약 4300억원에 달하는 솔라나(SOL) 기반 탈중앙화 거래소(DEX·Decentralized Exchange) 드리프트 프로토콜 해킹의 배후로 북한 연계 조직이 지목됐다. 이번 해킹 사태는 드리프트 관계자와 실제 만남을 이어가고 신뢰를 쌓은 뒤 탈취한 공작 사례로 기록될 예정이다.
7일 가상 자산 업계에 따르면 드리프트 운영팀은 최근 공식 엑스(X·옛 트위터)를 통해 2억8600만달러(약 4300억원) 규모의 자금 유출 경위를 공개했다. 업계에서는 북한 연계 조직과의 활동 패턴이 유사하다는 점을 근거로 북한 연계 조직인 'UNC4736'이 사건의 배후에 있을 것으로 보고 있다. 글로벌 블록체인 데이터 분석 기업 체이널리시스(chainalysis)는 이번 드리프트 해킹이 북한의 소행으로 드러나면 북한에 의한 전 세계 가상 자산 해킹 피해액은 최소 10조5800억원 규모라고 분석했다.
이번 해킹은 기술적 취약점을 이용하지 않고 사회공학 공격이라는 점에서 눈길을 끌고 있다. 해커들은 퀀트 트레이딩(컴퓨터 프로그램이 자동 매매) 업체로 위장해 6개월간 드리프트 관계자들과 여러 콘퍼런스에서 만남을 이어가며 신뢰를 쌓았다. 100만달러(15억원) 이상의 자금을 예치하거나 제품 통합 논의 등 드리프트 생태계에도 참여했다.
다만 콘퍼런스에 참여했던 인물들은 북한 국적이 아닌 것으로 확인됐다. 드리프트 운영팀은 "이 수준의 공격 조직은 위장 신원을 갖춘 중개 인력을 활용하는 경우가 일반적"이라고 했다.
드리프트 운영팀과 신뢰를 쌓은 해커들은 개발 협업 과정처럼 접근한 뒤 프로그램 코드 파일을 내려받거나 테스트용 애플리케이션(App)을 설치하도록 유도했다. 이는 악성 코드로, 감염된 기기의 접근 권한이 해커들에게 넘어가게 됐다.
드리프트는 복수의 서명자 동의 없이 자금을 이동할 수 없도록 했으나 멀티시그(multisig) 승인 권한을 확보한 해커들은 1분도 채 되지 않아 지난 1일 2억8600만달러를 탈취했다. 멀티시그는 여러 명의 서명이 있어야 거래가 실행되는 공동 승인 방식이다.
가상 자산 매체 코인데스크는 "공격자가 6개월간 실제 조직처럼 행동하고 자금을 투입하며 생태계 내부로 참여한다면, 기존 보안 체계로는 이를 탐지하는 것이 사실상 어렵다"고 보도했다.