드리프트 프로토콜(DRIFT)은 4월 5일, 4월 1일에 발생한 2억 8천 5백만 달러 규모의 해킹 사건이 북한 정부의 지원을 받는 공격자들이 6개월 동안 진행한 정보 작전의 결과였다고 상세하게 공개했습니다.
이번 공개에서는, 보통의 피싱이나 리크루터 사기보다 훨씬 수준 높은 소셜 엔지니어링이 이루어진 것으로 밝혀졌습니다. 여기에는 대면 미팅, 실제 자본 투입, 몇 개월에 걸친 신뢰 구축이 포함되어 있습니다.
장기 전략 쓴 가짜 트레이딩 업체
드리프트에 따르면, 처음으로 이 그룹이 양적 투자사로 위장해 2025년 가을 주요 암호화폐 컨퍼런스에서 드리프트 기여자들에게 접근했습니다.
이어진 몇 개월 동안 이들은 여러 국가에서 개최된 다양한 행사에 참석했고, 실무 세션도 진행했으며, 텔레그램 대화를 통해 볼트 통합에 대해 계속 논의했습니다.
최신 뉴스를 실시간으로 확인하려면 X에서 저희를 팔로우하세요
2025년 12월부터 2026년 1월 사이, 이들은 드리프트에 에코시스템 볼트를 온보딩하고 자본 100만 달러 이상을 예치했으며, 상세한 제품 논의에도 참여했습니다.
3월이 되자, 드리프트 기여자들은 이들과 여러 차례 직접 만나기도 했습니다.
“가장 위험한 해커들은 해커처럼 보이지 않습니다.” – 크립토 개발자 가우탐(Gautham)
웹 보안 전문가들 또한 이번 사건을 심각하게 보고 있습니다. 연구원 Tay는 처음에는 일반적인 리크루터 사기로 생각했으나, 실제로 조사해보니 그 깊이가 훨씬 더 충격적이었다고 밝혔습니다.
기기, 어떻게 해킹됐나
드리프트는 세 가지 주요 공격 벡터를 확인했습니다.
- 한 기여자가 그룹이 공유한 볼트 프론트엔드용 코드 레포지토리를 복제했습니다.
- 또 다른 기여자는 지갑 제품이라고 소개된 TestFlight 애플리케이션을 다운로드했습니다.
- 레포지토리 벡터와 관련해 드리프트 측은 2025년 말부터 보안 연구원들이 경고해 온 VSCode와 Cursor의 취약점을 지목했습니다.
이 취약점은 사용자가 파일이나 폴더를 에디터로 열기만 하면 별도의 조작 없이 임의의 코드가 조용히 실행되는 현상을 허용했습니다.
4월 1일 자금 유출 이후, 공격자들은 모든 텔레그램 채팅과 악성 소프트웨어를 삭제했습니다. 드리프트는 남은 프로토콜 기능을 동결하고, 훼손된 지갑을 멀티시그에서 제거했습니다.
SEALS 911 팀은 동일한 위협 행위자들이 2024년 10월 Radiant Capital 해킹도 수행했다고 중간-높음 수준의 신뢰도로 평가했습니다. 맨디언트(Mandiant)는 이를 UNC4736의 소행으로 지목했습니다.
온체인 자금 흐름 및 두 캠페인 간의 운영상 유사성이 이러한 연관성을 뒷받침합니다.
업계, 보안 리셋 요구
솔라나(Solana) 개발자이자 유명 인사인 아르마니 페란테(Armani Ferrante)는 모든 암호화폐 팀이 성장 추진을 잠시 멈추고 전체 보안 시스템을 점검해야 한다고 촉구했습니다.
“암호화폐의 모든 팀은 이번 사건을 계기로 속도를 늦추고 보안에 집중해야 합니다. 가능하다면 팀 전체를 투입하세요… 해킹을 당하면 성장할 수 없습니다.” – 아르마니 페란테(Armani Ferrante)
드리프트는 오프라인에서 등장한 인물들이 북한 국적은 아니라고 밝혔습니다. 이 정도 수준의 북한 위협 행위자들은 대면 접촉을 위해 제3자 중개인을 활용하는 것으로 알려져 있습니다.
드리프트가 디바이스 포렌식을 의뢰한 맨디언트(Mandiant)는 이번 해킹에 대해 아직 공식적으로 소행을 밝히지는 않았습니다.
이번 공개는 전체 생태계에 대한 경고의 의미를 지닙니다. 드리프트는 팀들이 접근 제어 점검, 멀티시그에 연결된 모든 기기를 잠재적 공격 대상으로 간주할 것, 유사한 표적 공격이 의심되면 SEAL 911에 연락할 것을 촉구했습니다.
