2026년 4월 북한의 라자루스 그룹 해킹 사건
2026년 4월, 북한의 라자루스 그룹이 두 차례의 해킹을 통해 5억 7,700만 달러를 도난당하게 했으며, 이는 올해 암호화폐 도난의 76%를 차지한다. 두 공격 모두 스마트 계약의 취약점을 이용한 것이 아니었다. 공격자들은 6개월 동안 거래 회사로 가장하여 암호화폐 컨퍼런스에 직접 참석하고 Drift Protocol의 엔지니어들과 실제 관계를 구축한 후, 12분 만에 2억 8,500만 달러를 빼내기 위해 필요한 서명을 추출했다. 다른 공격에서는 단일 취약한 브리지 노드에서 2억 9,200만 달러를 빼냈다. 이는 더 이상 단순한 암호화폐 보안 문제로 볼 수 없다. 이는 무기 프로그램 자금을 조달하기 위해 수익을 사용하는 국가가 운영하는 국가 지원 정보 작전이다. 업계는 이제야 이를 인정하기 시작하고 있다.
2026년 4월 1일 UTC 16:06:09에 공격자는 솔라나에서 가장 큰 분산형 영구 선물 거래소인 Drift Protocol의 주요 금고에서 약 2억 8,500만 달러의 사용자 자산을 빼냈다.
첫 번째 인출에서는 4,172만 JLP 토큰이 이동되었고, 마지막 인출에서는 2,200개의 래핑된 ETH가 이동되었다. 전체 금고는 12분 만에 비워졌다. 이는 긴 문자 메시지를 작성하는 데 걸리는 시간과 비슷하다. 팀의 첫 번째 공개 성명은 몇 시간 내에 X에 게시되었으며, 커뮤니티에 그들이 보고 있는 비정상적인 활동이 만우절 농담이 아님을 확인해 달라고 요청했다. 그것은 농담이 아니었다. 이는 북한 정부를 위해 일하는 요원들이 6개월 동안 체계적으로 준비한 결과였다.
Drift Protocol의 회복 조치
방금 들어온 소식: Drift Protocol은 4월 1일 공격으로 영향을 받은 모든 지갑이 검증된 손실과 비례하는 회복 풀 청구를 나타내는 회복 토큰을 받을 것이라고 발표했다. 17일 후인 4월 18일, 공격자들은 KelpDAO라는 재스테이킹 프로토콜에서 단일 검증자 구성을 조작하여 2억 9,200만 달러를 빼냈다. 두 공격은 합쳐서 4월의 6억 2,500만 달러 암호화폐 도난의 약 95%를 차지했으며, 2026년 4월은 기록된 역사상 암호화폐 보안에 있어 최악의 달이 되었다. 4월까지의 연간 도난액은 10억 달러를 초과했다.
라자루스 그룹의 공격 방식
TRM Labs는 2026년 전체 도난액의 76%를 두 차례의 공격으로 추정했다. 두 공격 모두 동일한 위협 행위자의 소행이다. 새로운 소식: KelpDAO는 LayerZero 인프라를 4월의 3억 달러 이상의 DeFi 공격 출처로 언급하며 $rsETH를 Chainlink CCIP로 이동시켰다. 그 위협 행위자는 라자루스 그룹으로, 서방 정보 기관들이 북한의 주요 정보 기관인 정찰총국에서 운영되는 국가 지원 해킹 작전을 위해 사용하는 포괄적인 이름이다. 2017년 이후 라자루스와 그 하위 유닛들은 60억 달러 이상의 암호화폐를 훔쳤다.
2026년의 속도는 이 그룹이 2025년 총액을 편안하게 초과할 것으로 보인다.
이는 어떤 전통적인 의미에서의 암호화폐 보안 이야기가 아니다. 오늘날 DeFi 프로토콜이 직면한 위협은 그들이 방어하도록 설계된 위협이 아니다. 2020년대의 걱정은 스마트 계약 버그와 플래시 론 공격, 코드의 취약성이었다. 2026년의 현실은 코드 취약점이 필요 없는 정보 전문가들이 운영하는 지속적이고 다국적이며 다개월에 걸친 작전이다. 그들은 단지 누군가가 서명을 하도록 설득해야 했다. 그것이 Drift 공격의 본질이었다.
