설정 오류가 코드 취약점을 압도하다
공격자가 8 USDC를 담보로 예치하고 약 390,000 달러에 달하는 187 ETH를 챙겨 떠났습니다. 스마트 컨트랙트는 설계된 대로 정확하게 작동했습니다. 오라클도 제 역할을 다했습니다. 하지만 누군가 USDC 자리에 BTC / USD 체인링크(Chainlink) 가격 피드를 연결했습니다. 이 단 한 줄의 설정 오류가 정상적인 대출 프로토콜을 공짜 돈 인출기로 바꾸어 놓았습니다.
가장 치명적인 취약점이 솔리디티(Solidity) 바이트코드가 아닌 관리자 대시보드, 배포 스크립트, 그리고 파라미터 파일에 숨어 있는 DeFi 보안의 새로운 전선에 오신 것을 환영합니다.
7일 만에 사라진 1,300만 달러
2026년 2월 23일부터 3월 1일 사이에 7건의 블록체인 보안 사고가 발생하여 여러 체인의 프로토콜에서 약 1,300만 달러가 유출되었습니다. 이 특정 주간이 주목받은 이유는 손실 금액 때문이 아니라 — 2026년 1월에만 8,600만 달러의 손실이 발생했습니다 — 그 근본 원인 때문입니다. 손실의 대부분은 새로운 코드 취약점이 아닌 설정 오류에서 비롯되었습니다.
BlockSec의 주간 보고서는 명확한 그림을 그려주었습니다. 오라클 설계 및 설정 오류, 암호화 검증 실수, 그리고 운영상의 부주의가 피해의 대부분을 차지했습니다.
YieldBlox DAO: 단일 오라클 경로에서 발생한 1,020만 달러 피해
가장 큰 사고는 2월 22일, 공격자가 스텔라(Stellar)의 Blend V2 프로토콜에서 운영되는 YieldBlox DAO의 대출 풀을 겨냥하면서 시작되었습니다. 기본 스마트 컨트랙트는 견고했습니다. Blend V2 코드베이스에는 악용 가능한 버그가 없었습니다.
대신, 공격자는 YieldBlox DAO가 리플렉터(Reflector) 오라클을 설정할 때 스텔라 탈중앙화 거래소(SDEX)의 USTRY / USDC 가격을 수용하도록 구성했다는 점을 파악했습니다. 이 시장은 조작하기 쉬울 정도로 유동성이 낮았습니다. 단 한 번의 거래로 공격자는 USTRY 가격을 약 1.05 달러에서 100 달러 이상으로 끌어올린 후, 과대평가된 USTRY를 담보로 사용하여 6,100만 XLM과 100만 USDC — 총 1,020만 달러 이상을 빌렸습니다.
스텔라 검증인들이 해커가 제어하는 주소에서 4,800만 XLM(750만 달러)을 동결했지만, 이미 피해는 발생한 �후였습니다. 교훈은 잔혹할 정도로 간단했습니다. 대출 프로토콜의 가격 의존성은 신중하게 선택되고 모니터링되어야 합니다. Blend V2 코드에 대한 그 어떤 보안 감사도 이를 발견하지 못했을 것입니다. 코드는 결코 문제가 아니었기 때문입니다.
Ploutos Protocol: 잘못된 피드, 잘못된 체인, 모든 것이 잘못된 설정
4일 후, 이더리움 기반의 Ploutos 프로토콜은 보안 업체 BlockSec이 내부 소행으로 의심할 만큼 심각한 오라클 설정 오류로 인해 390,000 달러의 손실을 입었습니다. 이 프로토콜의 오라클은 USDC의 가치를 결정하기 위해 BTC / USD 체인링크 가격 피드를 사용하도록 설정되어 있었습니다.
수치는 참혹했습니다. BTC는 약 50,000 달러에 거래되고 있었고, USDC의 가치는 1 달러입니다. 설정이 잘못된 오라클에 의해 각 토큰이 수만 달러의 가치가 있는 것처럼 평가된 8 USDC를 예치함으로써 공격자는 187 ETH를 빌려갔습니다.
