드리프트 2.85억 달러 해킹 사건 심층 복원: DeFi 거버넌스는 어떻게 “허접한 팀”과 작별해야 할까?

2026년 4월 1일, Solana 생태계에서 가장 큰 탈중앙화 영구 계약 거래소 Drift Protocol이 역사적인 타격을 입었습니다. 불과 몇 분 만에 최대 2.85억 달러의 암호 자산이 털려, 올해 DeFi 분야에서 가장 큰 규모의 보안 사건을 기록했습니다.

체인 상 데이터의 분석과 보안 기관의 깊은 개입이 진행됨에 따라, 북한 해커 조직이 주도한 것으로 의심되는 APT 공격의 전모가 점차 드러나고 있습니다. 안타깝게도, 수억 달러의 DeFi 요새를 무너뜨린 것은 정교한 제로데이 취약점이 아니라, 수개월에 걸친 인간 본성을 겨냥한 사회 공학적 사냥이었습니다.

이 재앙은 Drift의 가장 어두운 순간일 뿐만 아니라, 현재 DeFi 산업의 거버넌스와 키 관리에서 "허술한" 실태를 드러냈습니다.

계획된 사냥: Drift는 어떻게 단계적으로 무너졌는가?

해커의 공격 경로를 되짚어보면, 이는 매우 치밀하고 인내심 있는 다선 협동 작전이었습니다. 공격자는 Web3 괴짜 커뮤니티의 "코드는 법이다"라는 맹목적인 자신감과 "인간"이라는 가장 약한 고리의 소홀함을 완벽하게 이용했습니다.

첫 번째 단계: "시장 조성자" 외피를 쓴 잠복

사건 발생 6개월 전, 공격자는 자금이 풍부한 양적 거래 기관으로 위장했습니다. 그들은 주요 암호화 회의에서 Drift 핵심 팀과 술잔을 기울였고, 프로토콜에 실제로 백만 달러 이상의 자금을 예치했습니다. 제품 테스트에 참여하고 고품질 전략 제안을 제시함으로써, 해커는 Drift의 내부 커뮤니케이션 그룹에 성공적으로 침투하여 치명적인 신뢰를 구축했습니다.

두 번째 단계: "지속적 난수"를 이용한 타이머 폭탄 설치

핵심 기여자의 신뢰를 얻은 후, 해커는 Solana 네트워크 고유의 "지속적 난수(Durable Nonces)" 메커니즘을 이용하기 시작했습니다. 이 메커니즘은 거래가 미리 오프라인 서명되고 미래의 임의의 시간에 방송되어 실행될 수 있도록 허용합니다. 해커는 교묘한 언어와 위장된 테스트 요구를 통해 Drift 보안 위원회의 구성원들이 몇 건의 평범해 보이는 거래에 대해 "블라인드 서명(Blind Signing)"을 하도록 유도했습니다. 이러한 거래의 실제 페이로드는 프로토콜 관리자(Admin)의 최고 통제권을 이전하는 것이었습니다.

세 번째 단계: 치명적인 2/5 다중 서명과 제로 타임 락

3월 27일, Drift는 치명적인 거버넌스 업데이트를 진행했습니다: 보안 위원회를 새로운 2/5 다중 서명 구조로 이전하고, 타임 락(Timelock)을 제거했습니다. 이는 두 개의 서명만 모이면, 프로토콜의 기본 논리를 수정하는 모든 명령이 즉시 실행된다는 것을 의미하며, 심지어 네트워크 케이블을 뽑는 반응 시간조차 주지 않습니다.

네 번째 단계: 신기루 같은 "가짜 코인" 인출기

4월 1일, 해커는 모든 배치를 동시에 폭발시켰습니다. 그들은 미리 속여서 얻은 다중 서명 명령을 방송하여 프로토콜의 Admin 권한을 즉시 장악했습니다. 이후 해커는 CVT(CarbonVote Token)라는 이름의 가짜 토큰을 화이트리스트에 추가하고, 그 대출 한도를 최대한으로 끌어올렸습니다. 예언자의 가격 조작과 함께, 해커는 공기 코인으로 담보를 제공하여 합법적으로 Drift 금고에서 2.85억 달러의 USDC, SOL 및 ETH를 "빌려"갔습니다.

서명이 합법적이라고 해서 의도가 합법적이다는 것은 아니다: DeFi 보안의 아킬레스건

Drift 사건에서 가장 무력감을 느끼게 하는 것은, 블록체인 가상 머신의 눈에는 해커의 모든 단계가 "합법적"이라는 것입니다. 그들은 오버플로우 취약점을 이용하지도 않았고, 재진입 공격도 하지 않았습니다. 그들은 단지 합법적인 관리자 키를 얻었고, 당당하게 금고에 들어갔습니다.