사회 공학과 공격의 진화
이를 이해하는 것은 현재 암호화폐 보유자, 개발자 또는 경영진이 받을 수 있는 가장 중요한 보안 교육이다. Drift Protocol의 자체 사후 분석은 보안 공개보다는 반정보 보고서에 더 가깝다. 이는 2025년 10월에 시작된다. 주요 암호화폐 컨퍼런스에서, 정량적 거래 회사의 대표로 자신을 소개한 개인 그룹이 Drift 기여자에게 접근했다. 그들은 검증된 전문 배경을 가지고 있었고, 기술적 유창성을 보여주었으며, 영구 프로토콜과 통합하는 것에 대해 실제 기관 거래 회사가 물어볼 법한 질문을 정확히 했다. Drift 기여자들은 그러한 요청을 일상적으로 처리했기 때문에 그들을 다른 잠재적 기관 파트너처럼 대했다.
Drift는 이후 그 대면 회의에 참석한 개인들이 북한 국적자가 아니었다고 명확히 했다. 라자루스 작전은 거의 항상 대면 접촉을 위해 제3자 중개인을 사용하며, 실제 기술 운영자는 북한이나 중국에 남아 있다. 블록체인 조사관 ZachXBT는 수년 동안 DPRK 암호화폐 작전을 추적해온 그는 이 계층화된 신원 구조가 라자루스 캠페인의 정의적 특징 중 하나라고 언급했다.
결론: 암호화폐 보안의 미래
암호화폐 산업의 이 파이프라인에서의 역할은 불편하지만 피할 수 없다. 라자루스의 모든 프로토콜 공격은 사실상 암호화폐 사용자로부터 무기 개발을 위한 자본의 이전이다. 방어되지 않은 다중 서명은 그 파이프라인에 대한 기여이다. 확인 없이 “포트폴리오 회사 인터뷰” 캘린더 초대를 클릭하는 모든 개발자는 실제로 DPRK의 미사일 예산의 항목이 된다. 이는 허가 없는 접근과 분산화에 기반한 산업에 대한 어려운 문장이다.
암호화폐의 본질은 코드가 신뢰의 중심이라는 것이며, 중개자 선별, 주소 블록리스트 및 중앙 집중식 개입에 대해 의심스러워하는 것이다. 이러한 본능은 많은 맥락에서 산업에 잘 작용했다. 그러나 여기서는 잘 작용하지 않는다. THORChain의 거래 선별 거부는 그들이 명시한 원칙과 일치하지만, 북한이 THORChain을 사용하는 이유이기도 하다. 두 가지 모두 사실이다.
2026년 4월의 수치는 산업이 보는 최악의 수치가 아닐 것이다. 이는 비관론이 아니다. 이는 추세선이다. Drift를 위해 6개월의 준비를 한 동일한 라자루스 작전이 다른 프로토콜에 대해 거의 확실히 다른 작전을 병행하고 있었을 것이다. 그 중 일부는 성공할 것이다. 질문은 다음 3억 달러 도난 사건이 발생할 때까지 산업이 작전을 비용보다 더 비싸게 만들기 위해 필요한 작업을 수행했는지, 아니면 2026년 4월이 국가 지원 적대자가 영구적으로 잘못 가격이 매겨진 목표 환경을 찾았을 때 발생하는 일의 미리보기인지 여부이다. 현재로서는 답이 불확실하다.
분명한 것은 대화가 “DeFi는 보안 문제가 있다”에서 더 구체적이고 훨씬 더 어려운 문제로 이동했다는 것이다. 한 국가의 정보 서비스가 비대칭 공격 표면을 식별하고 이를 점점 더 정교하게 활용해온 지 반십 년이 지났다. 산업의 방어는 아직 이 현실에 따라잡지 못했다. 그 격차가 이야기이다. 향후 1년의 암호화폐 보안은 산업이 이를 메울 것인지, 아니면 격차가 산업을 메울 것인지에 관한 것이다.
