드리프트 해킹 2.8억달러 피해…"6개월 준비된 조직적 공격·북한 연계 조직"

솔라나 기반 파생상품 거래소 드리프트(Drift) 해킹 사건이 북한 연계 조직의 장기간 침투 공격일 가능성이 제기됐다.

5일(현지시간) 더블록에 따르면 드리프트는 지난 1일 발생한 약 2억8000만달러 규모 해킹은 약 6개월에 걸쳐 준비된 조직적 작전이라고 밝혔다. 공격자는 2025년 하반기 글로벌 행사에서 트레이딩 업체를 가장해 접근한 뒤, 이후 오프라인 접촉과 협업을 통해 내부 신뢰를 구축한 것으로 나타났다.

이들은 정상 이용자처럼 플랫폼에 온보딩해 100만달러 이상의 자금을 예치하고 협업 과정에 참여했으며, 이를 통해 내부 접근 경로를 확보한 것으로 분석됐다.

공격 방식은 스마트컨트랙트 취약점이 아닌 사회공학 기법과 시스템 취약점을 결합한 형태였다. 악성 코드가 포함된 저장소 접근이나 테스트플라이트(TestFlight) 기반 애플리케이션 설치 유도를 통해 개발자 기기를 침투한 정황이 제시됐다.

이후 공격자는 솔라나(SOL)의 '듀러블 논스' 기능을 활용해 사전에 확보한 다중서명 승인 권한을 기반으로 관리자 권한을 탈취하고 단시간 내 자금을 인출한 것으로 전해졌다.

드리프트는 온체인 자금 흐름과 공격 패턴을 근거로 이번 사건이 2024년 라디언트 캐피탈 해킹과 동일한 북한 연계 조직 소행일 가능성이 높다고 평가했다. 다만 실제 접촉 인물은 제3자를 활용한 것으로, 신원 위장과 오프라인 네트워크를 결합한 정교한 접근 방식이 활용된 것으로 분석됐다.

현재 드리프트는 프로토콜 기능을 중단하고 침해된 지갑을 제거하는 등 대응 조치를 진행 중이다. 이번 사건은 올해 최대 규모 디파이 해킹으로, 솔라나 생태계에서도 역대 두 번째 규모 보안 사고로 기록됐다.