2억 8500만불 훔친 북한 해커의 과감한 ‘대면 피싱’

북한 해킹 조직이 탈중앙화 암호화폐 거래소 드리프트 프로토콜(Drift Protocol)서 2억 8500만 달러를 훔치는 데 성공했다. 이를 위해 공격자들은 6개월간 드리프트 측 직원들과 가짜 우정을 쌓는 등 공을 들였다고 거래소는 발표했다. 여기서 말하는 ‘가짜 우정’은 온라인 채팅이나 메일 교환으로 이뤄진 게 아니었다. 해커들은 대면 만남까지도 불사했다.

치밀한 접근

드리프트가 조사한 바에 따르면 2025년말 열린 한 암호화폐 컨퍼런스서 자칭 블록체인 전문가들이 드리프트 직원들에게 접근하면서 모든 일이 시작됐다고 한다. “이들은 스스로를 퀀트 운영사 임원들이라고 소개했습니다. 거래소와의 협업을 모색하기 위해 컨퍼런스에 참여했다고 밝혔죠. 심지어 여러 컨퍼런스에 나타나 드리프트 직원들과 마주치기도 했습니다.”

의심의 싹을 도려내기 위해 공격자들은 100만 달러를 드리프트 금고에 예치하기도 했다. 사기꾼들이 미끼용으로 사용하기에는 드물게 많은 금액이었고, 이에 드리프트 측은 “합법적 비즈니스 파트너”로서 이들을 인식했다. 양측은 업무 및 기술과 관련된 전문적 내용의 대화를 수개월 지속했다. 드리프트의 의심은 희미해졌다. 사실 해커들은 소셜 엔지니어링 공격을 실행하고 있었고, 이 기간 적잖은 정보를 손에 넣었다.

“공격자들은 세 가지 경로로 정보를 획득한 것으로 보입니다. 악성 앱 설치, 악성 코드 리포지터리, 개발 도구 취약점입니다. 한 드리프트 직원은 애플의 소프트웨어 테스트 플랫폼인 테스트플라이트(TestFlight) 상에서 새로운 디지털 지갑을 소개 받아 설치했습니다. 알고 보니 악성 앱이었죠. 또 다른 직원은 해커들로부터 프로젝트 관련 리포지터리를 소개 받아 복사해 갔는데, 역시나 악성 코드였습니다. 그 외에도 개발자들이 흔히 사용하는 도구인 VS코드(VSCode)와 커서(Cursor) 내 취약점을 악용하기도 했습니다.”

이런 식으로 드리프트 내에는 여러 공격 도구들이 설치됐다. 해커들이 드리프트 직원에게 파일이나 폴더를 넘겨주면, 직원이 그것을 여는 것만으로도 임의 코드가 실행될 정도였다. 일부 경우, 기기 장악에도 성공했다. 공격자들은 그러한 기기에서 권한을 상승시킨 뒤 듀러블 넌스(Durable Nonce)라는 기능을 악용, 순식간에 금고를 비웠다. 4월 1일에 벌어진, 만우절 장난 같은 사건이었다. 

정확히 어떻게 공격했나?

여러 사회공학적 기법을 이용해 공격 준비를 마친 공격자들은 다음과 같은 순서로 4월 1일 공격을 실행했다. 

1) 권한 상승 통해 승인 권한을 획득(미리 준비)

2) 자금 탈취 위한 명령서를 미리 만든 뒤, 1)에서 확보한 권한으로 서명까지 마침. 이 때 해당 명령이 유효할 수 있도록 듀러블 넌스를 활용(미리 준비)

3) 자금 인출 위한 모든 준비를 마친 뒤 며칠 잠잠히, 평소처럼 지냄

4) 4월 1일, 듀러블 넌스로 ‘살려둔’ 명령을 실행해 1분 만에 지갑 속 자금을 전부 훔침. 이미 2)에서 승인과 서명까지 된 거래였으므로 아무 문제도 발생하지 않음

드리프트는 4월 1일에 사고를 인지하고 즉시 대응에 나섰다. X를 통해 “현재 사이버 공격이 벌어지고 있다”고 고지하면서 “만우절 장난이 아니”라 강조했다. 공교롭게도 사건 발생 수일 전인 3월 27일 드리프트 운영진들은 ‘승인 절차 간소화’를 통과시켜 거래 승인 후 실행까지 걸리는 대기 시간을 대폭 줄이기까지 했다. “원래대로라면 비정상적 출금 명령이 내려졌을 때 시스템이 멈추거나 관리자가 개입할 시간이 있었을 겁니다. 하지만 절차 간소화 때문에 그 한 번의 차단 기회가 사라진 겁니다.” 드리프트 측의 설명이다.

처음 드리프트는 해당 사고가 4월 1일 단번에 벌어진 ‘단일 사건’으로 인지했다. 하지만 맨디언트(Mandiant) 등 외부 보안 기업이 조사에 참여하면서 위에 묘사된 사건의 윤곽이 드러났다. “공격자들이 3월 11일부터 공격용 토큰을 생성하고, 3월 23~30일 사이에 듀러블 넌스 계정들을 생성했다는 사실을 뒤늦게 알아냈습니다.”  드리프트는 모든 프로토콜 기능을 일시 중단하고, 시스템서 침해된 지갑을 제거했다. 

