
만무: 인기 DeFi 프로젝트 기반 보안 위험 분석
작성자: 산거, Mr.A, 스로우미스트 보안 팀
배경
최근 몇 년간 DeFi 프로젝트가 급속도로 성장하며 금융 혁신의 물결을 일으키고 있다. DeFi 프로젝트는 블록체인 기술을 활용해 대출, 거래, 자산 관리 등의 탈중앙화된 금융 서비스를 제공함으로써 사용자가 전통적인 금융 중개자 없이 직접 상호작용할 수 있도록 한다.
그러나 일정 규모의 자금과 사용자 기반을 갖춘 DeFi 프로젝트는 해커들의 잠재적 공격 대상이 되기 쉬운데, 많은 프로젝트 팀은 DeFi 보안이란 곧 스마트 계약 보안이라고 생각한다. 이는 다소 잘못된 인식이다. 왜냐하면 DeFi는 도메인 이름, 서버 등 다양한 요소를 포함하기 때문이다.
이러한 배경 속에서 각종 피싱 및 사기 조직들이 등장하고 있으며, 특히 사회공학적 공격을 이용하는 Angel Drainer는 주목할 만하다. 올해 들어 Balancer, Galxe, Frax Finance, VelodromeFi, Aerodrome.Finance 등 여러 DeFi 프로젝트를 공격한 바 있다. Angel Drainer는 프로젝트의 DNS를 장악해 도메인을 하이재킹하고, 프론트엔드에 악성 JS 코드를 삽입하여 사용자의 서명을 유도한 후 자산을 탈취한다.
이러한 상황에서 본 글은 DefiLlama 순위권 내 DeFi 프로젝트들의 기초 보안 리스크를 평가하고 분석하는 것을 목적으로 한다. DefiLlama는 DeFi 프로젝트의 데이터와 순위를 제공하는 플랫폼으로서, 그 순위에 오른 프로젝트들은 시장에서 가장 주목받고 널리 사용되는 DeFi 서비스들을 의미한다.
테스트 대상 및 방법
우선 우리는 DefiLlama의 순위를 기준으로 프로젝트를 상위 50, 상위 100, 상위 200, 상위 500, 상위 3000 범위로 나누어 통계를 수집했다. 각 프로젝트의 도메인에 대해 DNSSEC 정보, WHOIS 정보, CDN 정보, 소스 IP 노출 여부 등을 조사하고 분석하였다.

DNSSEC 보안 문제
DNSSEC(Domain Name System Security Extensions)는 도메인 네임 시스템(DNS)의 보안성을 강화하기 위한 기술 확장으로, DNS 조회 결과의 데이터 무결성, 진위성, 인증성을 보장하는 메커니즘을 제공한다. 다음은 DNSSEC의 주요 역할이다.
1. 데이터 무결성: DNSSEC는 디지털 서명 기술을 사용해 DNS 데이터에 서명함으로써 전송 과정에서 데이터가 변조되지 않았음을 보장한다. 이를 통해 악의적인 공격자가 DNS 응답을 조작해 사용자를 악성 사이트로 리다이렉션하거나 트래픽을 가로채는 것을 방지할 수 있다.
2. 데이터 진위성 및 인증: DNSSEC는 DNS 응답이 권위 있는 DNS 서버에서 비롯되었는지 검증할 수 있어, 악의적인 DNS 서버가 아닌 정상적인 서버로부터의 응답임을 확인할 수 있다. 이는 공격자가 위조된 DNS 응답을 보내 사용자를 속이는 DNS 사기 공격을 방지하는 데 도움이 된다.
3. 캐시 중독 공격 방어: 공격자가 DNS 캐시에 허위 DNS 레코드를 삽입해 사용자를 악성 웹사이트로 유도하는 캐시 중독 공격을 막을 수 있다. 디지털 서명을 통해 허위 레코드를 감지하고 거부할 수 있기 때문이다.
4. DNS 보안 강화: DNS는 인터넷의 핵심 인프라 중 하나이며, 많은 네트워크 활동이 DNS에 의존한다. DNSSEC를 도입하면 전체 인터넷의 보안성이 향상되고, 악성 공격의 성공률을 낮출 수 있어 사용자와 조직의 네트워크 보안을 강화할 수 있다.
요컨대, DNSSEC는 디지털 서명과 검증 메커니즘을 통해 DNS 보안을 강화하고, DNS 조회 결과의 무결성과 진위성을 보장한다. 특히 DNSSEC가 활성화되면 도메인의 권위 있는 DNS 서버가 진짜인지 검증할 수 있어, 도메인 하이재킹 및 DNS 사기 리스크를 줄이고 인터넷 전반의 신뢰성과 보안성을 높일 수 있다.
본 테스트에서는 스크립트 및 https://domsignal.com/ 같은 제3자 검사 사이트를 활용해 DNSKEY 구성 여부, RRSIG 유효성 등을 점검하여 DNSSEC 보안 상태를 분석하였다. 예시는 아래와 같다.

