솔라나 기반 탈중앙화금융(DeFi·디파이) 프로토콜 드리프트가 약 2억 8000만 달러(약 4271억 원) 규모 해킹 사건과 관련해 북한 연계 조직이 배후로 지목된다고 밝혔다.

드리프트는 5일(현지시간) 공식 엑스를 통해 공개한 보고서에서 1일 발생한 해킹이 북한 연계 조직 ‘UNC4736’의 소행으로 추정되는 장기 침투 작전이라고 분석했다. UNC4736은 미국 보안업체 맨디언트가 지목한 북한 연계 해킹 조직이다. 애플제우스 또는 시트린 슬릿으로도 불리는 그룹이다.

드리프트는 이번 공격에 사용된 자금 흐름이 과거 북한 연계 조직 소행으로 지목된 디파이 프로토콜 래이디언트 캐피털 해킹 사건과 연결된 정황이 확인됐다고 전했다. 또한 공격에 동원된 인물과 활동 방식이 기존 북한 연계 해킹 조직의 패턴과 유사하다는 점도 근거로 제시했다. 아울러 제3자를 활용한 오프라인 접촉과 같은 방법은 북한 연계 조직이 사용해온 수법으로 분석된다고 덧붙였다.

보고서에 따르면 공격자들은 퀀트 트레이딩 업체를 가장해 약 6개월에 걸쳐 드리프트 생태계에 접근했다. 이들은 글로벌 컨퍼런스와 실무 협업 등을 통해 기여자들과 접촉하며 신뢰를 구축했다. 실제 100만 달러 이상의 자금을 예치하고 제품 통합 논의에도 참여하는 등 정상적인 파트너처럼 활동한 것으로 나타났다.

공격자들은 개발자들이 사용하는 프로그램 코드 파일과 테스트용 애플리케이션을 미끼로 악성 코드 설치를 유도한 것으로 파악됐다. 개발 협업 과정처럼 보이도록 접근한 뒤 파일을 내려 받거나 앱을 설치하는 순간 악성코드가 실행되도록 설계한 것이다.

기기가 감염된 이후 공격자들은 멀티시그 승인에 필요한 접근 권한을 확보했고, 이를 통해 사전에 서명된 거래를 준비했다. 멀티시그는 여러 명의 승인자가 동의해야 자산 이동이 가능한 방식의 보안 체계다. 해당 거래는 일주일 이상 대기 상태로 유지되다가 1일 실행됐다. 1분도 채 되지 않아 약 2억 8000만 달러가 유출됐다. 탈취된 자산에는 달러 기반 스테이블코인 USDC를 비롯해 솔라나(SOL), JPL토큰, 코인베이스 랩트 비트코인(cbBTC) 등이 포함됐다.

보안 업계는 이번 사건이 기존 사이버 공격을 넘어 오프라인 접촉까지 결합된 고도화된 작전이라는 점에 주목하고 있다. 가상화폐 전문매체 코인데스크는 “이번 사건이 멀티시그 기반 보안 모델의 구조적 취약성을 드러난 사례”라며 “공격자가 수개월에 걸쳐 신뢰를 쌓고 실제 자금을 투입하며 내부에 침투하는 방식까지 동원할 경우, 기존 보안 체계로 이를 사전에 차단하기 어렵다”고 진단했다.

다만 드리프트 측은 “기기 포렌식을 포함한 추가 조사가 완료돼야 최종 판단이 가능하다”고 덧붙였다.