드리프트 프로토콜의 2억 8500만 달러 해킹, 6개월에 걸쳐 계획된 것으로 북한 그룹이 지목됐다

2026년 4월 1일 이용 of 솔라 나약 2억 8500만 달러의 자금을 플랫폼에서 빼돌린 드리프트 프로토콜(Drift Protocol) 공격은 우발적인 공격이 아니었습니다. 드리프트의 예비 조사에 따르면, 조사이는 최소 6개월 전에 시작된 조직적인 정보 작전의 결과이며, 북한 정부와 연계된 위협 단체인 UNC4736(애플지어스 또는 시트린 슬리트라는 이름으로도 추적됨)의 소행으로 중상급의 확신을 가지고 분석되었습니다.

드리프트 프로토콜 해킹은 실제로 어떻게 시작되었을까요?

드리프트 프로토콜 팀에 따르면, 이 공격은 2025년 가을 주요 암호화폐 컨퍼런스에서 시작되었는데, 당시 양적 거래 회사라고 주장하는 사람들이 드리프트 기여자들에게 접근했습니다. 그 후 벌어진 일은 단순한 피싱 시도가 아니었습니다. 여러 국가에서 열린 여러 업계 컨퍼런스에서 여러 차례 직접 만나 관계를 구축하는, 수개월에 걸친 치밀한 계획적 캠페인이었습니다.

해당 그룹은 기술적으로 능숙했고, 검증 가능한 전문 경력을 보유했으며, 드리프트 운영 방식에 대해 상세한 이해를 보여주었습니다. 첫 만남 이후 텔레그램 그룹이 개설되었고, 거래 전략 및 금고 통합에 대한 심도 있는 논의가 수개월 동안 지속되었습니다. 드리프트 팀은 이러한 상호 작용이 합법적인 거래 회사들이 일반적으로 프로토콜을 사용하는 방식과 완전히 일치한다고 평가했습니다.

2025년 12월부터 2026년 1월까지, 해당 그룹은 Drift에 에코시스템 볼트를 구축했습니다. 이 과정에는 공식 신청서를 통해 전략 세부 정보를 제출하고, Drift 기여자들과 여러 차례 워크숍에 참여하며, 100만 달러 이상의 자체 자본을 예치하는 것이 포함되었습니다. 그들은 신중하고 인내심 있게 프로토콜 내에서 실질적인 운영 기반을 구축했습니다.

작전 개시 전 마지막 몇 달

통합 관련 논의는 2026년 2월과 3월에 걸쳐 계속되었습니다. 드리프트(Drift)의 참여자들은 주요 업계 행사에서 해당 그룹의 구성원들을 직접 다시 만났습니다. 4월이 되자 관계는 거의 6개월 동안 이어져 왔습니다. 이들은 낯선 사람들이 아니었습니다. 드리프트 팀이 함께 일했고 여러 차례 직접 만난 적이 있는 사람들이었습니다.

이 기간 동안 그룹은 자신들이 개발 중이라고 주장하는 프로젝트, 도구 및 애플리케이션에 대한 링크를 공유했습니다. 이러한 리소스 공유는 거래 회사 간의 관계에서 일반적인 관행이며, 바로 이러한 점 때문에 효과적인 전달 메커니즘이 될 수 있었습니다.

기술적 공격 경로는 무엇이었습니까?

4월 1일 공격 이후, Drift는 영향을 받은 기기, 계정 및 통신 기록에 대한 포렌식 조사를 실시했습니다. 공격 그룹이 사용한 텔레그램 채팅 기록과 악성 소프트웨어는 공격 발생 직후 완전히 삭제된 것으로 확인되었습니다. Drift의 조사 결과, 세 가지 주요 침입 경로를 파악했습니다.

• 한 기여자가 해당 그룹이 공유한 코드 저장소를 복제한 후 보안에 노출되었을 가능성이 있는데, 이 저장소는 해당 그룹의 데이터 저장소용 프런트엔드 배포 도구로 위장되어 있었습니다.
• 두 번째 참여자는 해당 그룹이 지갑 제품이라고 설명한 TestFlight 애플리케이션을 다운로드하도록 유도되었습니다. TestFlight는 Apple이 iOS 앱의 베타 버전을 일반에 공개하기 전에 배포하는 플랫폼입니다.
• 저장소 기반 공격의 경우, 유력한 공격 메커니즘은 보안 연구원들이 2025년 12월부터 2026년 2월 사이에 적극적으로 보고했던 VSCode 및 Cursor 코드 편집기의 알려진 취약점입니다. 해당 편집기에서 파일, 폴더 또는 저장소를 열기만 하면 사용자에게 아무런 메시지, 경고, 권한 확인 대화 상자 또는 시각적 표시 없이 임의 코드가 실행됩니다.

해당 하드웨어에 대한 종합적인 포렌식 분석은 이 기사가 발행될 당시에도 여전히 진행 중이었습니다.

공격은 얼마나 빠르게 실행되었습니까?

준비 과정은 6개월이 걸렸을지 모르지만, 실행은 신속했습니다. 프로토콜에 대한 관리자 제어권이 확보되자마자 실제 사용자 자금은 12분도 채 안 되어 빠져나갔습니다. 드리프트(Drift)의 총 예치 자산(TVL)은 약 5억 5천만 달러에서 1시간도 안 되어 3억 달러 미만으로 급락했습니다. 드리프트 토큰 가격은 이 사건 발생 당시 40% 이상 폭락했습니다. 보안 회사 펙쉴드(PeckShield)는 총 손실액이 2억 8천 5백만 달러를 넘어섰으며, 이는 당시 프로토콜 TVL의 50% 이상에 해당한다고 확인했습니다.