이 공격은 설정 오류가 적용된 지 정확히 한 블록 만에 발생했으며, 이는 정밀한 모니터링 혹은 사전 지식이 있었음을 시사합니다. 몇 시간 만에 Ploutos의 웹사이트와 소셜 미디어 계정은 사라졌습니다. BlockSec은 이 타이밍이 의심스럽다고 지적했으며, 암호화폐 커뮤니티는 대체로 이 사건을 설정 사고로 위장한 출구 ��사기(Exit scam)로 분류했습니다.
Foom Cash: 230만 달러 가치의 배포 체크리스트 실패
3월 2일, zkSNARK 암호화 기술을 기반으로 구축된 프라이버시 프로토콜인 Foom Cash는 배포 중 누락된 단계로 인해 226만 달러의 손실을 입었습니다. 프로토콜의 Phase 2 신뢰할 수 있는 설정(Trusted Setup) 프로세스에서는 감마(gamma)와 델타(delta)라는 두 가지 암호화 파라미터를 무작위화해야 했습니다. 하지만 이 단계는 완료되지 않았습니다. 두 값 모두 기본 플레이스홀더(G2 제너레이터)로 유지되어, 공격자가 영지식 증명(Zero-knowledge Proofs)을 위조하여 컨트랙트 자금을 탈취할 수 있었습니다.
불행 중 다행은 대응 속도였습니다. 화이트햇 해커 Duha가 취약점을 식별하고 악의적인 공격자가 나머지 자금을 브리징하기 전에 베이스(Base) 체인에서 184만 달러를 확보했습니다. 보안 업체 Decurity가 이더리움에서의 복구를 담당했습니다. Foom Cash는 화이트햇 해커에게 320,000 달러의 현상금을, Decurity에 100,000 달러의 수수료를 지급했습니다. 이는 신속한 윤리적 개입이 없었을 경우 잃었을 금액에 비하면 극히 일부에 불과합니다.
이것은 솔리디티 버그가 아니었습니다. 배포 절차의 실패였으며, 이는 운영 서버에 공장 초기 설정 비밀번호를 그대로 둔 것과 같은 암호학적 실수였습니다.
광범위한 패턴: 2026년 2월의 설정 오류 유행
2월 마지막 주만 예외적인 것은 아니었습니다. 그달 초, 베이스 기반의 Moonwell 프로토콜은 또 다른 오라클 설정 오류로 약 178만 달러의 손실을 입었습니다. 베이스의 cbETH 오라클에 ETH / USD 가격이 포함된 복합 오라클 대신 cbETH / ETH 환율 피드가 할당된 것입니다. 그 결과 cbETH는 실제 시장 가치인 약 2,200 달러 대신 약 1.12 달러로 보고되었습니다.
2026년 2월 한 달 동안 Halborn은 4개의 주요 프로토콜 해킹을 통해 2,350만 달러의 손실이 발생했음을 기록했습니다. 이 중 오라클 설정 오류 및 배포 파라미터 오류와 같은 설정 관련 사고가 불균형적으로 높은 비중을 차지했습니다.
이 패턴은 DeFi 대출을 넘어 확장됩니다. 블록체인 조사관 ZachXBT가 지목한 트러스트 월렛(Trust Wallet) 브라우저 확장 프로그램 침해 사고로 수백 명의 사용자로부터 600만 달러 이상의 BTC, ETH, SOL이 유출되었습니다. 근본 원인은 공급망 설정 실패였습니다. 악성 코드가 보안이 침해된 것으로 보이는 업데이트 파이프라인을 통해 확장 프로그램 버전 2.68에 삽입되었습니다. 이 코드는 일상적인 분석 기능으로 위장하여 공격자가 제어하는 도메인으로 복구 구문을 전송했습니다. 바이낸스 설립자 창펑 자오는 피해 사용자들에 대한 전액 보상을 확인했습니다.