도메인 등록 업체 보안 문제
도메인 등록 업체는 도메인의 등록과 관리를 담당하며, 사용자 계정이 무단 접근당하지 않도록 하고, 도메인이 악의적으로 이전되거나 변경되지 않게 하며, 도메인 등록 데이터의 보안을 유지해야 한다. 안전한 도메인 등록 업체는 일반적으로 2단계 인증(2FA), 정기적인 보안 감사, 강력한 개인정보 보호 기능 등을 제공한다.
보안이 취약한 도메인 업체를 사용하면 다음과 같은 여러 DNS 보안 문제가 발생할 수 있다.
1. DNS 하이재킹: 보안이 취약한 도메인 업체는 DNS 하이재킹 공격에 쉽게 노출될 수 있다. 공격자는 DNS 응답을 조작해 사용자를 악성 웹사이트로 리다이렉션시킬 수 있으며, 이로 인해 사용자는 피싱, 악성코드 감염 또는 기타 악의적 행위에 노출된다.
2. DNS 캐시 중독: 공격자는 취약한 도메인 업체에 허위 DNS 레코드를 제공해 캐시 중독 공격을 수행할 수 있다. 이로 인해 불안전한 DNS 서버가 허위 데이터를 캐시하게 되어 다수의 사용자가 악성 사이트로 유도될 수 있다.
3. 데이터 변조: 보안이 취약한 도메인 업체는 중간자 공격(MitM)에 취약할 수 있으며, 공격자는 DNS 조회 과정에서 데이터를 변조해 사용자가 허위 DNS 응답을 받도록 할 수 있다. 이는 사용자가 잘못된 서버에 연결하거나 악성 사이트에 접속하는 위험을 초래한다.
4. 서비스 장애: 보안이 취약한 도메인 업체가 DDoS 공격이나 기타 네트워크 공격을 받으면 DNS 서버가 다운되어 웹사이트 및 온라인 서비스에 접근할 수 없게 된다.
5. DNSSEC 미지원: 일부 보안 취약 업체는 DNSSEC를 지원하지 않을 수 있으며, 이 경우 DNS 조회의 보안성이 낮아져 사용자가 DNS 사기 및 기타 공격에 더 쉽게 노출된다.
결론적으로, 보안이 취약한 도메인 업체를 사용하면 다양한 사이버 위협에 노출될 수 있다. 따라서 도메인과 네트워크 보안을 지키기 위해 DNSSEC 지원 등 강력한 보안 조치를 갖춘 신뢰할 수 있는 도메인 등록 업체를 선택하는 것이 중요하다. DeFi 프로젝트팀은 제공되는 서비스가 안전하고 신뢰할 수 있는지 면밀히 평가하고 업체를 선정해야 한다.
본 테스트에서는 https://www.godaddy.com/whois 등 WHOIS 조회 서비스를 활용해 프로젝트 도메인의 등록업체(Register) 및 현재 사용 중인 네임서버(Name Server)를 수집하였다. 예시는 아래와 같다.

