 사례입니다. 로닌은 인기 체인 게임 액시 인피니티의 뒤에 있는 사이드 체인으로, 게임 내 모든 자산의 크로스 체인 전송을 처리합니다. 당시 잠금 자금 규모가 방대했습니다. 공격의 원인은 한 개발자가 유명 회사에서 온 고액 연봉 직무 초청장을 받았고, 면접 과정에서 악성 프로그램이 포함된 파일을 다운로드하여 공격자가 내부 시스템 권한을 얻은 후 결국 6.25억 달러를 도난당한 것입니다.

2023년의 CoinsPaid 사건의 수법도 거의 유사합니다. CoinsPaid는 암호화폐 결제를 처리하는 서비스 제공업체로, 공격자는 위조된 채용 프로세스를 통해 직원에게 접근하여 악성 소프트웨어를 설치하도록 유도한 후 시스템에 침입했습니다. 더 최근의 해킹 수법은 더욱 다양해졌습니다: 위조된 영상 통화, 해킹된 소셜 계정, 회의 소프트웨어로 가장한 악성 프로그램 등이 있습니다.

피해자는 정상적인 Calendly 회의 링크를 받았고, 클릭하면 위조된 회의 애플리케이션을 설치하도록 유도되어 악성 소프트웨어가 지갑, 비밀번호, 시드 문구 및 통신 기록을 탈취합니다. 추정에 따르면, 이러한 수법만으로 북한 해커 그룹은 3억 달러 이상을 탈취했습니다.

또한 도난당한 자금의 최종 행선지도 주목할 만합니다. 스티븐은 도난당한 자금은 결국 북한 정부의 통제 하에 들어간다고 말했습니다. 자금 세탁은 조직 내 전담 팀이 수행하며, 그들은 스스로 믹서기를 개설하고 여러 거래소에 가짜 신분으로 계좌를 개설하는 복잡한 프로세스를 가지고 있습니다: 자금은 도난당한 직후 믹서기를 통해 세탁되고, 프라이버시 코인으로 교환된 후 다양한 DeFi 프로젝트를 통해 크로스 체인 전송되며, 거래소와 DeFi 간에 반복적으로 유통됩니다.

"전체 과정은 약 30일 이내에 완료되며, 최종 자금은 동남아시아의 카지노, KYC가 필요 없는 소형 거래소, 그리고 홍콩 및 동남아 지역의 OTC 서비스 제공업체에 도달하여 현금으로 인출됩니다."

그렇다면 이러한 새로운 위협 모델에 직면했을 때, 상대는 단순한 공격자가 아니라 참여자이기도 하며, 암호화폐 산업은 어떻게 대응해야 할까요?

스티븐은 대규모 자금을 관리하는 프로젝트 측은 전문 보안 팀을 고용해야 하며, 팀 내부에 전담 보안 직책을 두고 모든 핵심 구성원이 엄격한 보안 규칙을 준수해야 한다고 강조했습니다. 특히 중요한 것은 개발 장비와 재무 서명을 담당하는 장비는 엄격한 물리적 분리를 이루어야 한다는 점입니다. 그는 드리프트 사건에서 한 가지 중요한 문제는 이미 시간 잠금의 완충 메커니즘이 취소되었다는 점을 언급하며, "이것은 어떤 경우에도 취소되어서는 안 됩니다."라고 말했습니다.

그러나 그는 북한 정보 기관이 정말로 깊이 잠복하려 한다면, 엄격한 배경 조사를 하더라도 완전히 식별하기는 어렵다고 인정했습니다. 하지만 보안 팀을 도입하는 것은 여전히 중요하다고 강조했습니다. 그는 프로젝트 측에 블루 팀(즉, 사이버 공격 방어 팀)을 도입할 것을 권장했습니다. 블루 팀은 장비와 행동의 안전성을 높이는 데 도움을 줄 뿐만 아니라, 주요 노드를 지속적으로 모니터링하여 이상 변동이 발생할 경우 즉시 공격을 발견하고 대응할 수 있습니다. "프로젝트 측의 자체 보안 능력만으로는 이러한 수준의 공격을 저지하기에 부족합니다."

그는 또한 현재 북한의 사이버 전쟁 능력이 전 세계에서 다섯 손가락 안에 들며, 미국, 러시아, 중국, 이스라엘 다음이라고 덧붙였습니다. 이러한 수준의 상대에 직면했을 때, 단순한 코드 감사는 전혀 충분하지 않습니다.