드리프트 프로토콜 2억 8,500만 달러 해킹 사건 긴급 분석

2026년 4월 1일, 솔라나 생태계 최대 탈중앙화 무기한 선물 거래소인 드리프트 프로토콜(Drift Protocol)에서 약 2억 8,500만 달러(한화 약 3,900억 원)에 달하는 자산이 단 12분 만에 유출되었습니다. 이는 2026년 최대 규모의 디파이 해킹이자, 솔라나 역사상 두 번째로 큰 보안 사고입니다. 블록체인 보안 기업 엘립틱(Elliptic)과 TRM Labs는 이번 공격의 배후로 북한 정찰총국 산하 해킹 조직인 라자루스 그룹(Lazarus Group)을 지목하며, 글로벌 암호화폐 업계에 충격파를 던졌습니다.

이번 사건의 가장 충격적인 측면은 스마트 컨트랙트 코드 취약점이 아닌, 6개월에 걸친 정교한 사회공학(Social Engineering) 작전을 통해 프로토콜의 거버넌스 구조 자체를 장악했다는 점입니다. 이는 디파이 보안의 패러다임이 코드 감사(Code Audit)를 넘어 인적 보안과 운영 보안(OpSec)으로 확대되어야 함을 명확히 보여주고 있습니다.

사건 배경: 드리프트 프로토콜과 솔라나 디파이 생태계

드리프트 프로토콜은 솔라나 블록체인 위에서 운영되는 탈중앙화 무기한 선물 거래 플랫폼으로, 해킹 이전 총예치금(TVL)이 약 5억 5,000만 달러에 달하는 솔라나 디파이의 핵심 프로토콜이었습니다. 높은 처리 속도와 낮은 수수료를 무기로 빠르게 성장해 온 드리프트는 솔라나 생태계에서 주피터(Jupiter)와 함께 양대 산맥을 이루고 있었습니다.

그러나 드리프트의 거버넌스 구조에는 치명적인 약점이 숨겨져 있었습니다. 프로토콜의 주요 관리 권한은 '보안 위원회(Security Council)'라는 5인 멀티시그(Multisig) 구조로 관리되고 있었는데, 2026년 3월 27일 이 멀티시그의 임계값이 2/5(5명 중 2명 서명)로 낮아지고, 타임락(Timelock)이 0으로 설정되었습니다. 이는 관리자 권한 변경 시 커뮤니티가 이를 감지하고 대응할 수 있는 24~72시간의 유예 기간이 완전히 제거되었음을 의미합니다.

솔라나 생태계는 2022년 웜홀(Wormhole) 브릿지 해킹으로 3억 2,000만 달러를 잃은 경험이 있지만, 당시는 스마트 컨트랙트의 기술적 취약점이 원인이었습니다. 이번 드리프트 사건은 코드가 아닌 '사람'을 공격한 최초의 대형 솔라나 해킹이라는 점에서 질적으로 다른 위협을 보여주고 있습니다.

공격 타임라인: 6개월의 준비, 12분의 실행

라자루스 그룹의 작전은 2025년 가을부터 시작되었습니다. 공격자들은 드리프트 보안 위원회 멤버들에게 접근하기 위해 제3자 중개인을 활용했습니다. 이들은 직접 대면 만남에서도 기술적으로 유창하고 검증 가능한 전문 경력을 보유하고 있었으며, 드리프트의 운영 방식을 정확히 이해하고 있었습니다. 첫 만남 이후 텔레그램 그룹이 개설되었고, 트레이딩 전략과 볼트 통합(Vault Integration)에 관한 수개월간의 실질적인 대화가 이어졌습니다.

감염 경로로는 두 가지가 확인되었습니다. 첫째, 볼트 프론트엔드로 위장한 악성 VS Code 리포지토리가 공유되었고, 둘째, 애플 TestFlight를 통해 무기화된 지갑 앱이 배포되었습니다.

