[넥스블록]끝나지 않는 드리프트 보안사고 커지는 피해액

드리프트 해킹 이후 12개 프로토콜·거래소 관련 보안사고 잇따라
Q1 디파이 손실 1억6860만달러, Web3 전체 피해는 4억6450만달러
AI 기반 취약점 탐지 고도화 우려도 확산

(구글 노트북LM)

솔라나 기반 디파이 프로토콜 드리프트(Drift)가 지난 4월 1일 약 2억8500만달러 규모 해킹을 당한 이후, 암호화폐 업계에서 공격 유형이 다른 보안사고가 잇따르고 있다. 업계 집계에 따르면 드리프트 해킹 뒤 지난 2주 동안 CoW 스왑, 하이퍼브리지, 댕고, 실로 V2, 제리온 등을 포함해 최소 12개 프로토콜·거래소 관련 사고가 추가로 보고됐다. 최근 사고들은 스마트컨트랙트 로직 결함뿐 아니라 프론트엔드, DNS, 크로스체인 메시지 검증, 접근권한 통제 등 운영 전반의 취약성이 동시에 노출되고 있다는 점에서 주목된다.

드리프트 해킹은 올해 들어 발생한 디파이 보안사고 가운데 최대급 사례로 꼽힌다. 블록체인 데이터 분석업체 체인애널리시스(Chainalysis)와 블록체인 인텔리전스 기업 TRM랩스(TRM Labs)는 이번 사건이 단순한 코드 결함보다는 권한 접근과 운영 보안을 겨냥한 고도화된 침해 양상에 가깝다고 분석했다. 드리프트는 공격자가 수개월간 신뢰를 쌓은 뒤 시스템을 악용한 정황을 공개했으며, 외부 보안업계에서는 북한 연계 가능성도 제기됐다.

이후에도 사고는 이어졌다. CoW 스왑은 여러 탈중앙화거래소(DEX)의 유동성을 통합해 토큰 교환을 지원하는 DEX 애그리게이터로, 4월 14일 DNS 하이재킹 공격을 받아 웹사이트 접속을 일시 중단하고 이용자들에게 플랫폼 사용 중단을 권고했다. 하이퍼브리지는 블록체인 간 자산과 메시지 전송을 지원하는 크로스체인 브리지 프로토콜로, 위조된 크로스체인 메시지로 이더리움 측 브리지드 DOT(폴카닷의 네이티브 토큰) 컨트랙트의 관리자 권한이 탈취되면서 10억개 토큰이 비정상 발행되는 사고를 겪었다. 다만 실제 손실 규모는 제한적이어서 하이퍼브리지 측은 실현 손실을 약 23만7000달러로 집계했다.

집계 기관에 따라 피해 규모는 다르게 나타난다. 디파이 프로토콜만 좁게 보면 올해 1분기 손실은 34건, 약 1억6860만달러 수준으로 집계됐다. 반면 웹3 보안 기업 해켄(Hacken)은 피싱, 사회공학, 접근통제 실패, 키 탈취까지 포함한 웹3 전체 1분기 피해를 4억6450만달러로 추산했다. 같은 보고서에서 피싱·사회공학 피해는 3억600만달러, 스마트컨트랙트 취약점 관련 손실은 8620만달러, 접근통제 실패 관련 피해는 7190만달러로 집계됐다.

월별 흐름만 봐도 보안사고가 이어지고 있다는 점은 뚜렷하다. 보안업체 서틱(CertiK)이 공개한 2026년 3월 월간 사고 통계 그래픽에 따르면 3월 총 피해액은 5950만9931달러였고, 디파이 관련 손실이 3287만7505달러로 가장 컸다. 사회공학 피해도 1809만8889달러에 달해 코드 취약점 외부의 공격 벡터가 여전히 큰 비중을 차지하는 것으로 나타났다.

이 때문에 업계에서는 스마트컨트랙트 감사만으로는 방어에 한계가 뚜렷하다는 지적이 커지고 있다. 최근 사고 다수가 코드 자체보다 프론트엔드, 도메인, 운영 인프라, 권한 관리 등 이른바 ‘코드 밖’의 지점을 파고들고 있어서다. 실제 해켄도 최근 웹3 침해가 오프체인 영역과 인프라 계층에서 빈번하게 발생하고 있다고 진단했다.

여기에 AI 발전이 기존 취약점의 탐지와 악용 속도를 끌어올릴 수 있다는 우려도 더해지고 있다. 오픈AI와 패러다임은 지난 2월 AI 에이전트의 스마트컨트랙트 취약점 탐지·패치·익스플로잇 능력을 평가하는 ‘EVMbench’를 공개했고, 패러다임은 대형언어모델(LLM)의 익스플로잇 탐지 역량이 빠르게 개선되고 있다고 밝혔다.

결국 최근의 연쇄 사고는 디파이 보안의 초점이 더 이상 스마트컨트랙트 코드에만 머물 수 없다는 점을 보여준다. 업계에서는 감사 체계와 함께 프론트엔드 무결성 검증, DNS 보호, 멀티시그 운영 절차, 접근권한 최소화, 개발자 보안, 브리지 메시지 검증까지 아우르는 다층 방어 체계가 필요하다는 목소리가 커지고 있다.