올해 이미 7억 8600만 달러가 도난당함—DeFi의 보안 위기, AI에게 책임을 전가하지 말 것
저자: DLNews
번역: TechFlow
TechFlow 서두: 올해 암호화폐 해킹 공격이 폭증하고 있으나, 진정한 위협은 코드의 취약점이 아니라 바로 ‘사람’이다. 바이비트(Bybit)에서 유출된 15억 달러, 드리프트(Drift)에서 유출된 3억 달러에 이르기까지, 해커들은 사회공학 기법을 통해 개발자를 조작하고 있다. 그러나 업계는 이러한 보안 실패를 ‘AI 위협론’으로 가리려 하고 있다. 투자자와 업계 종사자에게 이는, 아무리 강력한 기술적 감사를 실시하더라도 인간의 심리적 약점을 막을 수 없음을 의미한다. 따라서 프로젝트를 선택할 때는 반드시 팀의 보안 인식 수준과 프로세스 관리 능력을 평가해야 한다.
마이클 펄(Michael Pearl)은 자신이 피싱 공격을 당하고 있다고 느꼈다.
보안 기업 사이버스(Cyvers)의 전략 부사장인 펄은 DL News에, 의심스러운 인물들이 암호화폐 컨퍼런스에서 자신에게 접근해 마치 하늘에서 떨어진 호재 같은 이야기를 들려주려 한다고 밝혔다.
“제가 몇 차례 그런 상황을 겪었는데, 분명히 사회공학 공격을 받고 있다고 생각했습니다.”라고 그는 말했다.
“누군가 다가와서 너무 완벽해 보이는 이야기를 들려줍니다—당신의 회사에 투자하겠다, 당신의 제품을 사겠다고 하면서, 의심스러워 보이는 링크를 보내는 거죠.”
사회공학은 사이버범죄자가 피해자가 악성 소프트웨어가 포함된 링크를 클릭하도록 유도하기 위해 사용하는 전략이다. 이는 심리적 조작 기법으로, 사람들의 경계심을 낮추는 것을 목표로 한다. 이는 암호화 프로젝트를 대상으로 한 디지털 공격의 첫 단계로 자주 활용되며, 출처는 어디에서든 가능하다.
예를 들어, 악명 높은 북한 해커 조직 라자루스 그룹(Lazarus Group)은 과거 LinkedIn에서 허위 채용 광고를 게재해 피해자를 유인한 전력이 있다.
2025년 2월 바이비트에서 발생한 15억 달러 유출 사건, 1월 한 암호화폐 보유자에게서 발생한 2.82억 달러 유출 사건, 그리고 이번 달 드리프트 프로토콜(Drift Protocol) 공격 모두 사회공학을 시작점으로 한 강도 사건들이다.
그리고 상황은 더욱 악화되고 있다. 지난해 10월, 암호화 보안 기업 엘립틱(Elliptic)은 암호화 프로젝트를 겨냥한 사회공학 공격이 증가하고 있음을 경고했다. 이는 블록체인 수사관 및 트레이더들이 점차 우려하고 있는 부분이며, 올해 사이버범죄가 급증하고 있다는 사실을 주목하고 있다.
“주요 타깃”
올해 일부 주요 헤드라인만으로도 끔찍한 상황을 그려낼 수 있다.
솔라나(Solana) 기반 핫 익스체인지인 드리프트를 운영하는 팀은 한 컨퍼런스에서 선의로 보이는 사업가에게 접근당한 후, 약 3억 달러 규모의 자산을 유출당했다.
4월 초, 한 해커는 암호화 브리지 하이퍼브리지(HyperBridge)를 속여 담보 없는 토큰을 생성하게 함으로써, 12억 달러 상당의 가짜 암호화폐를 무에서 창조해냈다.
며칠 뒤, 업계 최고의 억만장자 중 한 명인 선위청(쑨위칭)은 켈프 DAO(Kelp DAO) 해킹 사건의 배후로 지목된 북한 해커가 나서서 협상을 제안해 줄 것을 간곡히 요청했다.
지난해 해커들은 사상 최대 규모의 암호화폐를 탈취했다. 디파이라마(DefiLlama) 데이터에 따르면, 이들은 25억 달러 이상을 훔쳤다. 올해 현재까지 범죄자들은 암호화 프로젝트에서 7.86억 달러를 탈취했다.
