Drift Protocol $2억8500만 해킹 심층 분석: 북한 6개월 사회공학 작전의 전말

서론: 12분 만에 사라진 2억8500만 달러

2026년 4월 1일, 솔라나 생태계 최대 파생상품 거래소인 Drift Protocol에서 단 12분 만에 약 2억8500만 달러 규모의 사용자 자산이 증발했습니다. 만우절에 벌어진 이 사건은 처음에는 악질적인 장난처럼 보였으나, 곧 2026년 들어 가장 큰 DeFi 해킹이자 2022년 3억2600만 달러 규모의 웜홀(Wormhole) 브리지 사건에 이은 솔라나 역사상 두 번째로 큰 익스플로잇으로 확인되었습니다.

Drift Protocol은 4월 2일 공식 성명을 통해 공격 사실을 확인했으며, 며칠 뒤 TRM Labs와 Elliptic은 이번 공격이 북한(DPRK) 정찰총국 산하 국가 지원 해킹 그룹인 UNC4736(AppleJeus, Citrine Sleet, Golden Chollima, Gleaming Pisces 등으로도 추적됨)의 소행일 가능성이 매우 높다는 분석 결과를 발표했습니다. The Hacker News와 CoinDesk의 보도에 따르면, 이번 공격은 2025년 가을부터 무려 6개월간 치밀하게 준비된 사회공학(Social Engineering) 작전의 최종 단계였습니다.

배경: DeFi를 노리는 북한 국가 해킹의 진화

북한 연계 해커 그룹들의 암호화폐 탈취는 이제 산업의 가장 심각한 체계적 위협으로 자리잡았습니다. Chainalysis가 발표한 2026년 보고서에 따르면, 2025년 한 해 동안 전 세계 암호화폐 해킹 피해액은 약 34억 달러에 달했으며, 이 중 북한 연계 그룹의 탈취 금액만 20억2000만 달러로 전체의 60%에 육박했습니다. 2022년 로닌 브리지 사건(6억2500만 달러), 2024년 DMM 비트코인 사건(3억500만 달러)에 이어 Drift 사건은 북한의 공격 전술이 단순한 기술적 익스플로잇에서 장기 침투형 첩보 작전으로 진화하고 있음을 보여줍니다.

MetaMask 보안 연구원 Taylor Monahan은 Cointelegraph와의 인터뷰에서 "북한 IT 노동자들은 최소 2020년 디파이 서머 이후부터 수십 개의 DeFi 프로젝트에 개발자나 컨트리뷰터로 조용히 침투해 왔으며, 현재까지 약 40개 이상의 프로젝트가 이들에 의해 고용되었을 가능성이 있다"고 경고했습니다. 이러한 장기 침투는 단기간 공격으로는 접근할 수 없는 멀티시그 서명자의 신뢰 관계를 무기화하는 새로운 공격 표면을 만들어냅니다.

핵심 분석: 세 갈래 공격 벡터의 정교한 결합

1단계: 사회공학 — "퀀트 펀드"로 위장한 6개월간의 포석

2025년 가을, 공격자들은 정체불명의 퀀트 트레이딩 펌을 가장해 Drift 핵심 기여자들에게 접근하기 시작했습니다. Elliptic의 조사에 따르면, 이들은 여러 국가의 주요 암호화폐 컨퍼런스에 나타나 특정 Drift 컨트리뷰터들과 대면 네트워킹을 하고, 프로토콜 통합을 명분으로 기술 워킹 세션을 지속적으로 진행했습니다. 신뢰 확보를 위해 이들은 Drift의 Ecosystem Vault에 자기 자금 100만 달러 이상을 직접 예치하는 대담한 행보까지 보였습니다. 6개월에 걸친 이 '투자'는 결국 2억8500만 달러라는 수익을 회수하기 위한 밑밥이었던 셈입니다.

2단계: 가짜 자산 CarbonVote Token(CVT)과 오라클 조작

공격자들은 **CarbonVote Token(CVT)**이라는 완전히 가공의 자산을 만들어냈습니다. 750만 유닛을 발행한 뒤, 솔라나 DEX인 Raydium에 수천 달러 수준의 초소액 유동성만 공급하고 워시 트레이딩(wash trading)으로 가격을 1달러 근처로 인위적으로 유지했습니다. 문제는 Drift의 오라클 설계가 이 인위적 신호를 실제 시장 가격으로 받아들였다는 점입니다. Chainalysis는 "최소 유동성 임계치, 시간 가중 평균 가격(TWAP) 검증, 서킷 브레이커 같은 방어 레이어가 오라클에 내장되지 않아 공격자가 수천 달러 규모의 자산을 수억 달러어치 담보로 둔갑시킬 수 있었다"고 분석했습니다.

