Drift 2.85억 달러 해킹 사건 심층 분석: DeFi 거버넌스는 어떻게 '아마추어 팀'에서 벗어날 수 있을까?

2026년 4월 1일, 솔라나 생태계 최대의 탈중앙화 영구계약 거래소 Drift Protocol이 엄청난 타격을 입었습니다. 단 10여 분 만에 무려 2억 8500만 달러 상당의 암호화폐 자산이 털렸고, 이는 올해 들어 DeFi 분야에서 발생한 가장 큰 규모의 보안 사건으로 기록되었습니다.

체인 상 데이터를 낱낱이 분석하고 보안 기관들이 깊이 개입하면서, 북한 해커 조직이 주도한 것으로 추정되는 이 APT 공격의 전모가 서서히 드러나고 있습니다. 안타까운 점은 수억 달러 규모의 이 DeFi 요새를 무너뜨린 것이 정교한 제로데이 취약점(0-day)이 아니라, 수개월에 걸쳐 인간의 심리를 정확히 노린 사회공학적 사냥이었다는 사실입니다.

이 재앙은 Drift에게 있어 최악의 순간일 뿐만 아니라, 현재 DeFi 업계의 거버넌스와 키 관리가 얼마나 허술한 '임시변통' 수준인지를 적나라하게 드러냈습니다.

오래 전부터 계획된 사냥: Drift는 어떻게 단계적으로 함락되었나?

해커의 공격 경로를 복기해보면, 이는 매우 치밀하고 인내심을 갖춘 다각적 협동 작전이었음을 알 수 있습니다. 공격자는 Web3 개발자 커뮤니티가 가진 '코드가 곧 법칙'이라는 맹목적인 신뢰와, 가장 취약한 고리인 '사람'에 대한 소홀함을 완벽하게 이용했습니다.

첫 번째 단계: '마켓 메이커' 외피를 쓴 잠복

사건 발생 반년 전부터, 공격자는 자금력이 풍부한 양적 거래 기관으로 위장했습니다. 그들은 주요 암호화폐 컨퍼런스에서 Drift 핵심 팀과 어울리는 것은 물론, 프로토콜에 실제로 수백만 달러의 자금을 예치했습니다. 제품 테스트 참여와 고품질의 전략 제안을 통해, 해커는 Drift의 내부 커뮤니케이션 채널에 성공적으로 침투하여 치명적인 신뢰를 구축했습니다.

두 번째 단계: '지속 난스'를 이용한 시한폭탄 설치

핵심 기여자들의 신뢰를 얻은 후, 해커는 솔라나 네트워크 고유의 '지속 난스(Durable Nonces)' 메커니즘을 이용하기 시작했습니다. 이 메커니즘은 거래를 사전에 오프라인에서 서명하고, 미래의 임의의 시간에 브로드캐스트하여 실행할 수 있게 합니다. 해커는 교묘한 말솜씨와 위장된 테스트 요구를 통해, Drift 보안 위원회 멤버들이 몇 건의 평범해 보이는 거래에 대해 '블라인드 서명(Blind Signing)'을 하도록 유도했습니다. 그리고 이 거래들의 실제 페이로드는 프로토콜 관리자(Admin)의 최고 제어권을 이전하는 것이었습니다.

세 번째 단계: 치명적인 2/5 멀티시그와 제로 타임락

3월 27일, Drift는 치명적인 거버넌스 업데이트를 수행했습니다: 보안 위원회를 새로운 2/5 멀티시그 구조로 이전하고, 타임락(Timelock)을 제거한 것입니다. 이는 단 두 개의 서명만 모이면, 프로토콜의 기본 로직을 수정하는 어떤 지시도 즉시 실행된다는 것을 의미했으며, 긴급 대응을 위한 '플러그 뽑기'조차 할 시간이 없었습니다.

네 번째 단계: 신기루 같은 '가짜 코인' 인출기

4월 1일, 해커는 모든 것을 동시에 폭발시켰습니다. 그들은 미리 속여 얻은 멀티시그 명령을 브로드캐스트하여, 순식간에 프로토콜의 Admin 권한을 장악했습니다. 이후 해커는 CVT(CarbonVote Token)라는 가상의 토큰을 화이트리스트에 추가하고, 그 대출 한도를 최대치로 끌어올렸습니다. 오라클의 가격 조작과 결합하여, 해커는 공기 같은 토큰을 담보로 삼아, Drift 금고에 있던 2억 8500만 달러 상당의 USDC, SOL, ETH를 합법적으로 '빌려' 갔습니다.

