Drift Protocol 해킹: 6개월간의 사회 공학적 공격 작전
요약
Solana 기반 Drift Protocol에서 약 2억 8,500만 달러 규모의 자금이 탈취되었습니다. 이번 사건은 코드 취약점이 아닌, 관리자 키를 보유한 인원을 대상으로 6개월간 진행된 정교한 사회 공학적 공격에 의한 것입니다.
핵심 포인트
- 코드 버그가 아닌 사회 공학적 기법을 통한 관리자 키 탈취
- Lazarus Group 등 국가 지원 공격자의 인내심 있는 공격 패턴
- 가짜 채용 및 악성 리포지토리를 이용한 비밀 정보 유출 방식
- 기술적 감사(Audit)로 방어하기 어려운 인간 중심의 보안 취약점
2026년 4월 1일, 공격자들은 Solana 상의 Drift Protocol에서 약 2억 8,500만 달러를 탈취했습니다. 이는 Solana 역사상 두 번째로 큰 익스플로잇 (exploit)이었으며, 이번 사후 분석 (post-mortem)은 올해 가장 중요한 보안 읽기 자료입니다. 왜냐하면 코드상의 익스플로잇 (exploit)은 없었기 때문입니다. 이는 관리자 키 (admin keys)를 보유한 사람들을 대상으로 6개월 동안 인내심 있게 진행된 사회 공학 (social engineering) 공격이었습니다. 다음은 타임라인과 이 분야에서 활동하는 모든 이들에게 주는 불편한 교훈입니다.
발생한 사건의 순서
Drift는 4월 1일에 자금 탈취를 확인했습니다. TVL (Total Value Locked)은 한 시간 만에 5억 5,000만 달러에서 3억 달러 미만으로 급락했습니다. 자금 세탁은 매우 공격적이었으며, 각 브릿징 (bridging) 트랜잭션은 수십만 또는 수백만 달러 상당의 USDC를 이동시켰는데, 이는 2025년 Bybit 자금 세탁보다 더 빠르고 공격적이었습니다.
하지만 4월 1일의 자금 탈취는 작전의 시작이 아닌 '끝'이었습니다. 사후 분석 (post-mortem) 결과, 이는 관리자 키 (admin keys)를 제어하는 인간들을 목표로 한 6개월간의 캠페인이었음이 드러났습니다. Lazarus Group과 연관된 공격자들은 Solana 프로그램에서 버그를 찾아낸 것이 아닙니다. 그들은 키 (keys)로 가는 경로를 찾아냈고, 그 경로를 따라 걷는 데 6개월을 사용했습니다.
이것은 예외가 아닌 패턴입니다
Drift를 2주 뒤에 발생한 2억 9,200만 달러 규모의 KelpDAO LayerZero 브릿지 (bridge) 해킹 사건과 비교해 보십시오. 이 사건 역시 자금 탈취 6주 전 개발자를 대상으로 한 사회 공학 (social engineering) 공격이 있었던 것으로 추적되었습니다. 2026년 발생한 가장 큰 해킹 사건 중 두 건은 모두 인간을 목표로 했고, 모두 인내심 있게 진행되었으며, 모두 국가 지원을 받는 행위자들의 소행으로 밝혀졌습니다.
수치 또한 이 패턴을 뒷받침합니다. 북한 연계 행위자들은 2026년 초 암호화폐 해킹 손실의 76%를 차지했는데, 이는 2025년의 64%, 2020년의 10% 미만에서 증가한 수치입니다. 코드 익스플로잇 (exploit)이 아닌 개인 키 (private-key) 침해(compromise)가 이제 지배적인 손실 벡터 (loss vector)가 되었습니다. 공격은 스택 (stack)을 타고 올라갔습니다: 컨트랙트 (contract)에서 키 (keys)로, 그리고 사람으로 말입니다.
- 가짜 채용 담당자나 협력자가 몇 주에 걸쳐 관계를 구축합니다.
- "코딩 테스트" 또는 "데모 프로젝트"가 리포지토리 (repo) 형태로 전달됩니다. (이전에 저를 겨냥했던 이러한 사례 중 하나를 포착했던 것에 대해 글을 쓴 적이 있습니다.)
- 해당 리포지토리 또는 그것이 불러오는 의존성 (dependency)이 설치 또는 빌드 시점에 비밀 정보 (secrets)를 유출하는 코드를 실행합니다.
- 또는 대상이 사회 공학적 (socially engineered) 기법에 속아 트랜잭션 (transaction)을 승인하거나, 자격 증명 (credential)을 공유하거나, 핫 키 (hot key)에 접근 가능한 머신에서 스크립트 (script)를 실행하게 됩니다.