3단계: Durable Nonce와 Security Council 이관이라는 거버넌스 트랩

가장 정교한 부분은 솔라나의 합법적 기능인 durable nonce(만료되지 않는 사전 서명 트랜잭션)를 악용한 거버넌스 공격이었습니다. 3월 23일부터 30일 사이, 공격자들은 여러 durable nonce 계정을 생성하고 Drift Security Council 멀티시그 서명자들을 사회공학적으로 유인해 '정기 운영'으로 보이지만 실제로는 관리자 권한 변경 권한이 숨겨진 트랜잭션에 사전 서명하도록 만들었습니다. 결정타는 3월 27일 발생했습니다. Drift는 Security Council 구성을 새로운 2/5 임계값으로 마이그레이션하면서 타임락(timelock)을 0으로 설정했고, 이로 인해 커뮤니티가 비정상 트랜잭션을 탐지하고 개입할 수 있는 마지막 방어선이 사라졌습니다.

4월 1일, 공격자는 조작된 오라클 가격을 기반으로 한 CVT 담보 포지션을 활용해 31건의 연속 출금을 실행했고, USDC, JLP, 기타 블루칩 자산을 포함한 약 2억8500만 달러 규모의 실자산을 12분 만에 인출했습니다. The Cyber Express의 보도에 따르면, 공격 전 과정은 사전에 준비된 스크립트처럼 매끄럽게 진행되었습니다.

시장 영향: DRIFT 토큰 40% 폭락과 솔라나 DeFi TVL 유출

해킹 소식이 전해진 직후 DRIFT 거버넌스 토큰은 역대 최저가를 경신했습니다. CoinGecko 기준 DRIFT 가격은 4월 2일 $0.029 수준까지 추락하며 지난 24시간 -24.3%, 주간 기준 -34.3% 하락을 기록했고, CCN은 이를 토큰 출시 이후 최저 수준이라고 보도했습니다. SOL 자체도 이번 사건의 영향에서 자유롭지 못해 4월 초 일시적으로 5% 이상 조정을 받았으며, 솔라나 DeFi TVL은 사건 발생 24시간 만에 약 8억 달러가 빠져나갔습니다.

온체인 데이터 분석 업체 Arkham과 MEXC에 따르면, Drift는 이미 탈취 자금이 흘러 들어간 4개의 주요 지갑을 공개적으로 지목했으며, 일부 자금은 이더리움 브리지를 통해 이동한 뒤 믹서와 DeFi 스왑을 거쳐 세탁되고 있는 것으로 파악됩니다. TRM Labs는 "이는 북한이 과거 로닌, 아토믹 월렛 사건에서 사용한 세탁 패턴과 동일하며, 최종적으로는 북한의 핵·미사일 프로그램 자금으로 전용될 가능성이 높다"고 평가했습니다.

전망과 시사점: STRIDE 프로그램과 DeFi 보안 패러다임 전환

Drift Protocol은 4월 8일 Asymmetric Research 및 OtterSec과의 공동 복구 플랜을 발표했고, 솔라나 재단이 새로 출범한 STRIDE(Solana Threat Response and Integrated Defense Ecosystem) 프로그램에 참여한다고 밝혔습니다. STRIDE는 Asymmetric Research와 공동 운영되며 종합 보안 평가, 지속적 위협 모니터링, 자격을 갖춘 DeFi 프로토콜에 대한 구조적 지원을 제공하는 것을 목표로 합니다. 다만 현재까지 구체적인 사용자 보상 메커니즘은 확정되지 않았으며, Drift Foundation 트레저리와 보험 기금만으로는 2억8500만 달러의 손실을 전액 보전하기 어려운 상황으로 알려졌습니다.

이번 사건은 DeFi 보안 패러다임에 세 가지 근본적 전환을 요구합니다. 첫째, 스마트 컨트랙트 감사만으로는 충분하지 않다는 점이 명확해졌습니다. 공격 벡터는 코드가 아니라 인간의 신뢰였습니다. 둘째, 멀티시그 거버넌스에 대한 재설계가 필요합니다. 타임락 0, durable nonce 허용, 2/5 낮은 임계값 같은 편의성 우선 설계는 국가 수준 공격자 앞에서 치명적 취약점이 됩니다. 셋째, 컨트리뷰터 배경 검증과 하드웨어 격리 환경이 산업 표준이 되어야 합니다. CCN이 제안한 이른바 "김정은 테스트" — 즉 특정 액션이 북한 국가 해커에게도 안전한가 자문하는 절차 — 가 프로토콜 운영의 기본 프레임워크가 될 것으로 보입니다.

결론: 신뢰가 공격 표면이 된 시대

Drift Protocol 해킹은 단순한 익스플로잇이 아니라 6개월에 걸친 국가급 첩보 작전의 결과물입니다. 투자자 관점에서는 세 가지 교훈이 남습니다. 첫째, 솔라나를 비롯한 고성능 체인의 durable nonce 같은 편의 기능은 그 자체로 공격 표면이 될 수 있으므로 프로토콜 거버넌스 구조를 반드시 확인해야 합니다. 둘째, 대규모 TVL을 보유한 DeFi 프로토콜의 이벤트 리스크는 상시적이며, 단일 프로토콜에 대한 과도한 집중 투자는 재고할 필요가 있습니다. 셋째, 보안 사고 이후의 회복 여부는 기술적 패치보다 커뮤니티 신뢰 회복과 실질적 보상 플랜에 달려 있습니다. DRIFT 토큰의 향후 가격 움직임은 STRIDE 프로그램 가동 결과와 보상 메커니즘 발표를 지켜봐야 할 것입니다.