북한 해커들이 2억8500만 달러를 훔친 크립토 플랫폼 사기 사건의 전말
단 12분 동안, 북한과 연결된 해커들은 솔라나 블록체인 상에서 가장 큰 크립토 거래 플랫폼 중 하나인 드리프트 프로토콜에서 2억8500만 달러를 탈취했다. 이는 시스템 오류나 소프트웨어 버그가 아니라, 6개월 전부터 시작된 철저한 계획적 공격이었다. 가짜 신분, 직접 만남, 디지털 기만까지. 당신이 금융앱이나 데이터를 보관하는 앱을 사용해 본 적 있다면, 이 이야기는 ‘보안’이라고 믿었던 시스템도 인간의 신뢰를 악용당하면 무너질 수 있음을 보여준다.
가짜 친구들로 세운 강도극
공격자들은 드리프트의 코드를 해킹하지 않았다. 대신, 수학과 알고리즘을 활용해 거래하는 합법적인 양적 트레이딩 회사 직원처럼 위장했다. 2025년 10월부터 주요 크립토 컨퍼런스에 참석해 실제 개발자들과 악수하고, 커피와 저녁 식사 사이에서 관계를 쌓았다. 2026년 4월이 되었을 때는 충분한 신뢰를 얻어 시스템의 민감한 부분에 접근할 수 있었다.
마치 몇 달간 건물 감시관처럼 보였던 사람이, 클립보드와 공식 같은 배지로 나타나, 결국 보안 요원이 신분 확인 없이 서버실 문을 열게 만든 것과 같다.
내부에 들어간 후, 그들은 솔라나의 '지속적 비밀번호( durable nonces)'라는 기술을 활용했다. 이 도구는 일주일 이상 지연될 수 있는 미리 승인된 거래를 가능하게 한다. 해커들은 내부자들에게 이러한 유휴 승인을 서명하게 만들었고, 이후 31건의 빠른 인출을 통해 총 2억8500만 달러를 빼냈다.
시스템을 속인 가짜 토큰
탈취를 위해 해커들은 가짜 암호화폐 '카본보트(CarbonVote, CVT)'를 만들었다. 몇 천 달러를 투입하고, 자신이 운영하는 계정 간에 거래를 반복하며 (워시 트레이딩이라 불리는 방식), 마치 진짜 시장 가치를 가진 자산처럼 보이게 했다. 그런 다음 드리프트의 가격 오라클(플랫폼이 자산 가치를 판단하는 소프트웨어)을 속여 CVT가 실질적인 담보로 인정되도록 유도했다.
마치 자기가 만든 모노폴리 지폐를 찍어내고, 은행에 미국 달러처럼 보이게 만들어 대출을 받는 것과 같다. 시스템이 CVT를 유효한 자산으로 인정하자마자, 해커들은 이를 담보로 실제 현금을 즉시 인출했다.
블록체인 분석 업체 엘립틱과 TRM 랩스는 이 공격을 북한의 라자루스 그룹으로 추적했다. 이 단체는 국가 지원 해킹 부대로서, 사이버 범죄를 통해 정권을 자금 지원해 왔다. 이는 2026년 한 해에만 확정된 18번째 크립토 강도 사건이다.
크립토 생태계 전반에 미친 파급 효과
피해는 즉각 발생했다:
- 드리프트 토큰 가격은 40% 이상 폭락
- 사용자들이 예치한 자금 규모(TVL)는 5억5000만 달러에서 2억5000만 달러 미만으로 급감
- 드리프트 인프라에 의존하는 최소 10개 이상의 다른 솔라나 기반 앱이 운영을 일시 중단
- USDC 안정화 토큰을 발행하는 서클은, 2억3200만 달러가 이더리움으로 다리 건너간 후에도 더 빨리 동결하지 못했다는 비판을 받음
일반인에게 어떤 의미가 있을까?
크립토를 소유하지 않아도, 이런 공격은 당신에게 영향을 줄 수 있다. 주요 플랫폼이 해킹되면, 디지털 금융 전체에 대한 신뢰가 흔들린다. 은행, 결제 앱, 심지어 정부 서비스까지도 점점 블록체인 유사 시스템을 도입하고 있다. 한 곳에서 신뢰와 설계 결함을 악용할 수 있다면, 비슷한 취약점이 다른 곳에도 존재할 수 있다.
더 중요한 것은, 기술만으로는 보안을 보장할 수 없다는 점이다. 방화벽이나 암호화보다도, 누군가가 정말 누구인지 확인하는 인간의 판단이 동등하게 중요하다.
핵심 요약
- 북한 해커들은 사회공학과 가짜 자산을 이용해 드리프트 프로토콜에서 2억8500만 달러를 훔쳤다
- 공격은 12분이 걸렸지만, 6개월간 직접 만남을 통한 기만으로 계획됐다
- '지속적 비밀번호'를 악용하고, 가짜 토큰으로 가격 오라클을 조작했다
- 탈중앙화 금융을 겨냥한 국가 주도 사이버 범죄의 증가 추세의 일부다
- 기술보다 신뢰가 디지털 시스템의 핵심 약점이 될 수 있다
— Editorial Team