왜 구성 오류가 코드 버그보다 발견하기 더 어려운가
스마트 컨트랙트 감사는 상당히 성숙해졌습니다. Trail of Bits, OpenZeppelin, Certora와 같은 기업들은 프로토콜 코드베이스를 대상으로 형식 검증(formal verification), 심볼릭 실행(symbolic execution), 퍼징(fuzzing) 기술을 활용합니다. Coinlaw의 2026년 통계에 따르면, 감사를 받은 프로토콜은 받지 않은 프로토콜보다 익스플로잇(exploit) 손실이 80% 적은 것으로 나타났습니다.
하지만 감사는 특정 시점의 코드를 검사하는 것입니다. 배포 프로세스, 풀 운영자가 선택한 오라클 매개변수, 또는 출시 후 내려진 운영상의 결정은 감사하지 않습니다. 구성(Configuration)은 "코드가 작동한다"와 "시스템이 작동한다" 사이의 사각지대에 존재합니다.
여러 구조적 요인으로 인해 구성 오류는 특히 위험합니다:
감사 범위를 우회합니다. 프로토콜이 모든 감사에서 완벽한 점수로 통과하더라도, 치명적인 매개변수 선택과 함께 배포될 수 있습니다. YieldBlox DAO의 Blend V2는 아키텍처적으로 견고했지만, 운영자 수준에서 구성 오류가 발생했습니다.
익스플로잇 전까지는 보이지 않는 경우가 많습니다. 퍼저(fuzzer)가 트리거할 수 있는 재진입성(reentrancy) 취약점과 달리, 정적 분석에서 잘못된 오라클 피드는 올바른 피드와 동일하게 보입니다. 시장 조건이 익스플로잇을 수익성 있게 만들 때만 문제가 드러납니다.
비허가형(permissionless) 설계와 결합되어 위험이 증폭됩니다. 누구나 풀이나 마켓을 생성할 수 있도록 허용하는 프로토콜(이것은 버그가 아닌 기능입니다)은 본질적으로 구성 책임을 운영자에게 분산시킵니다. 하지만 운영자는 핵심 개발팀만큼의 보안 전문 지식을 갖추지 못했을 수 있습니다.
즉각적이고 최대의 영향을 미치는 익스플로잇을 만듭니다. 코드 취약점은 종종 복잡한 다단계 공격을 필요로 합니다. 반면 잘못 설정된 오라클은 단 한 번의 트랜잭션으로 공격자에게 공짜 돈을 쥐여줍니다.
실제로 효과적인 방어책들
업계는 가만히 있지 않습니다. 구성 격차를 줄이기 위해 여러 접근 방식이 등장하고 있습니다:
매개변수 검증 레이어. 프로토콜은 오라클 구성에 대한 온체인 무결성 검사(sanity checks)를 구현하고 있습니다. 예를 들어, 담보 가치 평가를 위해 가격 피드를 수락하기 전에 해당 피드의 보고된 값이 다른 참조 피드와 비교하여 합리적인 범위 내에 있는지 확인하는 방식입니다.
타임락(Time-locked) 매개변수 변경. 오라클이나 매개변수를 즉시 업데이트하는 대신, 프로토콜은 의무적인 지연 기간을 도입하고 있습니다. 이를 통해 모니터링 시스템과 커뮤니티 구성원이 의심스러운 변경 사항을 감지하고 대응할 시간을 확보합니다.
AI 기반 자동 모니터링. BlockSec의 Phalcon과 같은 도구들은 이��제 실시간 트랜잭션 모니터링을 제공하여 비정상적인 담보 가치 평가를 감지하고 경고를 보내거나 자동으로 작동을 일시 중지할 수 있습니다. 2026년 2월 Coindesk 보고서에 따르면, 특화된 AI 시스템은 이제 실제 DeFi 익스플로잇의 92%를 탐지할 수 있습니다.
