암호화폐 업계를 뒤흔든 대규모 해킹 사건이 또 다시 일어났습니다. 이번에는 분산형 금융(DeFi) 플랫폼 래디언트 캐피털(Radiant Capital)이 피해를 입었는데요. 무려 5천만 달러(약 660억 원)나 되는 어마어마한 규모의 자금이 털려나갔습니다. 더 충격적인 건 이 해킹의 배후가 북한이라는 사실! 이미 많은 사람들이 북한이 암호화폐 생태계에서 해킹을 해오고 있는 것을 알고 있지만, 그럼에도 불구하고 그 규모에 놀랄 수 밖에 없는 사건이였습니다. 과연 어떻게 이런 일이 벌어진 걸까요?
전직 직원으로 위장한 북한 해커 교묘한 수법
래디언트 캐피털 측에 따르면 해킹은 지난 10월에 일어났습니다. 그런데 그 시작은 그보다 한 달 전인 9월 11일로 거슬러 올라가는데요. 당시 래디언트 캐피털의 한 개발자가 텔레그램으로 한 통의 메시지를 받았습니다. 발신인은 ‘신뢰할 수 있는 전직 계약직원’을 사칭한 사람. 새로운 프로젝트에 대한 피드백을 요청하며 zip 파일 하나를 보내왔죠.
개발자 입장에서는 전혀 의심스러울 게 없는 평범한 요청이었습니다. PDF 파일 검토 요청은 업무상 흔한 일이니까요. 게다가 파일이 첨부된 도메인도 그 전직 계약직원의 실제 웹사이트를 그럴듯하게 모방한 것이었습니다. 이렇게 북한 해커들은 교묘하게 위장하여 래디언트 캐피털 개발자들의 경계심을 무너뜨렸던 거죠.
하지만 이 zip 파일에는 악성 코드가 숨겨져 있었습니다. 개발자들 사이에서 공유되면서 여러 대의 기기가 감염되었고, 결국 해커들은 개인 키와 스마트 컨트랙트에 접근할 수 있게 되었습니다. 10월 16일, 래디언트 캐피털은 대규모 자금 유출을 감지하고 긴급히 대출 시장을 중단시켰지만 이미 때는 늦었습니다. 대규모의 자금이 털려나갔습니다.
북한 해커 완벽한 위장으로 모든 보안망 무력화
놀라운 건 해커들의 치밀함입니다. 일반적인 거래 데이터는 정상적으로 표시되는 반면, 악의적인 거래는 보이지 않게 처리되도록 했죠. 래디언트 캐피털 측은 “텐더리(Tenderly)를 통한 거래 시뮬레이션, 페이로드 데이터 확인 등 업계 표준의 모든 절차를 따랐음에도 위협을 포착하지 못했다”고 밝혔습니다. 북한의 해킹 수준이 우리가 생각한 것보다 많이 발전했다고 볼 수 있습니다.
이렇게 완벽한 위장 덕분에 해커들은 여러 대의 개발자 기기를 장악할 수 있었고, 결국 5천만 달러라는 어마어마한 자금을 빼돌릴 수 있었던 겁니다. 10월 24일, 해커들은 이 자금을 옮기기 시작했죠.
북한 정찰총국 소속 해킹 그룹의 소행?
래디언트 캐피털은 이번 해킹의 배후로 ‘UNC4736’ 또는 ‘시트린 슬릿(Citrine Sleet)’이라 불리는 위협 행위자를 지목했습니다. 이들은 북한의 주요 정보기관인 정찰총국(RGB)과 연계된 것으로 추정되며, 유명 해킹 집단 ‘라자루스 그룹’의 하위 조직일 가능성이 있다고 합니다.
북한 해커들의 암호화폐 공격은 어제오늘 일이 아닙니다. 2017년부터 2023년 사이 무려 30억 달러(약 4조 원)에 달하는 암호화폐를 탈취한 것으로 알려져 있죠. 이번 래디언트 캐피털 해킹 사건 역시 그들의 긴 범죄 역사에 또 하나의 오점을 남기게 됐습니다.
DeFi 보안, 더 강력한 대책 필요해
이번 사건은 아무리 엄격한 보안 절차를 갖춰도 고도로 발전된 위협 행위자에 의해 뚫릴 수 있다는 것을 보여줍니다. 래디언트 캐피털은 “맹목적인 서명과 위조될 수 있는 프론트엔드 검증에 의존하는 현재의 방식으로는 한계가 있다”며 “거래 페이로드를 디코딩하고 검증하는 더 강력한 하드웨어 수준의 솔루션 개발이 필요하다”고 강조했습니다.
이번 해킹으로 래디언트 캐피털의 신뢰도는 크게 떨어졌습니다. 총 예치 자산(TVL)이 지난해 말 3억 달러에서 현재 580만 달러 수준으로 급감했죠. DeFi 플랫폼들의 보안 강화가 시급해 보입니다.
암호화폐 업계는 끊임없이 발전하고 있지만, 그만큼 해커들의 공격 기술도 정교해지고 있습니다. 특히 북한과 같은 국가 단위의 해킹 조직이 가세하면서 그 위험은 더욱 커지고 있죠. 앞으로 DeFi 플랫폼들이 어떤 방식으로 보안을 강화해 나갈지, 그리고 이용자들은 어떤 점을 주의해야 할지 귀추가 주목됩니다.