탈중앙화 금융(DeFi) 프로토콜이 별도로 지목되긴 했지만, 미국 최대 거래소 코인베이스(Coinbase)를 포함한 중앙화 시스템이 진정한 최대 타깃이다.
한편, 지금 해커들은 다시 DeFi에 주목하고 있다. 이 빠르게 성장하며 실험적인 특성을 가진 분야는 과거 취약점으로 악명이 높았으나, 어느 정도 성숙되었다고 여겨졌었다. 그러나 이제 다시 주목받고 있으며, 그 이유는 결코 긍정적이지 않다.
“현재로서는 DeFi가 명백한 주요 타깃입니다.” 펄은 이렇게 말했다. “전반적으로 지금 모든 공격의 초점은 시스템이 아니라 인간으로 옮겨가고 있습니다.”
인간에 대한 공격
도난 사건이 급증한 원인은 무엇인가? 보안 전문가들은 핵심 실패 요인이 바로 인간이라고 지적한다.
엘립틱의 조사 부사장 매트 프라이스(Matt Price)는 DL News에 “초기 침입 지점은 대부분 인간에서 시작된다”고 말했으며, 인공지능(AI)이 불법 행위자들이 사회공학 기법을 더 정교하게 다듬는 데 도움을 주고 있다고 덧붙였다.
암호화폐 역사상 최대 규모의 해킹 사건, 즉 암호화 거래소 바이비트에서 15억 달러가 유출된 사건은, 공격자가 신뢰할 수 있는 오픈소스 기여자로 위장하여 개발자들을 설득해 의심스러운 소프트웨어를 설치하게 만든 뒤 발생했다.
올해의 공격 역시 유사한 방식으로 전개됐다.
블록체인 보안 기업 체인얼리시스(Chainalysis)에 따르면, 드리프트 프로토콜은 거래소 팀과 관계를 구축한 해커에 의해 표적 공격을 당했는데, 이들은 합법적인 거래 조직 구성원으로 위장했다.
이후 그들은 드리프트 직원을 속여 그들이 완전히 이해하지 못하는 거래에 서명하게 했고, 이를 통해 관리 권한을 탈취했다. 그 결과 약 3억 달러 규모의 자산이 유출되었다.
단지 변명일 뿐인가?
보다 우수하고 저렴한 AI 모델이 급부상하면서, 해커들은 더 정교한 기법을 사용할 수 있게 되었으며, 일부 전문가들은 이것이 실제로 도움이 된다고 주장한다.
이번 주, 국경 안보 및 법 집행 소위원회와 사이버보안 및 인프라 보호 소위원회가 공동 개최한 청문회에서 입법자들은 사이버보안 전문가들에게 질문을 던졌고, 이 자리에서의 공통된 견해는 해커들이 이전에는 쉽게 구할 수 없었던 AI 도구를 활용함으로써 작업 속도를 획기적으로 높이고 있다는 것이었다.
지난달 보안 전문가들은 DL News에, 사이버범죄자들이 점차 AI를 이용해 DeFi 프로토콜 내의 취약점을 탐색하고, 감사 인력이 놓칠 수 있는 오류를 악용하고 있다고 밝혔다.
그러나 다른 이들은 회의적 입장이다—그리고 AI 논조가 단지 변명으로 이용되고 있다고 본다.
SVRN의 최고운영책임자(COO)이자 업계 내 오랜 사이버보안 전문가인 데이비드 슈웨드(David Schwed)는 이렇게 말했다. “DeFi가 들려주려는 이야기는 ‘우리는 상상조차 어려운 AI라는 위협에 직면해 있으며, 이는 가장 미세하고 은밀한 취약점까지 찾아낼 수 있다’는 것이다.”
“하지만 사실은 그렇지 않습니다. 진실은 이렇습니다. 여러분은 극도로 열악하고 불안전한 것을 만들었고, [해커들은] 단지 그것을 더 빨리 찾아낼 뿐입니다.”
뉴욕 멜론 은행(NY Mellon)의 디지털 자산 제품 개발을 이끌었던 슈웨드는, DeFi 프로젝트가 전통 금융 기업처럼 사고방식을 바꾸고 보안을 최우선으로 삼지 않는 한, 해킹 공격은 계속될 것이라고 덧붙였다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@DLNewsInfo