화이트햇(White hat) 인프라. Foom Cash의 자산 회수 사례는 조직화된 신속 대응 팀의 가치를 증명했습니다. Immunefi와 같은 플랫폼은 버그 바운티 프로그램을 공식화했으며, 전문 화이트햇 네트워크의 등장은 윤리적 해커들이 악의적인 공격자보다 먼저 취약한 컨트랙트를 찾아내기 위해 경쟁한다는 것을 의미합니다.
배포 체크리스트 및 세레머니 검증. 암호화 프로토콜의 경우, Foom Cash 사건 이후 신뢰할 수 있는 설정 세레머니(trusted setup ceremonies)가 올바르게 완료되었는지 확인하는 자동 검증 도입이 가속화되었습니다. 즉, 매개변수가 기본값으로 방치되지 않고 실제로 무작위화되었는지 확인하는 것입니다.
수치가 말해주는 사실
이러한 변화는 수치로 입증됩니다. 액세스 제어 익스플로잇이 여전히 전체 손실액의 대부분을 차지하지만(2025년 상반기에만 18억 3천만 달러, 전체 손실의 59%), 코드 보안이 개선됨에 따라 구성 관련 사고가 하나의 카테고리로 성장하고 있습니다.
스마트 컨트랙트 감사, 형식 검증, OpenZeppelin과 같이 검증된 프레임워크가 전통적인 코드 취약점의 노출 면적을 줄여줌에 따라 배포 절차, 매개변�수 관리, 관리자 기능에 대한 액세스 제어와 같은 운영 보안의 상대적 중요성이 커지고 있습니다.
2026년 2월, 가장 큰 5건의 사고 중 4건은 새로운 코드 익스플로잇이 아닌 구성 또는 운영상의 실패와 관련이 있었습니다. 2월 23일부터 3월 1일 사이의 일주일은 가장 명확한 사례였습니다. 1,300만 달러의 손실이 발생했으며, 그 대부분은 오라클 구성 오류와 배포 매개변수 오류에서 기인했습니다.
향후 DeFi에 시사하는 점
DeFi 보안의 성숙은 전통적인 소프트웨어와 유사한 패턴을 따르고 있습니다. 쉬운 버그가 해결됨에 따라 어려운 문제들은 상류(upstream)로 이동합니다. 웹 애플리케이션에서 SQL 인젝션과 XSS가 사라진 자리를 클라우드 권한 설정 오류와 API 키 유출이 주요 공격 벡터로 대체한 것과 같습니다. DeFi도 동일한 전환기를 겪고 있습니다.
프로토콜 팀에게 이는 보안이 감사 보고서에서 끝나서는 안 된다는 것을 의미합니다. 누가 매개변수를 변경할 수 있는지, 오라클 피드가 어떻게 검증되는지, 배포 절차가 자동화 및 검증되었는지와 같은 운영 보안은 스마트 컨트랙트 코드만큼이나 엄격하게 다뤄져야 합니다.
사용자와 투자자에게 이는 다른 질문을 던져야 함을 의미합니다. "이 프로토콜은 감사를 받았는가?" 대신 "누가 구성을 제어하며, 잘못 설정된 단 하나의 매개변수가 풀의 자금을 고갈시키는 것을 방지하기 위해 어떤 장치가 마련되어 있는가?"라고 물어야 합��니다.
코드는 점점 좋아지고 있습니다. 이제 위험은 구성에 존재합니다.
BlockEden.xyz는 모니터링 및 알림 기능이 내장된 엔터프라이즈급 블록체인 API 및 노드 인프라를 제공합니다. 신뢰할 수 있는 오라클 통합과 운영 가시성이 필요한 DeFi 프로토콜을 구축하는 팀이라면, 프로덕션급 보안을 위해 설계된 기초 위에서 시작할 수 있도록 저희의 API 마켓플레이스를 살펴보세요.