드리프트 팀은 혼란이 가중되는 와중에 X 플랫폼에 게시물을 올려 상황이 심각함을 알렸습니다. "이것은 만우절 농담이 아닙니다. 추후 공지가 있을 때까지 주의하시기 바랍니다." 조사가 시작되면서 모든 입금 및 출금이 중단되었습니다.

유망한 프로젝트를 발견하세요...

유망한 프로젝트...

(광고)

기사는 계속됩니다...

2억 8500만 달러는 어디로 갔을까요?

공격자는 공격 후 자금 흐름을 신속하게 은폐했습니다. 탈취한 자산은 USDC와 SOL로 변환된 후, 서클(Circle)의 크로스체인 전송 프로토콜(CCTP)을 사용하여 솔라나(Solana)에서 이더리움(Ethereum)으로 전송되었습니다. CCTP는 USDC가 래핑(wrapping) 없이 서로 다른 블록체인 간에 이동할 수 있도록 하는 서클의 자체 브리징 인프라입니다. 이더리움에서 자금은 ETH로 변환되었습니다. 온체인 추적 결과, 공격자는 최종적으로 129,066 ETH를 축적했으며, 이는 당시 약 2억 7,300만 달러에 해당합니다.

공격자는 HyperLiquid와 Binance 모두에 SOL을 입금하여 여러 플랫폼에 걸쳐 활동을 분산시킴으로써 추적을 더욱 어렵게 만들었습니다.

Circle은 충분히 빠르게 대응했습니까?

온체인 조사관인 ZachXBT는 이번 해킹 사건 이후 Circle을 공개적으로 비판하며, 대량의 도난당한 USDC가 미국 업무 시간 중에 동결되지 않고 솔라나에서 이더리움으로 이체되었다고 지적했습니다. ZachXBT는 Circle이 최근 비공개로 진행된 미국 민사 소송에서 서로 관련 없는 16개 기업의 핫월렛을 동결한 사례와 비교하며, Circle은 기술적 능력과 명확한 선례가 있었음에도 불구하고 피해를 최소화하기 위해 충분히 신속하게 조치를 취하지 못했다고 주장했습니다.

이번 공격의 배후는 누구인가?

SEALS 911 팀의 조사 결과를 바탕으로, 드리프트의 조사는 이번 작전이 2024년 10월 래디언트 캐피털 해킹 사건을 일으킨 동일한 위협 행위자들의 소행이라는 결론을 내렸습니다. 당시 맨디언트는 북한 정부와 연계된 UNC4736이라는 단체의 소행이라고 공식적으로 발표했습니다.

이러한 연결의 근거는 온체인 및 운영 측면 모두에 있습니다. 드리프트 작전의 실행 및 테스트에 사용된 자금 흐름은 래디언트 공격자들과 연결된 지갑으로 추적되었습니다. 또한, 드리프트 캠페인 전반에 걸쳐 사용된 페르소나는 북한과 연관된 것으로 알려진 활동 패턴과 식별 가능한 중복점을 보입니다.

드리프트 팀에서 밝힌 중요한 사실은 컨퍼런스에 직접 참석한 사람들은 북한 국적자가 아니었다는 점입니다. 북한과 연계된 위협 행위자들은 이러한 수준의 작전에서 실제 요원들은 거리를 두고 제3자를 통해 대면 관계 구축을 진행하는 것으로 알려져 있습니다.

Mandiant는 공식적으로 조사에 참여하고 있지만, Drift 취약점의 공식적인 배후를 아직 밝히지 않았습니다. 이를 위해서는 기기 포렌식 분석이 완료되어야 하며, 현재 분석이 진행 중입니다.

현재 대응 조치

이 글이 발행될 시점을 기준으로, Drift는 다음과 같은 조치를 취했습니다.

• 나머지 모든 프로토콜 기능이 정지되었습니다.
• 손상된 지갑은 멀티시그에서 제거되었습니다.
• 공격자의 지갑이 여러 거래소와 브릿지 운영업체에서 감지되었습니다.
• Mandiant는 주요 포렌식 파트너로 선정되었습니다.

Drift는 생태계 내 다른 팀들이 이러한 유형의 공격이 실제로 어떤 모습인지 이해하고 그에 따라 스스로를 보호하기 위한 조치를 취할 수 있도록 이러한 세부 정보를 공개적으로 공유한다고 밝혔습니다.

맺음말

드리프트 프로토콜 해킹 사건은 단순히 감사 과정에서 발견된 코드 취약점에 대한 이야기가 아닙니다. 이는 지속적인 인간의 기만 행위에 대한 이야기입니다. 공격자들은 직접 만남, 금고 시스템 통합, 그리고 100만 달러가 넘는 자체 자금을 예치하는 등 6개월 동안 신뢰를 구축한 후, 단 12분 만에 2억 8500만 달러를 빼돌리는 데 성공했습니다.

 악성 코드 저장소와 가짜 TestFlight 앱이라는 기술적 공격 수단이 효과적이었던 이유는, 그것들을 열기 위해 필요한 신뢰가 이미 신중하게 구축되어 있었기 때문입니다. 

DeFi 프로토콜의 경우, 이번 사례에서 얻을 수 있는 교훈은 명확합니다. 공격 대상은 스마트 계약에만 국한되지 않습니다. 모든 기여 기기, 모든 제3자 저장소, 그리고 업계 컨퍼런스에서 구축된 모든 관계까지 포함됩니다. UNC4736은 2024년 10월 Radiant Capital과 2026년 4월 Drift에서 두 차례에 걸쳐 동일한 인내심과 풍부한 자원을 투입한 접근 방식으로 이를 입증했습니다.

리소스

1. X의 드리프트 프로토콜3월 5일 게시글

2. X의 PeckShield: 게시물 (4월 1-2일)

3. X의 Lookonchain: 게시물 (4월 1-2일)