AI 요약
2026년 4월 20일, 가상자산 예치 수익 프로토콜인 Kelp DAO가 해킹을 당해 2억 9,000만 달러(약 4,000억 원) 이상의 손실을 입었습니다. 이번 사건은 지난 4월 초 암호화폐 거래소 드리프트(Drift)에서 발생한 2억 8,500만 달러 규모의 해킹을 넘어서며 2026년 현재까지 가장 큰 규모의 가상자산 탈취 사건으로 기록되었습니다. 피해 프로젝트 중 하나인 레이어제로(LayerZero)는 이번 공격의 수법이 북한의 해킹 그룹인 'TraderTraitor'와 일치한다는 초기 분석 결과를 발표했습니다. 해커들은 레이어제로 브리지를 이용하는 과정에서 Kelp DAO의 보안 설정 미비점을 공략하여 다중 인증 절차 없이 자금을 빼돌린 것으로 파악됩니다. 북한 정권은 김정은 체제 아래 사이버 범죄를 통한 자금 조달에 집중하고 있으며, 작년 한 해에만 20억 달러 이상의 암호화폐를 훔친 것으로 알려져 업계의 경각심이 높아지고 있습니다.
핵심 인사이트
- 사상 최대 규모: 2억 9,000만 달러의 피해액은 2026년 발생한 해킹 중 최대치이며, 직전 기록인 드리프트(Drift) 거래소의 2억 8,500만 달러를 경신했습니다.
- 북한의 누적 탈취액: 북한은 2017년부터 현재까지 총 60억 달러(약 8조 원 이상) 상당의 가상자산을 탈취한 것으로 추산됩니다.
- 취약점 타겟팅: 공격자들은 다중 인증(Multiple Verifications)이 활성화되지 않은 Kelp DAO의 특정 보안 구성을 정밀하게 타겟팅하여 허위 거래를 승인시켰습니다.
주요 디테일
- 기술적 경로: 해커들은 서로 다른 블록체인 간에 명령을 전달하는 'LayerZero 브리지'를 통해 Kelp DAO 프로토콜을 익스플로잇(Exploit)했습니다.
- 지목된 배후: 레이어제로 측은 북한의 암호화폐 전문 해킹 조직인 'TraderTraitor'를 이번 사건의 주범으로 지목했습니다.
- 보안 설정 오류: Kelp DAO의 자체 보안 설정이 거래 승인 전 여러 단계의 검증을 거치지 않도록 구성되어 있어 대규모 자금 유출이 가능했습니다.
- 책임 공방: 레이어제로가 북한의 소행임을 발표하며 Kelp DAO의 설정을 지적하자, Kelp DAO 측은 레이어제로 측에 책임을 돌리며 대응 중입니다.
- 과거 전력: 북한 해커들은 작년 한 해(2025년) 동안 가상자산 시장에서 20억 달러 이상을 탈취하며 고도의 공격 능력을 증명한 바 있습니다.
향후 전망
- DeFi 보안 강화: 브리지(Bridge) 기술을 활용하는 프로토콜들에 대한 다중 인증 및 다중 서명(Multi-sig) 설정 의무화 압박이 거세질 것입니다.
- 국제적 추적 가속화: 북한의 가상자산 탈취가 국가 안보 위협으로 간주됨에 따라, 국제 수사 당국과 블록체인 분석 기업 간의 공조가 더욱 강화될 것으로 보입니다.