암호화폐 파생상품 플랫폼인 드리프트 프로토콜(Drift Protocol)은 2026년 4월 1일에 발생한 약 2억 8,500만 달러 규모의 해킹 사건에 대한 초기 조사 결과를 발표했습니다. 회사에 따르면, 이번 공격은 갑작스러운 보안 허점이 아니라 약 6개월에 걸쳐 계획된 전문적인 침투 작전의 결과라고 합니다.
드리프트는 이번 사건의 모든 측면을 밝히기 위해 법 집행 기관, 법의학 팀 및 생태계 대표들과 협력하고 있다고 밝혔습니다.
조사 결과, 공격자들은 2025년 가을부터 “퀀트 트레이딩” 회사로 위장하여 Drift 팀과 체계적으로 접촉한 것으로 드러났습니다. 이들은 여러 국가에서 열린 주요 암호화폐 컨퍼런스에서 팀원들과 직접 만나 신뢰를 쌓았고, 시간이 흐르면서 전문적인 비즈니스 파트너 이미지를 구축했습니다. 텔레그램을 통한 소통에서는 전략 개발 및 제품 통합과 같은 주제가 상세하게 다뤄졌습니다. 또한 공격자들은 플랫폼에서 활발한 활동을 펼치기 위해 100만 달러 이상을 투자하고 “에코시스템 볼트”를 개설한 것으로 밝혀졌습니다. 이러한 장기간의 접촉 과정은 공격자들이 기술적인 측면뿐만 아니라 사회공학적 측면에서도 매우 정교한 작전을 수행했음을 보여줍니다.
Drift의 분석에 따르면, 이번 공격은 여러 기술적 경로를 통해 이루어졌습니다. 한 팀원의 기기는 공격자들이 프런트엔드 개발용으로 위장하여 공유한 코드 저장소를 복제한 후 감염된 것으로 추정됩니다. 또 다른 팀원은 공격자들이 지갑 애플리케이션으로 위장한 TestFlight 애플리케이션을 다운로드하여 감염된 것으로 보입니다. 더불어, 2025년 말에서 2026년 초 사이에 악용될 것으로 예상되는 VSCode 및 커서 관련 취약점이 이번 공격에 이용되었을 가능성도 검토되고 있습니다. 공격자들이 공격 직후 모든 통신 기록과 악성코드를 즉시 삭제했다는 사실은 이번 작전의 치밀한 계획과 전문성을 보여주는 중요한 단서입니다.
이번 공격 배후에 대한 분석에서 해당 회사는 이번 조사 결과가 2024년에 발생한 '래디언트 캐피털 해킹 사건'과 연관이 있다고 밝혔으며, 그 연관성은 중간에서 높은 수준이라고 덧붙였습니다. 해당 공격은 이전에 UNC4736으로 알려졌던 북한과 연관된 단체가 자행한 것으로 전해집니다. 드리프트는 이번 작전 중 직접 대면 회의를 진행한 사람들이 북한 주민이 아닐 수도 있지만, 북한의 지원을 받는 단체들은 일반적으로 제3자를 통해 접촉을 시도한다고 지적했습니다.
이번 공격 이후, 드리프트 프로토콜은 프로토콜의 모든 핵심 기능을 일시적으로 중단하고 해킹당한 지갑들을 멀티시그 아키텍처에서 제거했다고 발표했습니다. 공격자들의 주소는 거래소와 브리지 운영사에 의해 플래그가 지정되었으며, 만디언트와 협력하여 사건에 대한 기술적 분석을 진행하고 있다고 밝혔습니다. 또한, 기기 기반 포렌식 조사가 아직 진행 중이며 새로운 결과가 나오는 대로 공개할 것이라고 발표했습니다.
*본 내용은 투자 조언이 아닙니다.