2026년 에이프릴 풀스데이에 벌어진 역대급 디파이 해킹

2026년 4월 1일, 솔라나(Solana) 기반 최대 탈중앙화 무기한 선물 거래소 **드리프트 프로토콜(Drift Protocol)**이 약 2억 8,600만 달러 규모의 해킹 피해를 입었습니다. 만우절이라는 날짜 때문에 초기에는 일부 투자자들이 해킹 소식을 농담으로 오해하기도 했으나, 이는 2026년 최대 규모의 디파이(DeFi) 보안 사고이자 솔라나 생태계 역사상 2022년 웜홀(Wormhole) 브릿지 해킹(3억 2,600만 달러)에 이은 두 번째 규모의 사건으로 기록되었습니다.

블록체인 분석 기업 엘립틱(Elliptic)은 사건 발생 하루 만에 이번 공격이 북한(DPRK) 연계 해커 조직의 소행일 가능성이 높다는 분석 보고서를 발표했습니다. 이는 2026년 들어 엘립틱이 추적한 열여덟 번째 북한 관련 해킹 사건이며, 올해만 누적 3억 달러 이상이 북한 해커에 의해 탈취된 것으로 집계되고 있습니다.

드리프트 프로토콜의 배경과 솔라나 디파이 생태계에서의 위치

드리프트 프로토콜은 솔라나 블록체인 위에서 운영되는 대표적인 탈중앙화 무기한 선물 거래소로, 해킹 직전 총 예치금(TVL)이 약 5억 5,000만 달러에 달하는 대형 프로토콜이었습니다. JLP 델타 뉴트럴, SOL 슈퍼 스테이킹, BTC 슈퍼 스테이킹 등 다양한 볼트(Vault)를 통해 사용자들에게 수익 기회를 제공해왔습니다.

솔라나 디파이 생태계는 2025년부터 급격한 성장을 이루며 이더리움의 강력한 경쟁자로 부상했습니다. 빠른 트랜잭션 속도와 낮은 수수료를 무기로 주피터(Jupiter), 매리네이드(Marinade), 드리프트 등 핵심 프로토콜들이 대규모 유동성을 유치해왔습니다. 그러나 이번 사건은 솔라나 디파이의 보안 인프라에 대한 근본적인 의문을 제기하게 되었습니다.

특히 드리프트 프로토콜은 2/5 멀티시그(multisig) 구조의 보안 위원회를 운영하고 있었는데, 이는 5명의 서명자 중 2명만 동의하면 주요 트랜잭션을 실행할 수 있는 상대적으로 취약한 구조였습니다. 타임락(timelock)도 설정되어 있지 않아, 공격자가 관리자 권한을 탈취하면 즉시 자금을 인출할 수 있는 환경이 조성되어 있었습니다.

공격 수법 상세 분석: 듀러블 논스와 가짜 담보 토큰

이번 해킹은 전통적인 스마트 컨트랙트 취약점 공격이 아니라, 운영 보안(OpSec) 실패와 소셜 엔지니어링을 결합한 정교한 복합 공격이었습니다.

공격자는 본격적인 해킹에 앞서 최소 8일 전에 공격용 지갑을 생성했습니다. 이후 드리프트 볼트로부터 소규모 테스트 전송을 수행하며 공격 인프라를 사전에 준비했습니다. 핵심적인 공격 수법은 솔라나의 '듀러블 논스(Durable Nonces)' 기능을 악용한 것이었습니다. 이 기능은 트랜잭션을 사전에 서명해두고 나중에 실행할 수 있도록 설계된 편의 기능인데, 공격자는 이를 이용해 멀티시그 서명자들이 일상적인 트랜잭션으로 오인하도록 유도한 뒤 사전 서명된 관리자 권한 이전 트랜잭션을 실행했습니다.

