라디언트 캐피털 해킹: 북한 해커가 단일 PDF로 수억 달러를 탈취한 방법
2023년 가장 정교한 사이버 공격 중 하나에서, 레이어제로 위에 구축된 탈중앙화 크로스체인 대출 프로토콜인 라디언트 캐피털이 해커에게 약 5천만 달러를 잃었습니다. 이 공격의 복잡성과 정밀함은 국가 지원을 받는 북한 해커들의 고급 역량을 드러냈으며, 암호화폐 보안 침해에서 많은 이들이 가능하다고 생각했던 한계를 뛰어넘었습니다.
완벽한 사회공학 공격
2023년 9월 11일, 라디언트 캐피털 개발자는 무해해 보이는 텔레그램 메시지를 받았습니다. 발신자는 전직 계약업체 직원으로 가장하며, 스마트 계약 감사를 위해 경력을 전환했으며 프로젝트 보고서에 대한 피드백을 원한다고 주장했습니다. 이러한 요청은 암호화폐 개발의 원격 근무 문화에서 흔히 볼 수 있어 사회공학 전술로 특히 효과적이었습니다.
공격자들은 가짜 웹사이트를 만들어 해당 계약업체의 정식 도메인을 거의 그대로 모방함으로써 사기의 신뢰성을 한층 높였습니다.
트로이 목마
개발자가 파일을 다운로드하고 압축을 풀었을 때, 이는 일반 PDF 문서처럼 보였습니다. 그러나 실제로는 PDF 아이콘으로 위장된 악성 실행 파일 INLETDRIFT였습니다. 파일을 열면 macOS 시스템에 백도어를 조용히 설치하고 공격자들의 명령 서버(atokyonews[.]com)와 통신을 시작했습니다.
감염된 개발자는 피드백을 구하기 위해 악성 파일을 팀원들에게 공유했으며, 이로 인해 조직 내에 악성코드가 무심코 퍼졌습니다.
정교한 중간자 공격
악성코드가 설치된 상태에서 해커들은 정밀하게 목표를 잡은 “미끼‑전환” 공격을 수행했습니다. 팀원들이 Gnosis Safe 다중 서명 지갑을 사용할 때 거래 데이터를 가로챘습니다. 웹 인터페이스에서는 거래가 정상적으로 보였지만, 악성코드는 Ledger 하드웨어 지갑에 도달했을 때 거래 내용을 교체했습니다.
Safe 다중 서명 거래에서 사용되는 블라인드 서명 메커니즘 때문에 팀원들은 실제로는 lending pool의 소유권을 공격자에게 넘기는 transferOwnership() 함수 호출에 서명하고 있다는 사실을 감지하지 못했습니다. 이로써 해커들은 프로토콜 계약에 승인된 사용자 자금을 탈취할 수 있었습니다.
신속한 정리
도난이 발생한 직후, 공격자들은 놀라운 운영 보안을 보여주었습니다. 단 3분 만에 백도어와 브라우저 확장 프로그램을 모두 제거하여 흔적을 완전히 지웠습니다.
업계를 위한 핵심 교훈
-
파일 다운로드를 절대 신뢰하지 말 것: 팀은 Google Docs나 Notion과 같은 온라인 문서 도구를 표준화하고 파일 다운로드를 피해야 합니다. 예를 들어 OneKey의 채용 프로세스는 Google Docs 링크만 허용하고 다른 파일이나 링크는 열지 않도록 명시하고 있습니다.
-
프론트엔드 보안은 핵심: 이번 사건은 공격자가 프론트엔드에서 거래 정보를 쉽게 위조할 수 있음을 보여주며, 사용자는 악성 거래에 서명하게 됩니다.
-
블라인드 서명의 위험: 하드웨어 지갑은 종종 거래 요약을 과도하게 단순화하여 복잡한 스마트 계약 상호작용의 실제 성격을 확인하기 어렵게 합니다.
-
DeFi 프로토콜 안전: 대규모 자본을 다루는 프로젝트는 타임락 메커니즘과 견고한 거버넌스 프로세스를 구현해야 합니다. 이는 의심스러운 활동을 감지하고 대응할 수 있는 완충 기간을 제공합니다.
라디언트 캐피털 해킹은 하드웨어 지갑, 거래 시뮬레이션 도구, 업계 모범 사례를 갖추고 있더라도 정교한 공격자는 여전히 보안을 침해할 방법을 찾을 수 있음을 상기시켜 줍니다. 이는 암호화폐 보안 조치에 대한 지속적인 경계와 진화가 필요함을 강조합니다.
산업이 성숙해짐에 따라 우리는 이러한 사건들로부터 교훈을 얻어 점점 더 정교한 공격 벡터를 견딜 수 있는 강력한 보안 프레임워크를 구축해야 합니다. DeFi의 미래는 이에 달려 있습니다.