북한이 가짜 토큰을 만들어 드리프트 프로토콜에서 2억 8600만 달러를 훔쳤으며, 인공지능(AI)은 이러한 공격 비용을 더욱 저렴하게 만들고 있습니다

올해 최대 규모의 DeFi 해킹 사건이 지난주 4월 1일에 발생했습니다. solana 네트워크에서 가장 악명 높은 탈중앙화 거래소(DEX) 중 하나인 드리프트 프로토콜(Drift Protocol)이 공격을 받아 약 2억 8,600만 달러가 사라진 것입니다. 이 공격은 북한과 연계된 해커들의 소행으로 추정되며, 전체 해킹 과정은 단 10초 만에 이루어졌습니다. 하지만 이 해킹에서 놀라운 점은 매우 치밀하게 계획되었다는 것입니다. 어떤 코드도 훼손되지 않았고, 스마트trac에도 버그가 없었습니다. 엘립틱(Elliptic)과 TRM 랩스(TRM Labs) 같은 암호화폐 포렌식 업체들의 조사 결과, 실제 공격은 훨씬 더 치밀하게 계획된 것으로 나타났습니다. 

북한 공격자들은 CarbonVote라는 가짜 토큰을 제작하는 데 3주를 소요했습니다. 가짜 토큰처럼 보이도록 수천 달러를 투입하는 한편, Drift의 다중 서명 보안 위원회 서명자 5명 중 2명을 사회공학적 기법을 이용해 그들이 완전히 이해하지 못한 숨겨진 권한에 미리 서명하도록 유도했습니다. 그 후, Solana 나의 "내구성이 뛰어난 논스(durable nonces)" 기능을 사용하여 해당 서명들을 일주일 이상 보관하고 적절한 순간을 기다렸습니다. 그리고 4월 1일, 단 한 번의 거래로 모든 것이 해결되었습니다. 

Elliptic 이 지적했듯이 , 이번 공격은 올해 북한과 연관된 18번째 암호화폐 해킹으로, 암호화폐 시장에서 약 3억 달러의 손실을 초래했습니다. 해킹 발생 4일 후, Ledger의 CTO는 이번 해킹의 심각성을 강조하며 AI 기술 덕분에 이러한 공격으로 인한 손실이 "제로"에 가까워지고 있다고 밝혔습니다. 이 발언은 Drift 해킹 사건이 현재 이러한 공격 방식이 어떻게 작동하는지 보여주는 사례 연구라는 점에서 매우 중요합니다. 공격자들은 제로데이 취약점이나 최고 수준의 암호학자가 필요하지 않았습니다. 그들에게 필요한 것은 인내심, 그럴듯한 가짜 토큰, 그리고 조종할 수 있는 두 명의 사람뿐이었습니다. 이번 해킹은 현재 DeFi DeFi 는 수십억 달러 규모의 인프라를 구축하면서 소수의 사람들을 속이는 방식을 사용하고 있는데, 공격자들은 이러한 속임수에 점점 더 능숙해지고 있습니다.

북한이 10초 만에 2억 8600만 달러를 훔친 방법 

드리프트 프로토콜 해킹은 3주간의 준비 기간을 거친 정교한 공격이었습니다. 블룸버그는 4월 1일 이 해킹 사건을 처음 보도했으며, 당시 드리프트 프로토콜 측은 약 2억 8,600만 달러 상당의 사용자 자산이 유출되었다고 확인했습니다. 이 공격은 사실 3월 11일 오전 9시경(평양 시간)에 공격자가 토네이도 Cash 가짜 토큰인 카본보트(CVT)를 배포하면서 시작되었습니다. 이 가짜 토큰은 수천 달러의 유동성으로 초기 자금을 조달하고 가장매매를 통해 유지되는 완전히 허구적인 자산이었습니다.

3월 23일부터 3월 30일까지 약 2주 동안 공격자는 Solana 네트워크의 합법적인 기능인 영구 논스 계정을 개설했습니다. 이 기능을 통해 거래는 미리 서명되어 defi TRM 랩이 바와 같이 중요한 관리자 권한을 위한 숨겨진 권한이 포함된 거래를 승인하도록 유도했습니다.

마지막 퍼즐 조각은 3월 27일에 맞춰 Drift가 보안 위원회를 타임락이 없는 새로운 2/5 임계값 구성으로 이전하면서 맞춰졌습니다. BlockSec 이는 다가올 일을 알아챌 수 있는 유일한 지연 요소를 사실상 제거한 것입니다. 4월 1일이 되었을 때는 이미 함정은 며칠 전부터 완전히 설치되어 있었습니다.