서명의 합법성 ≠ 의도의 합법성: DeFi 보안의 아킬레스건

Drift 사건에서 가장 무력하게 느껴지는 점은 블록체인 가상 머신의 눈에는 해커의 모든 행위가 '합법적'이었다는 것입니다. 그들은 오버플로우 취약점을 이용하지도 않았고, 재진입 공격을 하지도 않았습니다. 그들은 단지 합법적인 관리자 키를 얻어, 당당하게 금고로 들어갔을 뿐입니다.

이는 현재 DeFi 프로토콜이 자금 관리에 있어 큰 괴리를 드러냅니다: 수백 달러의 소액 투자자 수준 도구로 수억 달러의 기관급 국고를 관리하고 있는 것입니다.

현재, 대부분의 주요 DeFi 프로토콜은 여전히 Safe나 네이티브 멀티시그 메커니즘과 같은 전통적인 스마트 계약 기반의 다중 서명에 크게 의존하고 있습니다. 이러한 아키텍처에는 두 가지 치명적인 결함이 있습니다:

1. 사회공학적 공격을 막지 못함: 해커가 (피싱, 강압 또는 매수로) 개인키를 쥔 몇 명의 핵심 인물만 제압하면 방어선은 무너집니다.
2. 의도 검증 부재: 멀티시그는 '이 사람들이 서명했는가'만 확인할 뿐, '그들이 서명한 것이 자기 몸을 파는 계약서인가'는 확인하지 않습니다.

개발자 실험에서 금융 인프라로: Web3 보안의 필연적 진화

Drift의 2억 8500만 달러는 극히 비싼 교훈을 사왔습니다: Web3가 전통 금융과의 융합이 가속화됨에 따라, DeFi 프로토콜은 단순히 개발자의 자율성과 간단한 멀티시그에 의존하는 거버넌스 모델을 버리고, 기관급 보안 표준을 따라야 합니다.

현재, 업계 선두 기관들과 보안 관찰자들은 DeFi 인프라의 다음 보안 반복 업데이트에는 반드시 다음과 같은 핵심 차원의 업그레이드가 포함되어야 한다는 데 공감대를 형성하고 있습니다:

암호학 기반의 업그레이드: HSM(하드웨어 보안 모듈)로의 전환

멀티시그의 소프트웨어 집합 방식과 비교하여, HSM은 프로토콜의 개인키를 인증받은 군사급 암호화 칩 내부에 저장하며, 개인키는 외부로 추출될 수 없습니다. 이러한 하드웨어 수준의 물리적 격리와 안전 제어는 내부자의 사회공학적 공격이나 장치 침해로 인한 위험을 근본적으로 차단하여, 프로토콜 금고에 전통적인 멀티시그를 훨씬 뛰어넘는 키 보안을 제공합니다.

'의도 기반' 정책 엔진(Policy Engine) 도입

미래의 DeFi 관리 권한 승인은 단순히 '서명 검증' 단계에 머물러서는 안 됩니다. 시스템에는 내장된 위험 관리 로직이 필요합니다. 예를 들어, 한 거래가 특정 알려지지 않은 토큰(Drift 사건의 CVT와 같은)의 대출 한도를 무한대로 수정하려고 할 때, 정책 엔진은 그 비정상적인 의도를 자동으로 인지하여, 서킷 브레이커 메커니즘을 발동시키고, 더 높은 차원의 검증(예: 다단계 수동 위험 관리, 영상 확인 또는 강제 타임락)을 요구해야 합니다.

독립적인 규정 준수 금융 기관 수탁사의 수용

TVL이 끊임없이 팽창함에 따라, 프로토콜 개발자는 코드 로직과 비즈니스 혁신에 집중하고, 수억 달러의 금고 통제권과 보안 방어는 전문적인 제3자 규정 준수 금융 기관 수탁사에 맡겨야 합니다. 마치 전통 금융에서 거래소가 사용자 자산을 사장의 개인 금고에 보관하지 않는 것처럼 말입니다. 강력한 공격 및 방어 능력을 갖추고 감사를 받은 기관급 위험 관리 프로세스를 도입하는 것은 DeFi가 대중화되기 위한 필수 과정입니다.

Cactus Custody와 같은 디지털 자산 보안 분야에 오랫동안 깊이 몰두해 온 기관 서비스 제공업체들이 주장하는 바와 같이: DeFi의 탈중앙화는 체계적인 위험 관리를 회피하는 구실이 되어서는 안 됩니다.

Drift 해킹 사건은 하나의 분수령이 될지도 모릅니다. 이는 '임시변통'식 거버넌스의 파산을 선언하고, 하드웨어 아키텍처, 의도 검증, 전문 수탁을 핵심으로 하는 새로운 보안 패러다임의 도래를 예고합니다. 이 방어선을 단단히 구축할 때만이, Web3는 진정으로 조 단위의 미래를 담보할 수 있을 것입니다.