본격적인 온체인 준비는 2026년 3월 11일 토네이도 캐시(Tornado Cash)에서 10 ETH를 인출하면서 시작되었습니다. 다음 날인 3월 12일, 이 자금으로 '카본보트 토큰(CarbonVote Token, CVT)'이라는 허위 자산이 레이디움(Raydium)에 배포되었습니다. 7억 5,000만 개의 CVT가 발행되었고, 수천 달러의 유동성과 워시 트레이딩을 통해 1달러의 허위 가격 이력이 만들어졌습니다. 드리프트의 오라클은 이 인위적 신호를 실제 자산으로 인식했습니다.

3월 23일부터 30일 사이, 공격자는 솔라나의 '내구성 논스(Durable Nonce)' 기능을 악용한 트랜잭션 계정을 다수 생성했습니다. 내구성 논스는 트랜잭션을 사전 서명한 후 나중에 만료 없이 실행할 수 있는 솔라나의 합법적 기능으로, 일반 트랜잭션이 약 2분 내에 만료되는 것과 대조적입니다. 공격자는 사회공학을 통해 보안 위원회 서명자 2명을 유도하여 일상적인 거버넌스 트랜잭션으로 위장한 악성 트랜잭션에 사전 서명하도록 만들었습니다.

4월 1일 오후 2시(UTC), 실행이 시작되었습니다. 사전 서명된 트랜잭션 2건이 신속하게 실행되어 관리자 권한이 탈취되었고, 출금 한도가 제거된 후 31건의 출금 트랜잭션이 약 12분 동안 연속 실행되었습니다. 유출 자산은 USDC 약 1억 2,000만 달러, SOL 약 7,500만 달러, JLP(Jupiter LP Token) 약 5,200만 달러, 래핑된 BTC 약 2,800만 달러, 기타 토큰 약 1,000만 달러로 구성되었습니다.

오후 2시 30분경 드리프트 팀이 이상 징후를 감지하여 입출금을 중단했지만, 이미 대부분의 자금은 NEAR, 백팩(Backpack), 웜홀(Wormhole)을 통해 이더리움으로 브릿지된 후 수백 개의 지갑으로 분산되었습니다.

북한 라자루스 그룹 귀속 분석

TRM Labs와 엘립틱은 독립적으로 이번 공격이 북한과 연관된 것으로 평가했습니다. TRM Labs는 온체인 스테이징 패턴, 자금 세탁 방법론, 네트워크 수준 지표가 기존 북한 위협 행위자들의 수법과 일치한다고 밝혔습니다. 엘립틱 역시 온체인 행동과 세탁 방법론이 이전 DPRK 지원 작전과 일관된다고 평가했습니다.

라자루스 그룹은 UNC4736, AppleJeus, Citrine Sleet, Golden Chollima, Gleaming Pisces 등 다양한 코드명으로 추적되는 북한 정찰총국 소속 사이버 범죄 조직입니다. 2017년 이후 약 70억 달러 상당의 암호화폐를 탈취한 것으로 추정되며, 주요 공격으로는 2022년 로닌 브릿지(Ronin Bridge) 6억 2,500만 달러, 2024년 와지르엑스(WazirX) 2억 3,500만 달러, 2025년 바이빗(Bybit) 14억 달러 해킹 등이 있습니다. 2025년에만 DPRK 연계 행위자들이 20억 2,000만 달러의 암호화폐를 탈취하여 전년 대비 51% 증가했으며, 이는 전 세계 암호화폐 도난의 약 60%에 해당합니다.

특히 이번 드리프트 해킹은 2026년 18번째 DPRK 연계 사건으로 기록되었으며, TRM Labs는 이를 "암호화폐 도난의 산업화"라고 표현했습니다. 공격 횟수는 줄었지만 건당 피해 규모가 급격히 증가하고, 48시간 이내에 수억 달러를 처리할 수 있는 자금 세탁 인프라가 구축된 것입니다.