권한을 탈취한 공격자는 다음과 같은 단계를 밟았습니다. 먼저 **카본보트 토큰($CVT)**이라는 가치 없는 가짜 토큰을 생성하고, 소규모 펀딩과 워시 트레이딩을 통해 허위 가격 이력을 만들었습니다. 이후 프로토콜의 모든 서킷 브레이커와 인출 한도를 해제하고, 인출 상한을 500조 달러라는 비현실적인 수치로 조작했습니다. 마지막으로 785만 개의 $CVT를 담보로 예치한 뒤 실제 자산을 대출받는 형태로 약 12분 만에 31건의 연속 인출을 실행하여 프로토콜의 핵심 자산을 탈취했습니다.

탈취 자산 내역과 자금 세탁 경로

탈취된 자산의 구체적인 내역은 다음과 같습니다. 가장 큰 비중을 차지한 것은 주피터의 유동성 공급자 토큰인 **JLP 토큰 약 4,170만 개(약 1억 5,500만 달러)**였습니다. 이 외에도 수천만 달러 규모의 USDC, SOL, cbBTC, wBTC, WETH 및 기타 리퀴드 스테이킹 토큰이 포함되었습니다. 공격 직후 드리프트의 TVL은 3억 900만 달러에서 불과 2,400만~4,100만 달러 수준으로 급락했습니다.

공격자는 탈취한 토큰들을 솔라나 DEX 애그리게이터를 통해 USDC로 전환한 뒤, 크로스체인 브릿지를 이용해 이더리움 네트워크로 전송하고 최종적으로 약 2억 6,400만 달러 상당의 ETH로 변환했습니다. 이러한 크로스체인 자금 이동 패턴은 과거 북한 해커 조직의 전형적인 세탁 방식과 일치하는 것으로 분석되었습니다.

북한 라자루스 그룹의 암호화폐 해킹 역사

북한 연계 해킹 조직, 특히 **라자루스 그룹(Lazarus Group)**의 암호화폐 탈취 규모는 해마다 급증하고 있습니다. 체이널리시스(Chainalysis)의 보고서에 따르면, 2025년 한 해 동안 북한 관련 해커들은 약 20억 2,000만 달러의 암호화폐를 탈취했으며, 이는 2025년 전체 암호화폐 해킹 피해액 34억 달러의 약 **60%**에 해당합니다.

역대 누적 기준으로 라자루스 그룹의 암호화폐 탈취 총액은 67억 5,000만 달러 이상으로 추산되고 있습니다. 2025년의 최대 사건은 15억 달러 규모의 바이빗(Bybit) 해킹이었으며, 2026년 들어서는 3월의 비트리필(Bitrefill) 공격에 이어 이번 드리프트 프로토콜 해킹이 역대급 사건으로 기록되었습니다.

유엔과 다수의 정보기관은 북한의 암호화폐 탈취 프로그램이 단순한 범죄 행위가 아니라 대량살상무기(WMD) 프로그램과 탄도미사일 개발을 위한 국가 전략적 자금 조달 수단이라고 결론지었습니다. 2026년 3월에는 미국 재무부 OFAC가 암호화폐를 이용해 WMD 프로그램에 자금을 지원하는 북한 IT 노동자 네트워크에 대한 제재를 강화하기도 했습니다.

시장 충격: SOL 가격과 솔라나 디파이 생태계

사건 발생 직후 드리프트 프로토콜의 거버넌스 토큰인 $DRIFT는 24시간 내 25% 이상 급락했습니다. 드리프트 팀은 즉시 모든 입출금을 중단하고, 보안 기업·크로스체인 브릿지·중앙화 거래소와 협력하여 피해 확산 방지에 나섰습니다.

