알파리포트
뉴스
리서치
마켓정보
라운지
커뮤니티
서비스
매체소개
고객센터
3
드리프트 프로토콜 해킹은 단순 공격이 아니었다. 약 270백만 달러(약 4,077억 원)를 탈취한 이번 사건은 ‘6개월간 치밀하게 준비된 침투 작전’으로, 북한 연계 해킹 조직이 배후로 지목됐다.
6개월에 걸친 ‘신뢰 구축형 침투’
드리프트 프로토콜 팀이 공개한 사고 보고서에 따르면, 공격은 2025년 가을 한 대형 크립토 컨퍼런스에서 시작됐다. 공격자들은 자신들을 ‘퀀트 트레이딩 기업’으로 소개하며 협업을 제안했다.
이들은 기술적 이해도가 높았고, 실제 경력도 검증 가능한 수준이었다. 이후 텔레그램 채널을 통해 수개월간 전략 논의와 금고(Vault) 통합 관련 협업을 이어갔다. 이는 일반적인 디파이(DeFi) 온보딩 과정과 동일한 흐름이었다.
2025년 12월부터 2026년 1월 사이, 해당 그룹은 드리프트 생태계에 직접 참여했다. 이들은 100만 달러(약 15억 원) 이상의 자금을 예치하고 ‘에코시스템 볼트’를 운영하며 실질적인 활동 기반까지 구축했다.
또한 2월과 3월에는 여러 국가에서 열린 컨퍼런스에서 드리프트 관계자들과 직접 만남까지 가진 것으로 확인됐다. 공격이 실행된 4월 1일 기준, 양측의 관계는 이미 반년 가까이 지속된 상태였다.
두 갈래 침투…개발 환경과 모바일까지 노렸다
공격은 크게 두 가지 경로를 통해 이뤄진 것으로 분석됐다.
첫 번째는 개발자 환경을 노린 방식이다. 공격자는 깃허브(GitHub) 저장소를 공유하며 내부 코드 검토를 유도했고, 이 과정에서 악성 코드가 실행되도록 설계했다.
특히 VSCode와 Cursor에서 발견된 취약점이 활용된 것으로 보인다. 해당 취약점은 2025년 말부터 보안 업계에서 경고가 제기됐던 사안으로, 파일이나 폴더를 열기만 해도 별도의 경고 없이 코드가 실행될 수 있는 ‘치명적 문제’였다.
두 번째는 모바일 경로다. 공격자는 애플의 테스트 앱 배포 플랫폼 ‘TestFlight’를 활용한 지갑 애플리케이션을 제공했고, 일부 사용자가 이를 설치하면서 기기 접근 권한이 넘어간 것으로 추정된다.
멀티시그 구조도 무력화…1분 만에 4천억 원 유출
기기들이 장악된 이후, 공격자는 멀티시그(multisig) 승인 권한을 확보했다. 드리프트 측에 따르면, 이들은 사전에 서명된 거래를 일주일 이상 ‘대기 상태’로 유지하다가 4월 1일 단 1분 만에 실행했다.
결과적으로 프로토콜 금고에서 약 270백만 달러 규모 자금이 순식간에 빠져나갔다.
이번 공격은 단순 취약점 악용을 넘어, ‘신뢰를 기반으로 한 장기 침투’와 ‘사회공학적 기법’이 결합된 사례로 평가된다.
북한 연계 조직 ‘UNC4736’ 지목
이번 공격의 배후로는 북한 연계 해킹 조직 ‘UNC4736’이 지목됐다. 이 조직은 ‘애플제우스(AppleJeus)’ 또는 ‘시트린 슬릿(Citrine Sleet)’으로도 알려져 있다.
온체인 자금 흐름이 과거 라디언트 캐피탈 공격과 연결된 점, 그리고 기존 북한 연계 조직과의 활동 패턴이 유사하다는 점이 근거로 제시됐다.
다만 컨퍼런스에 직접 등장했던 인물들은 북한 국적이 아닌 것으로 확인됐다. 보고서는 “이 수준의 공격 조직은 위장 신원을 갖춘 중개 인력을 활용하는 경우가 일반적”이라고 설명했다.