DRIFT 토큰 및 솔라나 생태계 시장 충격

DRIFT 토큰은 해킹 발생 직후 37~42%의 급락을 기록하며 약 0.04~0.05달러까지 하락했습니다. 지난 7일간 누적 하락률은 42.10%에 달하고 있습니다. 드리프트 프로토콜의 TVL은 5억 5,000만 달러에서 2억 5,000만 달러 이하로 급감했으며, 4월 3일 기준 약 2억 3,200만 달러 수준으로 집계되었습니다.

더 우려되는 것은 연쇄적 피해입니다. 드리프트와 연동된 12개 이상의 프로토콜이 직접적 영향을 받았으며, 프라임 넘버스 파이(Prime Numbers Fi), 캐롯 프로토콜(Carrot Protocol), 파이라 프로토콜(Pyra Protocol), 피기뱅크(Piggybank) 등 20개 이상의 연결된 프로토콜이 피해를 입었습니다. 파이라 프로토콜의 경우 출금이 완전히 비활성화되어 사용자들이 자금에 접근할 수 없는 상황이 계속되고 있습니다.

솔라나(SOL) 토큰 자체도 이번 사건으로 매도 압력을 받았으며, 솔라나 디파이 전반에 대한 신뢰도가 크게 흔들리고 있습니다. 투자자들의 자금 이탈이 가속화되면서 솔라나 기반 디파이 프로토콜들의 TVL이 전반적으로 감소하는 추세를 보이고 있습니다.

보상 전망 및 보안 대응

4월 3일 기준 드리프트 팀은 아직 포괄적인 보상 계획을 발표하지 않은 상태입니다. 팀은 온체인 메시지를 통해 "우리는 대화할 준비가 되어 있다(We are ready to speak)"고 밝혀 공격자와의 협상 가능성을 시사했지만, 구체적인 성과는 아직 알려지지 않았습니다. 다수의 블록체인 분석 기업 및 중앙화 거래소, 스테이블코인 발행사와 협력하여 도난 자산의 추적 및 동결을 시도하고 있으나, 자금 세탁의 속도와 정교함을 감안할 때 2억 8,500만 달러 전액 회수는 어려울 것으로 전망됩니다.

이번 사건을 계기로 솔라나 재단은 디파이 프로토콜을 위한 STRIDE 보안 프로그램을 출범시켰습니다. 이 프로그램은 멀티시그 구성, 타임락 요건, 거버넌스 보안 모범 사례 등을 포괄하여 유사 사고의 재발을 방지하는 것을 목표로 하고 있습니다.

향후 전망: 디파이 보안의 새로운 시대

이번 드리프트 해킹은 디파이 업계에 근본적인 질문을 던지고 있습니다. 스마트 컨트랙트 감사만으로는 프로토콜의 안전을 보장할 수 없으며, 멀티시그 지갑이 오히려 중앙화된 단일 실패 지점(Single Point of Failure)이 될 수 있다는 불편한 현실이 드러났습니다. "타임락은 선택이 아닌 필수"라는 교훈은 향후 모든 디파이 프로토콜의 거버넌스 설계에 반영되어야 할 것입니다.

북한의 암호화폐 해킹 작전은 더욱 정교해지고 있으며, 38 North는 이를 "디지털 도벽에서 불량 암호화폐 초강대국으로의 전환"이라고 표현했습니다. 사회공학을 통한 거버넌스 장악이라는 새로운 공격 벡터는 기술적 방어만으로는 충분하지 않으며, 인적 보안 교육과 운영 절차의 근본적 강화가 필요합니다.

투자자들은 앞으로 디파이 프로토콜 평가 시 코드 감사 결과뿐 아니라 거버넌스 구조, 멀티시그 임계값, 타임락 설정, 그리고 운영 보안 체계를 면밀히 확인해야 합니다. 드리프트 사건은 2026년 암호화폐 시장의 가장 뼈아픈 교훈으로 기억될 것이며, 이로 인한 보안 강화가 궁극적으로 디파이 생태계의 성숙에 기여할 수 있기를 기대합니다.