CDN 및 트래픽 보호 보안 문제
콘텐츠 전송 네트워크(CDN)는 전 세계 여러 노드에 웹사이트 콘텐츠를 분산시켜 지연 시간을 줄이고 접근 속도를 높여주는 서비스로, 웹사이트 성능과 보안을 최적화한다. CDN의 보안 조치에는 DDoS 공격 방어, 웹 애플리케이션 방화벽(WAF), HTTPS 지원 등이 포함되어 데이터 전송 과정의 보안과 암호화를 보장한다.
불안전한 CDN 업체는 다음과 같은 다양한 보안 위험을 초래할 수 있다.
1. 데이터 유출: 보안이 부족한 CDN 업체는 서버에 저장된 데이터를 충분히 보호하지 못할 수 있다. 이로 인해 고객 데이터, 로그인 정보, 민감 문서 등의 중요한 정보가 유출될 수 있으며, 공격자는 CDN의 취약점을 악용해 이러한 데이터를 탈취할 수 있다.
2. 중간자 공격: 공격자는 CDN과 최종 사용자 사이에서 중간자 공격을 시도할 수 있다. 이 경우 공격자는 CDN을 통해 전달되는 트래픽을 조작하거나 감시해 민감 정보를 탈취하거나 악성 콘텐츠를 유포할 수 있다.
3. 서비스 장애: CDN 업체가 DDoS 공격이나 기타 네트워크 공격을 받으면 CDN 서비스가 중단되어 웹사이트나 애플리케이션이 접근 불가 상태가 될 수 있다. 이는 비즈니스 가용성과 성능에 심각한 영향을 미친다.
4. 악성 콘텐츠 유포: CDN 업체가 호스팅되는 콘텐츠에 대한 검증과 심사를 충분히 하지 않으면, 악의적인 사용자가 CDN을 악용해 악성코드, 악성 스크립트 등을 유포할 수 있다.
5. 암호화 미지원: 보안이 취약한 CDN 업체는 충분한 암호화를 제공하지 않아 데이터 전송이 도청에 노출될 수 있다. 이로 인해 데이터 유출 및 개인정보 침해 문제가 발생할 수 있다.
6. 보안 취약점 악용: 공격자는 보안이 취약한 CDN의 결함을 이용해 CDN 네트워크에 침투하거나 민감한 데이터에 접근하거나 네트워크 자원을 장악할 수 있다.
7. 법적 및 규정 준수 문제: 일부 CDN 업체는 다른 국가 혹은 사법관할권에 위치해 있을 수 있으며, 이는 법적 및 규정 준수 문제를 야기할 수 있다. 데이터 프라이버시 및 규정 준수 측면에서 어려움이 생길 수 있다.
이러한 리스크를 줄이기 위해 DeFi 프로젝트팀은 CDN 업체를 선정할 때 보안 조치, 개인정보 보호정책, 규정 준수 여부를 철저히 평가해야 한다. 우수한 보안 실적과 전담 보안팀을 갖춘 신뢰할 수 있는 CDN 업체를 선택하는 것은 데이터와 네트워크 보안을 확보하는 핵심적인 단계다.
본 테스트에서는 프로젝트 도메인의 IP를 수집해 Akamai, Azure CDN, Cloudflare, CloudFront, Fastly, Google Cloud CDN, MaxCDN 등 주요 CDN의 사용 현황을 통계적으로 분석하였다. 예시는 아래와 같다.