4월 1일, 공격자는 사전 서명된 승인을 이용해 CarbonVote를 유효한 담보로 등록하고, 조작된 오라클 가격을 통해 그 가치를 수억 달러로 부풀린 후 거버넌스 권한을 장악했습니다. 이후 31건의 출금 거래로 Drift의 금고가 순식간에 비워졌습니다. 가장 큰 규모의 출금에는 1억 5,500만 달러 상당의 JLP 토큰을 비롯해 수천만 달러 상당의 USDC, SOL, ETH 및 기타 유동성이 높은 스테이킹 토큰이 포함되었으며, 이로 인해 프로토콜의 총 예치금액(TVL)은 약 5억 5천만 달러에서 2억 5천만 달러 미만으로 급락했습니다. 

해킹 속도는 이 이야기의 일부분에 불과합니다. 3주 동안 진행된 치밀한 계획이 단 10초 만에 해킹으로 끝난 것은, 코드가 아닌 거버넌스가 DeFi의 가장 취약한 고리가 될 수 있음을 보여줍니다. 

2026년 북한의 3억 달러 규모 암호화폐 전쟁 

북한과 연계된 공격자들이 저지른 것으로 알려진 이번 해킹은 결코 고립된 사건이 아닙니다. 실제로 지난 몇 년간 발생한 주요 해킹 사건들을 살펴보면, 이는 훨씬 더 큰 규모의 국가 주도 해킹 캠페인의 일부라는 사실이 명백해집니다 dent 엘립틱(Elliptic)에 따르면, 올해에만 드리프트(Drift) 취약점을 이용한 해킹은 북한 소행으로 추정되는 18번째 암호화폐 탈취 사건이며, 올해 지금까지 북한이 빼돌린 자금의 총액은 3억 달러를 넘어섰습니다. 올해뿐만 아니라 그 이후의 상황을 살펴보면, 한 국가에서 발생하는 이러한 규모의 해킹은 결코 무시할 수 없습니다. 작년 한 해 동안 북한과 연계된 공격자들은 TRM 랩(TRM Labs)에 따르면 19억 2천만 달러, 체이나리시스(Chainalysis) 20억 2천만 달러 상당의 암호화폐를 탈취했습니다. 이는 전년 대비 51% 증가한 수치이며, 이들의 누적 탈취액은 67억 5천만 달러에 달합니다.

북한은 2025년 전체 서비스 침해 사고의 76%를 차지하며 기록적인 수치를 기록했는데, 이는 한 국가가 업계에서 발생하는 대부분의 해킹 공격에 책임이 있다는 것을 의미합니다. 이러한 배경 속에서, 2022년 웜홀 해킹 사건에 이어 Solana 생태계 내에서 두 번째로 큰 규모의 공격인 드리프트 해킹은 일련의 공격 패턴에 부합합니다. 

defi 것은 일관성입니다. 2025년 2월에 발생한 역사상 최대 규모의 암호화폐 해킹 사건인 바이비트(Bybit) 해킹은 소셜 엔지니어링, 접근 권한 탈취, 그리고 조직적인 자금 이체를 포함하여 거의 동일한 수법을 사용했습니다. dent 랩스는 북한 해킹 조직들이 자금을 몇 시간 내에 여러 블록체인에 걸쳐 이체하기 위해 "중국 자금 세탁소" 네트워크에 점점 더 의존하고 있다고 지적합니다.

드리프트 공격은 실제로 국가 지원을 받는 팀들이 정찰, 인적 조작, 그리고 이미 구축된 글로벌 자금 세탁 인프라를 활용하여 수주에 걸쳐 작전을 수행하는 시스템을 보여줍니다. 

AI가 공격 비용을 "제로"로 낮추고 있다: 레저 CTO, 경고

드리프트 해킹 사건 발생 4일 후, 레저(Ledger)의 CTO인 찰스 길레멧은 코인데스크와의 이번 사건의 전체적인 맥락을 재조명하는 발언을 dent . 그는 "취약점을 찾아내고 악용하는 것이 정말, 정말 쉬워지고 있다"며 "비용이 거의 0에 가까워지고 있다"고 말했습니다. 길레멧은 드리프트라는 조직명을 직접 언급하지는 않았지만, 그 작동 방식을 정확하게 설명했습니다. 인공지능(AI)은 공격자가 코드 버그를 더 빠르게 찾아내는 데 도움을 줄 뿐만 아니라, 소셜 엔지니어링을 더욱 설득력 있게 만들고, 피싱 공격을 더욱 개인화하며, 북한 해킹 조직이 드리프트 해킹을 위해 3주 동안 공들여 준비했던 작업을 훨씬 저렴하고 대규모로 수행할 수 있도록 만든다는 것입니다. 그는 또한 방어 측면에서도 심각한 문제가 발생할 수 있다고 지적했습니다. 더 많은 개발자가 AI로 생성된 코드에 의존할수록 취약점이 인간 검토자가 잡아낼 수 있는 속도보다 더 빠르게 확산될 수 있다는 것입니다. 그는 "'안전하게 만드는 버튼'은 없다"며 "우리는 설계 단계부터 안전하지 않은 코드를 많이 만들어낼 것"이라고 경고했습니다. 해킹과 악용으로 인해 지난 한 해 동안 14억 달러 상당의 암호화폐 손실이 발생했으며, 기예메는 이러한 손실 곡선이 완만해지기는커녕 더욱 가파르게 상승할 것으로 예상합니다.