대면해도 신뢰할 수 없어

사건이 어느 정도 진정됐지만, “대면해서 맺은 파트너십조차 신뢰할 수 없다”는 것이 드리프트 내부에서는 적잖은 충격으로 남아 있다는 후문이다. 현재 맨디언트 등 조사에 참여했던 기업들은 공격자를 UNC1069로 규정해 추적 중이다. “이들은 링크드인이나 슬랙 등 유명 플랫폼서 가짜 프로필을 만들어 여러 계층의 사람들에 접근했습니다. 지금 겉으로 드러난 게 드리프트 사건 하나 뿐이지만, 물밑 어딘가에서 비슷한 공작이 진행되고 있을 공산이 큽니다.” 드리프트의 경고다.

아직까지 도난 자금은 회수되지 않았다. 공격자들이 탈취와 동시에 1차로 27개, 2차로 5만 7000개 이상의 지갑으로 분산 송금한 때문이다. 게다가 믹스 서비스를 이용, 솔라나 기반 자산을 이더리움 등 다른 종류의 코인으로 환전하는 것도 잊지 않았다. 추적이 불가능하게 변했다. 지금 이 순간에도 최대한 많은 자금을 회수하기 위해 할 수 있는 걸 하고 있지만 보장은 없는 상황이라고.

대신 ‘대면하여 알게 된 사업 파트너라도 신뢰하지 않는다’라는 보안 교훈을 내부적으로 전파 중이다. 굳이 사람을 신뢰하지 않더라도 방어 기제가 발동할 수 있는 시스템을 만들어야 함에 절감한 것이다. “가장 큰 실수는 보안 절차를 간소화 한 것이었습니다. 관리자 명령은 승인 후에도 충분한 대기 시간을 거쳐 실행돼야 합니다. 그런 시스템이 갖춰져 있다면 사람을 잘못 신뢰해 실수하더라도 사건을 예방할 가능성이 높아집니다.”

서명을 할 때 단순 승인 버튼을 누르는 게 아니라 각 서명자가 거래의 실제 내용을 원본 데이터로부터 확인하는 절차도 마련 중에 있다고 드리프트는 밝혔다. “아무리 친한 파트너가 준 것이라도 외부 출처 코드나 앱을 실행할 땐 VM에서만 되게 만들고, 신원 검증을 보다 다각화하기로 결정했습니다. 화이트리스트 기반 보안 점검 장치도 적용하려 합니다.”

과도한 호의(예: 100만 달러 예치)나 일 진행의 지나친 수월함이 감지될 땐 자연스럽게 의심이 발동되도록 습관을 들이는 것도 중요하다고 보안 전문가들은 짚는다. “피싱은 이제 메일이나 문자로만 시도되지 않습니다. 대면한 상황에서, 심지어 같이 술 한잔 하는 관계에서도 실행됩니다. 이 점을 분명히 인지하고, 비정상적인 상황에서 의심의 센스가 작동하도록 훈련해야 합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

> TRM Labs가 2026년 4월 발생한 Drift Protocol 해킹을 분석하며, 공격 전 3주간의 온체인 준비 과정과 사회공학·멀티시그 서명자 기만·도메인/토큰 조작을 통해 약 2억 8,500만 달러를 탈취했고, 북한 배후 가능성이 높다고 평가한 보고서 「North Korean Hackers Attack Drift Protocol In USD 285 Million Heist」 , 2026년 > 블록체인 조사 업체와 보안 연구자들이 Drift Protocol 침해를 북한 배후 공격으로 지목하며, 공격자들이 장기간 신뢰를 쌓은 뒤 멀티시그 권한을 악용해 자금을 빼냈고 이전 Radiant Capital 공격과도 연결된다고 보도한 기사 「North Korea behind $286m Drift Protocol hack, investigators say」 - DL News , 2026년 > Drift Protocol 침해가 2024년 말부터 시작된 장기 침투와 사회공학, 그리고 권한 오용을 결합한 작전이었다고 설명하면서, 북한 연계 그룹 UNC4736의 전술·자금세탁 패턴·Durable Nonce 악용 방식을 정리한 분석 기사 「Drift Protocol Exposes North Korea's Devastating $270M Crypto Heist」 - CryptoRank/BitcoinWorld , 2026년 > Elliptic이 Drift Protocol 해킹의 자금 흐름과 인프라를 추적해 북한 연계 지갑·세탁 경로와의 유사성을 확인하고, 고도화된 은폐 기법과 거래 패턴이 Lazarus 계열 작전과 일치한다고 설명한 분석 기사 「Drift Protocol Hack: Elliptic Uncovers Alarming North Korean Connection in Sophisticated Attack」 , 2026년

북한 해커들, 새 해킹 도구 꾸준히 도입

💡Editor’s Pick - 기존에 발견되지 않은 도구 세 가지 새롭게 등장 - 하지만 큰 틀에서는 2022년부터 시작된 컨태져스인터뷰 캠페인 - 새 도구 개발, 확보, 활용에 있어 부지런한 모습 북한 해커들이 새로운 도구들을 활용한다는 사실이 포착됐다. 보안 기업 이셋(ESET)이 발표한 것으로, 최근 북한 APT 조직들은 컨태져스인터뷰(Contagious Interview)라는

더테크엣지(The Tech Edge)문가용 기자