관통하는 핵심: 공격자는 신뢰와 시간, 즉 어떤 감사 (audit)도 다루지 못하고 어떤 린터 (linter)도 탐지할 수 없는 두 가지 요소를 악용합니다.
개발자들을 위한 불편한 교훈
저는 스마트 컨트랙트 (smart contract) 버그를 찾아내며 생계를 유지하고 있으며, 그 작업의 한계에 대해 솔직해져야 한다고 생각합니다. 결점 없는 감사 (audit)가 있었더라도 Drift나 KelpDAO를 구하지는 못했을 것입니다. 코드가 취약점이었던 것이 아닙니다. 팀이 취약점이었습니다.
그렇다고 해서 보안 작업이 무의미하다는 뜻은 아닙니다. 보안의 가장 중요한 부분이 이동했을 뿐입니다. 중요했을 질문들은 다음과 같습니다:
- 권한이 있는 작업 (privileged action)을 승인하기 위해 얼마나 많은 독립적인 인간이 필요합니까? 만약 답이 한 명이라면, 당신은 피싱 (phished) 당한 엔지니어 한 명 때문에 자산이 모두 털릴 수 있는 상태입니다.
- 관리자 키 (admin keys)가 하드웨어에 들어있습니까? 타임 딜레이 (time delay)와 서킷 브레이커 (circuit breaker)가 적용되어 있습니까? KelpDAO의 46분간의 동결은 손실을 1억 달러 줄였습니다. 운영 통제 (operational controls)가 코드가 할 수 없었던 일을 해냈습니다.
- 팀이 요청받지 않은 모든 리포지토리 (repo), 채용 담당자, 그리고 "빠른 부탁"을 잠재적인 공격으로 간주합니까? 왜냐하면 2026년에는 실제로 그러하기 때문입니다.
개인적으로 바꾼 점
지난 한 해를 겪으며, 저는 솔리디티 (Solidity)가 아니라 저 자신의 운영 보안 (operational security)을 강화했습니다:
- 요청하지 않은 저장소 (Unsolicited repos)는 오직 샌드박스 (sandbox) 내에서만 실행하며, 키(key)나 자격 증명 (credential)이 있는 머신에서는 절대 실행하지 않습니다. 저는 이러한 미끼 (lures) 중 하나를 타겟으로 삼았던 경험 때문에 전용 정적 스캐너 (static scanner)를 직접 구축했습니다.
- 비밀 정보 (Secrets)는 엄격한 권한이 적용된 한 곳에 보관하며, 필요한 스크립트에 의해 명시적으로 로드될 뿐, 모든 셸 (shell)로 자동 내보내지지 않습니다. 한 프로젝트 내의 악성 빌드 (malicious build)가 모든 키를 한꺼번에 긁어갈 수 없도록 하기 위함입니다.
- 코딩 테스트로 시작하는 모든 "채용 기회"는 사실로 증명되기 전까지는 미끼라고 가정합니다. 편집증적으로 행동하는 데 드는 마찰은 작습니다. 하지만 당신이 Drift라면, 판단이 틀렸을 때의 비용은 2억 8,500만 달러입니다.
AI가 양날의 검이 되는 지점
AI가 저를 더 빠른 감사인 (auditor)으로 만들어 준 것과 같은 해에, 보고서들은 AI가 자동화된 정찰 (reconnaissance)을 통해 오래되고 검증되지 않은 컨트랙트 (contracts)를 스캔함으로써 익스플로잇 (exploit) 발견의 문턱을 낮추고 있다고 지적합니다. 공격자들 역시 AI를 사용합니다. 하지만 Drift와 KelpDAO 해킹 사건은 공격의 최전선이 더 나은 코드 분석이 아니라는 점을 상기시켜 줍니다. 그것은 더 나은 사회 공학 (social engineering)이며, AI는 더 설득력 있는 페르소나 (personas)와 미끼를 생성함으로써 그 분야에서도 도움을 줍니다.
방어책은 도구가 아닙니다. 그것은 사람과 키를 주요 공격 표면 (attack surface)으로 취급하는 문화입니다. 왜냐하면 2026년 현재, 그것들이 명백히 공격 표면이기 때문입니다. 컨트랙트를 감사하십시오. 그다음, 누가 그것을 비울 수 있는지, 그리고 그들이 피싱 (phished)을 당했을 때 당신이 그들의 업무를 얼마나 어렵게 만들어 놓았는지 감사하십시오.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기