켈프DAO 4320억 원 해킹…브리지 구조적 취약성 다시 드러나

켈프DAO(KelpDAO)에서 약 2억9200만달러(약 4320억 원) 규모 자산이 탈취되는 사건이 발생했다. 이번 사태는 블록체인을 연결하는 ‘브리지’가 여전히 가장 취약한 고리라는 점을 다시 부각시킨다.

이번 공격은 레이어제로(LayerZero)의 크로스체인 메시징 시스템을 사용하는 과정에서 발생했다. 브리지는 이더리움(ETH) 등 서로 다른 네트워크 간 자산 이동을 돕는 핵심 인프라이지만, 최근 수년간 수십억 달러 규모 피해가 반복되며 구조적 한계가 지적되고 있다.

문제는 코드가 아니라 ‘구조’

업계 전문가들은 단순한 코드 결함이나 실수보다 근본적인 설계 문제가 원인이라고 본다. 브리지는 한 체인에서 자산이 잠겼다는 사실을 다른 체인이 ‘증명’해야 작동한다. 하지만 이를 직접 검증하는 대신, 별도의 시스템이나 검증자 집단에 의존하는 구조가 일반적이다.

에스프레소시스템즈 CEO 벤 피시(Ben Fisch)는 “대부분의 브리지는 다른 체인에서 발생한 일을 완전히 검증하지 않는다”며 “대신 소규모 시스템이 전달하는 정보를 신뢰한다”고 설명했다.

이번 켈프DAO 공격 역시 이 지점을 노렸다. 공격자는 노드를 장악해 ‘잘못된 데이터’를 시스템에 주입했고, 브리지는 설계대로 작동했지만 잘못된 정보를 그대로 받아들였다.

단순 해킹 아니라 복합적 취약성

브리지 해킹은 매번 다른 방식으로 발생하지만, 본질은 유사하다. 개인 키 탈취, 스마트컨트랙트 취약점, 중앙화된 검증 구조, 사회공학 공격 등이 복합적으로 작용한다.

1인치 공동창업자 세르게이 쿤츠(Sergej Kunz)는 “코드 문제, 중앙화, 경제적 공격 등 다양한 취약성이 동시에 얽혀 있다”며 “브리지는 실패 사례의 집합체”라고 지적했다.

보이지 않는 과정, 커지는 리스크

사용자 입장에서는 클릭 한 번으로 자산이 이동하지만, 실제 내부 과정은 복잡하다. 토큰을 기존 체인에 잠근 뒤, 별도의 검증 시스템이 이를 확인하고 다른 체인에서 ‘랩드 토큰’을 발행한다.

문제는 이 확인 과정이다. 만약 검증 시스템이 손상되면, 실제로 존재하지 않는 자산도 발행될 수 있다. 결국 브리지는 ‘누구를 신뢰하느냐’에 따라 안정성이 좌우된다.

한 번 무너지면 전체로 확산

브리지 해킹의 위험성은 단일 프로토콜에 그치지 않는다. 브리지를 통해 발행된 자산은 디파이(DeFi) 생태계 전반에서 담보, 유동성, 수익 전략에 활용된다.

손상된 자산이 정상 자산으로 취급되면, 다른 플랫폼까지 연쇄적으로 영향을 받는다. 쿤츠는 “이렇게 ‘전염’이 발생한다”며 “사용자는 구조적 위험을 충분히 인지하지 못한 경우가 많다”고 말했다.

해결책은 있지만…속도 경쟁이 발목

보안 강화를 위한 방법도 제시되고 있다. 단일 데이터 소스 의존도를 줄이고, 독립적인 검증 체계를 구축하는 것이 핵심이다. 하지만 현실에서는 여러 프로젝트가 동일 인프라에 의존하는 경우가 많아, 하나가 뚫리면 전체가 위험해질 수 있다.

하드웨어 보안, 모니터링 시스템 개선, 암호학 기반 직접 검증 방식도 대안으로 거론되지만, 도입 속도는 더디다. 빠른 출시와 사용자 확보 경쟁이 보안 투자보다 우선시되기 때문이다.

결국 업계에서는 구조 자체를 바꾸지 않는 한 같은 문제가 반복될 것이라는 시각이 지배적이다. 브리지가 확장성을 위한 필수 요소인 동시에, 가장 큰 리스크 요인으로 남아 있는 이유다.