소스 IP 노출 보안 문제
소스 IP 노출이란 공격자가 웹사이트 백엔드 서버의 실제 IP 주소를 식별할 수 있게 되어, CDN이나 기타 보안 장치를 우회하고 서버를 직접 공격하거나 방화벽 정책을 회피하는 문제를 말한다. 또한 웹 서버의 소스 IP가 노출되면 다음과 같은 보안 문제가 발생할 수 있다.
1. 직접 공격: 노출된 IP 주소는 해커의 직접 공격 대상이 되며, DDoS 공격을 받을 경우 웹사이트가 다운될 수 있다.
2. 보안 취약점 악용: 서버 소프트웨어에 알려진 취약점이 존재할 경우, 해커는 이를 악용해 서버에 침입할 수 있다.
3. 데이터 유출 위험: 해커는 노출된 IP를 통해 민감한 데이터에 접근해 정보 유출을 초래할 수 있다.
4. 피싱 및 사기: 해커는 서버의 정체를 위조해 피싱이나 사기 활동을 수행할 수 있다.
따라서 웹 서버의 소스 IP 주소를 보호하는 것은 사이버 보안 유지의 핵심 조치다. 소스 IP가 노출되지 않도록 하기 위해 리버스 프록시 서버 사용, 안전한 DNS 레코드 설정, 모든 진입점에 적절한 보안 보호 장치를 마련하는 등의 조치를 취해야 하며, 이를 통해 소스 서버를 직접 겨냥한 공격 리스크를 줄일 수 있다.
본 테스트에서는 제3자 도구를 사용해 CDN을 우회하려는 시도를 통해 도메인의 소스 IP 노출 여부를 검사하였다. 예시는 아래와 같다.

이러한 테스트를 바탕으로 아래에서 결과를 통계 분석한다.
결과 통계
DNSSEC 보안 문제
일부 결과:

DNSSEC 통계:

(수량 분포)

(비율 분포)

도메인 등록 업체 보안 문제
일부 결과:

도메인 등록업체 통계:



CDN 및 트래픽 보호 보안 문제
일부 결과:

CDN 사용 통계:


전 세계 최고 수준의 보안 CDN 업체인 Akamai의 경우, DeFi 산업 내 사용률이 거의 0%에 가깝다는 점에서 DeFi 프로젝트의 기초 보안 수준과 보안 인식 향상이 아직 갈 길이 멀다는 것을 알 수 있다.
소스 IP 노출 보안 문제
일부 결과:

노출 통계:



소스 IP 노출로 인한 보안 문제는 간과할 수 없다. 바로 지난 12월 7일, 유명 게임 프로젝트 @XAI_GAMES가 DDoS 공격을 받아 공식 웹사이트가 다운되었으며, 공격자는 해당 프로젝트의 Discord 커뮤니티에 가짜 공식 사이트를 공유해 사용자를 사기 웹사이트로 유도하는 피싱 공격을 수행했다. 이로 인해 다수의 피해자가 발생했으며, 약 400 ETH 이상이 탈취되었다. 따라서 DeFi 프로젝트팀은 웹 서버의 소스 IP 보호를 반드시 중시하고, 원본 서버를 직접 겨냥한 공격 리스크를 최소화해야 한다.
결론
위에서 살펴본 다양한 통계 결과를 종합하면, 현재 DeFi 프로젝트의 기초 보안 리스크가 매우 심각하다는 것을 명확히 알 수 있다. 다수의 DeFi 프로젝트가 안전하지 않은 설정을 사용하고 있으며, 공격에 노출될 위험이 크다.
본 글을 통해 DeFi 보안은 단순히 스마트 계약 보안만을 의미하지 않는다는 점을 다시 한번 인식할 수 있었다. 보안은 전체적인 시스템의 문제이다. 스로우미스트 보안 팀이 발표한 Web3 프로젝트 보안 실천 요구사항 (https://github.com/slowmist/Web3-Project-Security-Practice-Requirements) 및 Web3 산업 공급망 보안 가이드는 Web3 프로젝트팀이 포괄적인 보안 조치를 취하도록 안내하고 경각심을 일깨우기 위한 것이다. 또한 스로우미스트가 구축한 MistEye 보안 모니터링 시스템은 스마트 계약, 프론트엔드/백엔드, 취약점 탐지 및 경보 등 전방위적인 정보를 포괄하며, DeFi 프로젝트의 사전, 사중, 사후 전 과정 보안을 지원한다. 프로젝트팀께서는 MistEye 보안 모니터링 시스템을 활용해 리스크를 관리하고 프로젝트 보안성을 제고하시기 바란다.
감사의 말: @DefiLlama @censysio
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News