이는 현재 DeFi 프로토콜의 자금 관리에서의 큰 불일치를 드러냅니다: 몇 백 달러를 관리하는 소액 투자자 수준의 도구로 몇 억 달러의 기관급 국고를 관리하려고 합니다.

현재 대부분의 주류 DeFi 프로토콜은 여전히 전통적인 스마트 계약 기반의 다중 서명(예: Safe 또는 원래의 다중 서명 메커니즘)에 크게 의존하고 있습니다. 이러한 구조에는 두 가지 치명적인 결함이 있습니다:

1. 사회 공학을 방어할 수 없음: 해커가 몇몇 개인 키를 가진 핵심 인물을 (피싱, 협박 또는 매수하여) 처리하기만 하면 방어선이 무너집니다.

2. 의도 검증 부족: 다중 서명은 "이 사람들이 서명했는지"만 확인할 뿐, "그들이 서명한 것이 매매 계약인지"는 확인하지 않습니다.

괴짜 실험에서 금융 인프라로: Web3 보안의 필연적 진화

Drift의 2.85억 달러는 매우 비싼 교훈을 가져왔습니다: Web3와 전통 금융의 가속화된 융합에 따라, DeFi 프로토콜은 단순히 개발자의 자율성과 간단한 다중 서명 거버넌스 모델에 의존하는 것을 버리고, 기관급 보안 기준에 맞춰야 합니다.

현재 업계의 주요 기관과 보안 관찰자들은 DeFi 인프라의 다음 보안 진화가 반드시 다음 몇 가지 핵심 차원의 업그레이드를 포함해야 한다는 데 합의하고 있습니다:

1. 암호학적 기반의 업그레이드: HSM(하드웨어 보안 모듈)으로 나아가기

다중 서명의 소프트웨어 집합체와 비교할 때, HSM은 프로토콜의 개인 키를 인증된 군사급 암호화 칩 내에 저장하여 개인 키가 내보내질 수 없도록 합니다. 이러한 하드웨어 수준의 물리적 격리와 보안 제어는 내부 인원의 사회 공학적 공격이나 장비 침입으로 인한 위험을 근본적으로 차단하여, 프로토콜 금고에 전통적인 다중 서명보다 훨씬 뛰어난 키 보안 보장을 제공합니다.

2. "의도 기반" 전략 엔진(Policy Engine) 도입

미래의 DeFi 관리 권한 승인 과정은 단순히 "서명 검증" 단계에 그쳐서는 안 됩니다. 시스템은 내장된 리스크 관리 논리를 갖추어야 합니다. 예를 들어, 거래가 특정 미지의 토큰(Drift 사건의 CVT와 같은)의 대출 한도를 무한으로 수정하려고 할 때, 전략 엔진은 그 비정상적인 의도를 자동으로 인식하고, 서킷 브레이커 메커니즘을 작동시켜 더 높은 차원의 검증(예: 다단계 인적 리스크 관리, 비디오 검증 또는 강제 타임 락)을 요구해야 합니다.

3. 독립적인 규제 수탁 기관의 수용

TVL이 계속해서 팽창함에 따라, 프로토콜 개발자는 코드 논리와 비즈니스 혁신에 집중하고, 수억 달러의 금고 통제권과 보안 방어를 전문적인 제3자 규제 수탁 기관에 맡겨야 합니다. 전통 금융에서 거래소가 사용자 자산을 사장의 개인 금고에 두지 않는 것과 같습니다. 강력한 공격 및 방어 능력을 갖춘 감사된 기관급 리스크 관리 프로세스를 도입하는 것은 DeFi가 대중화로 나아가는 필수 경로입니다.

Cactus Custody와 같은 디지털 자산 보안에 오랜 시간 동안 깊이 관여해온 기관 서비스 제공자가 주장하는 바와 같이: DeFi의 탈중앙화는 시스템적 리스크 관리를 회피하는 구실이 되어서는 안 됩니다.

Drift 해킹 사건은 아마도 분수령이 될 것입니다. 이는 "허술한" 거버넌스의 파산을 선언하며, 하드웨어 아키텍처, 의도 검증 및 전문 수탁을 핵심으로 하는 새로운 보안 패러다임의 도래를 예고합니다. 이 방어선을 강화해야만 Web3는 진정으로 수조 달러 규모의 미래를 수용할 수 있습니다.