멀티시그 보안 모델에 던져진 질문
드리프트는 다른 프로토콜들에 대해 접근 권한 관리와 기기 보안을 재점검할 것을 촉구했다. 특히 멀티시그 참여자의 모든 디바이스를 ‘잠재적 공격 표적’으로 간주해야 한다고 강조했다.
이번 사건은 디파이 업계가 신뢰해온 멀티시그 기반 거버넌스 모델에 근본적인 의문을 던진다. 공격자가 6개월간 실제 조직처럼 행동하고 자금을 투입하며 생태계 내부로 스며든다면, 기존 보안 체계로 이를 탐지하는 것은 사실상 어렵기 때문이다.
결국 이번 해킹은 기술적 취약점보다 ‘사람과 신뢰’를 겨냥한 공격이 얼마나 치명적일 수 있는지를 보여준 사례로 남게 됐다.
🔎 시장 해석
이번 드리프트 프로토콜 해킹은 단순 기술적 취약점이 아닌 ‘장기 신뢰 기반 침투’ 공격으로, 디파이 시장 전반의 보안 패러다임을 흔드는 사건이다.
북한 연계 조직이 6개월간 실제 투자자처럼 활동하며 내부 신뢰를 확보한 뒤 공격을 실행했다는 점에서, 기존 온체인 보안만으로는 대응이 어렵다는 경고를 준다.
💡 전략 포인트
멀티시그 구조만으로는 안전하지 않으며, 참여자의 디바이스 보안이 핵심 리스크로 부각된다.
개발 환경(VSCode, Cursor)과 테스트 앱(TestFlight) 등 ‘일상적 협업 도구’가 공격 벡터가 될 수 있어 제로트러스트 접근이 필요하다.
프로토콜 운영 시 외부 협력자 검증, 권한 분리, 장기 활동 모니터링 등의 보안 강화 전략이 중요하다.
📘 용어정리
멀티시그(multisig): 여러 명의 서명이 있어야 거래가 실행되는 공동 승인 방식
사회공학 공격: 기술이 아닌 사람의 신뢰와 심리를 이용하는 해킹 기법
TestFlight: iOS 앱을 정식 출시 전 테스트용으로 배포하는 애플 플랫폼
UNC4736: 북한 연계로 추정되는 해킹 조직, AppleJeus 계열 공격으로도 알려짐
💡 자주 묻는 질문 (FAQ)
Q.
드리프트 프로토콜 해킹은 왜 이렇게 큰 사건으로 평가되나요?
단순한 취약점 공격이 아니라 6개월에 걸친 신뢰 구축과 실제 자금 투입까지 동반된 ‘장기 침투형 공격’이었기 때문입니다. 기존 보안 시스템으로는 탐지하기 어려운 방식이어서 디파이 업계 전반에 큰 충격을 주었습니다.
Q.
멀티시그 구조도 안전하지 않은 건가요?
멀티시그 자체는 여전히 중요한 보안 장치지만, 참여자의 기기가 해킹되면 의미가 약해질 수 있습니다. 이번 사건처럼 승인 권한을 가진 디바이스가 장악되면 다중 서명 구조도 무력화될 수 있습니다.
Q.
일반 사용자도 이런 공격에 노출될 수 있나요?
가능합니다. 특히 테스트 앱(TestFlight) 설치나 코드 파일 실행처럼 일상적인 행동이 공격 경로가 될 수 있습니다. 출처가 불명확한 앱이나 파일을 열지 않고, 지갑 권한 관리와 기기 보안을 강화하는 것이 중요합니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 566회차](https://f1.tokenpost.kr/2026/04/n9mlws44zz.png)
![[토큰포스트] 기사 퀴즈 565회차](https://f1.tokenpost.kr/2026/03/m43jkd7zqs.jpg)
![[토큰포스트] 기사 퀴즈 564회차](https://f1.tokenpost.kr/2026/03/jv98dr88vq.png)
![[토큰포스트] 기사 퀴즈 563회차](https://f1.tokenpost.kr/2026/03/8ifenqtxne.jpg)
![[오후 뉴스브리핑] 솔라나 기반 탈중앙화 거래소 드리프트, 해킹 후 북한 연계 해커들과 협상 의사 外](https://f1.tokenpost.kr/2026/04/tmtj240mzr.jpg)