드리프트 해킹 사건은 이러한 경고를 입증하는 가장 명확한 사례입니다. 공격자들은 코드를 건드리지 않고, 개인 키를 보유한 두 명의 담당자를 표적으로 삼았습니다. AI는 멀티시그 서명자를 속여 완전히 이해하지 못하는 거래를 승인하게 만들 만큼 충분히 그럴듯한 구실만 만들어낼 수 있다면, 스마트trac을 직접 해킹할 필요가 없습니다. 기예메는 업계가 양분될 것으로 예상합니다. 지갑이나 핵심 프로토콜과 같은 중요 시스템은 보안에 막대한 투자를 하고 변화에 적응하겠지만, 더 넓은 소프트웨어 생태계는 이러한 변화에 발맞추기 어려울 것이라는 전망입니다. 그가 권장하는 해결책, 즉matic증명을 사용한 형식적 검증과 개인 키의 하드웨어 격리는 구조적으로는 견고하지만, 드리프트를 포함한 대부분의 DeFi 프로토콜이 아직 구축하지 못한 수준의 제도적 규율이 필요합니다. 그는 "인터넷에 노출되지 않은 전용 장치가 있으면 설계상 더 안전하다"고 말했습니다. 드리프트 보안 위원회는 그러한 완충 장치가 없었습니다. 두 개의 서명, 타임락 없음, 그리고 가짜 토큰만으로도 충분했습니다.

향후 전망: 드리프트의 복구 및 업계 대응

드리프트 프로토콜의 향후 전망은 불투명하며, 초기 반응만으로도 업계는 양분되고 있습니다. 사태 직후 아나톨리 야코벤코는 잠재적인 복구 방안으로 비트피넥스가 7,200만 달러 해킹 사건 이후인 2016년에 사용했던 방식처럼 피해 사용자들에게 차용증명 방식의 토큰 에어드롭을 실시하는 것을 제안했습니다. 

아이디어는 간단합니다. 손실을 지금 공유하고, 프로토콜이 회복되면 시간이 지남에 따라 사용자에게 상환하는 것입니다. 하지만 상황은 매우 다릅니다. 드리프트의 TVL은 거의 절반으로 줄었고, 입출금은 여전히 중단된 상태이며, 비트피넥스와 달리 이러한 부채를 뒷받침할 중앙 집중식 수익 시스템이 없습니다. 이로 인해 즉각적인 반발이 발생했습니다. 이 경우 IOU 토큰은 상환 경로가 불분명한 순전히 투기적인 수단으로 전락할 위험이 있습니다.

동시에 온체인 활동이 새로운 우려를 불러일으키고 있습니다. 온체인 렌즈(Onchain Lens)는 드리프트(Drift) 팀과 연결된 지갑이 취약점 공격 직후 5,625만 개의 드리프트 토큰(약 244만 달러)을 바이빗(Bybit)과 게이트(Gate)를 포함한 중앙 집중식 거래소로 이체한 것을 포착했습니다. 이러한 움직임은 일반적으로 매도 압력에 앞서 발생하며 유동성 위기 상황에서 내부자 포지션에 대한 추측을 부추깁니다. 

한편, 공격자의 자금은 이미 여러 블록체인, 특히 Ethereum으로 이체되어 시간이 지날수록 의미 있는 복구 가능성이 낮아지고 있습니다. 더 나아가 이번dent 드리프트 사태로 끝나지 않을 것으로 보입니다. 오히려 다중 서명 보안 표준 및 타임락 요건부터 오라클 설계 및 실행 제어에 이르기까지 DeFi 거버넌스 자체에 대한 업계 전반의 검토를 가속화할 가능성이 높습니다. 향후 전망은 세 가지 변수에 달려 있습니다. 드리프트가 신뢰할 만한 복구 계획을 제시할 수 있는지, 자금의 일부를 trac하거나 동결할 수 있는지, 그리고 이번 사건이 구조적 개혁을 강제할지, 아니면 업계가 값비싼 교훈으로만 그칠지 여부입니다.

이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다 .