북한 해커, 디파이 핵심 인프라 연속 타격…구조적 취약성 드러났다

북한 연계 해커 조직이 디파이(DeFi) 핵심 인프라를 겨냥한 연속 공격에 나서며 시장 전반의 ‘구조적 취약성’이 드러나고 있다. 드리프트(Drift)에 이어 켈프(Kelp)까지 잇따라 뚫리면서 단순 해킹을 넘어 체계적인 자금 탈취 전략이라는 분석이 나온다.

3주도 채 되지 않아 발생한 두 차례 공격으로 약 5억 달러(약 7,359억 원)가 유출됐다. 이번 켈프 공격은 레이어제로(LayerZero)의 크로스체인 인프라와 연결된 ‘리스테이킹’ 프로토콜을 겨냥했다는 점에서 의미가 크다. 자산 이동과 재사용을 담당하는 핵심 레이어가 공격받으면서 파급 범위가 빠르게 확산됐다.

암호를 깨지 않고 시스템을 속였다

이번 공격의 핵심은 기존 해킹과 다르다. 암호를 해독하거나 개인 키를 탈취하지 않았다. 대신 시스템이 정상적으로 작동하도록 설계된 ‘신뢰 구조’를 악용했다.

해커들은 입력 데이터 자체를 조작했고, 시스템은 이를 검증 없이 받아들여 실제로 발생하지 않은 거래를 승인했다. ENS랩스의 알렉산더 어벨리스 최고정보보호책임자는 “서명은 작성자를 증명할 뿐, 내용의 진실까지 보장하지 않는다”며 이번 사건을 ‘서명된 거짓말’로 규정했다.

블록체인 보안업체 SVRN의 데이비드 슈베드 COO 역시 “암호 기술이 아니라 시스템 설계 방식 자체를 노린 공격”이라고 설명했다.

단일 검증 구조, 치명적 약점 드러나

취약점의 핵심은 ‘단일 검증자’ 구조였다. 켈프는 크로스체인 메시지를 하나의 검증자에 의존해 승인하도록 설계돼 있었다. 속도와 편의성을 높였지만, 동시에 중요한 보안 레이어를 제거한 셈이다.

레이어제로는 이후 복수의 독립 검증자를 도입하라고 권고했지만, 업계에서는 기본 설정 자체가 문제였다는 지적이 나온다. 슈베드는 “위험한 설정이라면 애초에 선택지로 제공하면 안 된다”며 “모든 사용자가 문서를 완벽히 이해할 것이라는 가정은 비현실적”이라고 말했다.

문제는 여기서 끝나지 않았다. 켈프 자산은 여러 디파이 프로토콜에서 활용되고 있었고, 이 중 일부는 에이브(AAVE)와 같은 대출 플랫폼에서 담보로 쓰였다. 결과적으로 하나의 취약점이 전체 생태계로 번지는 ‘연쇄 충격’으로 이어졌다.

‘탈중앙화’와 현실 사이의 괴리

이번 사건은 탈중앙화의 실질적 수준에 대한 의문도 던졌다. 단일 검증 구조는 사실상 중앙화된 요소에 가깝기 때문이다.

슈베드는 “단일 검증자는 탈중앙화가 아니다”라고 지적했고, 어벨리스는 “탈중앙화는 시스템의 속성이 아니라 선택의 결과”라며 “가장 중앙화된 지점이 전체 보안 수준을 결정한다”고 설명했다.

실제로 공격은 사용자에게 잘 보이지 않는 데이터 공급, 크로스체인 인프라 같은 ‘하부 레이어’에서 발생했다. 이는 최근 북한 해커 조직 ‘라자루스’의 공격 방향 변화와도 맞닿는다. 이들은 거래소나 스마트컨트랙트 오류보다 자산 이동과 연결을 담당하는 인프라를 집중적으로 노리고 있다.

새로운 취약점이 아닌 ‘방치된 위험’

이번 켈프 해킹은 새로운 기술적 결함을 드러냈다기보다, 이미 알려진 위험이 제대로 관리되지 않았다는 점을 보여준다. 보안이 ‘권고사항’에 그친 구조에서는 동일한 문제가 반복될 수밖에 없다.

전문가들은 앞으로 공격이 더 정교해지는 만큼, 취약점 자체보다 ‘대응 속도와 설계 선택’이 핵심 리스크가 될 것으로 보고 있다. 크로스체인과 리스테이킹이 확대되는 상황에서, 보안 공백은 점점 더 큰 비용으로 되돌아올 가능성이 크다.