솔라나 디파이 생태계 전반에도 리스크 오프(risk-off) 모드가 확산되었습니다. 투자자들이 다른 프로토콜에서도 예방적으로 자금을 인출하면서, 솔라나 전체 디파이 TVL에도 상당한 유출 압력이 가해졌습니다. 솔라나의 기관 투자 유치 노력에도 부정적 영향이 불가피할 것으로 전망됩니다. 특히 이더리움 대비 보안 측면에서의 비교 열위가 부각되면서, 기관투자자들의 솔라나 디파이 진입이 지연될 수 있다는 분석이 나오고 있습니다.

이더리움 이더리움에서도 대규모 해킹 사건이 없었던 것은 아니지만, 솔라나의 듀러블 논스 같은 편의 기능이 보안 취약점으로 작용한 점은 플랫폼 수준의 구조적 문제를 시사하고 있습니다.

한국 투자자에 대한 시사점

한국은 세계 최대 암호화폐 거래 시장 중 하나로, 솔라나와 관련 디파이 프로토콜에 투자한 한국인 투자자도 상당수에 달합니다. 이번 사건은 한국 투자자들에게 몇 가지 중요한 교훈을 남기고 있습니다.

첫째, 디파이 프로토콜의 거버넌스 구조를 반드시 확인해야 합니다. 드리프트의 2/5 멀티시그와 타임락 부재는 사전에 확인 가능한 위험 요소였습니다. 둘째, 지갑의 스마트 컨트랙트 승인을 정기적으로 점검하고 불필요한 승인을 철회해야 합니다. 셋째, 단일 프로토콜에 대한 과도한 집중 투자를 피하고 자산을 분산 배치하는 것이 중요합니다.

또한 한국 투자자들은 북한 해커 조직이 특히 한국과 관련된 암호화폐 서비스를 표적으로 삼는 경향이 있다는 점을 인지해야 합니다. 한국 금융당국과 정보기관 역시 암호화폐 관련 사이버 보안 위협에 대한 대응을 강화하고 있으나, 개인 투자자 수준에서의 자체 보안 관리도 필수적입니다.

향후 전망: 디파이 보안의 미래

이번 드리프트 프로토콜 해킹은 디파이 업계 전반에 보안 강화의 필요성을 다시 한번 각인시킨 사건입니다. 전문가들은 향후 프로토콜들이 최소 3/5 이상의 멀티시그 설정, 의무적 타임락 도입, 정기적 보안 감사, 실시간 이상 거래 모니터링 시스템 등을 표준으로 채택할 것으로 전망하고 있습니다.

솔라나 재단 차원에서도 듀러블 논스 기능의 보안 가이드라인 강화와 프로토콜 수준의 보안 표준 제정이 요구되고 있습니다. 이더리움의 경우 이미 다수의 대형 프로토콜이 엄격한 타임락과 분산화된 거버넌스를 채택하고 있어, 솔라나 생태계도 이에 상응하는 보안 수준을 갖추지 않으면 기관 투자자 유치에 어려움을 겪을 수 있습니다.

한편, 탈취된 자금의 회수 가능성에 대해서는 신중한 전망이 우세합니다. 이더리움으로 브릿지된 일부 USDC는 서클(Circle)의 동결을 통해 회수될 여지가 있으나, ETH로 전환된 대부분의 자금은 추가적인 믹싱과 세탁을 거쳐 추적이 더욱 어려워질 것으로 보입니다.

결론: 투자자가 기억해야 할 핵심 포인트

드리프트 프로토콜의 2억 8,600만 달러 해킹 사건은 디파이 투자의 편의성 이면에 존재하는 심각한 보안 리스크를 여실히 보여주었습니다. 북한 국가 지원 해킹 조직의 공격은 더욱 정교해지고 있으며, 그 피해 규모도 매년 확대되고 있습니다. 투자자들은 수익률만이 아니라 프로토콜의 보안 아키텍처, 멀티시그 구성, 거버넌스 구조를 면밀히 검토한 뒤 자금을 예치해야 합니다. 디파이의 혁신적 잠재력은 견고한 보안 기반 위에서만 진정한 가치를 발휘할 수 있습니다.